L’uso del software Microsoft 365 da parte della Commissione Europea viola diverse prescrizioni della normativa sulla privacy dell’Unione Europea e l’esecutivo non ha implementato adeguate salvaguardie per i dati personali trasferiti a Paesi non appartenenti all’Unione Europea.
Il Garante europeo per la protezione dei dati (European Data Protection Supervisor) ha ordinato alla Commissione europea di adottare misure per conformarsi alle norme sulla privacy e di interrompere il trasferimento di dati all’azienda statunitense e alle filiali situate in Paesi terzi che non hanno accordi sulla privacy con l’UE, fissando una scadenza al 9 dicembre 2024.
La decisione del Garante UE ha fatto seguito a un’indagine di tre anni innescata dalle preoccupazioni per il trasferimento di dati personali agli Stati Uniti, dopo le rivelazioni del 2013 dell’ex collaboratore dell’intelligence statunitense Edward Snowden sulla sorveglianza di massa degli Stati Uniti. “La Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell’UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell’UE/SEE” – ha dichiarato l’autorità – sostenenendo che le misure correttive imposte “siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate. Molte delle violazioni riscontrate riguardano infatti tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365, e hanno un impatto su un gran numero di persone”.
Il Garante europeo Wojciech Wiewiórowski ha sottolineato che “È responsabilità delle istituzioni, degli organi, degli uffici e agenzie (IUE) per garantire che qualsiasi trattamento di dati personali al di fuori e all’interno dell’UE/SEE, incluso nel contesto dei servizi basati su cloud, è accompagnato da solide garanzie e misure di protezione dei dati. Questo è fondamentale per garantire che le informazioni personali siano protette, come richiesto dal Regolamento UE 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di un IUE.”
Inoltre, nel contratto con Microsoft, la Commissione non ha sufficientemente specificato quali tipi di dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365. Le violazioni della Commissione in qualità di titolare del trattamento riguardano anche il trattamento dei dati, compresi i trasferimenti di dati dati personali, effettuato per suo conto.
Fonte: EDPS