Microsoft Azure y GDPR: denuncia de la UE por vigilancia en Palestina

Microsoft está siendo investigada en la Unión Europea tras una denuncia que acusa a la compañía de procesar ilegalmente datos personales de palestinos y ciudadanos europeos para fines de vigilancia militar israelí, una acusación que pone en el centro al servicio en la nube Microsoft Azure, al régimen de cumplimiento del Reglamento General de Protección de Datos (GDPR) y a la autoridad reguladora irlandesa responsable de la sede europea del gigante tecnológico.

Background / Overview​

Desde agosto de 2025, una serie de investigaciones periodísticas y filtraciones han afirmado que unidades del Ejército de Defensa de Israel —vinculadas en la prensa a la denominada Unidad 8200 y a sistemas de inteligencia del Ministerio de Defensa— utilizaron recursos de Azure para almacenar, transcribir y indexar grandes volúmenes de comunicaciones interceptadas de la Franja de Gaza y Cisjordania. Esos reportes describieron flujos masivos de llamadas, transcripciones automatizadas y metadatos que habrían servido para tareas operativas de vigilancia y, según denuncias, para apoyar objetivos militares. A raíz de las revelaciones, Microsoft inició una revisión interna y una investigación externa y en septiembre anunció que había cesado y deshabilitado ciertos servicios y suscripciones vinculadas a una cuenta asociada a una unidad del Ministerio de Defensa israelí. La compañía declaró que sus términos de servicio prohíben el uso de sus plataformas para la vigilancia masiva de civiles. Paralelamente, organizaciones de la sociedad civil y grupos de defensa de derechos humanos han elevado la cuestión al terreno regulatorio: una denuncia presentada al regulador irlandés —la Comisión de Protección de Datos de Irlanda (DPC), que actúa como autoridad líder para Microsoft en la UE por su establecimiento principal en Dublín— alega que Microsoft facilitó el procesamiento y la transferencia de datos personales de palestinos y de ciudadanos de la UE en violación del GDPR. La DPC confirmó que ha recibido una queja y que está en fase de evaluación.

---

¿Quién presentó la denuncia y qué alega exactamente?​

Actores implicados​

• Eko / Ekō: la organización señalada públicamente como responsable de presentar la denuncia en la UE, un grupo que se define como defensor de “personas y planeta sobre beneficios” y que trabaja conjuntamente con organizaciones locales como la Irish Council for Civil Liberties (ICCL) y otras redes internacionales de litigio y derechos humanos en distintas iniciativas relacionadas con la militarización de tecnología.
• ICCL (Irish Council for Civil Liberties): en varios reportes aparece como cofirmante o colaboradora de la denuncia remitida a la DPC; en sus comunicaciones públicas la ICCL ha referido que el expediente incluye material aportado por denunciantes internos (“whistleblowers”) y capturas de pantalla internas que, según ellos, documentan actuaciones técnicas y decisiones administrativas en Microsoft relacionadas con transferencias de gran volumen.

Principales alegaciones del expediente remitido a la DPC​

• Procesamiento ilegal: Microsoft Ireland habría procesado datos personales de palestinos y ciudadanos de la UE sin una base legal válida ni respetando los principios de minimización, limitación de finalidad y seguridad exigidos por el GDPR.
• Facilitación de vigilancia y campañas de targeting: la denuncia sostiene que los servicios de Azure no fueron mera infraestructura pasiva, sino que facilitaron el funcionamiento de un sistema de vigilancia masiva que posibilitó rastreo, análisis y segmentación de objetivos.
• Egreso masivo tras reportes públicos: documento clave de la denuncia afirma que, inmediatamente después de las publicaciones periodísticas en agosto, cuentas vinculadas a entidades israelíes solicitaron y recibieron incrementos de cuotas de transferencia (egress) y que grandes volúmenes de datos fueron extraídos de los centros de datos europeos de Microsoft hacia destinos fuera de la UE, lo que, según la denuncia, habría obstruido la capacidad de las autoridades europeas para auditar o preservar pruebas. Esta alegación se fundamenta en pantallazos y logs aportados por denunciantes internos.

---

La investigación periodística y las cifras citadas (¿qué está verificado?​

Diversas publicaciones han reconstruido un panorama técnico y operativo con datos filtrados:

• Informes de prensa describieron escalas de ingestión de comunicaciones con frases llamativas como “un millón de llamadas por hora” y cifras de almacenamiento que llegaron a situarse en el orden de miles de terabytes (en un informe se menciona hasta 8,000 TB en centros de datos europeos). Estas cifras aparecen en investigaciones periodísticas basadas en documentos internos y entrevistas con fuentes, pero no han sido verificadas por una auditoría forense independiente accesible públicamente. Por tanto, son datos significativos pero que requieren confirmación técnica por parte de expertos o reguladores.
• Microsoft reconoció públicamente que su investigación “encontró evidencia que apoya elementos” de los reportes periodísticos y, como respuesta, deshabilitó ciertos servicios, pero la compañía también ha mantenido que los datos son propiedad de sus clientes y que las transferencias realizadas en agosto habrían sido decididas por el cliente. Este contraste entre la acción corporativa y la defensa contractual será crucial para el examen regulatorio.

