Gdpr, la Commissione europea lo ha violato?

La Commissione europea ha violato le norme sulla protezione dei dati personali per le istituzioni, il Gdpr, usando Microsoft 365. Lo ha fatto sapere il Garante europeo per la protezione dei dati, a seguito di un’indagine aperta sull’esecutivo europeo, che ha evidenziato come la Commissione non sia stata in grado assicurare un livello adeguato di protezione ai dati trasferiti fuori dall’Unione europea o dallo Spazio economico europeo.

Secondo il Garante, Wojciech Wiewiórowski, la Commissione ha infranto diverse disposizioni del regolamento 1725 del 2018, relativo alla protezione dei dati raccolti e trattati all’interno delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione. Una violazione che ha origine dallo stesso contratto stipulato tra Microsoft e l’esecutivo, nel quale l’istituzione ha mancato di specificare quali dati siano raccolti e a quale scopo quando si utilizza Microsoft 365, che comprende World, Excel, PowerPoint, Outlook e altri applicativi.

Pertanto, la Commissione è ritenuta responsabile di aver infranto il Gdpr sia per quanto riguarda la raccolta che il trattamento illecito dei dati avvenuti per conto della stessa. “È responsabilità delle istituzioni, degli enti, degli uffici e delle agenzie europee garantire che qualsiasi trattamento di dati personali al di fuori e all’interno dello Spazio economico europeo o dell’Unione, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure di protezione dei dati”, ha detto Wiewiórowski.

Il Garante ha quindi imposto alla Commissione di interrompere l’invio dei dati raccolti tramite l’uso di Microsoft 365 verso Microsoft e le sue affiliate in paesi diversi da quelli europei e dello Spazio economico europeo, a partire dal 9 dicembre 2023, e garantire che le sue operazioni su tutti gli applicativi del sistema siano conformi al regolamento entro la stessa data. Per farlo, la Commissione dovrà mappare tutti i trasferimenti per individuarne destinatari, finalità e garanzie. Inoltre dovrà anche modificare i contratti per garantire il rispetto degli standard di sicurezza europei anche nel caso i dati vengano trasferiti in paesi terzi.

Fonte : Wired