Tras llevar a cabo una investigación, el Supervisor Europeo de Protección de Datos (en adelante, “EDPS”, por sus siglas en inglés), ha determinado que, a raíz del uso que hace de Microsoft 365, la Comisión Europea incumple varios aspectos en materia de protección de datos.
Entre otros, la investigación llevada a cabo por el EDPS, atribuye a la Comisión Europea (en su condición de responsable del tratamiento de los datos personales) los siguientes incumplimientos en materia de protección de datos:
- No haber proporcionado las garantías suficientes y adecuadas en lo que a transferencias internacionales se refiere. En concreto, el EPDS ha determinado que los datos personales transferidos fuera de la UE no recibían un nivel de protección equivalente al garantizado en la propia Unión Europea.
- No haber especificado de manera suficiente y clara en el Contrato de Encargo del Tratamiento (CET) con Microsoft el tipo de datos personales tratados, así como los fines explícitos y específicos que el tratamiento tenía.
Como consecuencia de la investigación y de los incumplimientos detectados, y a pesar de que no haya sanción económica, el EDPS ha instado a la Comisión Europea a que, antes del 9 de diciembre de 2024, (i) suspenda los flujos de datos resultantes del uso de Microsoft 365 a aquellos países no pertenecientes a la Unión Europea que no ofrezcan garantías adecuadas, y (ii) que ajuste a la normativa de protección de datos, las operaciones