La CE ha violato le leggi dell’Unione sulla protezione dei dati durante l’utilizzo dei servizi Microsoft 365

Secondo il Garante europeo della protezione dei dati (GEPD), la Commissione europea non ha rispettato diverse importanti norme sulla protezione dei dati previste dalle leggi sulla protezione dei dati dell’Unione europea durante l’utilizzo dei servizi Microsoft 365.

Il GEPD è un organismo indipendente responsabile della conduzione di audit sulla protezione dei dati all’interno delle istituzioni dell’UE e può emanare misure correttive per rettificare le violazioni.

Wojciech Wiewiórowski, GEPD, ha dichiarato:

I principali risultati dell’indagine indicano che la CE non ha specificato nel contratto con Microsoft i tipi di dati che potrebbero essere raccolti e non ha menzionato lo scopo degli stessi.

Inoltre, la CE non ha implementato garanzie adeguate riguardo al trasferimento di dati al di fuori dell’area dell’Unione Europea, un aspetto importante per garantire la protezione delle informazioni personali degli individui.

Il Garante europeo della protezione dei dati ha ordinato alla Commissione europea di adeguare l’utilizzo dei servizi Microsoft 365 alle rigorose norme sulla protezione dei dati dell’UE. Ha inoltre informato che i flussi di dati di Microsoft 365 che non aderiscono alle normative saranno sospesi a partire dal 9 dicembre 2024.

La violazione si è verificata nell’arco di tre anni, a partire dal 21 maggio 2021 e terminando con la decisione del GEPD l’8 marzo 2024.

Il Garante europeo della protezione dei dati ha affermato che la CE non è riuscita a garantire specifiche contrattuali adeguate con Microsoft poiché la CE non ha chiarito l’uso dei dati e non ha incolpato Microsoft per questo.

Poiché il GEPD ha ritenuto colpevole l’UE, ha applicato il regolamento UE 2018/1725 sul trattamento dei dati personali, che dimostra quanto siano importanti misure solide di protezione dei dati, soprattutto quando si lavora con fornitori di servizi esterni.

Questo incidente ricorda alle persone che fanno affari in Europa di prestare attenzione a tutti i piccoli dettagli contrattuali e di aderire al quadro normativo per evitare problemi in futuro.

Quali sono i tuoi pensieri in merito? Condividi le tue opinioni nella sezione commenti qui sotto.

È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE (IUE) garantire che qualsiasi trattamento dei dati personali all’esterno e all’interno dell’UE/SEE, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie di protezione dei dati e misure. Ciò è fondamentale per garantire che le informazioni degli individui siano protette, come richiesto dal Regolamento (UE) 2018/1725, ogni volta che i loro dati vengono trattati da, o per conto di, un’UE.