Sin categorizar

El impacto de la filtración de datos de Microsoft en los usuarios de la UE

Microsoft

¿Cómo infringió las normas de protección de datos el uso de Microsoft 365 por parte de la UE?

Una mirada detallada a cómo la Unión Europea utiliza Microsoft 365 ha revelado que la Comisión ha violado las directrices de protección de datos del grupo al utilizar este software basado en la nube.

Hoy, el Supervisor Europeo de Protección de Datos (SEPD) compartió sus hallazgos en un comunicado de prensa, afirmando que la Comisión violó «varias reglas importantes de protección de datos al usar Microsoft 365».

Wojciech Wiewiorowski, el supervisor de datos, explicó: «La Comisión no describió claramente qué tipos de datos personales se recopilarían y por qué motivos específicos cuando utilizaran Microsoft 365». También señaló que las violaciones de la Comisión como controlador de datos incluyen cómo se procesan y transfieren los datos personales en su nombre.

El SEPD ha fijado una fecha límite para que la Comisión solucione los problemas de cumplimiento que encontró antes del 9 de diciembre de 2024, siempre que la Comisión siga utilizando la suite de nube de Microsoft.

Se pidió a Microsoft y a la Comisión su opinión sobre las conclusiones del SEPD, pero ninguno de ellos había respondido cuando se redactó este artículo.

El regulador, responsable de garantizar que las instituciones de la UE sigan las normas de protección de datos, comenzó a investigar el uso de Microsoft 365 y otros servicios en la nube estadounidenses por parte de la Comisión en mayo de 2021.

La preocupación gira en torno a cómo Microsoft maneja los datos de los usuarios desde su servicio en la nube. Los reguladores de la UE han dado la alarma sobre esto durante varios años, específicamente sobre las razones legales por las que Microsoft dice que usa los datos, el lenguaje poco claro en sus contratos y la ausencia de medidas técnicas para garantizar que los datos solo se utilicen para proporcionar y mantener el servicio.

Cuando el SEPD empezó a investigar el asunto, no había ningún acuerdo para la transferencia de datos entre la Unión Europea y los Estados Unidos, como lo hacía el acuerdo UE-EE.UU. El Escudo de Privacidad había sido invalidado en julio de 2020.

Finalmente se alcanzó un nuevo acuerdo para las transferencias transatlánticas de datos que entró en vigor tres años después, en julio de 2023. Sin embargo, durante la mayor parte del tiempo que el SEPD estuvo investigando cómo la Comisión estaba utilizando Microsoft 365, todavía no hubo ningún acuerdo para gestionar las transferencias de datos de la UE a los EE.UU. Esto es preocupante porque el uso de Microsoft 365 a menudo significa que los datos se envían de vuelta a los servidores de Microsoft en los EE. UU.

El SEPD descubrió que la Comisión no proporcionó suficiente protección para los datos que se exportaban, lo que significa que el nivel de protección de estos datos no era equivalente al que recibirían en la UE.

Como resultado, el supervisor de datos ha ordenado a la Comisión que detenga todas las transferencias de datos procedentes de su uso de Microsoft 365 a Microsoft y sus socios en países fuera de la UE/EEE que no tengan una decisión de adecuación de la UE para las transferencias de datos, con una fecha límite. fijado para el 9 de diciembre.

Además, se ha pedido a la Comisión que lleve a cabo un ejercicio de mapeo para aclarar qué datos personales se envían a qué destinatarios en otros países, por qué motivos y qué salvaguardas existen, incluida cualquier transferencia adicional. También debe garantizar que cualquier transferencia de datos a países no pertenecientes a la UE sin una decisión de adecuación se produzca únicamente para tareas necesarias dentro de las responsabilidades del responsable del tratamiento.

En un contexto más amplio, el SEPD ha pedido a la Comisión que actualice sus contratos con Microsoft para garantizar que incluyan todas las cláusulas legales, pasos organizativos y medidas técnicas requeridas. Esto es para garantizar que los datos personales solo se recopilen por motivos claros y específicos, y que esos motivos estén bien definidos en lo que respecta a cómo se procesan los datos.

Según la orden, Microsoft y sus filiales o subencargados del tratamiento sólo pueden manejar datos basándose en instrucciones claras de la Comisión. Si el procesamiento se realiza en la región, debe seguir las leyes de la UE o de los Estados miembros. Si tiene lugar fuera de la región, los datos deben procesarse según las leyes de un tercer país que ofrezca niveles similares de protección.

