El Supervisor Europeo de Protección de Datos ha expresado serias preocupaciones sobre los acuerdos contractuales de Microsoft con las instituciones de la UE, diciendo que no cumplen completamente con el GDPR del bloque, la legislación de protección de datos de la UE.
Microsoft ya ha tomado medidas para mejorar su cumplimiento de GDPR al abrir centros de datos europeos para el manejo de datos locales y ofrecer nuevas opciones para datos de telemetría.
"Estamos en conversaciones con nuestros clientes en las instituciones de la UE y pronto anunciaremos cambios contractuales que abordarán inquietudes como las planteadas por el SEPD", anunció un portavoz de Microsoft.
Las Reglas GDPR que reemplazaron a la Directiva de Protección de Datos se introdujeron en 2018 para armonizar la ley de privacidad de datos en toda Europa como una forma de proteger mejor la privacidad de los ciudadanos y remodelar la forma en que las organizaciones en toda Europa abordan la privacidad de datos.
Las prácticas de recopilación de datos de Microsoft fueron analizadas por primera vez por el Ministerio de Justicia y Seguridad de los Países Bajos, que examinó el impacto de la configuración de telemetría de Windows sobre qué datos se envían a Microsoft y si estos datos se procesan en la UE o los EE. UU.
En julio, el gobierno holandés publicó un memorando que indicaba que Microsoft había resuelto en gran medida ciertos problemas relacionados con las aplicaciones móviles de Office y Office 365, ninguno de los cuales cumplía con los requisitos de GDPR.
“Microsoft ha realizado los cambios más urgentes de acuerdo con el plan de mejora. Estos fueron probados por SLM Microsoft Rijk en junio de 2019 y se encontró que estaban en orden ”, dijo el gobierno holandés después de su investigación. Esto llevó al Supervisor Europeo de Protección de Datos a emitir su propia declaración diciendo: "El SEPD es de la opinión de que tales soluciones deberían extenderse no solo a todos los organismos públicos y privados de la UE, que es nuestra expectativa a corto plazo".
Aunque Microsoft ha realizado una serie de cambios, el SEPD ha dicho que las correcciones deberían extenderse a todos los contratos de la UE.
"Hasta que Microsoft tome medidas para mitigar estos riesgos, las organizaciones gubernamentales deben abstenerse de usar Office Online y las aplicaciones móviles de Office incluidas en la licencia de Office 365", dijo el SEPD.
Tras la investigación de los Países Bajos, el SEPD y el Ministerio de Justicia y Seguridad de los Países Bajos establecieron el Foro de La Haya, cuyo objetivo es obtener el control sobre los servicios y productos de TI ofrecidos por los principales proveedores de servicios y crear contratos estándar y generales en lugar de los términos y condiciones y las grandes empresas de TI.
"Esperamos que la creación del Foro de La Haya y los resultados de nuestra investigación ayuden a mejorar el cumplimiento de la protección de datos de todas las instituciones de la UE, pero también estamos comprometidos a impulsar un cambio positivo fuera de las instituciones de la UE, a fin de garantizar el máximo beneficio para tantas personas como sea posible ", dijo el asistente del supervisor europeo de protección de datos Wojciech Wiewiorowski.