Microsoft Purview es la plataforma de governance y cumplimiento de datos de Microsoft que protege a las empresas del principal riesgo del despliegue de Copilot: el oversharing, es decir, que el asistente de IA exponga información confidencial almacenada en SharePoint, OneDrive o Exchange a usuarios que tecnicamente tienen permisos pero que jamas habrian navegado hasta esos archivos. Purview clasifica automaticamente los datos del tenant, aplica etiquetas de sensibilidad que Copilot respeta, registra en audit logs todas las interacciones del asistente con datos protegidos y genera alertas cuando una política de prevención de perdida de datos (DLP) se incumple. Es además el instrumento principal de cumplimiento del RGPD y del AI Act europeo en entornos Microsoft 365. Hiberus es Microsoft Partner Tier 1 y implementa Purview antes del rollout de Copilot en empresas de 100 a 1.000 empleados.
¿Que es Microsoft Purview y como se relaciona con la IA?
Microsoft Purview agrupa bajo un mismo portal las herramientas de seguridad de datos, cumplimiento normativo y governance de información de Microsoft. El nombre engloba lo que antes eran productos separados: Azure Purview (catalogo de datos), Microsoft Information Protection, Microsoft Compliance Manager y las soluciones de eDiscovery, audit e Insider Risk Management.
La relacion con la IA es directa y crítica. Cuando una empresa despliega Microsoft 365 Copilot, el asistente trabaja con los datos a los que tiene acceso el usuario: correos en Exchange, archivos en SharePoint y OneDrive, chats de Teams, páginas de OneNote. Si esos datos no estan clasificados y sus permisos no estan correctamente configurados, Copilot puede recuperar y mostrar en una respuesta información que el usuario no deberia ver o que no deberia salir del departamento.
Purview actua como la capa de control que define que datos puede usar el sistema de IA, bajo que condiciones y con que nivel de registro. Las etiquetas de sensibilidad se heredan en los outputs de Copilot: si un documento esta marcado como Confidential, la respuesta que Copilot genere basandose en ese documento heredara la misma etiqueta y quedara sujeta a las mismas políticas de DLP.
Concepto clave: Purview no controla si Copilot puede usar IA; controla sobre que datos puede trabajar la IA y que rastro queda de cada interaccion. Sin Purview, el deployment de Copilot es un deployment sin cinturon de seguridad.
¿Por que necesitas Purview antes de desplegar Microsoft 365 Copilot?
El problema del oversharing no es teorico. En la mayoria de tenants Microsoft 365 con mas de tres años de uso, hay una cantidad significativa de documentos almacenados con permisos mas amplios de lo necesario: carpetas de SharePoint con acceso Everyone, documentos compartidos con "cualquiera que tenga el enlace", archivos de RRHH en sitios de equipo accesibles por toda la organizacion.
Antes de la IA, ese exceso de permisos era un riesgo latente pero poco probable: para que un empleado accediese a esos datos tenia que navegar activamente hasta ellos. Con Copilot, el acceso se vuelve trivial: el empleado pregunta "muestra los salarios del equipo de ventas del año pasado" y el asistente, si tiene permisos sobre esa carpeta, devuelve la respuesta.
El riesgo de oversharing tiene tres dimensiones:
Exposition interna. Datos de RRHH, planes estrategicos, presupuestos o acuerdos con clientes accesibles por empleados de otros departamentos que tienen permisos heredados de estructuras de SharePoint antiguas.
Exposition en respuestas de Copilot. El asistente puede incluir en una respuesta fragmentos de documentos que el usuario no habia visto nunca pero a los que tecnicamente tiene acceso. Esa respuesta puede copiarse, compartirse o guardarse fuera del entorno controlado.
Incumplimiento normativo. Si el documento sobreexpuesto contiene datos personales (contratos, nominas, historiales medicos de empleados), su acceso no autorizado es un incidente bajo el RGPD que puede requerir notificación a la AEPD en menos de 72 horas.
La recomendacion de Microsoft y de los principales partners es ejecutar una fase de data cleanup y configuración de Purview de entre 4 y 8 semanas antes de activar Copilot en produccion. Saltarse esa fase por presión para llegar rápido al despliegue es el error mas frecuente en proyectos de Copilot que acaban mal.
¿Que hace Purview Data Security Posture Management para IA?
Purview DSPM for AI (Data Security Posture Management for AI) es el panel de control específico para supervisar como los sistemas de IA del tenant interactuan con los datos. Se activa desde el portal de Microsoft Purview y requiere tener activas las licencias de Copilot for Microsoft 365.
