Negli ultimi anni, l’adozione di strumenti cloud da parte delle pubbliche amministrazioni europee ha sollevato interrogativi sempre più rilevanti in materia di protezione dei dati personali, in particolare quando si tratta di fornitori extra-UE. Il recente caso che ha coinvolto la Commissione europea e il Garante europeo della protezione dei dati (EDPS) sul servizio Microsoft 365 fornisce un esempio concreto di come si possano affrontare (e risolvere) le criticità in modo strutturato e conforme alla normativa europea.
Un’indagine iniziata nel 2021, conclusa nel 2025
Nel 2021 l’EDPS ha avviato un’indagine sul modo in cui la Commissione europea utilizzava la suite Microsoft 365, rilevando nel marzo 2024 diverse violazioni al Regolamento (UE) 2018/1725, il testo che disciplina il trattamento dei dati personali da parte delle istituzioni, organi e organismi europei.
Le criticità riguardavano in particolare:
- la mancanza di una chiara limitazione delle finalità del trattamento;
- l’insufficiente controllo sui trasferimenti di dati verso Paesi terzi;
- il rischio di disclosure non autorizzate di dati personali da parte del fornitore o dei sub-responsabili del trattamento.
A seguito dell’adozione di specifiche misure correttive e di un lungo confronto tra Commissione ed EDPS, il Garante ha ufficialmente chiuso il procedimento l’11 luglio 2025, attestando l’avvenuta conformità.
Le misure di adeguamento adottate dalla Commissione: controllo, trasparenza, limitazione
La Commissione europea ha dimostrato, anche grazie al supporto del fornitore, che è possibile riportare l’utilizzo di una piattaforma globale come Microsoft 365 entro i confini di una governance pienamente conforme al diritto europeo.
Il percorso verso la compliance si è concretizzato attraverso un insieme articolato di interventi tecnici, organizzativi e contrattuali, di cui riportiamo gli aspetti più rilevanti:
- Limitazione delle finalità: la Commissione ha definito in modo dettagliato i tipi di dati trattati e gli scopi legittimi del trattamento, vincolando Microsoft e i suoi sub-responsabili ad agire esclusivamente su istruzioni documentate e per finalità pubbliche chiaramente identificate.
- Controllo sui trasferimenti internazionali: sono stati individuati i destinatari e gli scopi ammissibili per eventuali trasferimenti al di fuori del SEE. Tali trasferimenti possono ora avvenire solo:
- verso Paesi coperti da una decisione di adeguatezza,
- oppure in via eccezionale per rilevanti motivi di interesse pubblico, ai sensi dell’art. 50(1)(d) del Regolamento.
- Clausole rafforzate su disclosure e notifiche: nuove clausole contrattuali vietano a Microsoft di divulgare dati o omettere notifiche alla Commissione, salvo obbligo legale imposto da normative dell’UE, degli Stati membri o – se trattasi di dati trattati fuori dal SEE – da ordinamenti esteri con protezioni equivalenti.
Un contratto che fa scuola (e non solo per la Commissione)
Il nuovo accordo di licenza interistituzionale con Microsoft è stato reso disponibile anche per le altre istituzioni e agenzie dell’Unione Europea. L’EDPS ha espressamente incoraggiato gli altri enti a effettuare valutazioni simili e ad adottare misure tecniche e organizzative equivalenti.
Questo approccio cooperativo, che valorizza sia la funzione di supervisione dell’EDPS sia il ruolo proattivo della Commissione come lead contracting authority, rappresenta un modello concreto di governance pubblica nella gestione di servizi digitali critici.
Cosa significa per le imprese e gli enti pubblici
Questo caso offre spunti di riflessione anche per il settore privato e per le amministrazioni nazionali e locali:
- È possibile ottenere livelli avanzati di compliance contrattuale e tecnica anche da fornitori globali, se si dispone di una governance negoziale consapevole.
- I rischi legati a trasferimenti internazionali, sub-responsabili del trattamento e ambiguità nelle finalità possono essere mitigati con strumenti adeguati.
- La collaborazione con le Autorità di controllo non va vissuta solo come un obbligo, ma come un’opportunità per rafforzare trasparenza, affidabilità e sicurezza nella propria infrastruttura digitale.
Conclusione
La vicenda Commissione UE/Microsoft rappresenta un importante precedente per la regolazione dei servizi digitali nell’ambito europeo. In un contesto in cui l’adozione di strumenti cloud e soluzioni di intelligenza artificiale è in rapida espansione, la conformità ai principi fondamentali della protezione dei dati personali non può essere un elemento accessorio, ma deve diventare parte integrante della strategia tecnologica di ogni organizzazione.
