Datos, privacidad y seguridad con Microsoft 365 Copilot

Microsoft 365 Copilot es un motor de productividad basado en IA que conecta tres componentes principales: 

• Modelos de lenguaje grandes (LLM).
• El contenido al que el usuario tiene permiso de acceso en Microsoft Graph: correos electrónicos, chats, documentos.
• Las aplicaciones diarias de Microsoft 365 como Word, PowerPoint, Excel.

La relevancia para las empresas es que Copilot puede «leer» y procesar datos de negocio y usuario para entregar sugerencias, borradores, resúmenes, insights. 

 Pero precisamente por esta capacidad, es clave entender cómo se usan los datos, qué permisos operan y qué límites se aplican. 

• Copilot accede al contenido a través de Microsoft Graph (documentos, correos, chats, reuniones, contactos) y lo combina con el contexto del usuario (por ejemplo, la reunión en curso, historial de correo, chats recientes) para generar respuestas contextualizadas.
• Importante: no se utilizan las solicitudes, respuestas ni los datos a los que se accede a través de Graph para entrenar los modelos básicos de lenguaje (LLM).
• Copilot respeta los permisos del usuario: sólo muestra datos a los que dicho usuario tiene acceso en la organización (por ejemplo, los permisos de SharePoint, Teams, etc.)
• Si se habilitan complementos o conectores externos, Copilot puede contactar esos servicios solo si el administrador lo ha permitido y el usuario tiene el permiso requerido. 

Resumen clave: Tus datos de empresa sí se utilizan para generar valor (respuestas, resúmenes), pero no se utilizan para entrenar los modelos públicos de IA, y se mantiene el control de permisos. 

🔶 Si quieres ver cómo se aplican estos principios en situaciones reales, como correos, reuniones o chats, puedes explorar este artículo sobre Copilot en Outlook y Teams y cómo ayuda a optimizar el día a día.

La protección de datos en Copilot juega en múltiples frentes: técnica, organizativa y de cumplimiento. 

Protección técnica 

• Se mantiene el aislamiento lógico del contenido de cada «inquilino» (tenant) mediante controles de acceso basados en identidad y roles.
• El cifrado está presente tanto en tránsito como en reposo (por ejemplo, TLS, IPsec, BitLocker, cifrado por archivo).
• Si los datos están etiquetados como confidenciales (por ejemplo, mediante Microsoft Purview Information Protection) o gestionados por IRM (Information Rights Management), Copilot respeta esas etiquetas y permisos.

Protección organizativa y de permisos 

• Los permisos que ya tienes en Microsoft 365 se extienden a Copilot: no obtienes acceso «extra» por usar Copilot.

• Los administradores pueden definir políticas de retención, búsqueda de contenido, eliminación de historial de interacciones con Copilot. 

   

  Estos mecanismos de protección son fundamentales porque habilitan escenarios de productividad avanzados. Aquí puedes ver 5 cambios que Microsoft 365 Copilot ya impulsa en las empresas.

Cuando un usuario interactúa con Copilot, se guardan: 

• La pregunta que hizo.
• La respuesta que Copilot generó
• La solicitud del usuario y la respuesta que ofrece Copilot (incluyendo citas utilizadas para generar la respuesta).
• Este historial se procesa conforme a los compromisos contractuales de Microsoft 365, y los datos están cifrados.
• Los administradores pueden acceder a herramientas como Microsoft Purview para establecer políticas de retención, búsqueda y exportación de datos (por ejemplo, chats de Microsoft Teams).

Esto se conserva bajo las políticas estándar de Microsoft 365 y puede administrarse, retenerse o eliminarse según las políticas definidas por TI. 

Los usuarios incluso pueden borrar parte de su historial desde su cuenta. 

• Aunque Copilot está pensado para funcionar dentro del ecosistema de Microsoft 365, muchas organizaciones utilizan herramientas externas. Copilot puede integrarse mediante complementos o conectores de Microsoft Graph hacia servicios de terceros.
• En esos casos, los administradores tienen control total sobre qué complementos están permitidos, qué datos pueden acceder y cómo funcionan.

Si quieres ver casos aplicados al análisis financiero, revisa

Copilot en Excel: 9 prompts avanzados para CFOs.

• Microsoft subraya que Copilot cumple con los compromisos de privacidad, seguridad y cumplimiento ya existentes para Microsoft 365 (por ejemplo, Reglamento General de Protección de Datos – RGPD).
• Además, Microsoft habla de principios de IA responsable, revisión humana, mitigación de sesgos, filtrado de contenido dañino (acoso, violencia, sexualidad) y detección de ataques como “jailbreaks”.
• Sobre el contenido generado por Copilot: no se garantiza que sea 100 % exacto; se recomienda que el usuario revise, ajuste y valide los resultados.
• En cuanto a la propiedad del contenido generado: Microsoft no reclama derechos de autor sobre el resultado, pero tampoco decide por el cliente si dicho resultado está protegido por derechos.

• Si tu organización utiliza Microsoft 365 Copilot, puedes estar tranquilo de que los datos internos no se están usando para entrenar modelos externos.
• Es fundamental que los permisos internos estén bien definidos: los usuarios sólo verán lo que su rol les permite.
• Si tienes datos que, por normativa local o por políticas internas, deben permanecer en ciertas ubicaciones geográficas, verifica cuál es la cobertura regional de Microsoft para tu país o región.
• Debes contar con una estrategia de gobierno de datos (por ejemplo, quién accede, cuánto tiempo se conserva el historial de Copilot, políticas de retención).
• También es clave formar a los usuarios finales para que usen Copilot como asistente (borrador, sugerencia) y no como fuente definitiva sin revisión. 

1. Revisa y ajusta los roles y permisos en Microsoft 365 (“quién ve qué”).
2. Define políticas de retención en Microsoft Purview para los historiales de Copilot.
3. Capacita a los usuarios en el uso responsable de Copilot: aclarar que es una ayuda y no un sustituto total del juicio humano.
4. Evalúa la geolocalización de datos: para organizaciones con requisitos de residencia de datos, confirma la cobertura regional de Microsoft.
5. Supervisa los complementos instalados: asegúrate de que cada uno tenga los permisos y declaración de privacidad adecuados.
6. Comunica internamente a los equipos de TI, legal y usuarios finales qué datos se usan, cómo se protegen, qué historial se conserva y qué opciones tienen.