(Teleborsa) - L'uso del
software Microsoft da parte della Commissione Europea ha violato le norme sulla privacy dell'Unione Europea e l'esecutivo del blocco non ha implementato adeguate salvaguardie per i dati personali trasferiti a Paesi non appartenenti all'Unione Europea, ha dichiarato lunedì l'organo di vigilanza sulla privacy dell'UE.
Il
Garante europeo per la protezione dei dati (GEPD) ha ordinato alla Commissione di adottare misure per conformarsi alle norme sulla privacy e di interrompere il trasferimento di dati all'azienda statunitense e alle filiali situate in Paesi terzi che non hanno accordi sulla privacy con l'UE, fissando una scadenza al 9 dicembre.
La decisione del GEPD ha fatto seguito a un'indagine di tre anni innescata dalle preoccupazioni per il trasferimento di dati personali agli Stati Uniti, dopo le rivelazioni del 2013 dell'ex collaboratore dell'intelligence statunitense Edward Snowden sulla sorveglianza di massa degli Stati Uniti. "La Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell'UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'UE/SEE", ha dichiarato
l'organo di vigilanza in un comunicato.Inoltre, nel contratto con Microsoft, la Commissione non ha sufficientemente specificato quali tipi di dati personali devono essere raccolti e per quali scopi espliciti e specificati quando si utilizza Microsoft 365. Le violazioni della Commissione in qualità di titolare del trattamento riguardano anche il trattamento dei dati, compresi i trasferimenti di dati dati personali, effettuato per suo conto.
Wojciech Wiewiórowski, GEPD, ha dichiarato: "È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE (IUE) garantire che qualsiasi trattamento di dati personali all’esterno e all’interno dell’UE/SEE, anche nel contesto dei servizi basati su cloud , è accompagnato da solide garanzie e misure in materia di protezione dei dati. Ciò è fondamentale per garantire che le informazioni delle persone siano protette, come richiesto dal regolamento (UE) 2018/1725, ogni volta che i loro dati vengono trattati da o per conto di un’IUE".