Il Garante europeo della protezione dei dati (EDPS) ha comunicato i risultati dell’indagine avviata quasi tre anni fa. La Commissione europea ha violato diverse regole sulla privacy con l’uso di Microsoft 365. EDPS ha quindi imposto alcune misure correttive, tra cui quelle relative alla raccolta dei dati personali e al trasferimento verso paesi terzi.
Violazione della privacy con Microsoft 365
Il Garante europeo ha avviato l’indagine a fine maggio 2021, in seguito alla sentenza Schrems II della Corte di Giustizia dell’Unione europea che ha invalidato il Privacy Shield e quindi vietato il trasferimento dei dati verso gli Stati Uniti. L’obiettivo era verificare il rispetto del regolamento 2018/1725 (EUDPDR) in relazione all’uso di Microsoft 365.
Al termine dell’indagine, il Garante ha rilevato che ai dati trasferiti al di fuori dell’UE non è stato garantito lo stesso livello di protezione dei dati trasferiti all’interno dell’UE. La Commissione europea non ha sufficientemente specificato quali tipi di dati personali sono raccolti e per quali scopi, quando si utilizza Microsoft 365.
EDPS ha pertanto ordinato alla Commissione di sospendere, a partire dal 9 dicembre 2024, tutti i flussi di dati derivanti dall’uso della suite di produttività cloud verso Microsoft, le sue affiliate e i subresponsabili del trattamento situati in paesi al di fuori dell’UE non coperti da un decisione di adeguatezza. La Commissione dovrà inoltre implementare le modifiche necessarie per il rispetto del regolamento 2018/1725.
Tra le misure correttive, allegate alla decisione, c’è anche la creazione di una “mappa dei trasferimenti”. La Commissione deve specificare quali dati sono stati trasferiti verso quali destinatari e in quali paesi terzi.
La Commissione non ha rilasciato nessun commento sulla questione, mentre un portavoce di Microsoft ha dichiarato:
Le preoccupazioni sollevate dal Garante europeo della protezione dei dati riguardano in gran parte i requisiti di trasparenza più rigorosi previsti dall’EUDPR, una legge che si applica solo alle istituzioni dell’Unione europea.