La Comisión Europea vulneró la Ley de Protección de Datos europea en su uso de Microsoft 365

La Comisión Europea se ha llevado un rapapolvo de la entidad encargada de vigilar que se cumple la protección de datos en la UE, el Supervisor Europeo de Protección de Datos (EDPS). Al parecer, la Comisión ha vulnerado las normas de protección de datos al utilizar Microsoft 365. Es la conclusión a la que han llegado en el EDPS después de una investigación iniciada en mayo de 2021, después de la sentencia Schrems II.

Al parecer, la Comisión Europea ha infringido varias normativas sobre protección de datos, entre ellas varias sobre la transferencias de datos personales fuera de la UE y del Área Económica Europea (EEA). En concreto «la Comisión no ha ofrecido barreras adecuadas para asegurar que los datos personales transferidos fuera de la UE y AEE tienen un nivel de protección esencial equivalente al que se garantiza en la UE y el AEE. Además, en su contrato con Microsoft, la Comisión no ha especificado lo bastante los tipos de datos personales que se recopilarían, y para qué fines concretos, al usar Microsoft 365«.

Según lo descubierto en la investigación, además, «muchas de las violaciones descubiertas afectan a todas las operaciones de proceso llevadas a cabo por la Comisión, o en su nombre, al usar Microsoft 365, e impactan a un gran número de personas«.

El Supervisor de Protección de datos de la UE, Wojciech Wiewiórowski, ha manifestado que «es responsabilidad de las instituciones, organismos, oficinas y agencias de la UE asegurar que el proceso de datos personales dentro y fuera de la UE y el AEE, incluidos los que están en el contexto de servicios basados en la nube, está acompañado por unas salvaguardas y medidas de protección de datos sólidas. Es imperativo para asegurar que la información de los individuos está protegida«.

Por tanto, la Comisión Europea ha recibido la orden de suspender todos los flujos de datos resultado del uso de Microsoft 365 a Microsoft, y a cualquiera de sus empresas y servicios que puedan estar fuera de la UE o del Área Económica Europea y no estén cubiertos por una decisión adecuada. La Comisión Europea debe también hacer que el proceso de sus operaciones con Microsoft 365 cumplan las normas, y tiene para ello hasta el 9 de diciembre de 2024.

Las medidas que tendrá que tomar la Comisión Europea para asegurarse de que cumple las normas incluyen la realización de un mapeado de transferencias, para identificar qué datos personales se transfieren, y a qué destinatarios, y a qué terceros países se envían. De esta manera podrá asegurarse de que los tipos de datos personales están lo bastante identificados en relación con los fines para los que se procesan.