No decurso de uma investigação, a Autoridade Europeia para Proteção de Dados (European Data Protection Supervisor – EDPS), concluiu que a Comissão Europeia infringiu várias disposições do Regulamento (EU) 2018/1725, a lei da UE relativa à proteção de dados das instituições, órgãos e organismos, ao utilizar a plataforma de produtividade com tecnologia cloud Microsoft 365.

Para a EDPS, a Comissão violou regras fundamentais em matéria de proteção de dados, incluindo as relativas às transferências de dados pessoais para fora da UE/Espaço Económico Europeu (EEE).

Em particular, refere a EDPS em nota informativa, a Comissão não previu garantias adequadas para assegurar que os dados pessoais transferidos para fora da UE/EEE beneficiem de um nível de proteção essencialmente equivalente ao garantido no espaço europeu.

Na decisão proferida a 8 de março de 2024, são impostas medidas corretivas à Comissão Europeia.