Microsoft 365 ha sanato le sue falle nella privacy europea e ora è conforme alle norme sulla protezione dei dati per le istituzioni e gli organi dell'UE
A seguito di un procedimento condotto dal Garante europeo della protezione dei dati (EDPS), che l'8 marzo 2024 aveva individuato una serie di violazioni e imposto misure correttive, adesso la Commissione europea ha ratificato la conformità al Regolamento UE 2018/1725 in relazione all'uso di Microsoft 365 esaminato dall’autorità per la privacy dell’UE.
Dopo aver ricevuto una relazione di conformità nel dicembre 2024, il Garante dell’UE ha tenuto diverse discussioni con i servizi della Commissione per ottenere i chiarimenti necessari. Su tale base, e in particolare a seguito della lettera della Commissione del 3 luglio 2025 sulle misure supplementari attuate e programmate dalla Commissione e da Microsoft, l’EDPS ha concluso nella sua lettera dell'11 luglio che le violazioni individuate nella sua decisione del 2024 sono state finalmente sanate.
Wojciech Wiewiórowski, Garante della privacy dell’UE ha dichiarato: "Grazie alla nostra indagine approfondita e al seguito dato dalla Commissione Europea, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità alla protezione dei dati nell'uso di Microsoft 365 da parte della Commissione."
I principali miglioramenti e misure di conformità applicati da Microsoft 365 e ottenuti dalla Commissione comprendono:
Limitazione della finalità - La Commissione ha esplicitamente specificato i tipi di dati personali trattati e le finalità del trattamento nell'uso di Microsoft 365. Attraverso misure contrattuali, tecniche e organizzative aggiornate, ha garantito che Microsoft e i sub-responsabili del trattamento trattino i dati esclusivamente sulla base di istruzioni documentate e solo per scopi specifici nell'interesse pubblico. La Commissione ha inoltre garantito che l'ulteriore trattamento sia effettuato, all'interno dello Spazio economico europeo (SEE), come richiesto dal diritto dell'UE o degli Stati membri o, al di fuori del SEE, nel rispetto del diritto dei paesi terzi che garantisce un livello di protezione sostanzialmente equivalente a quello europeo.
Trasferimenti verso Paesi Terzi - La Commissione ha inoltre determinato i destinatari e le finalità specifici per i quali è consentito trasferire i dati personali nell'uso di Microsoft 365 e ha garantito il rispetto dell'articolo 47 del Regolamento (UE) 2018/1725. A ciò si aggiungono le misure tecniche e organizzative attuate dalla Commissione e da Microsoft, che riducono in tal modo la possibilità che si verifichino trasferimenti verso paesi terzi non oggetto di una decisione di adeguatezza. I trasferimenti al di fuori dell'UE sono ora limitati ai paesi elencati nel contratto modificato e si basano su decisioni di adeguatezza o sulla deroga per importanti motivi di interesse pubblico, a norma dell'articolo 50, paragrafo 1, lettera d), del Regolamento UE 2018/1725. La Commissione ha inoltre impartito istruzioni vincolanti alla Microsoft e ai suoi sub-responsabili al riguardo.
Divulgazioni e notifiche - Ulteriori disposizioni contrattuali garantiscono che solo il diritto dell'UE o degli Stati membri possa imporre a Microsoft o ai suoi sub-responsabili del trattamento di omettere la notifica alla Commissione delle richieste di divulgazione di dati personali nell'uso di Microsoft 365 da parte della Commissione trattati all'interno del SEE o di divulgare tali dati. Per i dati trattati al di fuori del SEE, lo stesso può essere richiesto dal diritto di un paese terzo purché fornisca una protezione sostanzialmente equivalente. Tutto ciò integra le misure tecniche e organizzative esistenti attuate dalla Commissione e da Microsoft per i dati personali trattati all'interno e all'esterno del SEE.
Alla luce delle misure adottate, la situazione fattuale è sostanzialmente cambiata rispetto a quella esaminata nella decisione del GEPD dell'8 marzo 2024. Di conseguenza, l’EDPS ha constatato che le violazioni riscontrate sono state sanate e ha pertanto chiuso il procedimento.
Fonte: Eurpean Data Protection Supervisor
