El Supervisor Europeo de Protección de Datos (SEPD) ha impuesto medidas correctivas a la Comisión Europea por la violación de las normas de protección de datos en el uso de Microsoft 365.
El SEPD, que ejerce como autoridad supervisora independiente que garantiza que las instituciones europeas respeten las leyes de privacidad y protección de datos, considera que la Comisión violó varias partes de reglamento de protección de datos de la UE para las instituciones (Reglamento 2018/1725).
La Comisión Europea no habría mantenido garantías adecuadas para la transferencia de datos personales fuera de la UE o del Espacio Económico Europeo (EEE).
En su contrato firmado con Microsoft el organismo no especificó los tipos de datos personales recopilados ni el propósito de la recopilación de los mismos al usar Microsoft 365.
Por otro lado, las infracciones de la Comisión se extienden también al tratamiento de datos, así como a las transferencias de datos personales realizadas en su nombre. Varias violaciones afectan a todas las actividades de datos de la Comisión, incluidas las realizadas a través de Microsoft 365, y salpican a muchas personas, según ha afirmado el SEPD.
“Es responsabilidad de las instituciones, órganos, oficinas y agencias (EUI) de la UE garantizar que cualquier procesamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios basados en la nube, vaya acompañado de una sólida protección de datos. salvaguardias y medidas”, ha destacado el Supervisor Europeo de Protección de Datos, Wojciech Wiewiorowski.
"Esto es imperativo para garantizar que la información de las personas esté protegida, como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean procesados por una EUI o en nombre de ella", añade.
Según órdenes del Supervisor Europeo de Protección de Datos, a partir del 9 de diciembre la Comisión tendrá que dejar de enviar datos procedentes de su uso de Microsoft 365 a Microsoft y sus filiales en país no pertenecientes a la Unión Europea o al Espacio Económico Europeo sin decisiones de adecuación.
Asimismo, la Comisión también debe garantizar que sus operaciones de Microsoft 365 cumplan con el Reglamento 2018/1725 antes de la misma fecha.
Para hacer esto, la Comisión tendrá que realizar un ejercicio de mapeo de transferencias para detallar las transferencias de datos personales, los destinatarios, los propósitos y las salvaguardias.
Igualmente, deberá limitar las transferencias a terceros países a tareas dentro de la competencia del responsable del tratamiento y aplicar disposiciones contractuales y medidas organizativas.
Esto incluye recopilar datos personales para fines explícitos, determinar los tipos de datos procesados y garantizar el cumplimiento de instrucciones documentadas y requisitos legales.
Una investigación que arrancó hace 3 años
Según se hace eco Euractiv, La investigación sobre el uso de Microsoft 365 por parte de la Comisión comenzó en mayo de 2021 tras la sentencia Schrems II, una decisión histórica del Tribunal de Justicia de la Unión Europea sobre la transferencia de datos personales de la UE a terceros países, centrándose especialmente en las transferencias de datos a Estados Unidos y la idoneidad de las medidas de protección de datos y privacidad en ese contexto.
El objetivo de la investigación del SEPD es comprobar el cumplimiento de las recomendaciones del SEPD sobre los productos y servicios de Microsoft, parte de la contribución del supervisor a la Acción Coordinada de Ejecución de 2022 del Consejo Europeo de Protección de Datos (EDPB), que incluye también a representantes de las autoridades nacionales de protección de datos. como el SEPD.
Un portavoz de la Comisión se lamenta de que "el cumplimiento de la decisión del SEPD socavará el alto nivel actual de servicios de TI móviles e integrados. Esto se aplica no sólo a Microsoft sino potencialmente también a otros servicios comerciales deTI”.
Como el organismo contempla la necesidad de la Comisión Europea de llevar a cabo sus funciones públicas sin interrupciones, concede tiempo al organismo comunitario para suspender los flujos de datos y alinear el procesamiento de datos con la regulación.