A Comissão Europeia demonstrou a conformidade com o Regulamento (UE) 2018/1725 no que diz respeito à sua utilização do Microsoft 365.
Esta situação surge na sequência da Decisão da Autoridade Europeia de Proteção de Dados (AEPD) de 8 de março de 2024, que identificou uma série de infrações e impôs medidas corretivas à Comissão.
Após ter recebido um relatório de conformidade em dezembro de 2024, a AEPD realizou vários debates com os serviços da Comissão para obter os esclarecimentos necessários. Nessa base, e em especial na sequência da carta da Comissão de 3 de julho de 2025 sobre medidas adicionais aplicadas e programadas pela Comissão e pela Microsoft, a AEPD concluiu, na sua carta de 11 de julho, que as infrações identificadas na Decisão de 2024 da AEPD foram corrigidas.
As principais melhorias e medidas de conformidade aplicadas pela Comissão incluem:
- Limitação da finalidade: A Comissão especificou explicitamente os tipos de dados pessoais tratados e as finalidades do tratamento na sua utilização do Microsoft 365. Através de medidas contratuais, técnicas e organizacionais atualizadas, assegurou que a Microsoft e os subcontratantes processam dados exclusivamente com base em instruções documentadas e apenas para fins específicos de interesse público. A Comissão assegurou igualmente que o tratamento posterior é efetuado, no Espaço Económico Europeu (EEE), conforme exigido pela legislação da UE ou dos Estados-Membros, ou, fora do EEE, em conformidade com a legislação de países terceiros que assegura um nível de proteção essencialmente equivalente ao do EEE.
- Transferências para países terceiros: A Comissão determinou igualmente os destinatários e finalidades específicos para os quais os dados pessoais no âmbito da sua utilização do Microsoft 365 podem ser transferidos e assegurou a conformidade com o artigo 47.º do Regulamento (UE) 2018/1725. Tal é complementado por medidas técnicas e organizativas aplicadas pela Comissão e pela Microsoft, reduzindo assim a possibilidade de ocorrerem transferências para países terceiros não abrangidos por uma decisão de adequação. As transferências para fora da UE/EEE estão agora limitadas aos países enumerados no contrato alterado e baseiam-se em decisões de adequação ou na derrogação por razões importantes de interesse público, em conformidade com o artigo 50.º, n.º 1, alínea d), do Regulamento (UE) 2018/1725. A Comissão emitiu igualmente instruções vinculativas a este respeito dirigidas à Microsoft e aos seus subcontratantes ulteriores.
- Divulgações e notificações: Disposições contratuais adicionais asseguram que apenas a legislação da UE ou dos Estados-Membros pode exigir que a Microsoft ou os seus subcontratantes ulteriores omitam a notificação à Comissão de pedidos de divulgação de dados pessoais no âmbito da utilização pela Comissão do Microsoft 365 tratados no EEE, ou que divulguem esses dados. Para os dados tratados fora do EEE, o mesmo pode ser exigido ao abrigo da legislação de um país terceiro, desde que proporcione uma proteção essencialmente equivalente. Tudo isto complementa as medidas técnicas e organizativas existentes implementadas pela Comissão e pela Microsoft para os dados pessoais tratados dentro e fora do EEE.
- Conclusão do processo: Tendo em conta as medidas tomadas, a situação factual alterou-se substancialmente em comparação com a examinada na Decisão da AEPD de 8 de março de 2024. Consequentemente, a AEPD concluiu que as infrações detetadas foram corrigidas.
A Comissão disponibilizou estas melhorias no acordo com a Microsoft para outras instituições, órgãos e organismos da UE que utilizam o Microsoft 365, promovendo um padrão comum de conformidade com as regras de proteção de dados europeias.
A AEPD sublinha, no entanto, que esta resolução diz respeito apenas às disposições específicas do Regulamento (UE) 2018/1725 analisadas no processo, não constituindo uma confirmação da conformidade geral da Comissão com a totalidade do regulamento.