Recurso interpuesto el 17 de mayo de 2024 — Comisión/SEPD
(Asunto T-262/24)
Lengua de procedimiento: inglés
Partes
Demandante: Comisión Europea (representantes: A. Bouchagiar y H. Kranenborg, agentes)
Demandada: Supervisor Europeo de Protección de Datos
Pretensiones
La parte demandante solicita al Tribunal General que:
Anule la decisión del Supervisor Europeo de Protección de Datos, de 8 de marzo de 2024, relativa a su investigación sobre el uso de Microsoft 365 por la Comisión Europea en el asunto 2021-0518.
Condene a la demandada a cargar con las costas del procedimiento.
Motivos y principales alegaciones
En apoyo de su recurso, la parte demandante invoca trece motivos.
Primer motivo, basado en la interpretación y aplicación erróneas de los artículos 4, apartado 1, letra b), 6 y 9 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, al haber entendido que la Comisión estaba obligada a definir exhaustivamente los «tipos» de datos personales objeto de tratamiento.
Segundo motivo, basado en la interpretación y aplicación erróneas del artículo 29, apartado 3, letra a) del Reglamento 2018/1725, al haber considerado que la Comisión no determinó en el Inter-Institutional Licensing Agreement de 2021 los tipos de datos personales que deben ser objeto de tratamiento y con qué fines.
Tercer motivo, basado en la interpretación y aplicación erróneas del artículo 9 del Reglamento 2018/1725 al considerarlo aplicable al presente asunto y haberlo aplicado erróneamente.
Cuarto motivo, basado en la interpretación y aplicación erróneas del artículo 29, apartado 3, letra a) del Reglamento 2018/1725 al haber considerado que la Comisión no facilitó instrucciones documentadas suficientemente claras.
Quinto motivo, basado en la interpretación y aplicación erróneas de los artículos 4, apartado 2 y 26, apartado 1, en relación con el artículo 30 del Reglamento 2018/1725, al haber considerado que la Comisión no se aseguró de que Microsoft tratara los datos personales a la hora de prestar sus servicios solo con arreglo a instrucciones documentadas suficientemente claras de la Comisión.
Sexto motivo, basado en la interpretación y aplicación erróneas del artículo 29, apartado 3, del Reglamento 2018/1725 respecto a las transferencias de datos personales a terceros países.
Séptimo motivo, basado en la interpretación y aplicación erróneas de los artículos 4, apartado 2, 46 y 48 del Reglamento 2018/1725 al declarar deficiencias en la organización de las transferencias.
Octavo motivo, basado en errores de hecho y de Derecho en la interpretación y aplicación de los artículos 4, apartado 2, 46 y 48 del Reglamento 2018/1725.
Noveno motivo, basado en la aplicación errónea de los artículos 4, apartado 2, 46, 48, apartados 1 y 3, letra a), del Reglamento 2018/1725 al haber considerado que tuvieron lugar transferencias directas de datos personales entre la Comisión y Microsoft Corporation en Estados Unidos.
Décimo motivo, basado en la interpretación y aplicación erróneas del artículo 47 del Reglamento 2018/1725.
Undécimo motivo, basado en errores de hecho y de Derecho al interpretar y aplicar los artículos 4, apartado 1, letra f), 29, apartado 3, letra a), 33, apartados 1 y 2, y 36 del Reglamento 2018/1725.
Duodécimo motivo, basado en el incumplimiento de la obligación de motivación prevista en el artículo 296 TFUE, la falta de competencia y una interpretación errónea del artículo 52, apartado 3, del Reglamento 2018/1725 al recomendar a la Comisión que considerara los artículos 1, 2 y 5 del Protocolo n.º 7 de Privilegios e Inmunidades de la Unión Europea.
Decimotercer motivo, basado en la violación del principio de proporcionalidad al haber ordenado medidas correctivas en la decisión impugnada.
____________