La Autoridad Europea de Protección de Datos (EDPS) ha concluido que el uso de Microsoft 365 por parte de la Comisión Europea violó varias disposiciones clave de la regulación de la Unión que tratan sobre el procesamiento de datos personales por parte de sus instituciones. Estos incluyen, entre otras cosas, disposiciones sobre la transferencia de información personal a terceros países inseguros y la especificación de categorías de información personal y el propósito del procesamiento en el acuerdo de procesamiento. Las disposiciones son similares a las del Reglamento Europeo de Protección Personal y la Ley de Protección Personal de Islandia.
El SEPD ha propuesto a la Comisión detener todos los flujos de información resultantes de su uso de Microsoft 365 hacia Microsoft, sus socios comerciales y subencargados, ubicados fuera del Espacio Económico Europeo y para los cuales no se ha tomado una decisión de equivalencia, a partir del 9 de diciembre. 2024. El SEPD también propuso a la Comisión adaptar las operaciones de tratamiento relacionadas con el uso de Microsoft 365 en otros aspectos de conformidad con el Reglamento en cuestión.
El comunicado de prensa del SEPD se puede leer aquí.