La Commissione Europea si trova al centro di una spinosa questione sollevata dall’EDPS, il Garante europeo della protezione dei dati personali. L’accusa? La violazione delle norme sulla privacy nell’utilizzo del software Microsoft. Secondo l’ente di vigilanza, la Commissione non ha solo infranto le regole interne ma, aspetto ancora più critico, ha omesso di implementare adeguate misure di protezione per i dati trasferiti al di fuori dell’Unione Europea, in particolare verso gli Stati Uniti.
Questa lacuna potrebbe potenzialmente esporre informazioni sensibili a programmi di sorveglianza straniera. La decisione del Garante privacy dell’UE giunge al termine di una lunga indagine triennale. “La Commissione non è riuscita a fornire garanzie adeguate per assicurare che i dati personali trasferiti fuori dall’UE/SEE godano di un livello di protezione essenzialmente equivalente a quello garantito all’interno dell’Unione”, ha dichiarato l’EDPS in una nota. L’SEE (Spazio Economico Europeo) comprende i 27 paesi dell’UE più Islanda, Liechtenstein e Norvegia.
Oltre al mancato rispetto delle procedure per il trasferimento dei dati extra-UE, l’EDPS ha riscontrato carenze anche nel contratto stipulato con Microsoft. “Il contratto tra la Commissione e Microsoft non specifica in modo sufficiente quali tipi di dati personali possono essere raccolti e per quali scopi espliciti e specifici nell’utilizzo di Microsoft 365”, ha sottolineato l’EDPS. Microsoft 365 è la suite che comprende Word, Excel, PowerPoint e Outlook, strumenti ampiamente utilizzati per la produttività e la comunicazione interna.
La mancanza di chiarezza sui dati raccolti e sulle finalità del loro utilizzo desta preoccupazioni per la privacy dei cittadini europei. Per questo motivo, l’autorità per la protezione dei dati ha ordinato alla Commissione di sospendere tutti i trasferimenti di dati derivanti dall’utilizzo di Microsoft 365 verso Microsoft, le sue affiliate e sub-fornitori situati in Paesi extra-europei non coperti da una decisione di adeguatezza.
La Commissione Europea si trova ad affrontare una sfida cruciale. Entro il 9 dicembre 2024 dovrà dimostrare di aver risolto le criticità relative alla privacy emerse nell’utilizzo del software Microsoft 365. La posta in gioco è la tutela dei dati personali di un numero considerevole di cittadini europei.