Datos, privacidad y seguridad para Microsoft 365 Copilot
Microsoft 365 Copilot es un sofisticado motor de procesamiento y orquestación que proporciona funcionalidades de productividad basadas en inteligencia artificial mediante la coordinación de los siguientes componentes:
- Modelos de lenguaje grandes (LLM)
- Contenido de Microsoft Graph como correos electrónicos, chats y documentos a los que tiene permiso para acceder.
- Las aplicaciones de productividad de Microsoft 365 que se usan todos los días, como Word y PowerPoint.
Para obtener información general sobre cómo funcionan conjuntamente estos tres componentes, consulte Información general de Microsoft 365 Copilot. Para obtener vínculos a otro contenido relacionado con Microsoft 365 Copilot, consulte Microsoft 365 Copilot documentación.
Importante
- Microsoft 365 Copilot cumple con nuestros compromisos de privacidad, seguridad y cumplimiento con los clientes comerciales de Microsoft 365 que se incluyen en el Reglamento general de protección de datos (RGPD) y en Límite de datos de la Unión Europea (UE).
- Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar LLM básicos, incluidos aquellos que usa Microsoft 365 Copilot.
- Microsoft 365 Copilot funciona con varias protecciones, entre las que se incluyen, entre otras, bloquear contenido perjudicial, detectar material protegido y bloquear inyecciones de indicación (ataques de jailbreak).
La información de este artículo está pensada para dar respuesta a las siguientes preguntas:
- ¿Cómo usa Microsoft 365 Copilot los datos privados de la organización?
- ¿Cómo protege Microsoft 365 Copilot la información y los datos de empresa?
- ¿Qué datos se almacenan sobre las interacciones de los usuarios con Microsoft 365 Copilot?
- ¿Qué compromisos de residencia de datos realiza Microsoft 365 Copilot?
- ¿Qué opciones de extensibilidad están disponibles para Microsoft 365 Copilot?
- ¿Cómo cumple Microsoft 365 Copilot los requisitos de cumplimiento normativo?
- ¿Los controles de privacidad de las experiencias conectadas en Aplicaciones de Microsoft 365 se aplican a Microsoft 365 Copilot?
- ¿Puedo confiar en el contenido que crea Microsoft 365 Copilot? ¿Quién es el propietario de dicho contenido?
- ¿Qué compromisos ha adoptado Microsoft para usar la IA de forma responsable?
Nota:
Microsoft 365 Copilot seguirá evolucionando con el tiempo con nuevas funcionalidades. Para mantenerse al día sobre Microsoft 365 Copilot o formular preguntas, visite la comunidad de Microsoft 365 Copilot en la Comunidad técnica de Microsoft.
¿Cómo usa Microsoft 365 Copilot los datos privados de la organización?
Microsoft 365 Copilot proporciona valor al conectar LLM a los datos de la organización. Microsoft 365 Copilot accede al contenido y al contexto a través de Microsoft Graph. Puede generar respuestas a partir de los datos de la organización, como los documentos del usuario, correos electrónicos, calendario, chats, reuniones y contactos. Microsoft 365 Copilot combina este contenido con el contexto de trabajo del usuario, como la reunión en la que está el usuario, los intercambios de correo electrónico que el usuario ha realizado sobre un tema o las conversaciones de chat del usuario de la semana anterior. Microsoft 365 Copilot usa esta combinación de contenido y contexto para ayudar a ofrecer respuestas contextuales precisas y pertinentes.
Importante
Las solicitudes, respuestas y los datos a los que se accede a través de Microsoft Graph no se usan para entrenar LLM básicos, incluidos aquellos que usa Microsoft 365 Copilot.
Microsoft 365 Copilot solo muestra aquellos datos de la organización a los que los usuarios tienen permiso, como mínimo, de visualizar. Es importante que use los modelos de permisos disponibles en los servicios de Microsoft 365, como SharePoint, para garantizar que los usuarios o grupos adecuados tengan el acceso adecuado al contenido adecuado dentro de su organización. Esto incluye los permisos que concede a usuarios ajenos a su organización a través de soluciones de colaboración entre inquilinos, como canales compartidos en Microsoft Teams.
