Europa recomienda a sus organizaciones considerar detenidamente los contratos con Microsoft

El Supervisor Europeo de Protecci贸n de Datos (SEPD) ha advertido que Microsoft ha tenido carta blanca para cambiar unilateralmente las reglas sobre c贸mo recog铆a los datos de m谩s de 45.000 funcionarios europeos. Seg煤n la entidad, los mecanismos contractuales para las instituciones disconformes con los cambios “no tienen sentido en la pr谩ctica”.

En un nuevo informe sobre el “Acuerdo Interinstitucional de Licencias” (ILA) firmado por la Comisi贸n Europea con Microsoft en 2018, el SEPD advierte a las instituciones de la UE que “consideren cuidadosamente cualquier compra de productos y servicios de Microsoft hasta despu茅s de haber analizado y aplicado las recomendaciones del SEPD”, diciendo que los compradores podr铆an tener poco o ning煤n control sobre el lugar donde se procesan los datos, c贸mo y por qui茅n.

El informe del SEPD, considerado el ” vigilante” de la protecci贸n de datos en Europa, afirma que el acuerdo hab铆a concedido a Microsoft “derechos de enmienda unilateral de gran alcance, a pesar de la disposici贸n expresa en contrario en los documentos negociados”.

Las disposiciones de contratos y la pol铆tica de privacidad de Microsoft “ni siquiera permit铆an a las instituciones de la UE identificar la ubicaci贸n de todos los diferentes tipos de datos personales tratados en virtud del mismo”, escribe el SEPD, seg煤n el cual el acuerdo dejaba a Microsoft en condiciones de “revelar datos personales (incluidos los datos de los clientes, los datos de los administradores, los datos de pago y los datos de apoyo) a terceros, incluidos los organismos policiales u otros organismos gubernamentales”.

Los pliegos de cl谩usulas est谩ndar de Microsoft que se incorporaron al acuerdo marco de la UE son modificados regularmente por Microsoft, se帽ala la entidad, con nuevas versiones publicadas en su sitio web de licencias por volumen. Por lo tanto, “para Microsoft era posible hacer cambios de gran alcance en los t茅rminos de protecci贸n de datos de la ILA cambiando un conjunto de t茅rminos est谩ndar incorporados en ella”.

El acuerdo est谩ndar tambi茅n permiti贸 a Microsoft contratar nuevos sub-procesadores de datos sin la aprobaci贸n expl铆cita de los usuarios cuyos datos estaban procesando. “Si las instituciones de la Uni贸n Europea no aprobaban un servicio, su 煤nico recurso en virtud de los t茅rminos negociados de la ILA era terminar su suscripci贸n al servicio online en cuesti贸n. Si el servicio formaba parte de un paquete de servicios, el 煤nico recurso de las instituciones de la Uni贸n Europea era poner fin a su suscripci贸n por el paquete completo”. El SEPD llega a la conclusi贸n de que este recurso contractual no tiene sentido en la pr谩ctica.

El SEPD escribe que las instituciones de la UE deber铆an considerar seriamente: “En primer lugar, garantizar que los datos tratados en su nombre se encuentren en la UE/EEE, y en segundo lugar, utilizar 煤nicamente proveedores de servicios que no est茅n sujetos a leyes conflictivas de terceros pa铆ses con alcance extraterritorial”.

Microsoft dice que est谩 escuchando a los reguladores y a los clientes y que est谩 dispuesta a ajustar sus normas a medida que “evolucionen las interpretaciones legales de las leyes europeas sobre privacidad”. Esto incluye la alineaci贸n con la reciente ley dise帽ada para las instituciones de la UE.

El informe completo est谩 disponible en el sitio web del SEPD.

Ilustraci贸n: Sara Kurfe via Unsplash




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.