L’Autorità europea per la protezione dei dati (GEPD) ha concluso che l’uso di Microsoft 365 da parte della Commissione europea ha violato diverse disposizioni chiave del regolamento dell’Unione relativo al trattamento dei dati personali da parte delle sue istituzioni. Queste includono, tra le altre cose, disposizioni sul trasferimento di dati personali verso paesi terzi non sicuri e l’indicazione delle categorie di dati personali e dello scopo del trattamento nell’accordo di trattamento. Le disposizioni sono simili a quelle del regolamento europeo sulla protezione personale e della legge islandese sulla protezione personale.
Il GEPD ha proposto alla Commissione di interrompere, a partire dal 9 dicembre, tutti i flussi di informazioni derivanti dall’uso di Microsoft 365 verso Microsoft, i suoi partner commerciali e i suoi subresponsabili del trattamento, situati al di fuori dello Spazio economico europeo e per i quali non è stata adottata una decisione sull’equivalenza 2024. Il GEPD ha inoltre proposto alla Commissione di ricondurre le operazioni di trattamento connesse all’utilizzo di Microsoft 365 sotto altri aspetti conformemente al regolamento in questione.