Cuando se escriben consultas con Microsoft 365 Copilot, la información contenida en las consultas, los datos que se recuperan y las respuestas generadas, permanecen dentro del límite de cumplimiento de Microsoft 365, de acuerdo con nuestros compromisos actuales de privacidad, seguridad y cumplimiento. Microsoft 365 Copilot usa los servicios de Azure OpenAI para el procesamiento, no los servicios disponibles públicamente de OpenAI. Azure OpenAI no almacena en caché contenido de cliente y Copilot modificó las indicaciones de Microsoft 365 Copilot. Para obtener más información, consulte la sección Datos almacenados sobre las interacciones del usuario con Microsoft 365 Copilot más adelante en este artículo.
Nota:
- Cuando use complementos para ayudar a Microsoft 365 Copilot a proporcionar información más relevante, compruebe la declaración de privacidad y los términos de uso del complemento para determinar cómo controlará los datos de su organización. Para obtener información, consulte Extensibilidad de Microsoft 365 Copilot.
- Cuando se usa el complemento de contenido web, Copilot para Microsoft 365 analiza el mensaje del usuario e identifica los términos en los que la búsqueda web mejoraría la calidad de la respuesta. En función de estos términos, Copilot genera una consulta de búsqueda que se envía a la API de Búsqueda de Microsoft Bing para solicitar más información. Para obtener más información, datos, privacidad y seguridad para consultas web en Microsoft 365 Copilot y Microsoft Copilot.
Aunque la supervisión del uso indebido, que incluye la revisión humana del contenido, está disponible en Azure OpenAI, los servicios de Microsoft 365 Copilot han optado por no participar en ella. Para obtener información sobre el filtrado de contenido, consulte la sección ¿Cómo bloquea Copilot contenido dañino? más adelante en este artículo.
Nota:
Es posible que usemos los comentarios de los clientes, lo cual es opcional, para mejorar Microsoft 365 Copilot, al igual que usamos los comentarios de los clientes para mejorar otros servicios de Microsoft 365 y las aplicaciones de productividad de Microsoft 365. Los comentarios no se usan para entrenar los LLM básicos que usa Microsoft 365 Copilot. Los clientes pueden administrar los comentarios a través de los controles de administración. Para obtener más información, vea Administrar los comentarios de Microsoft para su organización y Proporcionar comentarios sobre Microsoft Copilot con aplicaciones de Microsoft 365.
Datos almacenados sobre las interacciones de los usuarios con Microsoft 365 Copilot
Cuando un usuario interactúa con Microsoft 365 Copilot (usando aplicaciones como Word, PowerPoint, Excel, OneNote, Loop o Whiteboard), almacenamos datos sobre estas interacciones. Los datos almacenados incluyen la solicitud del usuario y la respuesta de Copilot, incluidas citas a cualquier información usada para establecer la respuesta de Copilot. Nos referimos a la solicitud del usuario y a la respuesta de Copilot a esa solicitud como el "contenido de las interacciones" y el registro de esas interacciones es el historial de interacciones de Copilot del usuario. Por ejemplo, estos datos almacenados proporcionan a los usuarios un historial de interacciones de Copilot en Business Chat y reuniones en Microsoft Teams. Estos datos se procesan y almacenan en consonancia con los compromisos contractuales con el resto del contenido de la organización en Microsoft 365. Los datos se cifran mientras se almacenan y no se usan para entrenar modelos LLM fundacionales, incluidos los que usa Microsoft 365 Copilot.
Para ver y administrar estos datos almacenados, los administradores pueden usar la búsqueda de contenido o Microsoft Purview. Los administradores también pueden usar Microsoft Purview para establecer directivas de retención para los datos relacionados con las interacciones de chat con Copilot. Para más información, consulte los siguientes artículos:
- Información general sobre la Búsqueda de contenido
- Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa
- Obtener más información sobre la retención para Copilot
Para los chats de Microsoft Teams con Copilot, los administradores también pueden usar las API de exportación de Microsoft Teams para ver los datos almacenados.
