La Comisión Europea falla en protección de datos

Los ciudadanos de la Unión Europea contamos, para nuestra suerte, con el Supervisor Europeo de Protección de Datos, y la Comisión Europea vela por garantizar que lo determinado en este marco legal se cumpla a rajatabla, y se apoya en el SEPD para verificar que no se producen infracciones en este sentido. Los reguladores, como ya sabes, vigilan constantemente (o al menos así debería ser) y en todas direcciones. No en vano, una de las maneras de denominarlos en el mundo anglosajón es watchdogs, es decir, perros guardianes.

Pues bien, aquí tenemos una noticia que es buena y es mala al mismo tiempo, según la lectura que queramos hacer de la misma. La lectura positiva es que el SEPD ha dado sobradas muestras de no poner cortapisas a sus obligaciones, aún cuando hacerlo pudiera interpretarse como morder la mano que le da de comer, todo un ejemplo a seguir. La mala, según informa el propio regulador, es que la Comisión Europea ha infringido la ley de protección de datos para las instituciones y organismos de la UE.

El problema tiene su origen en la utilización, por parte de la Comisión Europea, de Microsoft 365, un conjunto de herramientas que, pese a estar totalmente adaptado a la GDPR, tiene algunas carencias en lo referido a la normativa que regula, de manera específica, los niveles de protección de todas las entidades asociadas a la UE. Y es importante, eso sí, poner el foco en este punto, puesto que la Unión Europea establece regulaciones más estrictas para sus dependencias de lo que lo son las de carácter general.

El problema, según la investigación llevada a cabo por el SEPD, es que la Comisión Europea ha infringido varias disposiciones del Reglamento (UE) 2018/1725, entre las que destaca las relacionadas con las transferencias de datos personales fuera de la UE, un asunto que, como sabes, ha llevado de cabeza a tecnológicas estadounidenses desde hace ya bastantes años. Y es que, en este sentido, la normativa exige que, en estos movimientos de datos comunitarios, se debe garantizar el mismo nivel de protección del que gozan los datos en el espacio común. Así es como se explica en el comunicado oficial:

«En particular, la Comisión no ha proporcionado salvaguardias adecuadas para garantizar que los datos personales transferidos fuera de la UE/EEE reciban un nivel de protección esencialmente equivalente al garantizado en la UE/EEE. Además, en su contrato con Microsoft, la Comisión no especificó suficientemente qué tipos de datos personales deben recopilarse y para qué fines explícitos y específicos al utilizar Microsoft 365 . Las infracciones de la Comisión como responsable del tratamiento de datos también se refieren al tratamiento de datos , incluidas las transferencias de datos personales, realizado por su cuenta .»

Así, el SEPD obliga a la Comisión Europea a suspender todos los flujos de datos resultantes de su uso de Microsoft 365 hacia Microsoft y sus filiales ubicadas en países fuera de la UE y que no estén cubiertos por un decisión de adecuación, es decir, que no garanticen el nivel de protección adecuado. Eso sí, el regulador ha concedido de plazo hasta el 9 de diciembre de 2024, con el fin de que puedan llevar a cabo todas las tareas necesarias para solventar el problema, sin que esto incida en la operativa de la Comisión.