L'uso del software Microsoft 365 da parte della Commissione Europea vìola diverse prescrizioni della normativa sulla Privacy dell'Unione Europea e l'esecutivo non ha implementato adeguate salvaguardie per i dati personali trasferiti a Paesi non appartenenti all'Unione Europea.
Il Garante europeo per la protezione dei dati (European Data Protection Supervisor) ha infatti ordinato alla Commissione europea di adottare le opportune misure per conformarsi alle norme sulla Privacy e di interrompere il trasferimento di dati all'azienda statunitense e alle filiali situate in Paesi terzi che non hanno accordi sulla Privacy con l'UE, fissando una scadenza al 9 dicembre 2024.
La decisione del Garante UE ha fatto seguito a un'indagine di tre anni innescata dalle preoccupazioni per il trasferimento di dati personali agli Stati Uniti, dopo le rivelazioni del 2013 dell'ex collaboratore dell'intelligence statunitense Edward Snowden sulla sorveglianza di massa degli Stati Uniti.
"La Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell'UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'UE/SEE" - ha dichiarato l'Autorità - sostenendo che le misure correttive imposte “siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate. Molte delle violazioni riscontrate riguardano infatti tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365 ed hanno un impatto su un gran numero di persone”.
Il Garante europeo per la Protezione dei Dati Personali (GEPD), Wojciech Wiewiórowski ha sottolineato che “È responsabilità delle istituzioni, degli organi, degli uffici e agenzie (IUE) per garantire che qualsiasi trattamento di dati personali al di fuori e all'interno dell'UE/SEE, incluso nel contesto dei servizi basati su cloud, è accompagnato da solide garanzie e misure di protezione dei dati. Questo è fondamentale per garantire che le informazioni personali siano protette, come richiesto dal Regolamento UE 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di un IUE."
Inoltre, nel contratto con Microsoft, la Commissione non ha sufficientemente specificato quali tipi di dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365.
Le violazioni della Commissione in qualità di Titolare del Trattamento riguardano anche il trattamento dei dati (compresi i trasferimenti di dati dati personali) effettuato per suo conto.
(Fonte Federprivacy)
Per qualsiasi chiarimento o ulteriore informazione in merito o per richiedere una consulenza specifica per la tua attività, contattaci, saremo lieti di fornirti tutte le risposte che cerchi.
Siamo inoltre fornitori di pacchetti Microsoft per le soluzioni Professional sia per aziende che per studi professionali.
Enterprise Solutions
Tel. 0584 17 16 857 (4 linee r.a.)