A utilização do Microsoft 365 pela Comissão Europeia viola o RGPD

Você sabe que a situação é grave quando uma entidade que você autorizou afirma que você violou a lei que ajudou a promulgar. 

A Autoridade Europeia para a Proteção de Dados (AEPD) é um órgão independente que supervisiona as práticas de privacidade das instituições europeias, como a própria Comissão Europeia. Numa ordem de 11 de março de 2024, a AEPD determinou que a Comissão Europeia violou várias disposições do Regulamento 2018/1725 (essencialmente o RGPD, tal como se aplica às instituições da UE) através da utilização do produto Microsoft 365, incluindo ao não fornecer salvaguardas adequadas para os fluxos transfronteiriços de dados pessoais. 

A AEPD também concluiu que o acordo de tratamento de dados (DPA) entre a Comissão Europeia e a Microsoft não especificava suficientemente os tipos de dados pessoais a serem tratados pela Microsoft e as finalidades específicas da transferência. Isto deve servir como um lembrete para todas as entidades sujeitas ao RGPD (diretamente ou como subcontratantes) de que devem garantir que os requisitos de especificidade do DPA e das cláusulas contratuais padrão sejam cumpridos, e não deixar declarações genéricas como «conforme necessário para prestar os serviços». 

Como resultado das violações, a AEPD ordenou à Comissão Europeia que suspendesse todos os fluxos de dados para a Microsoft relacionados com a utilização do Microsoft 365 a serem processados em países sem uma decisão de adequação, com efeito a partir de 9 de dezembro de 2024, dando à Comissão Europeia a oportunidade de cumprir uma lista de medidas corretivas delineadas pela AEPD, que incluem a realização de um exercício de mapeamento de transferências e o cumprimento integral dos requisitos contratuais do Regulamento (UE) 2018/1725 relativos aos subcontratantes. 

Após a sua investigação, a AEPD concluiu que a Comissão Europeia (Comissão) infringiu várias regras fundamentais em matéria de proteção de dados ao utilizar o Microsoft 365. Na sua decisão, a AEPD impõe medidas corretivas à Comissão.

Wojciech Wiewiórowski, AEPD, afirmou: «É da responsabilidade das instituições, órgãos e organismos da UE (ILU) garantir que qualquer tratamento de dados pessoais fora e dentro da UE/EEE, incluindo no contexto de serviços baseados na nuvem, seja acompanhado de salvaguardas e medidas robustas de proteção de dados. Isto é imperativo para garantir que as informações dos indivíduos sejam protegidas, conforme exigido pelo Regulamento (UE) 2018/1725, sempre que os seus dados forem tratados por, ou em nome de, uma IUE.»

Ver artigo referenciado