A seguito di un’indagine dettagliata, il Garante europeo della protezione dei dati – EDP – ha constatato che l’utilizzo da parte della Commissione europea dello strumento Microsoft 365 ha violato alcune norme fondamentali sulla protezione dei dati stabilite dal Regolamento generale sulla protezione dei dati UEDPR.
Indagine e violazione delle norme
L’indagine sull’utilizzo di Microsoft 365 è già stata avviata nel maggio 2021, in seguito alla significativa sentenza Schrems II della Corte di giustizia dell’Unione europea (CGUE).
Questa sentenza ha posto un’enfasi particolare sulla trasferibilità dei dati personali verso paesi al di fuori dell’UE, sollevando preoccupazioni sulla protezione dei dati in tali contesti, in particolare rispetto ai servizi cloud offerti da Microsoft.
Secondo quanto affermato dall’EDPS, la Commissione europea ha violato diverse disposizioni del Regolamento UE sulla protezione dei dati, in particolare senza prevedere garanzie adeguate al trasferimento di dati personali al di fuori dell’UE o dello Spazio Economico Europeo (SEE).
Le violazioni riguardano:
- Mancanza della valutazione, da parte della Commissione europea, circa il trasferimento misure di sicurezza adeguate a tutelare le attività di trattamento dei dati, specialmente per i trasferimenti dati extra UE;
- Mancate informazioni riguardanti la tipologia di dati personali, a chi potessero essere trasferiti, in quali paesi terzi e per quali finalità;
- Mancate indicazioni circa la compatibilità delle finalità di ulteriore trattamento con quelle legate alla raccolta dei dati personali.
Queste violazioni accertate hanno sollevato gravi preoccupazioni riguardo alla protezione dei dati personali trattati dalla Commissione europea.
Misure correttive
Alla luce dell’indagine condotta e delle norme violate, l’EDPS ha imposto alla Commissione europea una serie di misure correttive volte a garantire la protezione adeguata dei dati personali trattati attraverso Microsoft 365, tra cui:
- Sospensione dei flussi di dati: L’EDPS ha richiesto alla Commissione di sospendere tutti i flussi di dati derivanti dall’uso di Microsoft 365 a Microsoft e alle sue affiliate e subprocessor situati in paesi terzi non coperti da una decisione di adeguatezza;
- Conformità dei trattamenti: L’EDPS ha imposto alla Commissione di rendere conformi i trattamenti derivanti dall’utilizzo di Microsoft 365 e di dimostrare tale conformità entro la fine dell’anno. Conseguentemente, la Commissione deve adottare tutte le misure necessarie per garantire che il trattamento dei dati personali, attraverso Microsoft 365, sia conforme alle norme di protezione dei dati dell’UE
Queste misure correttive sono fondamentali per garantire che la Commissione europea rispetti le normative sulla protezione dei dati e protegga efficacemente la privacy dei cittadini europei nell’uso di strumenti e servizi tecnologici.