Commissione Europea

A seguito di un’indagine approfondita, il Garante europeo della protezione dei dati (EDPS) ha affermato che la Commissione europea, nell’utilizzare lo strumento Microsoft 365, vìola alcune norme fondamentali sulla protezione dei dati.

In un recente comunicato stampa dell’11 marzo 2024, il Garante europeo (EDPS) ha comunicato le misure correttive imposte alla Commissione, riportate nella sezione seguente, che si basano sulle seguenti inadempienze:

  1. La mancanza di misure tempestive per i trasferimenti internazionali di dati a seguito della sentenza Schrems II.
  2. La mancata indicazione nel contratto con Microsoft dei dati specifici da raccogliere e per quali finalità.

Le misure correttive

A seguito dell’indagine e dell’accertamento delle norme violate, l’EDPS ha imposto alla Commissione delle misure correttive. Vediamo insieme quali sono:

  • In primis, l’EDPS ha ordinato alla Commissione, di “sospendere tutti i flussi di dati derivanti dall’uso di Microsoft 365 a Microsoft e alle sue società affiliate e ai suoi subresponsabili, localizzati in paesi terzi fuori dallo Spazio Economico Europeo (SEE) non coperti da una decisione di adeguatezza” e di dimostrare l’effettiva attuazione di tale sospensione a partire dal 9 dicembre 2024.
  • Poi, l’EDPS ha imposto di “rendere conformi i trattamenti di dati personali derivanti dall’utilizzo di Microsoft 365 e di dimostrare tale conformità entro il 9 dicembre 2024” attraverso:
    • L’elaborazione di una mappatura dei trasferimenti dei dati personali che individui:
      • Quali dati personali sono trasferiti;
      • I destinatari e i paesi terzi fuori dello SEE dove essi si trovano;
      • Le finalità e garanzie dei trasferimenti; compresi i trasferimenti successivi.
    • L’impegno di che tutti i trasferimenti verso paesi terzi fuori dello SEE avvengano esclusivamente per consentire l’esecuzione di compiti di competenza del titolare del trattamento.

A tal riguardo, l’EDPS precisa che la Commissione deve garantire, attraverso un accordo contrattuale ai sensi dell’art. 29 comma 3 del GDPR e l’implementazione di altre misure organizzative e tecniche, che il trattamento effettuato sia da Microsoft che dalle sue affiliate o aziende collegate, rispetta il GDPR.

Inoltre, devono essere implementate misure mirate a garantire che: i dati personali siano raccolti per finalità esplicite e specificate; che qualsiasi trattamento da parte di Microsoft o altri soggetti terzi collegati sia effettuato solo su istruzioni documentate della Commissione a meno che non sia richiesto dalla legge dell’UE o di uno Stato membro o, nel caso di trattamenti fuori del SEE, dalla legge di un paese terzo che garantisca un livello di protezione sostanzialmente equivalente a quello del SEE. Inoltre, l’EDPS precisa che, con riferimento ai dati personali trattati nel SEE, solo il diritto dell’UE o degli Stati membri vieta di notificare alla Commissione una “richiesta di divulgazione”, costituendo una misura necessaria e proporzionata.

Conclusioni

In conclusione, l’EDPS ritiene che le misure correttive imposte siano adeguate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni accertate.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!