Microsoft Office 365 e GDPR
Parliamo di Microsoft 365, precedentemente noto come Office 365. Egli si è imposto come software di vitale importanza sia per piccole aziende che grandi organizzazioni.
Assieme all’ampio successo non sono mancate anche le critiche, soprattutto in campo di privacy e tutela dei dati degli utenti.
Le maggiori critiche vengono dal garante europeo della privacy (EDPS), come anche da altre organizzazioni, a causa della facilità con cui i dati di utenti Europei possono venire trasferiti negli Stati Uniti e di come le autorità d’oltreoceano fossero in grado di accedere ai server presenti in Germania e della trasmissione di dati chiamata telemetria.
Queste violazioni sono in contrasto con le norme del GDPR (General Data Protection Regulation), che stabilisce come i dati di chi naviga in internet devono venire trattati.
In questo articolo ti parleremo di come agisce Microsoft tramite i suoi servizi incluso Office 365, di che cosa dice la normativa Europea in merito e di che cosa può fare un utente per tutelarsi.
GDPR e EDPS
In vigore dal 2018, il GDPR è la normativa Europea che regola il trattamento dei dati privati. Oltre che del loro trasferimento a paesi al di fuori dell’Unione Europea.
Sin dalla sua concezione, la normativa è un componente fondamentale della legge Europea sulla privacy ed anche della legge internazionale sui diritti umani.
Lo scopo principale è di dare ai singoli individui più controllo su come i loro dati vengono gestiti. E allo stesso tempo di agevolare gli scambi internazionali di servizi digitali.
EDPS (European Data Protection Supervisor) è l’organo garante della privacy in Europa. Si occupa di verificare che le normative sulla privacy contenute nel GDPR vengano applicate dalle parti in gioco. Titolari di siti web e fornitori di servizi.
L’accusa contro Microsoft parte proprio dall EDPS per una violazione dell’articolo 28 del GDPR che stabilisce che il titolare deve accertarsi presso il fornitore che i dati degli utenti vengano trattati correttamente. Cosa che diventa praticamente impossibile con colossi dell’informatica come Microsoft e Google.
Microsoft e GDPR
Nel caso presentato a Marzo 2020 dall’EDPS contro Microsoft viene evidenziata una condotta opaca e poco responsabile nel trattamento dei dati da parte dell’azienda americana.
Tra le varie mancanze da parte di Microsoft c’è anche quella di non poter negoziare le condizioni contrattuali contenute nella licenza di utilizzo dei software. Non lasciando alcuna scelta ai titolari. Una grave mancanza questa vista l’enorme diffusione dei prodotti Microsoft in Europa.
Già nel 2019 era emerso lo stesso problema quando il garante per la privacy tedesco aveva chiesto a tutte le scuole nello stato federale dell’Assia di disinstallare la suite Office 365.
Il problema nasce dalla facilità con la quale i dati personali degli utenti europei possono venire utilizzati dalle autorità americane, infatti grazie al CLOUD Act (Clarifying Lawful Overseas Use of Data), approvato durante il periodo di Trump, le autorità investigative statunitensi possono accedere a informazioni che identificano gli utenti di siti europei.
Per quanto stabilito dal GDPR e riscontrato dall’EDPS, questo trattamento dei dati è inaccettabile, mentre da parte di Microsoft non c’è stata alcuna risposta che lasciasse intendere un futuro cambiamento per assicurare la privacy richiesta dall’autorità europea.
Responsabilità di Microsoft
L’unico passo compiuto da Microsoft per venire incontro alle richieste dell’EDPS è stato un addendum contrattuale. In esso vengono specificati i vari utilizzi che l’azienda americana si riserva di fare con i dati raccolti dagli utenti.
Il tutto purtroppo viene delineato con un linguaggio quantomeno opaco e poco preciso, e fa emergere addirittura che Microsoft si arroga il diritto di titolare e non solo di fornitore, riservandosi di poter scegliere come trattare i dati raccolti.
L’EDPS invita quindi tutti i titolari del trattamento dati di eseguire audit a carico di Microsoft su come i dati vengono gestiti, questo è quanto richiesto anche dall’articolo 28 del GDPR che recita: “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato”
Purtroppo Microsoft, per aggirare questo provvedimento, assume una volta all’anno degli auditor esterni per eseguire attività di revisione ed ispezione con modalità prestabilite dall’azienda stessa.
Un’altra responsabilità di Microsoft sarebbe quella di archiviare in Europa i dati ottenuti da titolari europei e rispettare le norme sui trasferimenti di dati ogni volta che questi vengono trasferiti all’estero, permettendo così ai titolari di accettare solo dopo una valutazione dei rischi legati a libertà e privacy
Tutte queste responsabilità vengono evitate da Microsoft tramite una terminologia poco chiara contenuta nell’addendum contrattuale che è stato aggiunto in un secondo momento e che lascia ampie libertà alla corporazione americana e le sue filiali, inclusa Microsoft Ireland.
Conclusioni
L’EDPS consiglia a tutti i titolari di non subire passivamente le modalità imposte da Microsoft. Ma di informare con appropriata documentazione l’azienda americana delle proprie scelte per quanto riguarda il trattamento dei dati. Oltre che di usare sempre le norme contenute nell GDPR come linee guida necessarie per agire in conformità con la normativa europea.
Il documento redatto dal garante europeo può quindi essere visto non come un invito a scontrarsi legalmente con Microsoft. Lo scontro peraltro inutile se non impossibile per le piccole e medie realtà che fanno uso dei servizi del colosso americano. Piuttosto come un’esortazione a prendere coscienza del modo in cui i dati vengono trattati. Aggiungendo il fatto che è responsabilità di ciascun titolare informarsi sulle procedure ed agire nel rispetto della normativa GDPR.
Una conoscenza quantomeno basilare dell’argomento dà ai titolari la possibilità di prendere decisioni informate e responsabili nei confronti dei dati raccolti sui propri utenti.
WebHosting24 può assistere ed indirizzare i titolari a fare le scelte giuste in un settore dove sono ancora molte le procedure da dover definire chiaramente.
A WebHosting24 ci prendiamo cura della tua privacy e dell’utilizzo dei tuoi dati.
Per maggiori informazioni sul lavoro che svolgiamo clicca qui