Eliminar el historial de interacciones de usuario con Microsoft 365 Copilot
Los usuarios pueden eliminar su historial de interacciones de Copilot, que incluye sus solicitudes y las respuestas que devuelve Copilot, en el portal Mi cuenta. Para obtener más información, consulte Eliminar el historial de interacciones de Microsoft 365 Copilot.
Microsoft 365 Copilot y el límite de datos de la UE
Las llamadas de Microsoft 365 Copilot al LLM se enrutan a los centros de datos más cercanos de la región, pero también pueden llamar a otras regiones donde haya capacidad disponible durante períodos de uso elevado.
Para los usuarios de la Unión Europea (UE), tenemos medidas de seguridad adicionales para cumplir con el Límite de datos de la UE. El tráfico de la UE permanece dentro de Límite de datos de la UE, mientras que el tráfico mundial se puede enviar a la UE y a otras regiones geográficas para el procesamiento de LLM.
Microsoft 365 Copilot y la residencia de datos
Microsoft 365 Copilot cumple con los compromisos de residencia de datos, como se describe en los Términos del producto y el Anexo de protección de datos de Microsoft. Microsoft 365 Copilot se agregó como una carga de trabajo cubierta en los compromisos de residencia de datos en los Términos del producto de Microsoft el 1 de marzo de 2024.
Las ofertas de Residencia avanzada de datos (ADR) y Multi-Geo Capabilities de Microsoft incluyen compromisos de residencia de datos para clientes de Microsoft 365 Copilot a partir del 1 de marzo de 2024. Para los clientes de la UE, Microsoft 365 Copilot es un servicio de EU Data Boundary. Es posible que las consultas de los clientes fuera de la UE se procesen en EE. UU., la UE u otras regiones.
Ampliabilidad de Microsoft 365 Copilot
Aunque Microsoft 365 Copilot ya puede usar las aplicaciones y los datos dentro del ecosistema de Microsoft 365, muchas organizaciones siguen dependiendo de diversas herramientas y servicios externos para gestionar el trabajo y la colaboración. Las experiencias de Microsoft 365 Copilot pueden hacer referencia a herramientas y servicios de terceros al responder a la solicitud de un usuario mediante complementos o conectores de Microsoft Graph. Los datos de los conectores de Graph se pueden devolver en las respuestas de Microsoft 365 Copilot si el usuario tiene permiso para acceder a esa información.
Cuando se habilitan los complementos, Microsoft 365 Copilot determina si necesita usar un complemento específico para ayudar a proporcionar una respuesta relevante al usuario. Si se necesita un complemento, Microsoft 365 Copilot genera una consulta de búsqueda para enviar al complemento en nombre del usuario. La consulta se basa en la solicitud del usuario, el historial de interacciones de Copilot y los datos a los que el usuario tiene acceso en Microsoft 365.
En la sección Aplicaciones integradas del Centro de administración de Microsoft 365, los administradores pueden ver los permisos y el acceso a los datos que requiere un complemento, así como los términos de uso y la declaración de privacidad del complemento. Los administradores tienen control total para seleccionar qué complementos se permiten en su organización. Un usuario solo puede acceder a los complementos que su administrador permite y que el usuario ha instalado o tiene asignados. Microsoft 365 Copilot solo usa complementos activados por el usuario.
Para más información, consulte los siguientes artículos:
- Gestionar plugins para Copilot en aplicaciones integradas
- Ampliar Microsoft 365 Copilot
- Cómo puede trabajar Microsoft 365 Copilot con sus datos externos
¿Cómo protege Microsoft 365 Copilot los datos de la organización?
