Após preocupações anteriores sobre violações de privacidade, a Comissão Europeia negociou com a Microsoft para reformar práticas de tratamento de dados pessoais associados ao uso do Microsoft 365 nas instituições públicas da UE.
Microsoft 365: infrações identificadas na Decisão de 2024 da AEPD
Segundo comunicado da CNPD, após ter recebido um relatório de conformidade em dezembro de 2024, a Autoridade Europeia de Proteção de Dados (AEPD), realizou vários debates com os serviços da Comissão para obter os esclarecimentos necessários.
Nessa base, e em especial na sequência da carta da Comissão de 3 de julho de 2025 sobre medidas adicionais aplicadas e programadas pela Comissão e pela Microsoft, a AEPD concluiu, na sua carta de 11 de julho, que as infrações identificadas na Decisão de 2024 da AEPD foram corrigidas.
- Limitação da finalidade
- Definiu claramente os tipos de dados tratados e as finalidades, assegurando que a Microsoft e os subcontratantes só processam dados conforme instruções específicas e apenas para fins públicos legítimos.
- Transferências internacionais
- Restringiu e regulou as transferências de dados para fora do EEE, exigindo decisões de adequação ou derrogações legais, com base em regras rigorosas e instruções vinculativas à Microsoft.
- Divulgações e notificações
- Estabeleceu que apenas a legislação da UE ou de Estados-Membros pode exigir a não notificação ou divulgação de dados. Regras semelhantes aplicam-se a países terceiros com proteção equivalente.
A Comissão disponibilizou estas melhorias no acordo com a Microsoft para outras instituições, órgãos e organismos da UE que utilizam o Microsoft 365, promovendo um padrão comum de conformidade com as regras de proteção de dados europeias.
A AEPD sublinha, no entanto, que esta resolução diz respeito apenas às disposições específicas do Regulamento (UE) 2018/1725 analisadas no processo, não constituindo uma confirmação da conformidade geral da Comissão com a totalidade do regulamento.