El Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) afirmó este lunes que la Comisión Europea (CE) infringió varias disposiciones de la ley de protección de datos comunitaria al contratar servicios en la nube de Microsoft para las instituciones, órganos y organismos de la Unión Europea (UE). Por esa razón, ha pedido a Bruselas que detenga el flujo de datos a esos servicios si son albergados fuera de la UE o el espacio económico europeo (EEE) y que se alinee con la norma comunitaria. El supervisor explicó en un comunicado que, en concreto, la Comisión “no ha proporcionado las salvaguardias adecuadas” para garantizar que los datos personales transferidos fuera de la UE y el EEE reciban un nivel de protección esencialmente equivalente al garantizado en esas áreas.
Además, en su contrato con Microsoft, la CE no especificó suficientemente qué tipos de datos personales deben recopilarse y con qué fines explícitos y especificados al utilizar el paquete de servicios Microsoft 365. Las infracciones de la Comisión como responsable del tratamiento también se refieren al tratamiento de datos -incluidas las transferencias de datos personales- realizado en su nombre, añadió. El EDPS abrió en mayo de 2021 dos investigaciones para analizar si los contratos que las instituciones europeas habían firmado con las empresas estadounidenses Amazon y Microsoft para utilizar sus servicios en la nube cumplían con las leyes de privacidad de la UE.
Datos personales en EE.UU.
El organismo había detectado que las instituciones comunitarias utilizan cada vez más software y servicios en la nube de grandes plataformas digitales, algunas de ellas con sede en Estados Unidos, lo que implica transferir datos personales a países que pueden no cumplir con la directiva europea de privacidad. "Es responsabilidad de las instituciones, órganos y organismos de la UE garantizar que todo tratamiento de datos personales fuera y dentro de la UE y el EEE, incluso en el contexto de los servicios basados en la nube, vaya acompañado de salvaguardias y medidas sólidas de protección de datos”, indicó el director del EDPS, Wojciech Wiewiórowski.
El EDPS ha decidido, por tanto, ordenar a la Comisión, con efectos a partir del 9 de diciembre de 2024, que suspenda todos los flujos de datos derivados de su uso de Microsoft 365 con destino a Microsoft y a sus filiales y subprocesadores situados en países no pertenecientes a la UE o al EEE que no estén cubiertos por una decisión de adecuación. Al mismo tiempo, ha decidido ordenar a la Comisión que ponga las operaciones de tratamiento derivadas de su uso de Microsoft 365 en conformidad con el Reglamento (UE) 2018/1725. La Comisión debe demostrar el cumplimiento de ambas órdenes a más tardar el 9 de diciembre de 2024.
El supervisor europeo consideró que las medidas correctoras que impone son “adecuadas, necesarias y proporcionadas a la luz de la gravedad y la duración de las infracciones detectadas”. Muchas de las infracciones detectadas se refieren a todas las operaciones de tratamiento llevadas a cabo por la CE o en su nombre al utilizar Microsoft 365, y “afectan a un gran número de personas”, aseguró. El EDPS también dejó claro que tiene en cuenta la necesidad de no comprometer la capacidad de la CE para llevar a cabo sus tareas en interés público o para ejercer su autoridad oficial. También la necesidad de conceder el tiempo adecuado para que la Comisión aplique la suspensión prevista de los flujos de datos pertinentes, y para que el tratamiento de datos cumpla con el reglamento europeo.