Las funcionalidades principales del DSPM for AI son:
Visibilidad en tiempo real. Muestra cuantas interacciones de Copilot han tocado datos clasificados como confidenciales o altamente confidenciales en las ultimas 24-48 horas, con desglose por usuario, tipo de dato y ubicacion del dato.
Deteccion de datos sin etiqueta. Identifica documentos en SharePoint y OneDrive que Copilot esta usando activamente pero que no tienen etiqueta de sensibilidad asignada, lo que significa que las políticas DLP no los protegen. Genera una lista priorizada de archivos a etiquetar.
Alertas de política. Cuando Copilot procesa datos que estan bajo una política de DLP configurada (por ejemplo, documentos con numeros de tarjeta de crédito o datos de salud), DSPM for AI genera una alerta que llega al equipo de compliance en tiempo real.
Recomendaciones de mitigacion. El panel sugiere acciones concretas: reducir permisos de determinadas carpetas de SharePoint, aplicar etiquetas automaticas a ciertos tipos de documentos, o restringir el acceso de Copilot a sitios especificos.
¿Como funcionan las sensitivity labels con Copilot?
Las etiquetas de sensibilidad (sensitivity labels) son el mecanismo central de clasificación de datos en Microsoft Purview. Se pueden aplicar manualmente por el usuario que crea el documento, automaticamente por reglas de clasificación basadas en contenido (numero de DNI, IBAN, datos de salud, patrones personalizados) o de forma recomendada (el usuario acepta o rechaza la sugerencia del sistema).
En el contexto de Copilot, las etiquetas funcionan de dos maneras:
Herencia en outputs. Si Copilot genera un documento (un resumen en Word, una respuesta en el chat de Teams) basandose en fuentes con etiqueta de sensibilidad, el output hereda automaticamente la etiqueta mas restrictiva de las fuentes usadas. Esto significa que el documento generado queda sujeto a las mismas restricciones: no se puede enviar por correo fuera del dominio, no se puede copiar a unidades no gestionadas, no se puede imprimir en impresoras no autorizadas.
Control de acceso. Las etiquetas pueden llevar asociada cifrado con Azure Information Protection. Un documento cifrado con la etiqueta Highly Confidential solo puede ser abierto por los usuarios que figuran en la lista de control de acceso, independientemente de donde este almacenado el archivo. Copilot tampoco puede usar ese documento para un usuario que no tiene acceso de descifrado.
| Nivel de etiqueta | Descripcion típica | Restricciones habituales | Herencia en Copilot |
|---|---|---|---|
| Public | Documentos sin restriccion | Ninguna | Output sin etiqueta |
| General | Uso interno general | Marca visual, sin cifrado | Output marcado General |
| Confidential | Datos de negocio sensibles | Cifrado, sin reenvio externo | Output hereda Confidential |
| Highly Confidential | Datos criticos (estrategia, legal, RRHH) | Cifrado fuerte, lista de acceso restringida | Output hereda Highly Confidential; Copilot no usa si el usuario no tiene acceso |
¿Que governance de Copilot ofrece Purview?
Además de las etiquetas y del DSPM for AI, Microsoft Purview ofrece un conjunto de herramientas especificas para gobernar el uso de Copilot en la organizacion:
Audit logs de Copilot. Cada interaccion del usuario con Copilot (prompt enviado, fuentes de datos consultadas, respuesta generada) queda registrada en el audit log de Microsoft 365. Con la licencia de Audit Standard, los logs se conservan 90 dias. Con Audit Premium (add-on E5 Compliance), hasta un año. Estos logs son imprescindibles para investigaciones internas, reclamaciones de empleados o requerimientos de autoridades regulatorias.
eDiscovery sobre conversaciones de Copilot. Si hay un litigio o una investigacion interna, el equipo legal puede usar eDiscovery de Purview para buscar y exportar las conversaciones de Copilot de un usuario específico en un rango de fechas. Las conversaciones de Copilot se tratan como correo electronico a efectos de eDiscovery.
DLP for AI. Las políticas de prevención de perdida de datos se extienden ahora a las interacciones con Copilot. Es posible configurar una política que bloquee o avise al usuario cuando intenta pegar datos sensibles (numeros de tarjeta, datos de salud, información clasificada) en el prompt de Copilot. La política puede bloquear la interaccion, mostrar un aviso o simplemente registrarla para revision posterior.
Content Explorer. Permite al equipo de compliance navegar visualmente por todos los datos clasificados del tenant, ver su distribución por departamento, sitio de SharePoint o tipo de etiqueta, y detectar concentraciones anomalas de datos sensibles en ubicaciones con permisos amplios.
Communication Compliance. Modulo adicional que aplica políticas de revision sobre las respuestas de Copilot para detectar contenido inapropiado, acoso, discriminacion o violaciones de política corporativa generados por el asistente o en conversaciones donde participaron usuarios con Copilot activo.
Caso practico: Una empresa del sector retail con 800 empleados despliega Copilot sin Purview. En la tercera semana, un responsable de tienda obtiene vía Copilot el listado de salarios de los coordinadores de su región porque esos datos estaban en un SharePoint de RRHH al que el tenia acceso heredado desde una migración de tres años atras. Con Purview, ese documento habria tenido etiqueta Highly Confidential, permisos restringidos al equipo de RRHH y una alerta automática al intentar acceder a el vía Copilot.
¿Como cumple Purview con el RGPD y el AI Act?
El RGPD (Reglamento General de Protección de Datos) y el AI Act europeo imponen obligaciones distintas pero complementarias que Purview ayuda a satisfacer:
RGPD — minimizacion de datos y trazabilidad. El principio de minimizacion exige que los sistemas solo accedan a los datos estrictamente necesarios para su función. Las políticas DLP y las etiquetas de sensibilidad de Purview permiten definir que tipos de datos puede y no puede procesar Copilot. Los audit logs satisfacen el requisito de trazabilidad: se puede demostrar que datos proceso el sistema, cuando y para que usuario.
RGPD — respuesta a incidentes. Si se detecta un acceso no autorizado a datos personales por vía de Copilot, el audit log de Purview proporciona la evidencia necesaria para evaluar el alcance del incidente y notificarlo a la AEPD en el plazo de 72 horas que exige el reglamento.
AI Act — documentación y supervisión humana. El AI Act clasifica Microsoft 365 Copilot como sistema de IA de riesgo limitado, lo que requiere transparencia (el usuario sabe que interactua con IA) y cierto nivel de trazabilidad. Para sectores con sistemas de IA de riesgo alto (ciertos usos en salud, sector público, infraestructuras criticas), los requisitos son mas estrictos: logs completos, posibilidad de intervención humana, evaluación de riesgos documentada. Purview cubre la capa de logs y la capacidad de auditoria; la evaluación de riesgos y la documentación técnica del sistema son responsabilidad del operador y requieren herramientas adicionales.
Compliance Manager. Purview incluye Compliance Manager, una herramienta que traduce los requisitos del RGPD, ISO 27001, ENS (Esquema Nacional de Seguridad) y otras normativas en acciones concretas con puntuacion de progreso. Permite al equipo de compliance ver de un vistazo que controles estan implementados, cuales estan en progreso y cuales son criticos.
¿Cuanto cuesta Microsoft Purview en 2026?
Los modulos de Purview se distribuyen entre varias capas de licencia:
| Modulo Purview | Incluido en | Precio adicional |
|---|---|---|
| Information Protection básico (etiquetas, DLP estándar) | Microsoft 365 E3 / E5 | Sin coste adicional con E3+ |
| Compliance Manager | Microsoft 365 E3 / E5 | Sin coste adicional |
| Audit estándar (90 dias) | Microsoft 365 E3 / E5 | Sin coste adicional |
| eDiscovery Standard | Microsoft 365 E3 / E5 | Sin coste adicional |
| Audit Premium (1 año de logs) | Microsoft 365 E5 Compliance | ~12 USD/usuario/mes (add-on) |
| eDiscovery Premium | Microsoft 365 E5 Compliance | Incluido en E5 Compliance |
| Advanced DLP | Microsoft 365 E5 Compliance | Incluido en E5 Compliance |
| Communication Compliance | Microsoft 365 E5 Compliance | Incluido en E5 Compliance |
| Insider Risk Management | Microsoft 365 E5 Compliance | Incluido en E5 Compliance |
| DSPM for AI | Requiere Copilot for M365 activo | Sin coste adicional si ya tienes Copilot M365 |
Para la mayoria de empresas medianas en España con licencias M365 E3, el primer paso es activar los modulos ya incluidos (etiquetas, DLP estándar, audit 90 dias) antes de considerar el salto a E5 Compliance. Una implementación básica de Purview pre-Copilot con E3 es completamente funcional para gestionar el riesgo de oversharing en la mayoria de los casos.
¿Como implementar Purview antes de desplegar Copilot en una empresa de 100 a 1.000 empleados?
La secuencia recomendada por Microsoft y los principales partners de implementación en 2026 sigue cuatro fases:
Fase 1 — Descubrimiento y clasificación de datos (semanas 1-2). Activar el escaner de clasificación automática de Purview sobre SharePoint, OneDrive y Exchange. El objetivo es obtener un mapa de donde estan los datos sensibles: cuantos documentos contienen datos personales, financieros o de salud, en que sitios estan almacenados y con que permisos. Esta fase suele revelar que entre el 15% y el 30% de los documentos de una empresa tienen permisos mas amplios de lo necesario.