Advertencia sobre verificación: las cifras concretas de volumen y frecuencia de interceptación proceden fundamentalmente de filtraciones y declaraciones de fuentes internas difundidas por la prensa; cualquier afirmación contundente sobre magnitudes exactas debe considerarse provisional hasta que una auditoría forense independiente o el propio órgano regulador publique hallazgos verificables.

---

Jurisdicción y marco legal: por qué actúa la DPC de Irlanda y qué puede hacer​

Bajo el mecanismo del one‑stop‑shop del GDPR, la autoridad de control del Estado miembro donde una empresa tiene su establecimiento principal en la UE actúa como autoridad líder para procedimientos transfronterizos. Dado que Microsoft tiene su principal establecimiento europeo en Irlanda, la DPC de Irlanda es la autoridad competente para coordinar la investigación y puede activar medidas urgentes. Las herramientas que el regulador puede emplear incluyen:

• Abrir una instrucción estatutaria con facultad para requerir documentación, logs y cooperación.
• Emitir órdenes de preservación para evitar la eliminación de pruebas (preservation orders).
• Ordenar medidas correctivas, suspensión o limitación de flujos de datos y, en última instancia, imponer multas administrativas que, para infracciones graves del GDPR, pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, la cifra que resulte mayor.

La denuncia solicita que la DPC utilice su potestad plena para investigar con rapidez y, si procede, imponer sanciones en el nivel superior del abanico de multas por la gravedad y la escala alegadas. Microsoft, por su parte, sostiene que ya tomó medidas y que la transferencia de datos señalada correspondió a decisiones de sus clientes.

---

Qué significan técnicamente las acusaciones: cloud, egress, cuotas y logs​

Para entender la alegación principal de obstrucción regulatoria es necesario conocer algunos conceptos técnicos sobre proveedores cloud:

• Regiones y residencia de datos: los clientes de Azure escogen regiones (por ejemplo, North Europe alojada en Irlanda o West Europe en Países Bajos). La ubicación de los datos determina, en muchos casos, si se aplican normas nacionales o de la UE sobre protección de datos.
• Egress (salida de datos): cuando un cliente solicita mover grandes volúmenes fuera del servicio en la nube (a otro proveedor o a servidores locales), puede requerir aumentos de cuota o aprobaciones internas. Estas operaciones generan trazas (tickets de soporte, registros de control‑plane y de transferencia) que, en principio, permiten auditar quién solicitó y autorizó la extracción. La denuncia alega que incrementos de egress y extracción de datos se produjeron inmediatamente tras la cobertura informativa.
• Visibilidad del proveedor sobre contenidos: los proveedores cloud alegan limitaciones legales y técnicas para inspeccionar el contenido alojado por clientes —por ejemplo, si se usan claves de cifrado controladas por el cliente, o arquitecturas de soberanía— lo que reduce la capacidad del proveedor para afirmar de forma independiente qué datos exactos se almacenaban sin acceder al contenido. Microsoft ha defendido que su investigación se basó en telemetría de control y metadatos en lugar de inspección masiva de contenido. Esta distinción será central en la valoración del papel activo o pasivo que pueda atribuírsele a Microsoft bajo la normativa.

---

Análisis crítico: fortalezas, riesgos y lagunas en la acusación y en la defensa corporativa​

Fortalezas del caso de los denunciantes​

• Evidencia interna: la existencia de pantallazos, logs y documentación interna aportada por denunciantes añade peso probatorio que excede la mera especulación mediática; registros técnicos pueden demostrar flujos, autorizaciones y cambios en cuotas.
• Acciones previas de Microsoft: la propia decisión de Microsoft de deshabilitar servicios tras una revisión pública es una admisión parcial de que algunos elementos de los reportes tenían fundamento, lo que refuerza la credibilidad inicial de las investigaciones.
• Jurisdicción clara: la presencia de infraestructuras en la UE (Irlanda y Países Bajos) coloca la cuestión cómodamente bajo el paraguas del GDPR, lo que da al regulador herramientas robustas de investigación y sanción.

Riesgos y puntos débiles en la acusación​

• Necesidad de auditoría forense independiente: muchas afirmaciones numéricas (volúmenes de almacenamiento, tasas de llamadas por hora) provienen de filtraciones periodísticas; sólo una auditoría técnica independiente podrá confirmarlas de manera inapelable. La denuncia dependerá de que la DPC tome medidas que permitan preservar y analizar logs.
• Límites contractuales y técnicos: si Microsoft puede demostrar que ciertas arquitecturas de cifrado o control de claves impedían el acceso a contenidos por parte del propio proveedor, su papel podría ajustarse a la figura de prestatario de infraestructura con deberes distintos a los de un controlador directo. No obstante, el GDPR castiga tanto la práctica activa como la facilitación negligente de procesamiento ilícito, por lo que la distinción no elimina responsabilidad automática.

