Carlos B Fernández. El Supervisor Europeo de Protección de Datos (SEPD) ha hecho público un comunicado por el que informa que la Comisión Europea ha infringido varias disposiciones del Reglamento (UE) 2018/1725 (LA LEY 18401/2018), de protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión.
En particular el Supervisor considera que la Comisión no ha proporcionado salvaguardias adecuadas para garantizar que los datos personales transferidos fuera de la Unión Europea o el Espacio Económico Europeo reciban un nivel de protección esencialmente equivalente al garantizado en la UE y en el EEE.
Además, en su contrato con Microsoft, la Comisión no especificó suficientemente qué tipos de datos personales deben recopilarse y para qué fines explícitos y específicos al utilizar Microsoft 365.
El Supervisor añade que muchas de las infracciones detectadas se refieren a todas las operaciones de tratamiento realizadas por la Comisión, o en su nombre, al utilizar Microsoft 365, y afectan a un gran número de personas.
En consecuencia, el SEPD ha impuesto una serie de medidas correctoras a la Comisión, a la que, además, amonesta en virtud del artículo 58, apartado 2, letra b), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018).
Infracciones apreciadas
El SEPD considera que desde el 12 de mayo de 2021 ("la fecha de referencia") y posteriormente de manera continuada hasta el 8 de marzo de 2024 ("la fecha de emisión de la decisión del SEPD"), la Comisión:
a) ha infringido el artículo 4, apartado 1, letra b), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018) al no:
- determinar de manera suficiente los tipos de datos personales recogidos en virtud del contrato de licencia interinstitucional 2021 celebrado con Microsoft Irlanda (“2021 ILA”) en relación con cada uno de los fines del tratamiento, de modo que dichos fines puedan especificarse y explicitarse;
- garantizar que se especifiquen y expliciten los fines para los que se permite a Microsoft recabar datos personales en virtud del 2021 ILA;
b) ha infringido el artículo 29, apartado 3, letra a), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018) al no haber determinado suficientemente en el 2021 ILA qué tipos de datos personales deben tratarse y con qué fines, y al no haber proporcionado instrucciones documentadas suficientemente claras para el tratamiento;
c) ha infringido los artículos 4, apartado 2, y 26, apartado 1, en relación con el artículo 30 del Reglamento (UE) 2018/1725 (LA LEY 18401/2018), al no garantizar que Microsoft trate datos personales para prestar sus servicios únicamente siguiendo instrucciones documentadas de la Comisión;
d) ha infringido el artículo 6 del Reglamento (UE) 2018/1725 (LA LEY 18401/2018), al no evaluar si los fines del tratamiento posterior son compatibles con los fines para los que se han recogido inicialmente los datos personales;
e) ha infringido el artículo 9 del Reglamento (UE) 2018/1725 (LA LEY 18401/2018), al no evaluar si es necesario y proporcionado
Medidas impuestas a la Comisión
En consecuencia, el Supervisor establece las siguientes medidas correctoras :
1. Ordenar a la Comisión, en virtud del artículo 58, apartado 2, letra j), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018) y con efectos a partir del 9 de diciembre de 2024, que suspenda todos los flujos de datos derivados de su uso de Microsoft 365 con destino a Microsoft y a sus filiales y subencargados del tratamiento, situados en terceros países no cubiertos por una decisión de adecuación según lo dispuesto en el artículo 47, apartado 1, del Reglamento, y que demuestre la aplicación efectiva de dicha suspensión (infracciones establecidas en los apartados 3.a y b, primer guión, y 4 infra);
2. Ordenar a la Comisión, con arreglo al artículo 58, apartado 2, letra e), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018), que ponga en conformidad las operaciones de tratamiento derivadas de su uso de Microsoft 365, y que demuestre dicha conformidad, a más tardar el 9 de diciembre de 2024. El SEPD considera que las medidas correctoras que impone son apropiadas, necesarias y proporcionadas a la luz de la gravedad y duración de las infracciones constatadas.
3. Emitir una amonestación a la Comisión en virtud del artículo 58, apartado 2, letra b), del Reglamento (UE) 2018/1725 (LA LEY 18401/2018).
El SEPD también tiene en cuenta la necesidad de no comprometer la capacidad de la Comisión para llevar a cabo sus tareas en interés público o ejercer el poder oficial que le ha sido conferido, y la necesidad de conceder el tiempo adecuado para que la Comisión aplique la suspensión prevista de las correspondientes flujos de datos y hacer que el procesamiento de datos cumpla con el Reglamento (UE) 2018/1725 (LA LEY 18401/2018).
Las medidas impuestas por el SEPD en su decisión de 8 de marzo de 2024 se entienden sin perjuicio de cualquier otra acción adicional que el SEPD pueda emprender.