La Commissione europea ha violato diverse norme fondamentali in materia di protezione dei dati nell’utilizzo di Microsoft 365. Ad affermarlo è il Garante privacy dell’Ue, l’Edps, a seguito di un’indagine che si è chiusa con la decisione di imporre alla Commissione misure correttive in merito.
Riscontrate “diverse violazioni” e carenza di “adeguate garanzie”
L’Edps, in particolare, fa sapere di aver “riscontrato che la Commissione ha violato diverse disposizioni del regolamento Ue 2018/1725″, la normativa in materia di protezione dei dati per le istituzioni, gli organi e gli organismi dell’Ue, comprese quelle relative ai trasferimenti di dati personali al di fuori dell’Ue e dello Spazio economico europeo (See). L’indagine ha messo in luce la mancanza di “garanzie adeguate da parte della Commissione per assicurare che i dati personali trasferiti al di fuori dell’Ue/See godano di un livello di protezione sostanzialmente equivalente a quello garantito nell’Ue/See”.
Inoltre, nel contratto stipulato con Microsoft, la Commissione non ha specificato a sufficienza quali tipi di dati personali devono essere raccolti e per quali finalità esplicite e specificate quando si utilizza Microsoft 365. Le violazioni della Commissione, in qualità di responsabile del trattamento dei dati, riguardano anche il trattamento dei dati, compresi i trasferimenti di dati personali, effettuati per suo conto.
Imposta la sospensione dei flussi di dati
L’Edps ha pertanto deciso di ordinare alla Commissione la sospensione di tutti i flussi di dati derivanti dall’uso di Microsoft 365 a Microsoft e alle sue affiliate e subprocessori situati in paesi al di fuori dell’Ue/See non coperti da una decisione di adeguatezza. Ha inoltre deciso di ordinare alla Commissione di rendere conformi al regolamento 2018/1725 le operazioni di trattamento risultanti dall’utilizzo di Microsoft 365 da parte dell’azienda.
Conformità entro il 9 dicembre 2024
La Commissione dovrà quindi dimostrare la conformità a entrambi gli ordini entro il 9 dicembre 2024. L’Edps ritiene che le misure correttive imposte “siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate. Molte delle violazioni riscontrate – puntualizza – riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365, e hanno un impatto su un gran numero di persone”.
L’Edps, fa sapere in una nota, ha tenuto inoltre conto della “necessità di non compromettere la capacità della Commissione di svolgere i propri compiti nell’interesse pubblico o di esercitare i poteri ufficiali conferiti alla Commissione, nonché della necessità di concedere alla Commissione il tempo necessario per attuare la prevista sospensione dei flussi di dati pertinenti e per rendere il trattamento dei dati conforme al regolamento 2018/1725″.
Necessarie solide garanzie e misure di protezione
“È responsabilità delle istituzioni, degli organi e degli organismi dell’Ue garantire che qualsiasi trattamento di dati personali al di fuori e all’interno dell’Ue/See, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure di protezione dei dati – afferma il Garante Ue per la privacy, Wojciech Wiewiórowski –. Ciò è indispensabile per garantire che le informazioni delle persone fisiche siano protette, come richiesto dal regolamento 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di, un organo Ue”.
