Los riesgos de protección de datos de Microsoft 365 se conocen desde hace tiempo. No obstante, muchas empresas siguen utilizando el servicio de software. Descubra lo que el "Grupo de trabajo sobre servicios en línea de Microsoft" del DSK ha elaborado sobre este tema aquí.
DSK en Microsoft 365
La Conferencia de Protección de Datos (DSK) creó en septiembre de 2020 un grupo de trabajo denominado "Grupo de trabajo sobre servicios en línea de Microsoft". Este grupo publicó sus resultados en noviembre de 2022. El objetivo era encontrar una solución práctica para utilizar Microsoft 365 respetando la protección de datos. Para ello, el grupo de trabajo celebró 14 reuniones de varias horas de duración con representantes de Microsoft.
El principal punto de crítica identificado es el tratamiento de datos personales para fines propios y no legítimos de Microsoft. La supresión de estos datos tampoco parece ajustarse a la protección de datos. Además, los contratos de Microsoft con los respectivos clientes carecen de aclaraciones sobre los tipos y fines del tratamiento de datos.
Además, Microsoft no protegió suficientemente los datos durante las transferencias internacionales (véase la sentencia Schrems II). Las medidas técnicas y organizativas ofrecidas por Microsoft también eran insuficientes.
Del mismo modo, las disposiciones contractuales sobre la notificación al cliente de los nuevos subcontratistas no eran suficientes.
Los resultados detallados del DSK también pueden consultarse en aquí y aquí leer.
Reacción de Microsoft
Simultáneamente a la publicación de las conclusiones de la DSK, Microsoft publicó una declaración contraria. Se titula "Microsoft cumple y supera la legislación europea sobre protección de datos". Como ya muestra el título, Microsoft no comparte la opinión del DSK. El proveedor de servicios de software considera que sus productos cumplen la legislación europea sobre protección de datos y justifica las conclusiones contradictorias de la DSK alegando que no se tuvieron debidamente en cuenta los cambios ya realizados y que se malinterpretó el funcionamiento de los servicios.
Puede leer la refutación detallada de Microsoft en aquí leer.
¿Y ahora?
De los testimonios opuestos de Microsoft y DSK se desprende un debate que debería haberse iniciado hace tiempo. Además, surgen voces individuales que critican el planteamiento del DSK. Por ejemplo, no se celebró una votación en el procedimiento de coherencia con la participación del Consejo Europeo de Protección de Datos, lo que podría haber dado mejores resultados.
En cualquier caso, los resultados del DSK deben entenderse como un llamamiento a Microsoft para que se ocupe más del tema de la protección de datos. Las empresas de la UE también tienen que abordar de nuevo la cuestión de las transferencias a terceros países y la protección de datos.
En lo que respecta al uso de Microsoft 365, hasta ahora no se conocen medidas adoptadas por las autoridades supervisoras en Alemania. Pero esto va a cambiar. Al menos, esto es lo que ya han indicado los responsables de la protección de datos. Como empresa, ahora es importante planificar el tiempo y los recursos suficientes para realizar un análisis de los riesgos existentes para el uso de Microsoft 365 en función del uso real.
¿Necesita ayuda con la evaluación de riesgos para la protección de datos u otros temas relacionados con la protección y la seguridad de los datos? Nuestro equipo de expertos está a su lado. También podemos poner a su disposición un delegado de protección de datos externo. Póngase en contacto con nosotros sin compromiso aquí.