NEWS

L'utilizzo di Microsoft 365 da parte della Commissione UE viola la normativa europea sulla privacy

L'uso del software Microsoft 365 da parte della Commissione Europea viola diverse prescrizioni della normativa sulla privacy dell'Unione Europea e l'esecutivo non ha implementato adeguate salvaguardie per i dati personali trasferiti a Paesi non appartenenti all'Unione Europea.

l'uso del software Microsoft 365 da parte della Commissione europea viola le regole europee sulla privacy.

Il Garante europeo per la protezione dei dati (European Data Protection Supervisor) ha ordinato alla Commissione europea di adottare misure per conformarsi alle norme sulla privacy e di interrompere il trasferimento di dati all'azienda statunitense e alle filiali situate in Paesi terzi che non hanno accordi sulla privacy con l'UE, fissando una scadenza al 9 dicembre 2024.

La decisione del Garante UE ha fatto seguito a un'indagine di tre anni innescata dalle preoccupazioni per il trasferimento di dati personali agli Stati Uniti, dopo le rivelazioni del 2013 dell'ex collaboratore dell'intelligence statunitense Edward Snowden sulla sorveglianza di massa degli Stati Uniti. "La Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell'UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'UE/SEE" - ha dichiarato l'autorità - sostenenendo che le misure correttive imposte “siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate. Molte delle violazioni riscontrate riguardano infatti tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, nell’utilizzo di Microsoft 365, e hanno un impatto su un gran numero di persone”.

Il Garante europeo Wojciech Wiewiórowski ha sottolineato che “È responsabilità delle istituzioni, degli organi, degli uffici e agenzie (IUE) per garantire che qualsiasi trattamento di dati personali al di fuori e all'interno dell'UE/SEE, incluso nel contesto dei servizi basati su cloud, è accompagnato da solide garanzie e misure di protezione dei dati. Questo è fondamentale per garantire che le informazioni personali siano protette, come richiesto dal Regolamento UE 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di un IUE."

Inoltre, nel contratto con Microsoft, la Commissione non ha sufficientemente specificato quali tipi di dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365. Le violazioni della Commissione in qualità di titolare del trattamento riguardano anche il trattamento dei dati, compresi i trasferimenti di dati dati personali, effettuato per suo conto.

Fonte: EDPS

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Vendita all’asta di dati personali on line per fini pubblicitari, il chiarimento della Corte di Giustizia UE
Next Il ruolo del Data Protection Officer nella gestione delle risorse umane con i sistemi di intelligenza artificiale

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy