A CE violou as leis de proteção de dados da União ao usar os serviços do Microsoft 365
De acordo com a Autoridade Europeia para a Proteção de Dados (AEPD), a Comissão Europeia não cumpriu várias regras importantes de proteção de dados ao abrigo das leis de proteção de dados da União Europeia ao utilizar os serviços do Microsoft 365.
A AEPD é um organismo independente responsável pela realização de auditorias à proteção de dados nas instituições da UE e pode emitir medidas corretivas para corrigir violações.
Wojciech Wiewiórowski, AEPD, afirmou:
As principais conclusões da investigação indicam que a CE não especificou no seu contrato com a Microsoft os tipos de dados que poderiam ser recolhidos e não mencionou a finalidade dos mesmos.
Além disso, a CE não implementou salvaguardas adequadas relativas à transferência de dados fora da área da União Europeia, um aspecto importante para garantir a protecção das informações pessoais dos indivíduos.
O Supervisor Europeu de Proteção de Dados ordenou que a Comissão Europeia adaptasse o uso dos serviços do Microsoft 365 aos rigorosos regulamentos de proteção de dados da UE. Informou também que os fluxos de dados do Microsoft 365 que não atenderem às regulamentações serão suspensos a partir de 9 de dezembro de 2024.
A violação ocorreu durante um período de três anos, começando em 21 de maio de 2021 e terminando com a decisão da AEPD em 8 de março de 2024.
O Supervisor Europeu de Proteção de Dados disse que a CE não conseguiu garantir especificações contratuais adequadas com a Microsoft, pois a CE não esclareceu o uso de dados e não culpou a Microsoft por isso.
Como a AEPD considerou a culpa da UE, aplicou o Regulamento da UE 2018/1725 relativo ao tratamento de dados pessoais, o que mostra a importância de medidas robustas de proteção de dados, especialmente quando se trabalha com prestadores de serviços externos.
Este incidente lembra às pessoas que fazem negócios na Europa que prestem atenção a todos os pequenos detalhes contratuais e cumpram o quadro regulamentar para evitar problemas no futuro.
Quais são seus pensamentos sobre o assunto? Compartilhe suas opiniões na seção de comentários abaixo.
É da responsabilidade das instituições, órgãos, organismos e agências da UE garantir que qualquer tratamento de dados pessoais fora e dentro da UE/EEE, incluindo no contexto de serviços baseados na nuvem, seja acompanhado por garantias robustas de proteção de dados e medidas. Isto é fundamental para garantir que as informações dos indivíduos sejam protegidas, conforme exigido pelo Regulamento (UE) 2018/1725, sempre que os seus dados sejam processados por, ou em nome de, uma UE.
Deixe um comentário