L’uso da parte della Commissione europea di Microsoft 365 viola la legge sulla protezione dei dati per le istituzioni e gli organismi dell’UE

A seguito di un'indagine, il Garante Europeo della Protezione dei Dati (GEPD) ha riscontrato che la Commissione europea ha violato diverse norme fondamentali in materia di protezione dei dati nell'utilizzo di Microsoft 365. Nella sua decisione, il GEPD impone alla Commissione misure correttive.

Il GEPD ha rilevato che la Commissione ha violato diverse disposizioni del regolamento (UE) 2018/1725, la legge dell'UE in materia di protezione dei dati per le istituzioni, gli organi e le agenzie dell'UE, comprese quelle relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE). In particolare, la Commissione non ha fornito garanzie adeguate per garantire che i dati personali trasferiti al di fuori dell'UE/SEE abbiano un livello di protezione sostanzialmente equivalente, come garantito nell'UE/SEE. Inoltre, nel suo contratto con la Microsoft, la Commissione non ha specificato sufficientemente quali tipi di dati personali devono essere raccolti e per i quali l'uso di Microsoft 365 è sufficientemente elevato e specificato. Le violazioni della Commissione in qualità di titolare del trattamento riguardano anche il trattamento dei dati, compresi i trasferimenti di dati personali, effettuati per suo conto.

Wojciech Wiewiórowski, del GEPD, ha dichiarato: “È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE (EUI) garantire che qualsiasi trattamento di dati personali all’esterno e all’interno dell’UE / SEE, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure di protezione dei dati. Questo è imperativo per garantire che le informazioni delle persone siano protette, come richiesto dal regolamento (UE) 2018/1725, ogni volta che i loro dati vengono elaborati da, o per conto di, una Istituzione europea.

Il GEPD ha pertanto deciso di ordinare alla Commissione, in vigore il 9 dicembre 2024, di sospendere tutti i flussi di dati derivanti dall'uso di Microsoft 365 alla Microsoft e alle sue affiliate e sub-processori situati in paesi al di fuori dell'UE/SEE non coperti da una decisione di adeguatezza. Il GEPD ha inoltre deciso di ordinare alla Commissione di portare le operazioni di trattamento risultanti dall'uso di Microsoft 365 in conformità al regolamento (UE) 2018/1725. La Commissione deve dimostrare il rispetto di entrambi gli ordini entro il 9 dicembre 2024.

Il GEPD ritiene che le misure correttive che esso impone siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle infrazioni riscontrate.

Molte delle infrazioni constatate riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell'utilizzo della Microsoft 365, e hanno un impatto su un gran numero di persone.

Il GEPD tiene inoltre conto della necessità di non compromettere la capacità della Commissione di svolgere i suoi compiti nell’interesse pubblico o di esercitare l’autorità ufficiale di cui è investito dalla Commissione, e della necessità di concedere alla Commissione il tempo opportuno per attuare la sospensione prevista dei flussi di dati pertinenti e di rendere il trattamento dei dati conforme al regolamento (UE) 2018/1725.

Le misure imposte dal GEPD nella sua decisione dell'8 marzo 2024 non pregiudicano qualsiasi altra o ulteriore azione che il GEPD possa intraprendere.

Le conclusioni delle infrazioni e delle misure correttive imposte dal GEPD nella sua decisione sono contenute al seguente indirizzo.