Il Garante privacy EU bacchetta la Commissione: trattamento illecito attraverso Microsoft 365
La Commissione EU è stata redarguita dal Garante europeo della protezione dei dati (GEPD) per aver violato le norme sulla protezione dei dati nell’uso di Microsoft 365, comprese quelle sul trasferimento dei dati personali al di fuori dell’UE o dello Spazio economico europeo (SEE).
Secondo la GEPD, “la Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell’UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell’UE/SEE. Inoltre, nel suo contratto con Microsoft, la Commissione non ha specificato a sufficienza quali tipi di dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365“.
Sebbene le preoccupazioni riguardino più che altro le istituzioni dell’UE e la trasparenza, esse dovrebbero servire anche a tutte le aziende che operano nell’UE/SEE per controllare attentamente come hanno configurato Microsoft 365 in relazione al Regolamento UE sulla protezione dei dati.
Wojciech Wiewiórowski, il Garante europeo della protezione dei dati, ha dichiarato: “È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE garantire che qualsiasi trattamento di dati personali al di fuori e all’interno dell’UE/SEE, anche nel contesto di servizi basati su cloud, sia accompagnato da solide misure e salvaguardie per la protezione dei dati. Questo è imperativo per garantire che le informazioni degli individui siano protette”.
Alla Comunità europea è stato ordinato di sospendere entro il 9 dicembre 2024 tutti i flussi di dati attraverso l’uso di Microsoft 365 a Microsoft e di rendere conformi le proprie operazioni di trattamento con Microsoft 365. Queste azioni correttive per garantire la conformità includono una mappatura dei trasferimenti per identificare quali dati personali sono trasferiti a quali destinatari in quali Paesi terzi e per garantire che i tipi di dati personali siano sufficientemente determinati in relazione alle finalità per cui sono trattati.
Secondo i risultati del GEPD, molte delle violazioni riscontrate riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, quando si utilizza Microsoft 365, e hanno un impatto su un gran numero di persone. Il problema sembra quindi riguardare più la Comunità europea e il modo in cui utilizza Microsoft 365 che non Microsoft stessa.
“I nostri clienti in Europa possono continuare a utilizzare Microsoft 365 in piena conformità con il GDPR e possono contare sul nostro continuo supporto e sulla nostra guida”, ha dichiarato un portavoce di Microsoft. “Le preoccupazioni sollevate dal Garante europeo della protezione dei dati si riferiscono in gran parte ai requisiti di trasparenza più severi previsti dal GDPR, una legge che si applica solo alle istituzioni dell’Unione europea. Esamineremo la decisione del GEPD e collaboreremo con la Commissione europea per risolvere le restanti preoccupazioni”.