LA COMMISSIONE EUROPEA VIOLA LE NORME FONDAMENTALI IN MATERIA DI PROTEZIONE DEI DATI
La Commissione europea è stata accusata di violare diverse norme fondamentali in materia di protezione dei dati nell’utilizzo di Microsoft 365. È stato il Garante privacy dell’UE, l’Edps, a confermare queste violazioni in seguito a un’indagine che si è conclusa con la decisione di imporre alla Commissione misure correttive.
RISCONTRATE “DIVERSE VIOLAZIONI” E CARENZA DI “ADEGUATE GARANZIE”
L’Edps ha dichiarato di aver riscontrato che la Commissione ha violato diverse disposizioni del regolamento UE 2018/1725, la normativa in materia di protezione dei dati per le istituzioni, gli organi e gli organismi dell’UE. In particolare, l’indagine ha evidenziato la mancanza di garanzie adeguate da parte della Commissione per assicurare che i dati personali trasferiti al di fuori dell’UE/SEE godano di un livello di protezione equivalente a quello garantito nell’UE/SEE.
La Commissione non ha specificato in modo sufficiente quali tipi di dati personali devono essere raccolti e per quali finalità esplicite e specificate quando si utilizza Microsoft 365. Le violazioni riguardano anche il trattamento dei dati e i trasferimenti di dati personali effettuati per conto della Commissione.
IMPOSTA LA SOSPENSIONE DEI FLUSSI DI DATI
Di conseguenza, l’Edps ha deciso di ordinare alla Commissione di sospendere tutti i flussi di dati derivanti dall’uso di Microsoft 365 verso Microsoft e le sue affiliate e subprocessori situati al di fuori dell’UE/SEE non coperti da una decisione di adeguatezza. Inoltre, la Commissione dovrà rendere conformi al regolamento 2018/1725 le operazioni di trattamento risultanti dall’utilizzo di Microsoft 365.
CONFORMITÀ ENTRO IL 9 DICEMBRE 2024
La Commissione è tenuta a dimostrare la conformità a entrambi gli ordini entro il 9 dicembre 2024. L’Edps ritiene che le misure correttive imposte siano adeguate alla gravità e alla durata delle violazioni riscontrate. Queste violazioni hanno un impatto su un gran numero di persone e riguardano tutte le operazioni di trattamento effettuate dalla Commissione con l’utilizzo di Microsoft 365.
Viene specificato che tali misure sono necessarie senza compromettere la capacità della Commissione di svolgere i propri compiti nell’interesse pubblico o di esercitare i poteri ufficiali conferitile, concedendo alla Commissione il tempo necessario per attuare la sospensione dei flussi di dati pertinenti e per rendere il trattamento dei dati conforme al regolamento 2018/1725.
NECESSARIE SOLIDE GARANZIE E MISURE DI PROTEZIONE
Il Garante Ue per la privacy, Wojciech Wiewiórowski, sottolinea l’importanza per le istituzioni dell’UE di garantire solide garanzie e misure di protezione dei dati ogni volta che i dati personali sono trattati, sia all’interno che all’esterno dell’UE/SEE, specialmente nel contesto dei servizi basati su cloud. Queste misure sono fondamentali per garantire la protezione delle informazioni delle persone fisiche come richiesto dal regolamento 2018/1725.