• Privacy - Trasferimenti di dati verso l’estero -Pubblica Amministrazione

20 marzo 2024

L'uso di Microsoft 365 da parte della Commissione europea viola le norme sulla protezione dei dati

Con decisione dell’8 marzo 2024, a conclusione di un’indagine condotta, il Garante europeo della protezione dei dati (European Data Protection Supervisor o EDPS), ha dichiarato che la Commissione europea ha violato diverse norme fondamentali sulla protezione dei dati utilizzando Microsoft 365.


L’EDPS ha riscontrato che la Commissione europea ha violato diverse disposizioni del Regolamento (UE) 2018/1725, ossia la normativa dell'UE sulla protezione dei dati delle istituzioni, degli organi e degli organismi dell'UE (IUE), tra cui quelle sui trasferimenti di dati personali al di fuori dell’UE/Spazio economico europeo (SEE). In particolare, la Commissione non ha fornito garanzie adeguate per assicurare che ai dati personali trasferiti al di fuori dell’UE/SEE venga concesso un livello di protezione sostanzialmente equivalente a quello garantito nell’UE/SEE.

Inoltre, nel contratto con Microsoft, la Commissione non ha precisato a sufficienza quali tipologie dei dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365.

 Le violazioni della Commissione in qualità di responsabile del trattamento dei dati riguardano anche il trattamento dei dati effettuato per suo conto, compresi i trasferimenti di dati personali

Il Garante europeo della protezione dei dati, Wojciech Wiewiórowski, ha dichiarato:

“È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE (IUE) garantire che qualsiasi trattamento di dati personali all’esterno e all’interno dell’UE/ SEE, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure in materia di protezione dei dati. Ciò è fondamentale per garantire che le informazioni personali siano protette, come richiesto dal regolamento (UE) 2018/1725, ogni volta che i dati sono trattati da, o per conto di, un IUE."

L’EDPS ha pertanto deciso di ordinare alla Commissione europea, a partire dal 9 dicembre 2024, di sospendere tutti i flussi di dati derivanti dall'utilizzo di Microsoft 365 verso Microsoft e le sue affiliate e subincaricati del trattamento situati in paesi al di fuori dell’UE/SEE non coperti da una decisione di adeguatezza. Ha inoltre ordinato alla Commissione di conformare le operazioni di trattamento derivanti dall'utilizzo di Microsoft 365 al Regolamento (UE) 2018/1725.

La Commissione ha tempo fino al 9 dicembre 2024 per dimostrare il rispetto delle misure imposte dall’EDPS.

Il Garante europeo della protezione dei dati ritiene che le misure correttive stabilite siano adeguate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate, in quanto molte delle violazioni accertate riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, quando si utilizza Microsoft 365, e colpiscono un gran numero di persone.

Nel dettaglio, come si legge nel comunicato pubblicato dal Garante europeo, le misure correttive imposte in relazione alle violazioni compiute dalla Commissione sono le seguenti:

1.1. ordinare alla Commissione, ai sensi dell'articolo 58, paragrafo 2, lettera j), del Regolamento (UE) 2018/1725 e con effetto dal 9 dicembre 2024, di sospendere tutti i flussi di dati derivanti dall'uso di Microsoft 365 verso Microsoft e le sue affiliate e sub-responsabili del trattamento, ubicati in paesi terzi non coperti da una decisione di adeguatezza di cui all'articolo 47, paragrafo 1, del Regolamento, e dimostrare l'effettiva attuazione di tale sospensione (violazioni di cui ai paragrafi 3.a e b, primo trattino, e 4 sotto);

1.2. ordinare alla Commissione, ai sensi dell'articolo 58, paragrafo 2, lettera e), del Regolamento (UE) 2018/1725, di rendere conformi le operazioni di trattamento risultanti dall'utilizzo di Microsoft 365 e di dimostrare tale conformità, entro il 9 dicembre 2024:

1.2.1. effettuando un esercizio di mappatura dei trasferimenti così da identificare quali dati personali vengono trasferiti a quali destinatari in quali paesi terzi, per quali scopi e soggetti a quali garanzie, compresi i trasferimenti successivi;

1.2.2. garantendo che tutti i trasferimenti verso paesi terzi avvengano esclusivamente per consentire lo svolgimento di compiti di competenza del titolare;

1.2.3. garantendo, mediante disposizioni contrattuali stipulate ai sensi dell'articolo 29, comma 3, del  Regolamento (UE) 2018/1725 e altre misure organizzative e tecniche, che:

a) tutti i dati personali sono raccolti per finalità esplicite e determinate;

b) le tipologie di dati personali sono sufficientemente determinate rispetto alle finalità per le quali sono trattati (violazioni elencate al successivo paragrafo 2.a e b);

c) qualsiasi trattamento da parte di Microsoft o delle sue affiliate o sub-responsabili del trattamento viene effettuato solo sulla base delle istruzioni documentate della Commissione, a meno che, per il trattamento all'interno del SEE, sia richiesto dalla legislazione dell'UE o degli Stati membri, o, per il trattamento al di fuori del SEE, sia richiesto dalla legislazione di un paese terzo che garantisce un livello di protezione sostanzialmente equivalente a quello del SEE, a cui sono soggetti Microsoft o i suoi sub-responsabili del trattamento;

d) nessun dato personale è ulteriormente trattato in modo non compatibile con le finalità per le quali i dati sono raccolti, secondo i criteri previsti dall'articolo 6 del Regolamento (UE) 2018/1725;

e) qualsiasi trasmissione a Microsoft Ireland o alle sue affiliate e subresponsabili del trattamento ubicati nel SEE è conforme all'articolo 9 del Regolamento (UE) 2018/1725;

f) per i dati personali trattati nel SEE, solo il diritto dell'UE o degli Stati membri vieta la notifica alla Commissione di una richiesta di divulgazione e, per i dati personali trattati al di fuori del SEE, qualsiasi divieto di tale notifica costituisce una misura necessaria e proporzionata nel contesto di una società democratica che rispetti l'essenza dei diritti e delle libertà fondamentali riconosciuti dalla Carta, come previsto dall'articolo 29, paragrafo 3, lettera a), del Regolamento (UE) 2018/1725, in particolare come interpretata alla luce della sentenza Schrems II;

g) non avviene alcuna divulgazione di dati personali da parte di Microsoft o dei suoi sub-responsabili  del trattamento, a meno che, per i dati personali trattati all'interno del SEE, la divulgazione sia richiesta dalla legislazione dell'UE o degli Stati membri o, per i dati personali trattati al di fuori del SEE, la divulgazione sia richiesta dalla legislazione di un paese terzo che garantisce un livello di protezione sostanzialmente  equivalente a quello del SEE, a cui sono soggetti Microsoft o i suoi sub-responsabili del trattamento.

1.3. rivolgere un richiamo alla Commissione ai sensi dell'articolo 58, paragrafo 2, lettera b), del Regolamento (UE) 2018/1725.