Microsoft 365 e la Commissione Europea: Campanello d'allarme per le aziende?
Indice dei contenuti
Introduzione
La Commissione Europea (Commissione) si trova sotto i riflettori a seguito dell’inchiesta dell’EDPS (European Data Protection Supervisor), organismo indipendente che supervisiona le istituzioni dell’Unione Europea per quanto riguarda il rispetto del GDPR, che ha rilevato violazioni chiave nelle norme sulla protezione dei dati dovute all’uso di Microsoft 365. In risposta, l’EDPS ha imposto misure correttive significative sulla Commissione, evidenziando la necessità di robuste salvaguardie nella gestione dei dati personali.
Violazioni specifiche
L’inchiesta ha determinato che la Commissione ha violato diverse disposizioni del Regolamento (UE) 2018/1725, che disciplina la legge sulla protezione dei dati per le istituzioni, gli organi, gli uffici e le agenzie dell’UE (EUIs). Queste violazioni includono in particolare il trasferimento di dati personali al di fuori dell’UE/Spazio Economico Europeo (SEE) senza adeguate garanzie per proteggere i dati a un livello sostanzialmente equivalente a quello garantito nell’UE/SEE.
Mancanza di specifiche nel contratto
Un’altra questione rilevante è stata l’insufficiente specificazione, nel contratto con Microsoft, dei tipi di dati personali raccolti e delle finalità esplicite e specifiche per cui Microsoft 365 viene utilizzato. Queste lacune hanno contribuito alle violazioni da parte della Commissione in quanto responsabile del trattamento dei dati.
Misure correttive imposte dall’EDPS
Wojciech Wiewiórowski, l’EDPS, ha sottolineato l’importanza per le EUIs di garantire che ogni trattamento di dati personali, sia dentro che fuori l’UE/SEE, sia accompagnato da solide garanzie e misure di protezione dei dati. Di conseguenza, è stata ordinata alla Commissione di sospendere tutti i flussi di dati risultanti dall’uso di Microsoft 365 verso Microsoft e i suoi affiliati e sub-elaboratori situati in paesi esterni all’UE/SEE che non sono coperti da una decisione di adeguatezza.
Scadenza per la conformità
La Commissione è tenuta a dimostrare la conformità con le ordinanze entro il 9 dicembre 2024, includendo la sospensione dei flussi di dati pertinenti e l’adeguamento delle operazioni di trattamento dei dati in conformità con il Regolamento (UE) 2018/1725.
Impatto e considerazioni
Le violazioni riscontrate riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, quando utilizza Microsoft 365, impattando un gran numero di individui. L’EDPS ha anche considerato la necessità di non compromettere la capacità della Commissione di svolgere i suoi compiti nell’interesse pubblico, fornendo un periodo adeguato per implementare la sospensione dei flussi di dati rilevanti.
Contesto e investigazioni dell’EDPS
L’inchiesta sull’uso della Commissione di Microsoft 365 è stata avviata a seguito della sentenza Schrems II, con l’obiettivo di verificare la conformità della Commissione alle Raccomandazioni precedentemente emesse dall’EDPS sull’uso dei prodotti e dei servizi di Microsoft da parte delle istituzioni e degli organi dell’UE. Questa inchiesta fa parte delle azioni dell’EDPS nel contesto della Coordinated Enforcement Action 2022 dell’EDPB.
Il possibile impatto sulle aziende europee
Il provvedimento dell’EDPS sull’uso di Microsoft 365 da parte della Commissione europea potrebbe avere implicazioni per tutte le aziende europee che utilizzano la suite di produttività.
Ecco alcuni punti da considerare:
1. Applicabilità del Regolamento:
Il Regolamento (UE) 2018/1725, su cui si basa la decisione dell’EDPS, si applica a tutte le organizzazioni che trattano dati personali nell’Unione Europea, indipendentemente dalla loro dimensione o settore.
2. Similarità con la Commissione Europea:
Molte aziende europee utilizzano Microsoft 365 in modo simile alla Commissione Europea, con il trasferimento di dati personali al di fuori dell’UE/EEA.
3. Rischio di inadeguatezza:
L’EDPS ha rilevato carenze nella protezione dei dati trasferiti da Microsoft 365 al di fuori dell’UE/EEA. Se tali carenze si verificano anche in altre aziende, potrebbero essere considerate in violazione del Regolamento.
4. Necessità di verifica:
Ogni azienda che utilizza Microsoft 365 dovrebbe valutare autonomamente la propria conformità al Regolamento, tenendo conto delle specificità del proprio caso.
5. Azioni da intraprendere:
Le aziende dovrebbero:
- Analizzare i trasferimenti di dati: Identificare tutti i tipi di dati personali trasferiti al di fuori dell’UE/EEA tramite Microsoft 365.
- Valutare le garanzie: Verificare se le garanzie adeguate, come le clausole contrattuali standard o le decisioni di adeguatezza, sono in atto per proteggere i dati trasferiti.
- Adottare misure correttive: Se necessario, implementare misure per rafforzare la protezione dei dati trasferiti, come la crittografia o la pseudonimizzazione.
