El Supervisor Europeu de Protecció de Dades (EDPS, per les seves sigles en anglès) va afirmar aquest dilluns que la Comissió Europea (CE) va infringir diverses disposicions de la llei de protecció de dades comunitària en contractar serveis al núvol de Microsoft per a les institucions, òrgans i organismes de la Unió Europea (UE). Per aquesta raó, ha demanat a Brussel·les que detingui el flux de dades a aquests serveis si són allotjats fora de la UE o l'espai econòmic europeu (EEE) i que s'alineï amb la norma comunitària. El supervisor va explicar en un comunicat que, en concret, la Comissió "no ha proporcionat les salvaguardes adequades" per garantir que les dades personals transferides fora de la UE i l'EEE rebin un nivell de protecció essencialment equivalent al garantit en aquestes àrees.
A més, al seu contracte amb Microsoft, la CE no va especificar prou quins tipus de dades personals s'han de recopilar i amb quines finalitats explícites i especificades en utilitzar el paquet de serveis Microsoft 365. Les infraccions de la Comissió com a responsable del tractament també es refereixen al tractament de dades -incloses les transferències de dades personals- realitzat en nom seu, va afegir. L'EDPS va obrir el maig del 2021 dues investigacions per analitzar si els contractes que les institucions europees havien firmat amb les empreses nord-americanes Amazon i Microsoft per utilitzar els seus serveis al núvol complien amb les lleis de privacitat de la UE.
Dades personals als EUA
L'organisme havia detectat que les institucions comunitàries utilitzen cada vegada més programari i serveis al núvol de grans plataformes digitals, algunes de les quals amb seu als Estats Units, cosa que implica transferir dades personals a països que poden no complir amb la directiva europea de privacitat. "És responsabilitat de les institucions, òrgans i organismes de la UE garantir que tot tractament de dades personals fora i dins de la UE i l'EEE, fins i tot en el context dels serveis basats en el núvol, vagi acompanyat de salvaguardes i mesures sòlides de protecció de dades", va indicar el director de l'EDPS, Wojciech Wiewiórowski.
L'EDPS ha decidit, per tant, ordenar a la Comissió, amb efectes a partir del 9 de desembre de 2024, que suspengui tots els fluxos de dades derivats del seu ús de Microsoft 365 amb destinació a Microsoft i a les seves filials i subprocessadors situats en països no pertanyents a la UE o a l'EEE que no estiguin coberts per una decisió d'adequació. Alhora, ha decidit ordenar a la Comissió que posi les operacions de tractament derivades del seu ús de Microsoft 365 en conformitat amb el Reglament (UE) 2018/1725. La Comissió ha de demostrar el compliment d'ambdues ordres a tot tardar el 9 de desembre de 2024.
El supervisor europeu va considerar que les mesures correctores que imposa són "adequades, necessàries i proporcionades en vista de la gravetat i la durada de les infraccions detectades". Moltes de les infraccions detectades es refereixen a totes les operacions de tractament dutes a terme per la CE o en nom seu en utilitzar Microsoft 365, i "afecten un gran nombre de persones", va assegurar. L'EDPS també va deixar clar que té en compte la necessitat de no comprometre la capacitat de la CE per dur a terme les seves tasques en interès públic o per exercir la seva autoritat oficial. També la necessitat de concedir el temps adequat perquè la Comissió apliqui la suspensió prevista dels fluxos de dades pertinents, i perquè el tractament de dades compleixi amb el reglament europeu.