¿Hacer lo que digo, no lo que hago? La Comisión Europea ha sido criticada por la Autoridad Europea de Supervisión de la Protección de Datos (SEPD), el equivalente europeo de la CNIL, por violar varias normas de protección de datos. Y no cualquier norma, ya que el SEPD acusa a la Comisión de violar algunas de ellas, incluidas las transferencias de datos personales fuera de la Unión Europea y su espacio económico mediante el uso de Microsoft 365.

"Es responsabilidad de las instituciones, órganos, oficinas y agencias de la UE garantizar que todo procesamiento de datos personales fuera y dentro de la UE/EEE (UEI), incluso en el contexto de los servicios en la nube, esté acompañado de sólidas salvaguardas y medidas de protección de datos", explicado Wojciech Wiewiórowski, Supervisor Europeo de Protección de Datos. “Esto es imprescindible para garantizar la protección de la información de las personas, tal y como exige el Reglamento (UE) 2018/1725, siempre que sus datos sean tratados por un IUE o en su nombre”.

Procesamiento y transferencia de datos anclados

Pero eso no es todo, ya que el SEPD señala que en su contrato con el editor, la Comisión no especificó suficientemente qué tipos de datos personales se recogieron y con qué fines en el contexto del uso de la suite ofimática en modo SaaS. Las infracciones cometidas por la Comisión como responsable del tratamiento de datos también afectan al tratamiento de datos, incluidas las transferencias de datos personales, realizadas en su nombre, precisa la autoridad.

Sobre la base de estos elementos, el SEPD ordena a la Comisión que, a partir del 9 de diciembre de 2024, suspenda los flujos de datos de Microsoft 365 tratados por la empresa de Redmond y sus subcontratistas en países fuera de la Unión Europea. El SEPD también pide a la Comisión que ajuste las operaciones de tratamiento resultantes de su uso de Microsoft 365 al Reglamento (UE) 2018/1725.