El uso de Microsoft 365 por parte de la Comisión Europea infringe la ley de protección de datos para las instituciones y organismos de la UE.
Tras su investigación, el SEPD descubrió que la Comisión Europea (Comisión) ha infringido varias normas clave de protección de datos al utilizar Microsoft 365. En su decisión, el SEPD impone medidas correctivas a la Comisión.
El SEPD ha determinado que la Comisión ha infringido varias disposiciones del Reglamento (UE) 2018/1725, la ley de protección de datos de la UE para las instituciones, órganos, oficinas y agencias (UEI) de la UE, incluidas aquellas sobre transferencias de datos personales fuera de la UE/Europa. Espacio Económico Europeo (EEE). En particular, la Comisión no ha proporcionado salvaguardias adecuadas para garantizar que los datos personales transferidos fuera de la UE/EEE reciban un nivel de protección esencialmente equivalente al garantizado en la UE/EEE. Además, en su contrato con Microsoft, la Comisión no especificó suficientemente qué tipos de datos personales deben recopilarse y para qué fines explícitos y específicos al utilizar Microsoft 365. Las infracciones de la Comisión como responsable del tratamiento de datos también se refieren al procesamiento de datos, incluidas las transferencias de datos personales, realizada en su nombre.
Wojciech Wiewiórowski, SEPD, dijo: “Es responsabilidad de las instituciones, órganos, oficinas y agencias (EUI) de la UE garantizar que cualquier tratamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios basados en la nube , va acompañado de sólidas salvaguardas y medidas de protección de datos. Esto es imperativo para garantizar que los datos personales de los ciudadanos estén protegidos, como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean procesados por una EUI o en nombre de ella”.
Por lo tanto, el SEPD ha decidido ordenar a la Comisión, con efecto a partir del 9 de diciembre de 2024, que suspenda todos los flujos de datos resultantes de su uso de Microsoft 365 hacia Microsoft y sus filiales y subencargados ubicados en países fuera de la UE/EEE no cubiertos por un decisión de adecuación. El SEPD también ha decidido ordenar a la Comisión que ajuste las operaciones de procesamiento resultantes de su uso de Microsoft 365 con el Reglamento (UE) 2018/1725. La Comisión deberá demostrar el cumplimiento de ambas órdenes antes del 9 de diciembre de 2024.
El SEPD considera que las medidas correctoras que impone (véase un extracto detallado en el anexo) son apropiadas, necesarias y proporcionadas a la luz de la gravedad y duración de las infracciones constatadas.
Muchas de las infracciones detectadas se refieren a todas las operaciones de tratamiento realizadas por la Comisión, o en su nombre, al utilizar Microsoft 365, y afectan a un gran número de personas.
El SEPD también tiene en cuenta la necesidad de no comprometer la capacidad de la Comisión para llevar a cabo sus tareas en interés público o ejercer el poder oficial que le ha sido conferido, y la necesidad de conceder el tiempo adecuado para que la Comisión aplique la suspensión prevista de las correspondientes flujos de datos y hacer que el tratamiento de datos cumpla con el Reglamento (UE) 2018/1725.
Las medidas impuestas por el SEPD en su decisión de 8 de marzo de 2024 se entienden sin perjuicio de cualquier otra acción adicional que el SEPD pueda emprender.