El Supervisor Europeo de Protección de Datos (SEPD) ha iniciado una investigación sobre el uso de los servicios en la nube proporcionados por AWS y Microsoft. El organismo de protección de la intimidad de la UE investiga el uso de los servicios en la nube Estadounidenses.
Estos servicios son de los proporcionados en el marco de los contratos Cloud II por parte de instituciones, organismos y agencias (EUI) de la Unión Europea (UE). También ha comenzado a considerar el uso de Microsoft Office 365 por parte de la Comisión Europea.
Estas investigaciones forman parte de la estrategia del SEPD para que las instituciones de la UE cumplan con la Sentencia «Schrems II». Esta tiene como objetivo y fallo que las transferencias internacionales en curso y futuras se lleven a cabo de acuerdo con la ley de protección de datos de la UE.
El organismo de protección de la intimidad de la UE investiga el uso de los servicios en la nube Estadounidenses
De acuerdo con esta estrategia, el SEPD ordenó a los EUI en octubre de 2020 que informasen sobre sus transferencias de datos personales a países no pertenecientes a la UE. El análisis del SEPD muestra que, debido a las diversas operaciones de tratamiento los datos personales se transfieren fuera de la UE y, en particular, a los EE.UU. Esto ocurre especialmente cuando se usan herramientas y servicios ofrecidos por grandes proveedores de servicios.
El análisis del SEPD también confirma que los EUI dependen cada vez más del software basado en la nube y la infraestructura o los servicios de plataforma en la nube. Algunos de estos proveedores tienen su sede en los EE.UU y, por lo tanto, están sujetos a su legislación. Según la Sentencia Schrems II permite actividades de vigilancia desproporcionadas por parte de las autoridades estadounidenses.
Wojciech Wiewiórowski, del SEPD se manifestó en los siguientes términos. «Tras el resultado del ejercicio de presentación de informes por parte de las instituciones y órganos de la UE, identificamos ciertos tipos de contratos que requieren una atención especial. Es por esto que hemos decidido iniciar estas dos investigaciones».
«Soy consciente de que los contratos Cloud II se firmaron a principios de 2020, antes de la Sentencia Schrems II. Tanto Amazon como Microsoft han anunciado ya nuevas medidas con el objetivo de alinearse con la sentencia. Sin embargo, estas medidas pueden no ser suficientes para garantizar el pleno cumplimiento de la ley de protección de datos de la UE. Por lo tanto, surge la necesidad de investigar esto adecuadamente».
Vigilancia de las transferencias de datos personales fuera de la UE
El objetivo de la primera investigación es evaluar el cumplimiento de los EUI con la Sentencia cuando usan servicios en la nube proporcionados por AWS o Microsoft. Específicamente, deberán investigarse aquellas operaciones llevadas a cabo bajo los llamados «contratos Cloud II» cuando los datos se transfieran fuera de la UE.
El objetivo de la segunda investigación sobre el uso de Microsoft Office 365 es verificar el cumplimiento por parte de la Comisión Europea de las Recomendaciones emitidas previamente por el SEPD sobre el uso de productos y servicios de Microsoft por parte de los EUI.
El SEPD cree que los EUI están bien posicionados para predicar con el ejemplo en lo que respecta a la privacidad y protección de datos. Los pasos anunciados forman parte de una cooperación continua entre el SEPD y los EUI. Quieren garantizar un alto nivel de protección de estos derechos fundamentales.