El modelo de permisos dentro del inquilino de Microsoft 365 puede ayudar a garantizar que los datos no se filtren involuntariamente entre usuarios, grupos e inquilinos. Microsoft 365 Copilot presenta solo los datos a los que cada individuo puede acceder mediante los mismos controles subyacentes para el acceso a datos usados en otros servicios de Microsoft 365. El índice semántico respeta el límite de acceso basado en la identidad del usuario para que el proceso de grounding solo tenga acceso al contenido al que el usuario actual está autorizado para acceder. Para obtener más información, consulte la Documentación del servicio y la directiva de privacidad de Microsoft.
Cuando tiene datos cifrados por Microsoft Purview Information Protection, Microsoft 365 Copilot respeta los derechos de uso concedidos al usuario. El cifrado se puede aplicar mediante etiquetas de confidencialidad o mediante permisos restringidos en aplicaciones de Microsoft 365 mediante Information Rights Management (IRM). Para obtener más información sobre el uso de Microsoft Purview con Microsoft 365 Copilot, consulte Protección de cumplimiento y seguridad de datos de Microsoft Purview para aplicaciones de IA generativa.
Ya implementamos varias formas de protección para ayudar a evitar que los clientes comprometan los servicios y aplicaciones de Microsoft 365 u obtengan acceso no autorizado a otros inquilinos o al propio sistema de Microsoft 365. Aquí hay algunos ejemplos de dichas formas de protección:
El aislamiento lógico del contenido de cliente dentro de cada inquilino para los servicios de Microsoft 365 se logra mediante la autorización de Microsoft Entra y el control de acceso basado en roles. Para obtener más información, consulte Controles de aislamiento de Microsoft 365.
Microsoft usa una rigurosa seguridad física, un filtrado en segundo plano y una estrategia de cifrado de varias capas para proteger la confidencialidad y la integridad del contenido del cliente.
Microsoft 365 usa tecnologías del lado del servicio que cifran el contenido del cliente en reposo y en tránsito, incluidos BitLocker, el cifrado por archivo, la Seguridad de la capa de transporte (TLS) y el protocolo de seguridad de Internet (IPsec). Para obtener detalles específicos sobre el cifrado en Microsoft 365, consulte Cifrado en la nube de Microsoft.
Su control sobre los datos se refuerza con el compromiso de Microsoft de cumplir con las leyes de privacidad ampliamente aplicables, como el RGPD, y los estándares de privacidad, como ISO/IEC 27018, el primer código de prácticas internacionales del mundo para la privacidad en la nube.
Para el contenido al que se accede a través de complementos de Microsoft 365 Copilot, el cifrado puede excluir el acceso mediante programación, lo que limita el acceso del complemento al contenido. Para obtener más información, consulte Configurar los derechos de uso para Azure Information Protection.
Cumplir con los requisitos de cumplimiento normativo
A medida que evolucione la regulación en el espacio de la inteligencia artificial, Microsoft seguirá adaptándose y respondiendo para cumplir los requisitos normativos futuros.
Microsoft 365 Copilot se basa en los compromisos actuales de Microsoft con la seguridad y la privacidad de los datos en la empresa. No hay ningún cambio en estos compromisos. Microsoft 365 Copilot se integra en Microsoft 365 y cumple todos los compromisos de privacidad, seguridad y cumplimiento existentes con los clientes comerciales de Microsoft 365. Para obtener más información, consulte Cumplimiento de Microsoft.
Además de cumplir las normativas, priorizamos un diálogo abierto con nuestros clientes, asociados y autoridades normativas para comprender mejor y abordar las preocupaciones, lo que fomenta un entorno de confianza y cooperación. Reconocemos que la privacidad, la seguridad y la transparencia no son solo características, sino requisitos previos en este panorama controlado por IA en Microsoft.