Fase 2 — Diseno y despliegue de etiquetas (semanas 3-4). Definir la taxonomia de etiquetas (tipicamente 4-6 niveles: Public, General, Confidential, Highly Confidential, con posibles sublabels por departamento o tipo de dato). Configurar las reglas de clasificación automática y recomendada. Comunicar a los usuarios el nuevo sistema antes de activarlo. Una taxonomia excesivamente compleja (mas de 8-10 etiquetas) genera confusion y abandono.
Fase 3 — Políticas DLP y permisos (semanas 5-6). Configurar las políticas DLP para los patrones de datos mas criticos: datos de salud, numeros de identificación fiscal, datos de tarjetas de pago. Revisar y corregir los permisos de los sitios de SharePoint con mayor concentracion de datos sensibles detectados en la fase 1. Activar DSPM for AI si las licencias de Copilot ya estan disponibles.
Fase 4 — Activacion de Copilot y monitoring (semana 7 en adelante). Desplegar Copilot sobre la infraestructura de Purview ya configurada. Establecer un proceso de revision semanal o quincenal del dashboard de DSPM for AI durante el primer mes. Ajustar políticas según los patrones de uso reales.
Dato: Según datos de despliegues en el mercado español (2025-2026), las empresas que ejecutan la fase de Purview antes de Copilot tienen un 60% menos de tickets de seguridad en los primeros 90 dias de uso del asistente, comparadas con las que activaron Copilot directamente.
¿Hiberus implementa Microsoft Purview y governance IA?
Si. Hiberus Booster es Microsoft Partner Tier 1 especializado en despliegues de IA responsable en empresas españolas de sector industrial, retail, salud, energia y sector público. El servicio de governance IA de Hiberus incluye:
Auditoria inicial del estado de permisos y datos del tenant de Microsoft 365. Diseno de la taxonomia de etiquetas de sensibilidad adaptada al sector y a la regulacion aplicable (RGPD, ENS, AI Act, normativa sectorial). Configuración de políticas DLP para los patrones de datos mas criticos de la organizacion. Activacion y configuración del dashboard DSPM for AI. Formación del equipo de compliance para operar el entorno de Purview de forma autonoma tras la implementación. Acompanamiento durante el primer mes de Copilot en produccion para ajustar políticas según el uso real.
El servicio de governance IA de Hiberus garantiza que la empresa llega al dia de activacion de Copilot con el riesgo de oversharing minimizado, los registros de auditoria operativos y la documentación necesaria para demostrar cumplimiento del RGPD y del AI Act ante una inspeccion.
Preguntas frecuentes
¿Que es Microsoft Purview?
La plataforma de governance, cumplimiento y seguridad de datos de Microsoft que clasifica información, aplica etiquetas de sensibilidad, gestiona DLP, registra en audit logs las interacciones de Copilot y facilita el cumplimiento del RGPD y del AI Act europeo.
¿Por que necesito Purview antes de desplegar Copilot?
Para evitar el oversharing: que Copilot exponga información confidencial almacenada en SharePoint u OneDrive a usuarios que tienen permisos tecnicos pero que nunca deberian acceder a esos datos. Sin Purview, el despliegue de Copilot es un riesgo de seguridad y cumplimiento.
¿Que hace Purview DSPM for AI?
Muestra en tiempo real que datos confidenciales procesa Copilot, detecta documentos sin etiqueta usados por el asistente, genera alertas de política DLP y recomienda acciones concretas de mitigacion priorizadas.
¿Que modulos de Purview estan incluidos en Microsoft 365 E5?
Information Protection, Compliance Manager, audit de 90 dias y eDiscovery Standard. Los modulos premium (Audit Premium de 1 año, eDiscovery Premium, Advanced DLP, Communication Compliance, Insider Risk) requieren la licencia adicional E5 Compliance.
¿Como ayuda Purview a cumplir el AI Act europeo?
Cubre la capa de trazabilidad (audit logs de Copilot), control de datos procesados por la IA y capacidad de auditoria y eDiscovery sobre las interacciones del asistente. La evaluación de riesgos y documentación técnica del sistema son responsabilidad adicional del operador.
¿Hiberus implementa Microsoft Purview y governance IA?
Si. Hiberus Booster es Microsoft Partner Tier 1 y ejecuta el despliegue completo de Purview antes del rollout de Copilot: auditoria de datos, etiquetas, DLP, DSPM for AI y formación del equipo de compliance.
¿Quieres desplegar Copilot con el riesgo de oversharing controlado desde el primer dia?
Hiberus configura Purview, las etiquetas de sensibilidad y las políticas DLP antes de activar el asistente.