Nuevo revés de Microsoft en la Unión Europea

marzo 24, 2024 0 Comments

Cuestionan a los productos de Microsoft por la privacidad
En los últimos años hemos cubierto las múltiples objeciones que los entes reguladores europeos y asiáticos ponen a los servicios en la nube estadounidenses y sus manejo de los datos personales.  En este caso hablaremos de un nuevo revés de Microsoft.

En realidad la que se lleva el tirón de orejas es la Comisión Europea y su decisión de utilizar Microsoft 365, la suite ofimática en la nube de la empresa estadounidense.

El nuevo revés de Microsoft

Para los que no estamos en el continente europeo, comencemos explicando que la Comisión Europea es una de las más importantes instituciones de la Unión.  Liderada por un presidente propuesto por el parlamento europeo y compuesta por un miembro por cada país integrante de la unión, tiene las siguientes funciones:

  • Proponer legislación para ser analizada y eventualmente aprobada por el Parlamento Europeo y el Consejo.
  • Ejecución de las políticas y presupuestos.
  • Vigilancia del cumplimiento de la legislación comunitaria.
  • Representación de la Unión en negociaciones internacionales.

El Supervisor Europeo de Protección de Datos (EDPS) es la autoridad supervisora independiente para la protección de datos personales y privacidad y promoción de buenas prácticas en las instituciones y cuerpos de la UE.

Los cuestionamientos

Para el Supervisor Europeo de Protección de Datos (EDPS) al utilizar Microsoft 365 la Comisión Europea violó las leyes de protección de datos de la Unión Europea.

Tras su investigación, el EDPS detectó que se infringieron varias disposiciones del Reglamento (UE) 2018/1725, la ley que establece que políticas de protección de datos deben implementar las instituciones, cuerpos, oficinas y agencias de la UE.  El EDPS puso la lupa en las que hablan sobre transferencias de datos personales fuera de la UE/Área Económica Europea (EEA).

Las quejas tienen que ver que en particular, con que la Comisión no estableció salvaguardas adecuadas para garantizar que los datos personales, cuando son transferidos fuera de la UE, cuenten con un nivel de protección similar al que debe propocionarse dentro de la  región. También se objeta que en el convenio  con Microsoft, la Comisión no dejó lo suficientemente en claro qué tipos de datos personales se van a recopilar y cuáles serán los objetivos explícitos y especificados al usar los productos de Microsoft. Otras fallas de la Comisión como controlador de datos tienen que ver con el procesamiento de datos, incluyendo las transferencias de datos personales, llevadas a cabo en su nombre.

En nombre de la entidad, Wojciech Wiewiórowski declaró:

Es responsabilidad de las instituciones, cuerpos, oficinas y agencias de la UE asegurar que cualquier procesamiento de datos personales dentro y fuera de la UE, incluyendo en el contexto de los servicios basados en la nube, esté acompañado de salvaguardas y medidas robustas de protección de datos. Esto es imperativo para garantizar que la información de las personas esté protegida, como requiere el Reglamento (UE) 2018/1725, siempre que sus datos sean procesados por, o en nombre de una entidad de la Unión.

Como resultado de su investigación, el EDPS dispuso ordenar a la Comisión, que a partir del  día 9 de diciembre de 2024, deberá  suspender todos los flujos de datos resultantes de la utilización de Microsoft 365 a Microsoft y a sus afiliados y subprocesadores que estén ubicados en países fuera de la UE y no hayan justificado su adecuación a la normativa.. El EDPS también determinó que la Comisión deberá hacer que las operaciones de procesamiento resultantes de su uso de Microsoft 365 tenderán que cumplir con el Reglamento (UE) 2018/1725. La Comisión estará obligada a demostrar el cumplimiento de ambas órdenes antes del 9 de diciembre de 2024.

Microsoft 365, es lo que anteriormente se conocía como Office 365. Se trata de un conjunto de servicios y software que combina los programas de escritorio de Microsoft Office además de servicios en la nube.

En el pasado, su uso ha sido cuestionado, al igual que el de su competidor Documentos de Google por enviar y almacenar datos fuera de la Unión Europea sin establecer las salvaguardas que cumplan con normativa que deben cumplir sus homólogos europeos.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.