Microsoft 365 e a proteção de dados

Categorias
Partilhar em

A Autoridade Europeia para a Proteção de Dados (EDPS) concluiu que, pela utilização do Microsoft 365, a Comissão Europeia infringiu diversas disposições do Regulamento Geral sobre a Proteção de Dados. Na sequência da sua investigação, foram essencialmente constatadas as seguintes infrações:

  • Violação do princípio da limitação das finalidades – O EDPS considerou que a Comissão falhou em assegurar a determinação e a explicitude das finalidades para as quais a Microsoft está autorizada a recolher dados pessoais ao abrigo do ILA 2021 (acordo de licenciamento interinstitucional de 2021, celebrado com a Microsoft Irlanda), em indicar os tipos de dados pessoais a serem recolhidos e em garantir a compatibilidade do processamento com as finalidades para as quais os dados foram inicialmente recolhidos. Ainda a este respeito, não foi possível determinar que a Microsoft processa dados pessoais apenas com base nas instruções documentadas da Comissão.
  • Incumprimento das regras de transferências de dados pessoais para fora da EU/EEE – Neste âmbito, o EDPS acusou a Comissão de não fornecer à Microsoft quaisquer instruções documentadas relativas às transferências de dados pessoais, bem como de não apresentar as salvaguardas necessárias para garantir que os dados transferidos beneficiam de um nível de proteção essencialmente equivalente ao existente no EEE.
  • Divulgações não autorizadas de dados pessoais – A Comissão não foi capaz de impedir transmissões de dados pessoais não autorizadas pela legislação europeia, por parte da Microsoft e dos seus subcontratantes, não se tendo igualmente verificado a aplicação de medidas técnicas e organizativas eficazes destinadas a garantir um processamento de acordo com o princípio da integridade e confidencialidade no EEE e, como parte de uma equivalência essencial do nível de proteção, também fora do EEE.

Como consequência, entre outras medidas corretivas, o EDPS ordenou à Comissão que suspendesse todos os fluxos de dados para a Microsoft, suas filiais e subcontratantes localizados em países que não se encontrem abrangidos por uma decisão de adequação e impôs a obrigação de garantir que todas as operações de tratamento resultantes da sua utilização do Microsoft 365 entrem em conformidade com o RGPD, tendo, para o efeito, sido definido 9 de dezembro de 2024 como a data limite para que a Comissão demonstre o cumprimento de ambas as ordens.

Utiliza o Microsoft 356 na sua organização? Garantiu o cumprimento das obrigações discutidas neste artigo? Conte connosco para garantir a conformidade legal da sua organização e contacte-nos através do e-mail geral@compliancematters.pt.

Comentários recentes

    Contactos

    Subscreva a nossa newsletter

    © Privacy Matters 2024

    proteção de dados