Una larga investigación sobre el uso de Microsoft 365 por parte de la Unión Europea descubrió que la Comisión violó las normas de protección de datos del bloque mediante el uso del software de productividad basado en la nube.
Al anunciar su decisión en un presione soltar Hoy, el Supervisor Europeo de Protección de Datos (SEPD) dijo que la Comisión infringió “varias normas clave de protección de datos al utilizar Microsoft 365”.
“La Comisión no especificó suficientemente qué tipos de datos personales deben recopilarse y para qué fines explícitos y específicos al utilizar Microsoft 365”, escribió el supervisor de datos, Wojciech Wiewiórowski, y añadió: “Las infracciones de la Comisión como controlador de datos también se refieren a tratamientos de datos, incluidas las transferencias de datos personales, realizados por su cuenta.”
El SEPD ha impuesto medidas correctivas que exigen a la Comisión abordar los problemas de cumplimiento que ha identificado antes del 9 de diciembre de 2024, suponiendo que siga utilizando la suite de nube de Microsoft.
Se contactó con Microsoft y la Comisión para obtener una respuesta a las conclusiones del SEPD. Pero al momento de escribir este artículo ninguno había respondido.
El regulador, que supervisa el cumplimiento de las normas de protección de datos por parte de las instituciones de la UE, abrió una investigación sobre el uso por parte de la Comisión de Microsoft 365 y otros servicios en la nube estadounidenses en mayo de 2021.
La cuestión es cómo procesa Microsoft los datos de los usuarios de su servicio en la nube. Los reguladores de la UE han estado señalando preocupaciones al respecto durante años, incluso en relación con la base legal que Microsoft reclama para el procesamiento de datos; una falta de claridad y precisión en la redacción de sus contratos para el producto; y no se aplican salvaguardias técnicas para garantizar que los datos solo se utilicen para proporcionar y mantener el servicio.
Cuando el SEPD abrió la investigación tampoco existía ningún acuerdo de transferencia de datos entre el bloque y EE.UU., tras la eliminación del Escudo de Privacidad UE-EE.UU. en julio de 2020.
Posteriormente se acordó y adoptó un nuevo acuerdo transatlántico de transferencia de datos, tres años después (julio de 2023). Pero durante gran parte del período en que el SEPD estuvo investigando el uso de Microsoft 365 por parte de la Comisión, no hubo ningún acuerdo que cubriera las transferencias de datos de la UE a los EE. UU. Sin embargo, el uso de Microsoft 365 de forma rutinaria da como resultado que los datos regresen a los servidores de Microsoft en los EE. UU.
En cuanto a las transferencias de datos, el SEPD encontró que la Comisión no garantizó que se aplicaran salvaguardias adecuadas a estas exportaciones de datos para garantizar que existieran protecciones esencialmente equivalentes para los datos una vez que abandonaran el bloque.
El supervisor de datos ha ordenado a la Comisión que suspenda todos los flujos de datos resultantes de su uso de Microsoft 365 hacia Microsoft y sus filiales y subencargados ubicados en países fuera de la UE/EEE no cubiertos por una decisión de adecuación de la UE sobre transferencias de datos (de nuevo, con para ello hay un plazo hasta el 9 de diciembre.
También se le ordenó llevar a cabo un ejercicio de mapeo de transferencias de datos, identificando “qué datos personales se transfieren a qué destinatarios en qué terceros países, con qué fines y sujeto a qué salvaguardias, incluidas las transferencias posteriores”. También debe garantizar que todas las transferencias a países no pertenecientes a la UE sin una decisión de adecuación se realicen “únicamente para permitir que se lleven a cabo tareas dentro de la competencia del responsable del tratamiento”.
En términos más generales, las medidas correctivas del SEPD exigen que la Comisión arregle sus contratos con Microsoft: para garantizar que contengan las disposiciones contractuales necesarias, medidas organizativas y/o medidas técnicas para garantizar que los datos personales sólo se recopilen para fines explícitos y específicos; y “suficientemente determinados” en relación con los fines para los que son tratados.
Los datos también deben ser procesados únicamente por Microsoft o sus filiales o subencargados “según instrucciones documentadas de la Comisión”, según la orden, a menos que tenga lugar dentro de la región y el procesamiento tenga un fin que cumpla con la legislación de la UE o de los Estados miembros; o, si fuera de la región donde se procesará para otro fin conforme a la legislación de un tercer país, debe aplicarse una protección esencialmente equivalente.
Los contratos también deben garantizar que no se procesen más los datos, es decir, que no se utilicen más allá del propósito original para el cual se recopilaron los datos.
El SEPD concluyó que la Comisión infringió el principio de “limitación de finalidad” de las normas de protección de datos aplicables al no determinar suficientemente los tipos de datos personales recopilados en virtud del acuerdo de licencia que celebró con Microsoft Irlanda, lo que significa que no pudo garantizar que fueran específicos y explícitos.
La UE tampoco proporcionó instrucciones documentadas suficientemente claras a Microsoft con respecto al procesamiento; no se aseguró de que su procesamiento estuviera limitado por instrucciones; y no evaluó la conformidad del procesamiento posterior de Microsoft con el propósito inicialmente declarado para la recopilación, entre otras violaciones de las reglas identificadas por el SEPD.
En un comunicado, Wiewiorowski escribió:
Es responsabilidad de las instituciones, órganos, oficinas y agencias (EUI) de la UE garantizar que cualquier procesamiento de datos personales fuera y dentro de la UE/EEE, incluso en el contexto de los servicios basados en la nube, vaya acompañado de sólidas garantías de protección de datos. y medidas. Esto es imperativo para garantizar que la información de las personas esté protegida, como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean procesados por una EUI o en nombre de ella.
En los últimos años, Microsoft ha respondido al creciente riesgo regulatorio de la UE asociado a las transferencias de datos ampliando un esfuerzo de localización de datos centrado en clientes regionales de la nube, en una infraestructura que ha denominado “límite de datos de la UE para la nube de Microsoft”. Sin embargo, la infraestructura técnica aún está en proceso de implementación. También sigue siendo poroso por diseño, y algunos datos seguirán siendo accesibles fuera de la UE incluso cuando el lanzamiento esté previsto para finales de este año, según Microsoft.