El uso de Microsoft 365 por parte de la Comisión Europea viola el RGPD
Sabes que la cosa está mal cuando una entidad que tú mismo autorizaste te dice que has infringido la ley que tú mismo ayudaste a promulgar.
El Supervisor Europeo de Protección de Datos (SEPD) es un organismo independiente que supervisa las prácticas de privacidad de las instituciones europeas, como la propia Comisión Europea. En una orden del 11 de marzo de 2024, el SEPD ha determinado que la Comisión Europea ha infringido varias disposiciones del Reglamento 2018/1725 (esencialmente el RGPD tal y como se aplica a las instituciones de la UE) mediante el uso del producto Microsoft 365, entre otras cosas por no proporcionar las garantías adecuadas para los flujos transfronterizos de datos personales.
El SEPD también consideró que el acuerdo de tratamiento de datos (DPA) entre la Comisión Europea y Microsoft no especificaba suficientemente los tipos de datos personales que Microsoft debía tratar ni los fines específicos de la transferencia. Esto debería servir de recordatorio a todas las entidades sujetas al RGPD (ya sea directamente o como encargadas del tratamiento) de que deben garantizar el cumplimiento de los requisitos de especificidad del DPA y de las cláusulas contractuales tipo, y no limitarse a declaraciones generales como «según sea necesario para prestar los servicios».
Como consecuencia de las infracciones, el SEPD ha ordenado a la Comisión Europea que suspenda todos los flujos de datos a Microsoft relacionados con el uso de Microsoft 365 para su tratamiento en países sin una decisión de adecuación a partir del 9 de diciembre de 2024, dando a la Comisión Europea la oportunidad de cumplir con una lista de medidas correctivas esbozadas por el SEPD, que incluyen la realización de un ejercicio de mapeo de transferencias y el pleno cumplimiento de los requisitos contractuales del Reglamento (UE) 2018/1725 para los encargados del tratamiento.
Tras su investigación, el SEPD ha concluido que la Comisión Europea (la Comisión) ha infringido varias normas fundamentales de protección de datos al utilizar Microsoft 365. En su decisión, el SEPD impone medidas correctoras a la Comisión.
Ver artículo de referencia
Wojciech Wiewiórowski, SEPD, ha declarado: «Es responsabilidad de las instituciones, órganos y organismos de la UE (IOUE) garantizar que cualquier tratamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios basados en la nube, vaya acompañado de sólidas garantías y medidas de protección de datos. Esto es imprescindible para garantizar la protección de la información de las personas, tal y como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean tratados por una EUI o en nombre de esta».
