Una investigación del Supervisor Europeo de Protección de Datos (SEPD) concluyó que la Comisión Europea estaba infringiendo la ley al utilizar Microsoft 365. Pide a la autoridad que implemente salvaguardias adecuadas para proteger la información transferida a países no europeos.
La Comisión Europea destacó
La investigación, que duró tres años, fue desencadenada por preocupaciones sobre la transferencia de datos personales a Estados Unidos, particularmente tras las revelaciones de Edward Snowden en 2013 sobre la vigilancia masiva en Estados Unidos.
Así, el Supervisor concluyó que la Comisión había infringido varias leyes de protección de datos para instituciones, organismos y agencias de la Unión Europea (UE), incluidas aquellas sobre transferencias de datos personales fuera de la UE y el Espacio Económico Europeo. Las infracciones afectan a todas las operaciones de tratamiento realizadas por la Comisión, o en su nombre, al utilizar Microsoft 365.
Entonces, « la Comisión no ha proporcionado garantías adecuadas » para que estos datos se beneficien de un nivel de protección esencialmente equivalente al garantizado en la UE, explica el SEPD en un comunicado de prensa. “ En su contrato con Microsoft, la Comisión no especificó suficientemente qué tipos de datos personales deben recopilarse y con qué fines explícitos y especificados en el contexto del uso de Microsoft 365. «, él continúa.
Los reguladores europeos llevan años expresando su preocupación al respecto, especialmente en lo que respecta a la base jurídica que invoca Microsoft para el procesamiento de datos. “ Es responsabilidad de las instituciones, órganos y agencias de la UE (EUI) garantizar que cualquier procesamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios en la nube, venga acompañado de sólidas salvaguardias y medidas de protección de datos. », comenta Wojciech Wiewiórowski, SEPD.
La transferencia de datos, un tema cada vez más crucial
El Responsable ordena a la Comisión, antes del 9 de diciembre de 2024, que tome medidas para cumplir las normas y detener la transferencia de datos a Microsoft y sus filiales ubicadas en terceros países que no hayan celebrado acuerdos de confidencialidad con la UE.
Tenga en cuenta que cuando el SEPD abrió la investigación, el acuerdo de transferencia de datos vigente entre la Unión Europea y los Estados Unidos ya no era válido. Su reemplazo fue aprobado el año pasado.
Las cuestiones relacionadas con la transferencia de datos son cada vez más cruciales en el panorama geopolítico global a medida que aumentan las tensiones. Hace unos días, Joe Biden firmó una orden ejecutiva destinada a impedir la venta y transferencia de información sensible a empresas con sede en seis países considerados “ hostil «.