El Supervisor Europeo de Protección de Datos (EDPS) está evaluando si la Comisión Europea ha cumplido con las órdenes emitidas en su decisión del 8 de marzo de 2024 sobre el uso de Microsoft 365. La Comisión tenía hasta el 9 de diciembre de 2024 para demostrar conformidad con las regulaciones. Tres días antes de la fecha límite, la Comisión presentó un informe con documentación que está siendo analizada por el EDPS.
Antecedentes de la Investigación
El EDPS inició esta investigación en mayo de 2021, tras el fallo del Tribunal de Justicia de la UE en el caso Schrems II, que restringió la transferencia de datos personales a países sin protecciones equivalentes a las de la UE. Según el EDPS, el uso de Microsoft 365 por parte de la Comisión infringe varias disposiciones del Reglamento (UE) 2018/1725, incluyendo la transferencia de datos personales fuera del Espacio Económico Europeo (EEE).
En su decisión de marzo de 2024, el EDPS ordenó a la Comisión:
- Suspender las transferencias de datos personales a Microsoft y sus subcontratistas ubicados en países no amparados por decisiones de adecuación de la UE.
- Alinear las operaciones de procesamiento con las regulaciones europeas mediante medidas correctivas específicas.
El Debate sobre la Dependencia de Microsoft
Documentos internos han revelado preocupaciones dentro de la Comisión sobre su dependencia de Microsoft. Estos señalan riesgos como la falta de alternativas europeas competitivas, posibles aumentos de precios, y desafíos para garantizar la soberanía tecnológica de la UE.
Sin embargo, un portavoz de la Comisión afirmó que, actualmente, no existen alternativas funcionales equivalentes a Microsoft 365, aunque se están explorando iniciativas de software abierto a pequeña escala.
Desafíos y Repercusiones
El uso continuo de Microsoft 365 plantea preguntas no solo sobre privacidad, sino también sobre seguridad, ya que la plataforma no está autorizada para manejar documentos clasificados. La ausencia de alternativas europeas crea incentivos para clasificar datos como menos sensibles de lo que realmente son, según fuentes anónimas de las instituciones.
Adicionalmente, la Comisión ha impugnado la decisión del EDPS ante el Tribunal General de la UE, argumentando una interpretación incorrecta del reglamento. Mientras tanto, el EDPS ha reiterado que su decisión sigue siendo plenamente aplicable y que su análisis de los documentos presentados será exhaustivo.
Futuro de la Supervisión de Datos
La incertidumbre sobre la dirección del EDPS aumenta, ya que Wojciech Wiewiórowski, actual supervisor, enfrenta competencia para su reelección. Algunos expertos temen que un EDPS más alineado con la Comisión podría debilitar la independencia del organismo en cuestiones como la privacidad en la formación de IA o el uso de datos personales.
Con las audiencias y votaciones para elegir al nuevo supervisor programadas para enero de 2025, el uso de Microsoft 365 y la soberanía digital probablemente ocuparán un lugar central en el debate.
El caso subraya el delicado equilibrio entre garantizar la privacidad de los datos y mantener la funcionalidad operativa dentro de las instituciones de la UE.
vía: euroActive y EDPS