Información adicional
Microsoft 365 Copilot y los controles de privacidad de las experiencias conectadas
Algunos controles de privacidad de las experiencias conectadas en Aplicaciones de Microsoft 365 pueden afectar a la disponibilidad de las características de Microsoft 365 Copilot. Esto incluye los controles de privacidad de las experiencias conectadas que analizan el contenido y el control de privacidad para experiencias conectadas opcionales. Para más información sobre estos controles de privacidad, consulte Información general sobre los controles de privacidad para las Aplicaciones de Microsoft 365 para empresas.
Control de privacidad para experiencias conectadas que analiza el contenido
Si desactiva experiencias conectadas que analizan su contenido en dispositivos Windows o Mac de su organización, Microsoft 365 Copilot características no estarán disponibles para los usuarios en las siguientes aplicaciones:
- Excel
- PowerPoint
- OneNote
- Word
También hay un control de privacidad que desactiva todas las experiencias conectadas, incluidas las experiencias conectadas que analizan el contenido. Si usa ese control de privacidad, las características de Microsoft 365 Copilot no estarán disponibles para determinadas aplicaciones en determinados dispositivos, como se describió anteriormente.
Control de privacidad para experiencias conectadas opcionales
Si desactiva experiencias conectadas opcionales en su organización, las características de Microsoft 365 Copilot que son experiencias conectadas opcionales no estarán disponibles para los usuarios. Por ejemplo, la búsqueda web no estará disponible para los usuarios.
También hay un control de privacidad que desactiva todas las experiencias conectadas, incluidas las experiencias conectadas opcionales. Si usa ese control de privacidad, las características de Microsoft 365 Copilot que son experiencias conectadas opcionales no estarán disponibles.
Acerca del contenido que crea Microsoft 365 Copilot
No se garantiza que las respuestas que genera la inteligencia artificial generativa sean 100 % reales. Aunque seguimos mejorando las respuestas, los usuarios han de usar su sentido crítico al revisar las respuestas antes de enviarlas a otros usuarios. Las capacidades de Microsoft 365 Copilot proporcionan borradores y resúmenes útiles que ayudan a lograr más resultados y, al mismo tiempo, ofrecen la oportunidad de revisar lo que la IA ha generado en lugar de automatizar completamente estas tareas.
Seguimos mejorando los algoritmos para abordar de forma proactiva los problemas, como la desinformación y la falta de información, el bloqueo de contenido, la seguridad de los datos y la prevención de la promoción de contenido perjudicial o discriminador de acuerdo con nuestros principios de inteligencia artificial responsable.
Microsoft no reclama derechos de propiedad de los resultados del servicio. Dicho esto, no tomamos decisiones sobre si los resultados de un cliente están protegidos por derechos de autor o si dichos derechos deben aplicarse en otros usuarios. Esto se debe a que los sistemas de IA generativa pueden producir respuestas similares en función de solicitudes o consultas similares de diferentes clientes. Por lo tanto, diferentes clientes podrían tener derechos o reclamarlos sobre contenido que es igual o sustancialmente similar.
Si un tercero demanda a un cliente comercial por infracción de derechos de autor por usar Copilot de Microsoft o los resultados que genera, defenderemos al cliente y pagaremos la cantidad por fallos adversos o acuerdos que resulten de la demanda, siempre y cuando el cliente haya usado los filtros de protección y contenido que hemos integrado en nuestros productos. Para obtener más información, consulte Microsoft anuncia el nuevo compromiso sobre los derechos de autor de Copilot para los clientes.
¿Cómo bloquea Copilot el contenido perjudicial?
El servicio Azure OpenAI incluye un sistema de filtrado de contenido que funciona junto con los modelos principales. Los modelos de filtrado de contenido para las categorías Acoso e imparcialidad, Sexual, Violencia y Autoagresión se han entrenado y probado específicamente en varios idiomas. Este sistema funciona mediante la ejecución de una consulta de entrada y su respuesta a través de modelos de clasificación diseñados para identificar y bloquear la salida de contenido perjudicial.
Los daños relacionados con el acoso y la imparcialidad hacen referencia a cualquier contenido que use lenguaje peyorativo o discriminatorio basado en atributos como la raza, la etnicidad, la nacionalidad, la identidad y la expresión de género, la orientación sexual, la religión, la condición de inmigrante, el estado de incapacidad, la apariencia personal y el tamaño del cuerpo. La imparcialidad se ocupa de asegurarse de que los sistemas de IA traten a todos los grupos de personas de forma equitativa sin contribuir a las desigualdades sociales existentes. El contenido sexual implica debates sobre los órganos reproductivos humanos, las relaciones románticas entre los seres humanos, los actos representados en términos eróticos o afectivos, el embarazo, los actos sexuales físicos, incluidos los representados como un acto de violencia sexual, actos sexuales forzados, acoso, prostitución y abuso. La violencia describe el lenguaje relacionado con las acciones físicas destinadas a hacer daño físico o asesinar, incluidas las acciones, las armas y las entidades relacionadas con estas acciones. El lenguaje de autoagresión hace referencia a acciones deliberadas destinadas a dañarse a sí mismo o quitarse la vida.
Obtenga más información sobre el filtrado de contenido de Azure OpenAI.
¿Copilot proporciona detección de material protegido?
Sí, Microsoft 365 Copilot proporciona detección de materiales protegidos, que incluye texto sujeto a copyright y código sujeto a restricciones de licencia. No todas estas mitigaciones son relevantes para todos los escenarios de Microsoft 365 Copilot.
¿Bloquea Copilot las inserciones de mensajes (ataques de jailbreak)?
Los ataques de jailbreak son mensajes de usuario diseñados para provocar que el modelo de IA generativa se comporte de formas para las que no ha sido entrenado o para romper las reglas que se le han indicado que siga. Microsoft 365 Copilot está diseñado para protegerse frente a ataques por inyección de mensajes. Obtenga más información sobre los ataques de jailbreak y cómo usar Azure AI Content Safety para detectarlos.
Comprometidos con la inteligencia artificial responsable
A medida que la inteligencia artificial se prepara para transformar nuestras vidas, debemos definir colectivamente nuevas reglas, normas y prácticas para el uso y el impacto de esta tecnología. Microsoft ha estado en un recorrido por la inteligencia artificial responsable desde 2017, cuando definimos nuestros principios y enfoque para garantizar que esta tecnología se use de forma que esté controlada por principios éticos que coloquen a las personas en primer lugar.
En Microsoft, nos guían nuestros principios de inteligencia artificial, nuestro estándar de inteligencia artificial responsable y décadas de investigación sobre inteligencia artificial, grounding y el aprendizaje automático que conserva la privacidad. Un equipo multidisciplinario de investigadores, ingenieros y expertos en directivas revisa nuestros sistemas de inteligencia artificial en busca de posibles daños y mitigaciones; refina los datos de entrenamiento; filtra para limitar el contenido perjudicial y los temas confidenciales que bloquean resultados y consultas; y aplica tecnologías de Microsoft como InterpretML y Fairlearn para ayudar a detectar y corregir el sesgo de los datos. Para dejar claro cómo toma las decisiones el sistema, hay que tener en cuenta las limitaciones, el vínculo a los orígenes y pedir a los usuarios que revisen, comprueben los hechos y ajusten el contenido en función de la experiencia en la materia. Para obtener más información, consulte Gobernanza de la inteligencia artificial: un plano técnico para el futuro.
Nuestro objetivo es ayudar a nuestros clientes a usar nuestros productos de inteligencia artificial de forma responsable, compartir nuestros aprendizajes y crear asociaciones basadas en la confianza. Para estos nuevos servicios, queremos proporcionar a nuestros clientes información sobre los usos, las capacidades y las limitaciones previstas de nuestro servicio de plataforma de inteligencia artificial para que tengan los conocimientos necesarios para tomar decisiones de implementación responsables. También compartimos recursos y plantillas con los desarrolladores de las empresas y con proveedores de software independientes (ISV) para ayudarles a crear soluciones de IA eficaces, seguras y transparentes.