Bruselas, 11 marzo (.).- El Supervisor Europeo de Protección de Datos (SEPD, sus siglas en inglés) afirmó este lunes que la Comisión Europea violó varias disposiciones de las leyes de protección de datos de la UE al subcontratar los servicios en la nube de Microsoft (NASDAQ: MSFT) a organizaciones, agencias y organismos de la Unión Europea (UE). Por eso pidieron a Bruselas que detenga el flujo de datos hacia estos servicios si están alojados fuera de la UE o del Espacio Económico Europeo (EEE) y que lo alinee con los estándares comunitarios. El responsable del tratamiento explicó en un comunicado que la Comisión no ha proporcionado garantías adecuadas para garantizar que los datos personales transferidos fuera de la UE y el EEE se beneficien de un nivel de protección sustancialmente alto, equivalente al nivel de protección garantizado en estas áreas.
Además, en el contrato con Microsoft, la Comisión no ha aclarado completamente qué datos personales se recopilarán y con qué fines claros y específicos al utilizar el paquete de servicios Microsoft 365. Las violaciones cometidas por la Comisión en su calidad de responsable del tratamiento de datos también se refieren al procesamiento de datos -incluida la transferencia de datos personales- realizado en su nombre, añadió la Comisión. El SEPD abrió dos investigaciones en mayo de 2021 para analizar si los contratos que las organizaciones europeas firmaron con las empresas estadounidenses Amazon (NASDAQ: AMZN) y Microsoft para el uso de sus servicios en la nube cumplen con las leyes de protección de datos de la UE.
La agencia ha descubierto que las organizaciones comunitarias utilizan cada vez más software y servicios en la nube de las principales plataformas digitales, algunas de las cuales tienen su sede en los Estados Unidos, en relación con la migración de datos personales a países que pueden no cumplir con la Directiva de Privacidad Europea. Es responsabilidad de las instituciones, agencias y organismos de la UE garantizar que cualquier procesamiento de datos personales fuera y dentro de la UE y el EEE, incluso en el contexto de los servicios basados en la nube, se realice con fuertes protecciones y garantías. afirmó el director del SEPD, Wojciech Wiewiorowski.
Como resultado, el SEPD ha decidido ordenar a la Comisión que suspenda todos los flujos de datos que surjan del uso de Microsoft 365 hacia Microsoft y sus filiales y afiliados, a partir del 9 de diciembre de 2024. Los subcontratistas de Microsoft en terceros países de la UE o el EEE no están cubiertos por una decisión de adecuación. Al mismo tiempo, la Comisión ha decidido solicitarle que ajuste los procedimientos resultantes del uso de Microsoft 365 al Reglamento (UE).
La Comisión deberá demostrar el cumplimiento de ambas órdenes antes del 9 de diciembre de 2024. La Autoridad Europea de Supervisión consideró que las medidas correctoras que impuso eran apropiadas, necesarias y proporcionadas habida cuenta de la gravedad y la duración de la infracción descubierta. Muchas de las violaciones descubiertas se relacionan con todos los procesamientos realizados por o en nombre de la Comisión utilizando Microsoft 365 y afectan a muchas personas, dijo.
El SEPD también dejó claro que había tenido en cuenta la necesidad de no comprometer la capacidad de la Comisión para llevar a cabo sus tareas en interés público o ejercer sus poderes oficiales. También es necesario dar tiempo suficiente a la Comisión para implementar la suspensión prevista de los flujos de datos relevantes y para que el procesamiento de datos cumpla con la normativa europea.
