El pasado 8 de marzo de 2024, el Supervisor Europeo de Protección de Datos (en adelante, “SEPD”), autoridad de control independiente en materia de protección de datos que dispone de competencias exclusivas sobre las distintas instituciones de la Unión Europea (en adelante, “UE”), según nota de prensa emitida, ha decidido imponer una serie de medidas correctivas por el uso de Microsoft 365 a la Comisión Europea por haber infringido varias disposiciones de Reglamento 2018/1725, del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos.
El SEPD considera que en el contrato de licencia celebrado con Microsoft Irlanda no se cumple con la limitación de la finalidad por no determinar los tipos de datos de personales recogidos para cada uno de los fines del tratamiento, y que no quedan definidos los fines para los que Microsoft está autorizada a recopilar datos personales en virtud de dicho contrato.
Adicionalmente, también se pone de manifiesto que no se proporcionan tampoco instrucciones documentas suficientemente claras para el tratamiento, ni se evalúan si los fines del tratamiento son compatibles con los fines que originaron inicialmente la recogida de los datos personales.
En cuanto a las transferencias de datos personales fuera de la UE, entre otros aspectos, el SEPD considera que no queda establecido en el contrato de licencia qué tipos de datos personales pueden transferirse, a qué destinatarios, a qué tercer país y con qué fines, no facilitando la Comisión instrucciones documentadas al respecto. Asimismo, el SEPD añade respecto las transferencias internacionales que no existen garantías
adecuadas al no realizar un análisis previo del nivel de protección, ni tampoco garantiza que los movimientos transfronterizos tengan lugar para tareas que sean competencia de la Comisión Europea.
Finalmente, el SEPD dictó que no se aplican medidas técnicas y organizativas eficaces que garanticen un tratamiento conforme al principio de integridad y confidencialidad dentro del Espacio Económico Europeo (en adelante, “EEE”) y, en el marco de una equivalencia esencial del nivel de protección, también fuera del EEE.
A título ilustrativo, las infracciones cometidas por la Comisión Europea en su condición de responsable del tratamiento podrían resumirse en:
- No haber proporcionado las salvaguardias adecuadas para garantizar que los datos personales transferidos fuera de la UE/EEE reciban un nivel de protección esencialmente equivalente al garantizado en la UE, ofreciendo un escaso nivel de protección para los interesados.
- No haber especificado suficientemente en el contrato qué tipos de datos personales deben recopilarse y con qué fines explícitos Microsoft 365 debía tratar dichos datos.
- El SEPD procedió a imponer a la Comisión como medidas correctivas, la obligatoriedad de suspender todos los flujos de datos derivados de su uso de Microsoft 365 con destino a Microsoft, a sus filiales y sub- encargados del tratamiento situados en países no pertenecientes a la UE o al EEE que no estén cubiertos por una decisión de adecuación, la exigencia de identificar los datos personales que se transfieran a los destinatarios, en que terceros países y con que garantías, así como garantizar que las transferencias internacionales estén vinculadas con las tareas que son competencia de la Comisión. Las medidas correctivas impuestas se entienden sin perjuicio de cualquier otra medida que pueda ser adoptada por el SEPD en un futuro.
La Comisión Europea deberá cumplir y demostrar el cumplimiento de las medidas correctoras antes del 9 de diciembre de 2024 como plazo máximo.
