La Commissione europea si trova al centro di un’indagine del Garante europeo della protezione dei dati (EDPS) riguardo alla sua mancata conformità alle norme sulla protezione dei dati nell’uso dello strumento Microsoft 365. Secondo l’EDPS, la Commissione avrebbe violato diverse parti del Regolamento UE sulla protezione dei dati, nello specifico per quanto riguarda il trasferimento di dati personali al di fuori dell’UE o dello Spazio economico europeo (SEE).
Commissione Europea sotto indagine
Nel maggio 2021, l’EDPS ha avviato un’indagine per verificare la conformità della Commissione alle raccomandazioni del GEPD sull’uso di prodotti e servizi Microsoft, in seguito alla sentenza Schrems II della CGUE. Si è scoperto che la Commissione non ha fornito adeguate garanzie per il trasferimento di dati al di fuori dell’UE o SEE, violando così il Regolamento UE sulla protezione dei dati.
Le norme violate riguardano l’assenza di valutazioni delle misure di sicurezza per il trasferimento di dati extra-UE, la mancanza di specifiche sui dati personali raccolti tramite Microsoft 365 e l’omissione di istruzioni documentate riguardo al trattamento dei dati da parte di Microsoft. Inoltre, le Clausole Contrattuali Standard (SCC) per i trasferimenti extra-UE non sono state chiaramente definite e tracciate.
L’EDPS ha imposto misure correttive alla Commissione, tra cui la sospensione di tutti i flussi di dati da Microsoft 365 a Microsoft e alle sue affiliate in paesi terzi non coperti da adeguatezza. Inoltre, la Commissione deve rendere conformi i trattamenti derivanti da Microsoft 365, dimostrando tale conformità entro il 9 dicembre 2024, attraverso una mappatura chiara dei trasferimenti di dati e l’implementazione di adeguate misure organizzative e tecniche.
Prospettive future per il trattamento dati Extra-UE
L’indagine, avviata nel maggio 2021 in seguito alla sentenza Schrems II della CGUE, aveva l’obiettivo di verificare la conformità della Commissione alle raccomandazioni del GEPD sull’uso dei prodotti e dei servizi Microsoft. La Commissione ha tempo fino al 9 dicembre 2024 per attuare le misure correttive richieste.
L’EDPS sottolinea l’importanza di garantire solidi standard di protezione dei dati ogni volta che i dati personali sono trattati da o per conto delle istituzioni dell’UE. La vicenda evidenzia la necessità di un’attenta valutazione e monitoraggio delle pratiche di trasferimento dati extra-UE per garantire la protezione delle informazioni personali delle persone coinvolte.