La Comisión Europea, preocupada por la dependencia de Microsoft a nivel interno

Funcionarios de la Comisión Europea están cada vez más preocupados porque su fuerte dependencia de Microsoft a nivel interno pueda derivar en una violación clara de las normas sobre protección de datos de la Unión Europea. Paradójicamente, estas preocupaciones van en la línea contraria a las declaraciones públicas realizadas por el ejecutivo al respecto.

En concreto, las preocupaciones de la Comisión se centran en el uso que hacen de Microsoft 365 en su espacio de trabajo digital. La entidad encargada de la protección de datos en la UE, la EDPS, ha pedido a la Comisión que cumpla la normativa en cuanto al uso que hace de las herramientas de la compañía. Esto implica también explorar el uso de alternativas a Microsoft menos intrusivas, pero sus miembros reconocen que hasta ahora no se ha hecho gran cosa al respecto.

Al parecer, desde la Comisión Europea consideran que no hay ofertas creíbles de proveedores europeos similares a la de Microsoft, una muestra de la brecha que hay entre el deseo de autonomía de la UE en ciertas áreas sensibles, como la tecnología, y la realidad con la que se encuentran a diario: dependen excesivamente de la tecnología estadounidense.

En este punto, no solo las autoridades de la UE han expresado preocupación. Las francesas, directamente, han señalado que les preocupan los posibles riesgos asociados al uso de soluciones que vengan de Estados Unidos. Paralelamente, un informe realizado por el Consejo General de Servicios Digitales (DG Digit) también revela preocupación por el «excesivo poder concentrado en las manos de algunas compañías no europeas, los riesgos asociados con un proveedor único (subida de precios, dificultades de migraciones), y la potencial pérdida de competencias internas«. Al parecer, la Comisión Europea todavía no ha reconocido públicamente que estas preocupaciones existen.

A diferencia de lo expresado por la Comisión en el informe de la EDPS, el del DG Digit describe de manera muy positiva varias iniciativas de los estados miembros para desarrollar alternativas abiertas y soberanas a Microsoft. No obstante, señalan que todavía tienen que evaluarlas a nivel interno para utilizarlas. Eso sí, en iniciativas a pequeña escala y con un alcance muy restringido.

Al utilizar Microsoft, la Comisión tiene un control limitado sobre sus datos sensibles y confidenciales. Si no tiene alternativa, no habría prácticamente forma de evitar además que Microsoft pueda fijar, casi sin poder negociarlo, el precio que quiera que pague por utilizar sus servicios, en estos momentos en negociación.

Al parecer, las partes todavía no han llegado a un acuerdo ni en el contenido ni en el precio de estos contratos, y puede haber problema si las negociaciones no están cerradas para febrero, según un informe del ICDT. La realidad, también reconocida por esta entidad, es que según la Comisión «no hay alternativas funcionales identificadas como alternativas a una plataforma como Microsoft 365«.

La Comisión Europea y la EDPS, enfrentadas

El pasado mes de marzo la EDPS ordenó a la Comisión que revisase su contrato con Microsoft para alinear sus prácticas con las normas de protección de datos institucionales de la UE. Además, anunció que la Comisión Europea había violado sus normas de protección de datos al usar Microsoft 365, lo que llevó a que la entidad le impusiese medidas correctivas. La fecha límite que daban a sus miembros para corregir los problemas detectados era el 9 de diciembre pasado.

Según el informe al respecto, el contrato suscrito entre ambas partes no ofrece protecciones suficientes para evitar las transferencias ilegales de información a países con legislación insuficiente sobre privacidad, así como los traspasos no autorizados de datos personales, tanto sensibles como no sensibles.

Por eso, el EDPS ordenó a la comisión suspender todos los flujos de datos resultado de su uso de Microsoft 365 a Microsoft, así como a sus afiliados y procesadores asociados, que estén en países fuera de la UE o del Espacio económico europeo que no estén consideradas como idóneas para la gestión de datos de acuerdo a las normas de la Unión Europea.

Pero al parecer a la Comisión no le hizo mucha gracia el informe, puesto que demandó a la EDPS porque aseguraron que todas sus apreciaciones estaban basadas en una «interpretación y aplicación errónea» de la normativa de protección de datos institucionales de la UE.

A pesar de ello, el 6 de diciembre enviaron un informe, junto con diversa documentación, a la EDPS, con el objetivo de demostrar que cumplían las normativas. En la actualidad, la EDPS está valorando la documentación aportada por la Comisión Europea para demostrar que cumple las peticiones que le hicieron.

En cuanto a la ciberseguridad, hay que tener en cuenta que los documentos de alto secreto no se pueden gestionar a través de Microsoft 365, según las leyes de la UE, pero la falta de alternativas soberanas lo bastante seguras crea un aliciente para clasificar documentos con un nivel de sensibilidad menos elevado del que deberían tener, con el objetivo de poder seguir utilizando las aplicaciones de Microsoft. Así lo ha manifestado un funcionario de la UE a Euractiv.

A diferencia de lo que sucede con la protección de datos, no hay una agencia concreta que pueda echar en cara a la Comisión su falta de protección en cuanto a ciberseguridad. Podría hacerlo el CERT, el equipo de respuesta de emergencias computacionales de la UE, pero por su naturaleza transversal puede que tengan complicaciones para poder demostrar este tipo de prácticas. Y además, no es su labor, ya que debe apoyar a las instituciones y no evaluarlas.