Los contratos también deben establecer que los datos no se pueden utilizar para ningún otro motivo que no sea el propósito original para el que fueron recopilados.

El SEPD señaló que la Comisión no respetó la regla de “limitación de finalidad”, que es una parte clave de las normas de protección de datos. No identificaron claramente qué datos personales se estaban recopilando en virtud del acuerdo de licencia con Microsoft Irlanda, lo que les impidió asegurarse de que los datos estuvieran claramente definidos y fueran específicos.

Además, la UE no dio a Microsoft instrucciones claras sobre cómo procesar los datos, no limitó el procesamiento de acuerdo con esas instrucciones y no verificó si el uso posterior de los datos por parte de Microsoft coincidía con el propósito inicial para el cual fueron recopilados. Éstas son sólo algunas de las violaciones de las normas observadas por el SEPD.

En una declaración, Wiewiorowski subrayó:

Es esencial que las instituciones, órganos, oficinas y agencias de la UE se aseguren de que cualquier manejo de datos personales, ya sea dentro o fuera de la UE/EEE y especialmente en los servicios en la nube, siga estrictas medidas de protección de datos. Esto es vital para salvaguardar la información de las personas según lo exige el Reglamento (UE) 2018/1725 siempre que sus datos sean procesados ​​por una EUI o en nombre de ella.

En los últimos años, Microsoft ha tomado medidas para abordar las crecientes preocupaciones de las regulaciones de la UE con respecto a las transferencias de datos. Lanzaron una iniciativa para mantener los datos localizados, particularmente para los clientes de la nube en la región, llamada «Límite de datos de la UE para la nube de Microsoft». Aun así, esta configuración técnica todavía se está implementando.

Microsoft señaló que algunos datos seguirán utilizándose fuera de la UE, aunque planean completar el anuncio a finales de año. Necesitan examinar cuidadosamente por qué. Dijeron en una conferencia de prensa que confían en cumplir con las leyes de protección de datos tanto prácticas como legales.

También dijeron que habían realizado «una serie de mejoras» en su contrato con el SEPD a lo largo de la investigación. Hay preguntas. La Comisión confirmó que está lista para implementar las recomendaciones del SEPD y destacó que la protección de datos es su máxima prioridad.

«La Comisión se dedica a garantizar que su uso de Microsoft M365 siga las reglas de protección de datos, y este compromiso se extiende a todo el resto del software que adquiere», mencionaron. Continuaron diciendo: «El 11 de diciembre de 2018 entraron en vigor nuevas normas de protección de datos para las instituciones y organismos de la UE. La Comisión está trabajando arduamente para establecer marcos sólidos y seguros para trabajar con socios internacionales. Estas normas guían todos nuestros procesos y contratos. , incluidos aquellos con empresas como Microsoft».

Si bien la Comisión ha subrayado públicamente su dedicación a cumplir los requisitos legales, también expresó su preocupación de que «seguir la decisión del SEPD pueda afectar negativamente al nivel actual de servicios de TI móviles e integrados».

«Esta situación podría afectar no sólo a Microsoft sino también a otros servicios comerciales de TI. Sin embargo, debemos revisar cuidadosamente los resultados de la decisión y las razones detrás de ellos. No podemos hacer más comentarios hasta que nuestro análisis esté completo», agregaron.

Windows OEM frente a venta minorista: ¿cuál es el adecuado para usted?

Al elegir entre Windows OEM y Retail, considere sus necesidades:

OEM (fabricante de equipos originales): normalmente está preinstalado en PC nuevas y está vinculado al hardware en el que se activó por primera vez. Suele ser más barato pero carece de transferibilidad a otro dispositivo.

Minorista: se compra por separado y ofrece flexibilidad para transferir la licencia a una nueva PC si es necesario. También incluye soporte completo de Microsoft.

Si planea actualizar su hardware con frecuencia o necesita soporte de Microsoft, Retail es la mejor opción. Para una opción económica en un solo dispositivo, OEM es adecuado.

Diez consejos probados para optimizar Windows 11 para obtener un mejor rendimiento

Actualizar Windows

Deshabilitar programas de inicio

Desinstalar software innecesario

Ajustar la configuración de energía

Limpiar espacio en disco

Desfragmente su disco duro

Administrar efectos visuales

Deshabilitar aplicaciones en segundo plano

Optimizar el almacenamientoUtilice el solucionador de problemas de rendimiento