En un nuevo informe sobre el “Acuerdo Interinstitucional de Licencias” (ILA) firmado por la Comisión Europea con Microsoft en 2018, el SEPD advierte a las instituciones de la UE que “consideren cuidadosamente cualquier compra de productos y servicios de Microsoft hasta después de haber analizado y aplicado las recomendaciones del SEPD”, diciendo que los compradores podrían tener poco o ningún control sobre el lugar donde se procesan los datos, cómo y por quién.
El informe del SEPD, considerado el ” vigilante” de la protección de datos en Europa, afirma que el acuerdo había concedido a Microsoft “derechos de enmienda unilateral de gran alcance, a pesar de la disposición expresa en contrario en los documentos negociados”.
Las disposiciones de contratos y la política de privacidad de Microsoft “ni siquiera permitían a las instituciones de la UE identificar la ubicación de todos los diferentes tipos de datos personales tratados en virtud del mismo”, escribe el SEPD, según el cual el acuerdo dejaba a Microsoft en condiciones de “revelar datos personales (incluidos los datos de los clientes, los datos de los administradores, los datos de pago y los datos de apoyo) a terceros, incluidos los organismos policiales u otros organismos gubernamentales”.
Los pliegos de cláusulas estándar de Microsoft que se incorporaron al acuerdo marco de la UE son modificados regularmente por Microsoft, señala la entidad, con nuevas versiones publicadas en su sitio web de licencias por volumen. Por lo tanto, “para Microsoft era posible hacer cambios de gran alcance en los términos de protección de datos de la ILA cambiando un conjunto de términos estándar incorporados en ella”.
El acuerdo estándar también permitió a Microsoft contratar nuevos sub-procesadores de datos sin la aprobación explícita de los usuarios cuyos datos estaban procesando. “Si las instituciones de la Unión Europea no aprobaban un servicio, su único recurso en virtud de los términos negociados de la ILA era terminar su suscripción al servicio online en cuestión. Si el servicio formaba parte de un paquete de servicios, el único recurso de las instituciones de la Unión Europea era poner fin a su suscripción por el paquete completo”. El SEPD llega a la conclusión de que este recurso contractual no tiene sentido en la práctica.
El SEPD escribe que las instituciones de la UE deberían considerar seriamente: “En primer lugar, garantizar que los datos tratados en su nombre se encuentren en la UE/EEE, y en segundo lugar, utilizar únicamente proveedores de servicios que no estén sujetos a leyes conflictivas de terceros países con alcance extraterritorial”.
Microsoft dice que está escuchando a los reguladores y a los clientes y que está dispuesta a ajustar sus normas a medida que “evolucionen las interpretaciones legales de las leyes europeas sobre privacidad”. Esto incluye la alineación con la reciente ley diseñada para las instituciones de la UE.
El informe completo está disponible en el sitio web del SEPD.
Ilustración: Sara Kurfe via Unsplash