El Supervisor Europeo de Protección de Datos acaba de anunciar la imposición de medidas sancionadoras para la propia Comisión Europea, a la que acusa de haber violado las normas de protección de datos al usar Microsoft 365.
Según el SEPD, la autoridad supervisora e independiente que garantiza que las instituciones europeas cumplan con las normas relativas a la privacidad y protección de datos, la propia Comisión Europea habría vulnerado varias partes del reglamento de protección de datos de la UE que rige para las propias instituciones (reglamento 2018/1725).
Según acaba de informar Euractiv, la ley se refiere a la protección de datos dentro de las instituciones, órganos, oficinas y agencias de la UE, así como al procesamiento de datos personales por parte de estas entidades, garantizando el cumplimiento de los principios de protección de datos y salvaguardando los derechos de las personas a la privacidad dentro de las instituciones de la UE.
El Supervirsor Europeo de Protección de Datos ha concluido tras una investigación que la Comisión Europea no ha garantizado las medidas adecuadas para la transferencia de datos personales fuera de la UE o dentro del Espacio Económico Europeo. En su contrato con Microsoft, la institución tampoco especificó qué tipo de datos personales recopilados iban a tratarse, ni el propósito de la recopilación al usarse Microsoft 365.
«Es responsabilidad de las instituciones, órganos, oficinas y agencias de la UE garantizar que cualquier procesamiento de datos personales, tanto fuera como dentro de la UE incluso en el contexto de servicios en la nube, vaya acompañado de una sólida protección de datos, salvaguardias y medidas», ha señalado el Supervisor Europeo de Protección de Datos, Wojciech Wiewiorowski. «Esto es imperativo para garantizar que la información de las personas esté protegida, como exige el reglamento 2018/1725, siempre que sus datos sean procesados por una institución europea o en nombre de ella», señaló.
Medidas sancionadoras a la Comisión Europea
Desde el próximo 9 de diciembre de este año, 2024, el SEPD ha ordenado a la Comisión que deje de enviar datos procedentes de su uso de Microsoft 365 y sus filiales en países no pertenecientes a la UE o al EEE sin decisiones de adecuación. También deberá garantizarse por parte de la Comisión Europea que sus operaciones con Microsoft 365 cumplen con el reglamento referido anteriormente, antes de la fecha señalada. Tendrá que realizar para ello un ejercicio de mapeo de transferencias para detallar el traspaso de datos personales, los destinatarios, los propósitos y las salvaguardias.
Tendrá además que limitar las transferencias a terceros países a tareas dentro de la competencia del responsable del tratamiento y aplicar disposiciones contractuales y medidas organizativas, que incluye, entre otras medidas, recopilar datos personales para fines explícitos, determinar los tipos de datos procesados, y garantizar el cumplimiento de instrucciones documentadas y los requisitos legales.