Riesgos para Microsoft​

• Sanciones económicas y de cumplimiento: en caso de vulneración grave de GDPR la multa potencial puede ser de hasta el 4 % de la facturación global anual (o 20 millones de euros), lo que, para una compañía del tamaño de Microsoft, implica repercusiones financieras y regulatorias significativas.
• Daño reputacional y presión laboral: la controversia ha desencadenado protestas internas y campañas de empleados y activistas (por ejemplo, grupos como “No Azure for Apartheid”), lo que añade costes intangibles y riesgos de fuga de talento, impacto comercial y presión de clientes y gobiernos.
• Precedente regulatorio: una sanción o medida correctiva fuerte contra Microsoft podría redefinir obligaciones operativas para los proveedores cloud a escala global (registro detallado de egress, retención de logs, procesos de autorización para transferencias masivas), con impacto en la oferta de servicios y la relación con clientes gubernamentales.

---

Escenarios probables y pasos procesales​

• Investigación preliminar y medidas de preservación: la DPC evalúa la denuncia y, si lo considera necesario, abre una investigación formal y solicita la preservación de logs y tickets relacionados con las cuentas implicadas.
• Auditoría forense independiente: el regulador o un tercero designado realiza un análisis técnico de la telemetría y de las transferencias para determinar la magnitud del procesamiento, las fechas exactas y las autorizaciones. Este paso es decisivo para confirmar o descartar la alegación de “offloading” masivo tras la publicación.
• Decisión y sanciones / medidas correctivas: si se confirma una infracción del GDPR, la DPC podrá imponer órdenes de cumplimiento, limitaciones de procesamiento y multas, y coordinar con el resto de autoridades europeas vía el Comité Europeo de Protección de Datos. En caso contrario, podría cerrarse el expediente sin sanción pero con recomendaciones.

---

Recomendaciones prácticas (qué deben vigilar clientes, reguladores y proveedores)​

• Para clientes de la nube (gobiernos, ONGs, empresas):
• Revisar y auditar métricas de egress y historial de transferencias.
• Establecer cláusulas contractuales claras sobre responsabilidades en casos de uso indebido por terceros.
• Implementar cifrado con gestión de claves propia para limitar acceso del proveedor al contenido.
• Para proveedores cloud:
• Mantener registros de control‑plane exhaustivos y accesibles a auditoría regulatoria.
• Tener procesos claros y rápidos para preservar datos ante denuncias públicas.
• Reforzar evaluaciones de riesgo para contratos con entidades de seguridad o defensa.
• Para reguladores:
• Emplear órdenes de preservación rápidas y solicitar auditorías técnicas independientes.
• Coordinar con DPAs de otros Estados miembro cuando sea necesario para acceder a datos o infraestructuras fuera de la jurisdicción nacional.
• Clarificar obligaciones de responsabilidad compartida entre proveedores y clientes en contratos gubernamentales y militares.

---

Preguntas sin respuesta y afirmaciones que requieren verificación​

• ¿Qué volumen exacto de datos fue almacenado y por cuánto tiempo? Las cifras publicadas varían y proceden de filtraciones; requieren verificación pericial.
• ¿Quién solicitó y autorizó los aumentos de cuota de egress y con qué timestamps y metadatos? Esos registros son clave para probar o refutar la acusación de extracción masiva posterior a la exposición mediática.
• ¿En qué medida Microsoft tuvo visibilidad operativa real sobre los contenidos —y en qué modalidad técnica (claves propias del cliente, cifrado, soberanía) influyó en esa visibilidad? El matiz entre “no acceso al contenido” y “facilitación del procesamiento” será un asunto técnico-jurídico central.

Estas lagunas no disminuyen la gravedad de las acusaciones, pero sí subrayan que la resolución requerirá acceso a registros técnicos, cooperación judicial y transparencia en el proceso regulatorio.

---

Conclusión​

La denuncia contra Microsoft ante la DPC irlandesa tras el escándalo de la supuesta utilización de Azure para procesar datos de vigilancia contra población palestina coloca sobre la mesa preguntas complejas que combinan tecnología, derecho internacional y responsabilidad empresarial. Las alegaciones —respaldadas por investigaciones periodísticas y por material interno aportado por denunciantes— apuntan a una posible mezcla de uso indebido por parte de un cliente gubernamental y decisiones operativas en la nube que, si se prueban, podrían implicar incumplimientos graves del GDPR.
El proceso regulatorio que ahora se inicia será determinante: una auditoría forense independiente y la coordinación europea entre autoridades de protección de datos pueden clarificar la cronología, la magnitud y la responsabilidad. Mientras tanto, la controversia ya ha generado consecuencias operativas y reputacionales para Microsoft y plantea un escenario de cambio regulatorio para la industria cloud global. La combinación de potenciales sanciones económicas, la presión pública y la necesidad de prácticas contractuales y técnicas más estrictas puede imponer nuevas reglas del juego sobre cómo proveedores y clientes gobiernan datos sensibles en contextos conflictivos.

---

Source: aurora-israel.co.il Microsoft faces a lawsuit in the European Union for allegedly storing Israeli surveillance data - Aurora Israel News in Spanish