Microsoft 365: privacy violata dalla Commissione UE (update)

Microsoft 365: privacy violata dalla Commissione UE (update)

Il Garante europeo ha comunicato che la Commissione ha violato diverse disposizioni del regolamento 2018/1725 durante l'uso di Microsoft 365.
Microsoft 365: privacy violata dalla Commissione UE (update)
Il Garante europeo ha comunicato che la Commissione ha violato diverse disposizioni del regolamento 2018/1725 durante l'uso di Microsoft 365.

Il Garante europeo della protezione dei dati (EDPS) ha comunicato i risultati dell’indagine avviata quasi tre anni fa. La Commissione europea ha violato diverse regole sulla privacy con l’uso di Microsoft 365. EDPS ha quindi imposto alcune misure correttive, tra cui quelle relative alla raccolta dei dati personali e al trasferimento verso paesi terzi.

Violazione della privacy con Microsoft 365

Il Garante europeo ha avviato l’indagine a fine maggio 2021, in seguito alla sentenza Schrems II della Corte di Giustizia dell’Unione europea che ha invalidato il Privacy Shield e quindi vietato il trasferimento dei dati verso gli Stati Uniti. L’obiettivo era verificare il rispetto del regolamento 2018/1725 (EUDPDR) in relazione all’uso di Microsoft 365.

Al termine dell’indagine, il Garante ha rilevato che ai dati trasferiti al di fuori dell’UE non è stato garantito lo stesso livello di protezione dei dati trasferiti all’interno dell’UE. La Commissione europea non ha sufficientemente specificato quali tipi di dati personali sono raccolti e per quali scopi, quando si utilizza Microsoft 365.

EDPS ha pertanto ordinato alla Commissione di sospendere, a partire dal 9 dicembre 2024, tutti i flussi di dati derivanti dall’uso della suite di produttività cloud verso Microsoft, le sue affiliate e i subresponsabili del trattamento situati in paesi al di fuori dell’UE non coperti da un decisione di adeguatezza. La Commissione dovrà inoltre implementare le modifiche necessarie per il rispetto del regolamento 2018/1725.

Tra le misure correttive, allegate alla decisione, c’è anche la creazione di una “mappa dei trasferimenti”. La Commissione deve specificare quali dati sono stati trasferiti verso quali destinatari e in quali paesi terzi.

La Commissione non ha rilasciato nessun commento sulla questione, mentre un portavoce di Microsoft ha dichiarato:

Le preoccupazioni sollevate dal Garante europeo della protezione dei dati riguardano in gran parte i requisiti di trasparenza più rigorosi previsti dall’EUDPR, una legge che si applica solo alle istituzioni dell’Unione europea.

Aggiornamento (12/12/2024): il Garante ha ricevuto un report dalla Commissione europea e ora valuterà se è stato rispettato l’ordine. Sia Microsoft che la Commissione hanno chiesto al Tribunale dell’Unione europea di annullare l’ordine.

Fonte: EDPS
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
11 mar 2024
Link copiato negli appunti