La Comisión Europea se encuentra en el centro de un creciente debate sobre su dependencia de Microsoft 365, mientras la entidad supervisora de protección de datos de la UE, el Supervisor Europeo de Protección de Datos (EDPS), evalúa si la institución cumple con las normativas de protección de datos de la Unión. Las críticas internas y externas reflejan una preocupante desconexión entre el deseo de autonomía tecnológica de la UE y la realidad de su dependencia de proveedores tecnológicos no europeos.
Preocupaciones Internas y del EDPS
Funcionarios de la Comisión han expresado su preocupación por el control limitado que la institución tiene sobre los datos sensibles almacenados y procesados a través de Microsoft 365. Según informes internos, esto podría derivar en incumplimientos claros de las normas de protección de datos del Reglamento (UE) 2018/1725. En marzo de 2024, el EDPS ordenó a la Comisión suspender las transferencias de datos personales a Microsoft y otros subcontratistas en países fuera del Espacio Económico Europeo (EEE) que no cuenten con decisiones de adecuación. También exigió que la Comisión adoptara medidas correctivas para alinear sus prácticas con la legislación comunitaria.
La Comisión presentó documentación el pasado 6 de diciembre para demostrar conformidad, pero también interpuso una demanda contra el EDPS, argumentando que las decisiones de este se basaban en una interpretación errónea de las normativas. Mientras tanto, el EDPS mantiene que las órdenes son plenamente aplicables.
Falta de Alternativas Soberanas
Uno de los problemas clave señalados en documentos internos es la falta de alternativas funcionales europeas a Microsoft 365. A pesar de los esfuerzos por promover soluciones abiertas y soberanas, estas siguen siendo limitadas y se implementan a pequeña escala. Según un informe del Consejo General de Servicios Digitales (DG Digit), la dependencia de proveedores no europeos plantea riesgos como aumentos de precios, dificultades de migración y pérdida de competencias internas.
Francia ha liderado las críticas, advirtiendo sobre los riesgos de depender de soluciones tecnológicas estadounidenses. Sin embargo, hasta ahora, la Comisión no ha reconocido públicamente estas preocupaciones.
Ciberseguridad y Gestión de Datos Sensibles
Además de los problemas de privacidad, la dependencia de Microsoft plantea desafíos de ciberseguridad. Según las normas de la UE, los documentos altamente clasificados no pueden gestionarse a través de Microsoft 365. Sin embargo, la falta de alternativas seguras ha llevado a que algunos documentos sean clasificados como menos sensibles de lo que realmente son para poder seguir utilizando las herramientas de Microsoft, según declaraciones de funcionarios de la UE.
A diferencia de la protección de datos, no existe una entidad específica en la UE que supervise la ciberseguridad en sus instituciones. El CERT-EU, responsable de coordinar la respuesta a emergencias informáticas, no tiene la capacidad de evaluar directamente estas prácticas debido a su función de apoyo y no de supervisión.
Impacto en la Soberanía Digital
La situación refleja un dilema más amplio para la UE: cómo garantizar la soberanía digital en sectores críticos como la tecnología mientras se depende en gran medida de proveedores extranjeros. A pesar de los esfuerzos por impulsar el uso de software abierto y promover soluciones europeas, el camino hacia una autonomía tecnológica sigue siendo largo.
El caso también pone de manifiesto tensiones entre las instituciones europeas. Mientras el EDPS intenta garantizar que se cumplan las normas de protección de datos, la Comisión parece más preocupada por mantener la funcionalidad operativa sin alternativas claras a Microsoft 365.
Un Debate que Continúa
Con la decisión final del EDPS aún pendiente y las negociaciones de contrato con Microsoft en curso, la cuestión de la dependencia tecnológica de la UE seguirá siendo un tema candente. Este caso subraya la necesidad de estrategias claras para desarrollar soluciones tecnológicas europeas que reduzcan la dependencia de proveedores externos, fortaleciendo tanto la privacidad como la seguridad en el seno de las instituciones de la UE.
vía: Noticias cloud