A Comissão Europeia terá infringido várias regras fundamentais em matéria de proteção de dados, por utilizar o Microsoft 365. A Autoridade Europeia para a Proteção de Dados (em inglês, EDPS – European Data Protection Supervisor), responsável pelo controlo e regulamentação do cumprimento das regras de proteção de dados pelas instituições da União Europeia (UE), exige medidas.
Num comunicado, a EDPS revelou ter detetado que a Comissão Europeia violou várias disposições da legislação da UE em matéria de proteção de dados das instituições, órgãos e organismos do bloco. A investigação sobre a utilização dos serviços Microsoft 365 pela Comissão Europeia começou em maio de 2021 e o resultado foi divulgado hoje.
Nas disposições violadas, incluem-se aquelas relativas à transferência de dados pessoais para fora da UE e Espaço Económico Europeu (EEU).
No mesmo comunicado, a EDPS clarifica que a Comissão Europeia não assegurou que os dados pessoais transferidos para fora da UE ou EEU estivessem a beneficiar de um nível de proteção essencialmente equivalente ao garantido cá.
Mais do que isso, a EDPS aponta que, no seu contrato com a Microsoft, a Comissão Europeia não especificou o suficiente que tipo de dados pessoais iriam ser recolhidos e para que fins explícitos, aquando da utilização do Microsoft 365.
É da responsabilidade das instituições, órgãos, organismos e agências da UE assegurar que qualquer tratamento de dados pessoais fora e dentro da UE/ EEU, incluindo no contexto de serviços baseados na computação em nuvem, seja acompanhado de salvaguardas e medidas sólidas de proteção de dados.
Isto é imperativo para garantir que as informações das pessoas estão protegidas […].
Disse Wojciech Wiewiórowski.
A EDPS impôs, como resultado da violação pela Comissão Europeia, a obrigação de esta suspender todos os fluxos de dados resultantes da utilização do Microsoft 365. Do mesmo modo, a instituição deverá ajustar as operações que resultam da utilização desse serviço, de modo a cumprir o regulamento relativo à proteção de dados.
Segundo a EDPS, estas medidas são “apropriadas, necessárias e proporcionais, considerando a seriedade e a duração das infrações detetadas”.