El Supervisor Europeo de Protección de Datos (EDPS) está en plena fase de evaluación para determinar si la Comisión Europea ha cumplido con las directrices estipuladas en la decisión emitida el 8 de marzo de 2024 sobre el uso del software Microsoft 365. La Comisión tuvo un plazo hasta el 9 de diciembre de 2024 para evidenciar su conformidad con las normativas establecidas, y apenas tres días antes de que venciera el plazo, presentó la documentación correspondiente para ser evaluada por el EDPS.
La indagación del EDPS se inició en mayo de 2021, después del fallo del Tribunal de Justicia de la UE en el caso Schrems II, el cual limitó la transferencia de datos personales a países que no ofrecen protecciones equivalentes a las del Espacio Económico Europeo (EEE). Según el organismo supervisor, el uso de Microsoft 365 por parte de la Comisión infringe el Reglamento (UE) 2018/1725, en particular en lo referente a la transferencia de datos personales fuera del EEE.
La orden de marzo de 2024 por parte del EDPS a la Comisión fue categórica: debía suspender las transferencias de datos personales a Microsoft y sus subcontratistas situados en naciones no sujetas a decisiones de adecuación por parte de la UE, además de alinear sus operaciones de procesamiento con las normativas europeas a través de medidas correctivas específicas.
Internamente, ha habido un debate sobre la dependencia de la Comisión respecto a Microsoft. Documentos internos revelan preocupaciones sobre la falta de alternativas europeas competitivas, posibles aumentos de precios y demandas para asegurar la soberanía tecnológica de la UE. Desde la Comisión, no obstante, se ha declarado que aún no existen alternativas viables a Microsoft 365, aunque se están investigando opciones de software de código abierto a pequeña escala.
El uso de Microsoft 365 sigue siendo una cuestión crítica no solo desde la perspectiva de la privacidad, sino también desde el ángulo de la seguridad, dado que la plataforma no está autorizada para manejar documentos clasificados. La escasez de alternativas europeas podría estar llevando al mal manejo de la clasificación de datos, advirtiendo algunos que se tiende a considerar datos como menos sensibles de lo que realmente son.
Frente a la decisión del EDPS, la Comisión ha optado por impugnarla ante el Tribunal General de la UE, alegando una interpretación incorrecta del reglamento. Sin embargo, el EDPS insiste en que su decisión es plenamente ejecutable y promete un análisis exhaustivo de los documentos entregados por la Comisión.
En cuanto al futuro de la supervisión de datos, la situación se complica con la incertidumbre sobre la reelección de Wojciech Wiewiórowski como supervisor. Algunos expertos han manifestado preocupación, sugiriendo que un EDPS más alineado con la Comisión podría comprometer la independencia del organismo en temas clave como la privacidad en la inteligencia artificial o el uso de datos personales.
Con las audiencias y votaciones para el nuevo supervisor del EDPS programadas para enero de 2025, temas como el uso continuo de Microsoft 365 y la soberanía digital jugarán un papel prominente en el debate, subrayando la complejidad de equilibrar la protección de datos con la eficiencia operativa dentro de las instituciones de la UE.
