IL CASO

Privacy, sotto accusa la Commissione europea: “Uso scorretto di Microsoft 365”

Si conclude l’indagine dell’Edps: “Violata la normativa sulla protezione dei dati per le istituzioni e gli organi dell’Unione”. Nell’accordo con la big tech non sarebbero state fornite garanzie adeguate per il data transfer extra Ue

Pubblicato il 11 Mar 2024

privacy-170504152016

La Commissione europea ha violato diverse norme fondamentali in materia di protezione dei dati nell’utilizzo di Microsoft 365. Ad affermarlo è il Garante privacy dell’Ue, l’Edps, a seguito di un’indagine che si è chiusa con la decisione di imporre alla Commissione misure correttive in merito.

Riscontrate “diverse violazioni” e carenza di “adeguate garanzie”

L’Edps, in particolare, fa sapere di aver “riscontrato che la Commissione ha violato diverse disposizioni del regolamento Ue 2018/1725″, la normativa in materia di protezione dei dati per le istituzioni, gli organi e gli organismi dell’Ue, comprese quelle relative ai trasferimenti di dati personali al di fuori dell’Ue e dello Spazio economico europeo (See). L’indagine ha messo in luce la mancanza di “garanzie adeguate da parte della Commissione per assicurare che i dati personali trasferiti al di fuori dell’Ue/See godano di un livello di protezione sostanzialmente equivalente a quello garantito nell’Ue/See”.

Inoltre, nel contratto stipulato con Microsoft, la Commissione non ha specificato a sufficienza quali tipi di dati personali devono essere raccolti e per quali finalità esplicite e specificate quando si utilizza Microsoft 365. Le violazioni della Commissione, in qualità di responsabile del trattamento dei dati, riguardano anche il trattamento dei dati, compresi i trasferimenti di dati personali, effettuati per suo conto.

Imposta la sospensione dei flussi di dati

L’Edps ha pertanto deciso di ordinare alla Commissione la sospensione di tutti i flussi di dati derivanti dall’uso di Microsoft 365 a Microsoft e alle sue affiliate e subprocessori situati in paesi al di fuori dell’Ue/See non coperti da una decisione di adeguatezza. Ha inoltre deciso di ordinare alla Commissione di rendere conformi al regolamento 2018/1725 le operazioni di trattamento risultanti dall’utilizzo di Microsoft 365 da parte dell’azienda.

Conformità entro il 9 dicembre 2024

La Commissione dovrà quindi dimostrare la conformità a entrambi gli ordini entro il 9 dicembre 2024. L’Edps ritiene che le misure correttive imposte “siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate. Molte delle violazioni riscontrate – puntualizza – riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365, e hanno un impatto su un gran numero di persone”.

L’Edps, fa sapere in una nota, ha tenuto inoltre conto della “necessità di non compromettere la capacità della Commissione di svolgere i propri compiti nell’interesse pubblico o di esercitare i poteri ufficiali conferiti alla Commissione, nonché della necessità di concedere alla Commissione il tempo necessario per attuare la prevista sospensione dei flussi di dati pertinenti e per rendere il trattamento dei dati conforme al regolamento 2018/1725″.

Necessarie solide garanzie e misure di protezione

“È responsabilità delle istituzioni, degli organi e degli organismi dell’Ue garantire che qualsiasi trattamento di dati personali al di fuori e all’interno dell’Ue/See, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure di protezione dei dati – afferma il Garante Ue per la privacy, Wojciech Wiewiórowski –. Ciò è indispensabile per garantire che le informazioni delle persone fisiche siano protette, come richiesto dal regolamento 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di, un organo Ue”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati