Nel luglio 2025, il Garante europeo della protezione dei dati (EDPS) ha ufficialmente chiuso un’indagine sull’utilizzo di Microsoft 365 da parte della Commissione europea.

Le violazioni inizialmente riscontrate sono state considerate superate.

Ma, al di là del risultato istituzionale, questo caso rappresenta un modello concreto, certo non facilmente replicabile senza il coinvolgimento diretto di un’autorità di controllo, ma ricco di spunti utili da cui ogni organizzazione, pubblica o privata, può trarre indicazioni operative per un uso conforme della suite Microsoft 365.

Perché il caso è importante

Il via libera del Garante europeo per la protezione dei dati alla Commissione europea sull’uso della suite Microsoft 365 rappresenta un risultato significativo, maturato dopo oltre tre anni di indagini approfondite, negoziazioni contrattuali complesse e adeguamenti tecnici e organizzativi.

Questo caso non è solo “istituzionale”: rappresenta una roadmap concreta che può orientare anche aziende private e pubbliche amministrazioni verso un utilizzo conforme di Microsoft 365, uno dei pacchetti software più diffusi al mondo.

Wojciech Wiewiórowski, european data protection Supervisor, ha dichiarato:
“Grazie alla nostra indagine approfondita e al lavoro di follow-up della Commissione, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità in materia di protezione dei dati nell’uso di Microsoft 365 da parte della Commissione. Riconosciamo e apprezziamo anche l’impegno di Microsoft nel conformarsi ai requisiti fissati dalla decisione dell’EDPS del marzo 2024. Si tratta di un successo concreto e condiviso, nonché di un segnale forte di ciò che si può ottenere attraverso una cooperazione costruttiva e una vigilanza efficace”.

Conformità al GDPR

La struttura cloud di Microsoft 365, le sue funzionalità “intelligenti” e i flussi internazionali di dati implicano rischi concreti per la protezione dei dati personali.

Gli standard contrattuali offerti da Microsoft non garantiscono automaticamente la piena conformità al GDPR, né per le istituzioni dell’UE, al Regolamento (UE) 2018/1725.
Per realtà più piccole o con risorse limitate, negoziare direttamente con Microsoft può rivelarsi una sfida difficile: spesso mancano leve contrattuali o strumenti per imporre modifiche sostanziali.

Da qui la necessità di una guida chiara, che aiuti a districarsi tra normative complesse e condizioni contrattuali, e il possibile ruolo chiave di un intervento coordinato delle autorità di controllo per spingere verso standard vincolanti e uniformi, semplificando la conformità e riducendo i rischi di violazioni su scala più ampia.

La cornice normativa: il Regolamento (UE) 2018/1725

L’indagine dell’EDPS, avviata nel 2021, ha preso le mosse dal ruolo della Commissione Europea come titolare del trattamento nell’ambito dell’utilizzo di Microsoft 365. Il quadro di riferimento giuridico è il Regolamento (UE) 2018/1725, che disciplina il trattamento dei dati personali da parte delle istituzioni e degli organi europei ed è funzionalmente equivalente al GDPR.

Nel marzo 2024, l’EDPS ha riscontrato gravi criticità: mancato controllo da parte della Commissione sulle finalità del trattamento, trasferimenti internazionali privi di adeguate garanzie, e potenziali divulgazioni non autorizzate di dati personali.

In risposta, la Commissione ha intrapreso un percorso di adeguamento articolato, rivedendo l’Inter- Institutional Licensing Agreement (ILA) con Microsoft.

Questo processo ha incluso un’interlocuzione diretta con il fornitore, finalizzata all’introduzione di misure strutturali, tra cui il rafforzamento della governance
dei dati e l’allineamento al quadro tecnico dell’EU Data Boundary.

Il caso evidenzia la necessità, per ogni organizzazione che utilizzi Microsoft 365, di non limitarsi a un’approvazione formale del contratto, ma di sviluppare una comprensione chiara dei propri obblighi in qualità di titolare del trattamento, specie in contesti ad alta complessità tecnologica e normativa.

Lezione n. 1: il principio di “purpose limitation”

Il principio di limitazione della finalità, fondamentale per il Regolamento (UE) 2018/1725 e il GDPR, impone che i dati personali siano raccolti solo per scopi chiari, legittimi e specifici, e che non vengano utilizzati in modo incompatibile con tali scopi.

Nel caso della Commissione europea, questo principio non era inizialmente rispettato: l’Edps ha infatti riscontrato violazioni relative alla definizione delle finalità e alle istruzioni fornite a Microsoft, oltre a carenze contrattuali e tecniche.

Le finalità di ciascun trattamento e le contromisure

Grazie a un approfondito processo di adeguamento, la Commissione ha ora chiarito le finalità di ciascun trattamento e adottato misure per garantire che Microsoft agisca esclusivamente su istruzioni documentate e vincolanti. Ha così definito chiaramente gli elementi essenziali del trattamento.

Inoltre ha adottato misure per garantire che ciò rimanga valido anche nel caso in cui Microsoft modifichi le modalità operative dei servizi Microsoft 365.

Tutti i servizi Microsoft 365 forniti alla Commissione rientrano ora nell’ambito delle clausole sulla protezione dei dati con il livello di protezione più rigoroso previsto dal contratto.

Con le misure contrattuali e organizzative aggiuntive, la Commissione ha impartito istruzioni vincolanti e documentate a Microsoft, alle sue affiliate e ai suoi sub-responsabili.

I dati personali, trattati nell’ambito dell’uso di Microsoft 365 da parte della Commissione, vengono utilizzati esclusivamente per fornire tali servizi alla Commissione.

Cosa possono imparare le organizzazioni

Chi utilizza Microsoft 365, sia nel settore pubblico che privato, deve innanzitutto mappare in dettaglio tutti i trattamenti eseguiti attraverso la piattaforma (per esempio, gestione e-mail, accessi, dati diagnostici).

Ogni attività va associata a una finalità esplicita e documentata, evitando descrizioni generiche o troppo ampie.

È inoltre fondamentale che il contratto con Microsoft vieti espressamente ogni uso dei dati per finalità proprie del fornitore. Un contratto privo di vincoli chiari espone a gravi rischi di non conformità, in particolare in ambienti cloud dove la gestione e la circolazione dei dati sono più articolate.

Solo un disegno contrattuale puntuale e un controllo continuo sui trattamenti consentono di soddisfare il principio di limitazione della finalità e di proteggere in modo efficace i diritti degli interessati.

Lezione n. 2: trasferimenti internazionali sotto controllo

Uno degli aspetti più delicati nell’uso di Microsoft 365 è la gestione dei trasferimenti internazionali di dati personali, specialmente verso Paesi terzi che non offrono un livello di protezione adeguato.

La sentenza Schrems II della Corte di giustizia dell’Unione europea ha infatti innalzato gli standard richiesti, imponendo ai titolari di trattamento un controllo molto più rigoroso.

Nel caso della Commissione europea, l’EDPS ha rilevato che:

• il contratto con Microsoft non specificava in modo puntuale quali categorie di dati potevano essere trasferite, a quali destinatari e per quali finalità;
• non erano state fornite a Microsoft istruzioni documentate e dettagliate sui trasferimenti internazionali;
• alcuni trasferimenti non erano limitati alle finalità istituzionali della Commissione, violando così il principio di necessità e proporzionalità.

Queste carenze hanno determinato una violazione degli articoli 29(3)(a) e 47(1) del Regolamento (UE) 2018/1725, che richiedono controlli rigorosi su qualsiasi trasferimento verso Paesi terzi, al fine di proteggere i diritti fondamentali dei cittadini europei.

In seguito all’indagine dell’EDPS, la Commissione ha lavorato con Microsoft per riformulare le modalità di fornitura dei servizi cloud.

Microsoft ha completato l’implementazione dell’EU Data Boundary, che prevede la localizzazione del trattamento e della conservazione dei dati all’interno dell’Unione europea, limitando al massimo i flussi verso Paesi extra-UE.

Oltre a questo, la Commissione ha dimostrato che i trasferimenti avvenuti dopo il 9 dicembre 2024 verso Paesi non adeguati sono stati rari, giustificati e coperti da basi giuridiche solide.

Autorizzazione dei trasferimenti

In particolare, ogni trasferimento è ora autorizzato:

• in base all’articolo 47 del Regolamento, che disciplina le garanzie appropriate nei trasferimenti verso Paesi terzi;
• oppure, in via eccezionale, ai sensi dell’articolo 50(1)(d), per motivi importanti di interesse pubblico.

Implicazioni per aziende e PA

Le organizzazioni che utilizzano Microsoft 365 devono identificare tutti i flussi di dati verso Paesi terzi e valutarne la legittimità alla luce delle condizioni contrattuali e delle garanzie effettivamente applicate.

Le clausole contrattuali standard (SCC), da sole, non sono sufficienti: devono essere integrate da misure tecniche robuste, come la crittografia lato client, controlli sull’accesso e strategie di minimizzazione dei dati esportati.

In assenza di tali misure, il rischio è quello di trasferimenti illeciti e quindi di responsabilità sanzionabili ai sensi del GDPR e del Regolamento UE 2018/1725.

Lezione n. 3: la gestione della crittografia e il controllo delle chiavi

Nel contesto del cloud computing, la crittografia è una misura tecnica fondamentale per garantire la riservatezza dei dati personali.

Tuttavia, non è sufficiente che i dati siano cifrati: è essenziale capire chi detiene le chiavi di decrittazione, e quindi chi può, di fatto, accedere ai dati in chiaro.

La Commissione europea si è affidata alle soluzioni di crittografia offerte da Microsoft, che prevedono la protezione dei dati in transito e a riposo tramite protocolli come TLS 1.2 e sistemi di cifratura avanzati.

E le prime configurazioni dei servizi Microsoft 365 prevedevano che l’azienda di Redmond detenesse le chiavi crittografiche necessarie a decifrare i dati protetti, anche quelli conservati nei data center europei.

Questo approccio però non garantiva un livello di protezione conforme al principio di integrità e riservatezza richiesto dal Regolamento (UE) 2018/1725.

A partire dal 2021, la Commissione ha avviato l’adozione della Double Key Encryption (DKE), una tecnologia che prevede l’utilizzo di due chiavi crittografiche distinte: una gestita da Microsoft, l’altra mantenuta in modo esclusivo dalla Commissione, attraverso un modulo hardware (HSM) on-premise.

In questo modo, Microsoft non può accedere ai dati in chiaro senza il consenso esplicito della Commissione, garantendo un controllo effettivo sul trattamento.
Tuttavia, l’adozione della DKE resta ancora limitata ad alcuni dati sensibili non classificati, e non copre l’intera gamma dei trattamenti effettuati tramite Microsoft 365.

La crittografia end-to-end

È inoltre in fase di implementazione la crittografia end-to-end per le comunicazioni su Microsoft Teams, ma al momento non è ancora una misura pienamente operativa.

Questa situazione evidenzia come, per garantire una compliance reale e completa con il GDPR, sia fondamentale che ogni organizzazione mantenga il pieno controllo sulle chiavi crittografiche e valuti attentamente le implicazioni normative legate alla localizzazione e gestione dei dati.

Lezione n. 4: gestione delle richieste di accesso da parte di governi

La Commissione ha imposto a Microsoft l’obbligo di notificare qualsiasi richiesta di accesso ai dati proveniente da autorità governative, salvo divieto esplicito di legge.

Ha inoltre limitato la possibilità di divulgazione a casi espressamente previsti dal diritto UE o di Stati membri, o da legislazioni terze “essenzialmente equivalenti”.

I contratti con Microsoft devono includere clausole su trasparenza e opposizione legale alle richieste governative. Questo è un tema centrale anche in ottica Direttiva NIS 2, dove la “sovranità del dato” assume un peso sempre maggiore.

Lezione n.5: pseudonimizzazione come misura supplementare nei trasferimenti di dati personali

La pseudonimizzazione è un processo tecnico che trasforma i dati personali in modo tale che non possano essere attribuiti direttamente a un individuo specifico senza utilizzare informazioni aggiuntive.

In sostanza, i dati vengono “mascherati” attraverso la sostituzione di identificativi diretti con pseudonimi. Perché questa tecnica possa essere considerata una misura efficace a supporto della protezione dei dati, devono essere soddisfatte diverse condizioni ben precise.

Innanzitutto, i dati devono essere trattati in modo tale da non poter essere ricondotti a una persona identificabile senza le informazioni aggiuntive, che devono essere conservate esclusivamente dal soggetto che esporta i dati o da un’entità fidata, in una giurisdizione che garantisca un livello di protezione adeguato.

Inoltre, devono essere adottate misure tecniche e organizzative rigorose per impedire accessi non autorizzati a queste informazioni aggiuntive.

Infine, bisogna dimostrare attraverso un’analisi approfondita che i dati pseudonimizzati non possono essere ricondotti a persone identificate anche se incrociati con altre informazioni eventualmente disponibili alle autorità del Paese di destinazione.

La situazione della Commissione europea e Microsoft

Nel caso specifico della Commissione europea e di Microsoft, la Commissione ha dichiarato che i dati generati dai servizi Microsoft vengono pseudonimizzati prima del trasferimento verso paesi terzi.

Tuttavia, questa pseudonimizzazione è eseguita direttamente da Microsoft all’interno di data center situati nell’Unione europea, e non sono stati forniti dettagli sufficienti sull’efficacia di tale processo.

L’Edps, dopo aver esaminato la documentazione e le informazioni ricevute, ha rilevato che Microsoft dispone di mezzi che rendono possibile la re-identificazione delle persone, come tabelle di corrispondenza, chiavi di decrittazione e dati personali trattati in forma non pseudonimizzata.

Le problematiche legate all’accesso e alla re-identificazione

Questa situazione è problematica perché Microsoft detiene sia dati pseudonimizzati sia dati in chiaro, permettendo così di collegare le informazioni e identificare gli individui.

Inoltre, i dati vengono trasferiti e trattati negli Stati Uniti, dove le autorità pubbliche hanno poteri estesi e possono richiedere l’accesso a informazioni che facilitano la re-identificazione.

Per questi motivi, la pseudonimizzazione adottata non è in grado di garantire un livello di protezione equivalente a quello richiesto dal Regolamento generale sulla protezione dei dati per i trasferimenti verso Paesi Terzi.

Conclusioni dell’EDPS

In conclusione, l’Edps ha stabilito che la pseudonimizzazione così come applicata da Microsoft non può essere considerata una misura supplementare sufficiente per assicurare la protezione dei dati personali trasferiti negli Stati Uniti.

Pertanto, questa tecnica non consente di garantire il rispetto degli standard di protezione europei e non rappresenta un valido strumento per mettere in conformità i trasferimenti con la normativa vigente.

Lezione n. 5: accountability e governance continua

La Commissione ha messo in piedi un processo interno di valutazione costante che coinvolge non solo il responsabile della protezione dei dati (Dpo), i servizi legali e IT, ma prevede anche audit congiunti con Microsoft e il monitoraggio da parte dell’Edps.

Per le aziende, la conformità con Microsoft 365 non si ottiene con un documento una tantum: è indispensabile aggiornare regolarmente le Dpia, mantenere un dialogo continuo con il Dpo e seguire da vicino ogni evoluzione contrattuale e tecnica, anche grazie al contributo e alla supervisione delle autorità di controllo.

Il modello Commissione come bussola operativa

La chiusura del procedimento da parte dell’Edps, avvenuta il 28 luglio 2025, non segna solo la fine di un’indagine, ma rappresenta un precedente strategico per tutte le organizzazioni europee.

Dimostra che anche strumenti complessi come Microsoft 365 possono essere resi conformi, purché si lavori con metodo, documentazione e cooperazione diretta con il fornitore.

Le imprese italiane – così come le PA – possono ispirarsi a questo percorso per valutare e rinegoziare le proprie condizioni d’uso di Microsoft 365, auspicando un primo intervento delle Autorità di controllo che ben possono utilizzare i poteri attribuiti dal Gdpr in un dialogo paritario ed istituzionale con le big tech.

Il principio guida resta sempre lo stesso: il controllo sui dati deve restare in mano al titolare, non al fornitore.