L’uso di Microsoft 365 da parte della Commissione Europea è finito sotto la lente d’ingrandimento del Garante europeo per la protezione dei dati (EDPS), che ha concluso una sua indagine rivelando numerose violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Questa situazione ha portato l’EDPS a imporre una serie di misure correttive alla Commissione, evidenziando una volta di più l’importanza cruciale del rispetto delle normative sulla privacy nell’era digitale.
L’indagine dell’EDPS ha rilevato che la Commissione ha infranto diverse disposizioni fondamentali del Regolamento (UE) 2018/1725, che regola la protezione dei dati personali all’interno delle istituzioni, degli organi e delle agenzie dell’UE. Tra le violazioni più significative, si segnala il mancato rispetto delle regole sui trasferimenti di dati personali al di fuori dell’UE/Spazio Economico Europeo (SEE), nonché la mancanza di garanzie adeguate per assicurare che i dati trasferiti godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE/SEE.
Un altro punto critico riguarda il contratto stipulato con Microsoft, in cui la Commissione non ha specificato adeguatamente quali tipi di dati personali vengano raccolti e per quali scopi espliciti e determinati nell’uso di Microsoft 365. Queste lacune hanno messo in luce la necessità di un maggiore rigore nella gestione dei dati personali, soprattutto quando si tratta di servizi cloud forniti da terze parti.
In risposta a queste violazioni, l’EDPS ha ordinato alla Commissione di sospendere tutti i flussi di dati verso Microsoft e i suoi affiliati e sub-elaboratori situati in paesi al di fuori dell’UE/SEE che non sono coperti da una decisione di adeguatezza. Inoltre, la Commissione deve adeguare le operazioni di trattamento dati risultanti dall’uso di Microsoft 365 al Regolamento (UE) 2018/1725, dimostrando la conformità entro il 9 dicembre 2024.
Questo caso sottolinea l’importanza per tutte le istituzioni, gli organi e le agenzie dell’UE di garantire che qualsiasi trattamento di dati personali, sia all’interno che all’esterno dell’UE/SEE, sia accompagnato da solide garanzie e misure di protezione dei dati. È fondamentale che le informazioni degli individui siano protette in ogni momento, conformemente alla normativa vigente.
L’EDPS, con questa azione, ribadisce il suo impegno nel vigilare affinché le istituzioni europee rispettino i più alti standard di protezione dei dati, garantendo così la fiducia dei cittadini nell’UE e nelle sue politiche di privacy.
Questo episodio serve da monito per tutte le organizzazioni che gestiscono dati personali, evidenziando l’importanza di una gestione attenta e conforme alle normative per evitare sanzioni e proteggere i diritti dei cittadini.
--> QUALE LIVELLO DI ADEGUAMENTO PRIVACY HAI?
Scopri con un semplice e veloce test, in piena autonomia, il livello di adeguamento della tua azienda:
Fai il test
