Microsoft 365 y datos personales en la Unión Europea

Tras una exhaustiva investigación, el Supervisor Europeo de Protección de Datos (SEPD) ha determinado que el uso de Microsoft 365 por parte de la Comisión Europea viola varias normativas fundamentales de protección de datos aplicables a las instituciones, organismos y entidades de la Unión Europea. La investigación reveló infracciones específicas al Reglamento (UE) 2018/1725, especialmente en lo que respecta a la transferencia de datos personales fuera del Espacio Económico Europeo (EEE) sin las garantías adecuadas para asegurar un nivel de protección esencialmente equivalente al garantizado dentro de la UE/EEE.

El contrato de la Comisión con Microsoft mostró deficiencias en la especificación de los tipos de datos personales recolectados y los fines explícitos y determinados para su uso en Microsoft 365. Además, se encontró que la Comisión, actuando como controlador de datos, no cumplió con los requisitos en el procesamiento y transferencia de datos personales.

El SEPD Wojciech Wiewiórowski subrayó la responsabilidad de las entidades de la UE de implementar medidas y salvaguardas robustas en la protección de datos, particularmente cuando se procesan datos personales fuera del EEE, para proteger la información de los individuos conforme a lo exigido por el Reglamento (UE) 2018/1725.

Como resultado, se ha ordenado a la Comisión suspender todas las transferencias de datos a Microsoft y sus filiales ubicadas en países fuera del EEE que no cuenten con una decisión de adecuación, a partir del 9 de diciembre de 2024. Además, la Comisión debe demostrar que el procesamiento de datos resultante de su uso de Microsoft 365 se ajusta al Reglamento (UE) 2018/1725 para la misma fecha.

El SEPD considera que las medidas correctivas impuestas son apropiadas, necesarias y proporcionales dada la gravedad y duración de las infracciones identificadas. Estas medidas toman en cuenta el amplio impacto de las infracciones y la importancia de no comprometer la capacidad de la Comisión para llevar a cabo sus tareas de interés público o ejercer su autoridad oficial.

Esta decisión, fechada el 8 de marzo de 2024, no excluye cualquier otra acción futura que el SEPD pueda emprender. Los detalles de las infracciones y las medidas correctivas impuestas se encuentran en el anexo del comunicado de prensa emitido el 11 de marzo de 2024.

Esta acción sigue a la investigación del SEPD sobre el uso de Microsoft 365 por parte de la Comisión, iniciada en mayo de 2021 tras la sentencia Schrems II, con el objetivo de verificar el cumplimiento de la Comisión con las recomendaciones previas del SEPD sobre el uso de productos y servicios de Microsoft por parte de las entidades de la UE. Esta investigación forma parte de la contribución del SEPD a la Acción Coordinada de Aplicación de 2022 del EDPB.

El Supervisor Europeo de Protección de Datos tiene la tarea de supervisar la protección de datos personales dentro de las instituciones y organismos de la UE, promover las mejores prácticas en privacidad y protección de datos, realizar investigaciones y colaborar con otras autoridades supervisoras para asegurar la consistencia en la protección de datos en toda la UE.