A seguito di un’indagine triennale, il Garante europeo per la protezione dei dati è giunto alla conclusione che l’uso del software Microsoft 365 da parte della Commissione Europea non è conforme alla normativa sulla privacy dell’Ue. La Commissione è ora tenuta ad applicare misure correttive come indicato nel comunicato stampa dell’11 marzo 2024.
L’indagine sull’utilizzo di Microsoft 365 è stata avviata nel maggio 2021 in seguito alla sentenza storica della Corte di Giustizia dell’Unione europea Schrems II. L’obiettivo era verificare se la Commissione europea fosse in linea con le raccomandazioni precedenti del Garante europeo per la protezione dei dati sull’uso dei prodotti e dei servizi Microsoft da parte delle istituzioni e degli organi dell’Ue. Questo è stato fatto nel contesto di una collaborazione con il Consiglio europeo per la protezione dei dati, come indicato nel rapporto del Consiglio sull’azione coordinata per l’applicazione delle normative del 2022, al fine di far rispettare le norme sulla protezione dei dati, incluso il Regolamento Ue 2018/1725, noto come GDPR per le istituzioni dell’Ue.
Dall’indagine emerge che la Commissione europea non ha implementato adeguate salvaguardie per i dati personali trasferiti a Paesi non appartenenti all’Ue, come gli Stati Uniti. Inoltre, non ha fornito garanzie adeguate che i dati personali trasferiti al di fuori dell’Ue godano di un livello di protezione equivalente a quello garantito nell’Ue.
È stata rilevata anche una mancanza di specifiche nel contratto con Microsoft, ovvero non viene specificato in modo sufficiente quali tipi di dati personali devono essere raccolti e per quali scopi, quando si utilizza Microsoft 365.
Tra i provvedimenti correttivi è stata richiesta la cessazione dei trasferimenti di dati generati dall’utilizzo di Microsoft 365 a Microsoft e alle sue affiliate al di fuori dell’Ue/SEE, a meno che non vi siano decisioni che confermino che questi trasferimenti sono adeguati in termini di protezione dei dati, e la piena conformità al Regolamento Ue 2018/1725.
Inoltre, la Commissione è tenuta a fare un’analisi dettagliata dei trasferimenti di dati personali effettuati tramite Microsoft 365 e deve limitare i trasferimenti di dati verso Paesi terzi solo alle attività sotto la sua responsabilità, implementando misure contrattuali e organizzative per garantire la sicurezza dei dati personali trasmessi.