La CE infringió las leyes de protección de datos de la Unión al utilizar los servicios de Microsoft 365

Según el Supervisor Europeo de Protección de Datos (SEPD), la Comisión Europea no cumplió con varias reglas importantes de protección de datos según las leyes de protección de datos de la Unión Europea al utilizar los servicios de Microsoft 365.

El SEPD es un organismo independiente responsable de realizar auditorías de protección de datos dentro de las instituciones de la UE y puede emitir medidas correctivas para rectificar las violaciones.

Wojciech Wiewiorowski, SEPD, afirmó:

Las principales conclusiones de la investigación indican que EC no especificó en su contrato con Microsoft los tipos de datos que podrían recopilarse ni mencionó el propósito de los mismos.

Además, la CE no implementó salvaguardias adecuadas con respecto a la transferencia de datos fuera del área de la Unión Europea, un aspecto importante para garantizar la protección de la información personal de las personas.

El Supervisor Europeo de Protección de Datos ordenó a la Comisión Europea que ajustara el uso de los servicios de Microsoft 365 a las estrictas normas de protección de datos de la UE. También informó que los flujos de datos de Microsoft 365 que no cumplan con la normativa serán suspendidos a partir del 9 de diciembre de 2024.

La infracción se produjo durante un período de tres años, que comenzó el 21 de mayo de 2021 y finalizó con la decisión del SEPD el 8 de marzo de 2024.

El Supervisor Europeo de Protección de Datos dijo que la CE no aseguró las especificaciones contractuales adecuadas con Microsoft ya que la CE no aclaró el uso de los datos y no culpó a Microsoft por ello.

Cuando el SEPD encontró culpable a la UE, aplicó el reglamento de la UE 2018/1725 sobre el procesamiento de datos personales, lo que muestra cuán importantes son las medidas sólidas de protección de datos, especialmente cuando se trabaja con proveedores de servicios externos.

Este incidente recuerda a las personas que hacen negocios en Europa que deben prestar atención a todos los pequeños detalles contractuales y respetar el marco regulatorio para evitar problemas en el futuro.

¿Qué piensas sobre el asunto? Comparta sus opiniones en la sección de comentarios a continuación.

Es responsabilidad de las instituciones, órganos, oficinas y agencias (EUI) de la UE garantizar que cualquier procesamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios basados ​​en la nube, vaya acompañado de sólidas garantías de protección de datos. y medidas. Esto es imperativo para garantizar que la información de las personas esté protegida, como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean procesados ​​por una UE o en nombre de ella.