La Commissione Europea è finita sotto accusa per una serie di violazioni relative alla privacy di un elevato numero di utenti commesse nell'ambito del processo di raccolta dati avvenuto all'interno della suite Microsoft 365.
L'indagine condotta dall'Autorità Europea per la Protezione dei Dati (Edps) ha evidenziato gravi mancanze da parte da parte della Commissione Europea nell'utilizzo di Microsoft 365. La CE è accusata di aver violato la normativa UE 2018/1725 sulla protezione dei dati. In particolare, l'Edps ha riscontrato che non sono state fornite "garanzie adeguate" per assicurare un livello di protezione dei dati personali trasferiti al di fuori dell'UE.
Durante l'indagine, è emerso che la Commissione non ha definito chiaramente quali dati personali raccogliere e per quali scopi espliciti usando Microsoft 365, compromettendo così la privacy e la sicurezza degli utenti. A seguito di queste violazioni, l'Edps ha imposto alla Commissione di sospendere tutti i flussi di dati verso Microsoft e le sue affiliate situate fuori dall'UE che non rientrano nei criteri stabiliti dalle leggi sulla privacy europee.
La Commissione è ora chiamata a conformarsi alla normativa entro il 9 dicembre 2024, dimostrando che l'uso di Microsoft 365 rispetta le leggi sulla protezione dei dati. L'Edps ritiene che le misure correttive siano necessarie per affrontare la gravità e la durata delle violazioni, che potrebbero avere un impatto significativo su un vasto numero di individui.
L'autorità ha inoltre sottolineato l'importanza di non compromettere la capacità della Commissione di svolgere i propri compiti nell'interesse pubblico, concedendo tempo sufficiente per implementare la sospensione dei flussi di dati pertinenti e adeguare il trattamento dei dati alle normative vigenti.
Wojciech Wiewiórowski, il Garante UE per la privacy, ha ribadito che è fondamentale per le istituzioni e gli organismi dell'UE assicurare che il trattamento di dati personali, sia all'interno che al di fuori dell'UE, sia accompagnato da solide garanzie e misure di protezione. Questo è cruciale per garantire la sicurezza delle informazioni personali degli individui ogni volta che i loro dati sono trattati da o per conto di un organo dell'UE.
La Commissione Europea avrà tempo fino al 9 dicembre 2024 per allinearsi e ha definito le misure correttive "appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate"