El Comité Europeo de Protección de Datos (“CEPD”) inició su investigación en mayo de 2021, tras la sentencia de Schrems II para determinar el cumplimento de la Comisión Europea de la normativa de protección de datos, tras ya haberle emitido varias recomendaciones sobre el uso de los servicios como Microsoft, igual que a otros organismos de la Unión Europea (UE).
Fruto de esta investigación, esta semana el CEPD publicaba sus conclusiones sobre que la Comisión Europea ha infringido el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos. La infracción se ha materializado en el uso del servicio de Microsoft365, y que la infracción no ha sido de una, sino de varias obligaciones establecidas en la normativa de protección de datos:
1. Transferencias de datos personales a Estados Unidos (donde se encuentra la sede de Microsoft).
El uso del servicio de Microsoft365 tras la sentencia Schrems II, que dejaba sin efecto el Privacy Shield para las transferencias internacionales de datos desde el Espacio Económico Europeo y Estados Unidos, implicaba la necesidad de que la Comisión Europea llevará a cabo las transferencias en base a alguna de las garantías establecidas por la normativa. La infracción en este sentido se cometió por el hecho de que el organismo no proporcionó tales salvaguardas que garantizasen un nivel de protección adecuado de los datos transferidos a Estados Unidos.
2. Firma de un acuerdo de protección de datos con los encargados del tratamiento, con el contenido mínimo establecido en la normativa.
La Comisión Europea (responsable del tratamiento) firmó un acuerdo con Microsoft365 (encargado del tratamiento) para la prestación de servicios por parte de este último. En este acuerdo, se debieron haber concretado los datos personales a los que Microsoft iba a tener acceso y para qué finalidades específicas. Esta última información no se encontró en el acuerdo firmado entre ambas partes.
Como consecuencia por ambas infracciones, el CEPD ha ordenado a la Comisión Europea que suspenda cualquier comunicación de datos en favor de Microsoft fuera del EEE, así como llevar a cabo todas las acciones necesarias para cumplir con la normativa aplicable en materia de protección de datos. Ambas medidas correctivas impuestas a la Comisión Europea deberán ser demostradas a fecha de 9 de diciembre de 2024.