I dati personali, legali, finanziari, politici e commerciali di oltre 45mila dipendenti delle istituzioni dell’UE sono elaborati ed archiviati con prodotti e servizi Microsoft.
Inoltre, il personale dell’Unione europea utilizza gli stessi prodotti e servizi della società fondata da Bill Gates per elaborare i dati personali di cittadini che non fanno parte del personale.
E “la portata e i termini del Contratto di licenza inter-istituzionale”, che le istituzioni dell’UE hanno firmato nel 2018 con la società guidata dal ceo Satya Nadella, “hanno portato Microsoft a fungere da responsabile del trattamento in modi non trasparenti”.
A questo verdetto è giunto il garante europeo per la protezione dei dati – EDPS – (anche quest’Autorità è un utente della società statunitense) che ha concluso l’indagine di sua iniziativa sull’utilizzo da parte delle istituzioni dell’UE di prodotti e servizi Microsoft. L’EDPS ha presentato l’indagine nel corso del forum dell’Aia per il cloud contracting.
“Microsoft come controller non trasparente“
Secondo il Garante privacy europeo, 3 sono le questioni chiave che hanno “portato Microsoft a fungere da controllore in modi non trasparenti” in merito al Contratto di licenza inter-istituzionale, che le istituzioni dell’UE hanno firmato nel 2018 con la società con sede centrale a Redmond, Washington, un sobborgo di Seattle.
- Diritto di modifica unilaterale di Microsoft.
- La portata limitata degli obblighi di protezione dei dati nel Contratto e
- la mancanza di scopi specifici ed esplicitamente definiti per il trattamento dei dati
“Istituzioni dell’UE non in grado di controllare l’ubicazione di gran parte dei dati elaborati da Microsoft“
Quali conseguenze negative ha causato il Contratto di licenza inter-istituzionale sottoscritto con Microsoft e le istituzioni dell’Ue?
L’indagine del Garante europeo dei dati ha riscontrato che le istituzioni dell’UE non erano in grado di controllare l’ubicazione di gran parte dei dati elaborati da Microsoft. Né avevano il pieno controllo su ciò che è stato trasferito al di fuori dell’UE e dello Spazio Economico Europeo.
Mancavano anche adeguate garanzie per proteggere i dati non ubicati nell’UE/SEE. Ciò ha avuto un impatto pratico negativo sulla capacità delle istituzioni dell’UE di ritenere Microsoft responsabile del trattamento dei dati.
Le istituzioni dell’UE avevano anche poche garanzie di essere in grado di difendere i privilegi e le immunità loro concessi a norma del trattato sul funzionamento dell’Unione europea (“TFUE”) e che Microsoft avrebbe divulgato i dati personali solo nella misura consentita dalle leggi dell’UE.
“Divulgazione non autorizzata dei dati a terzi, comprese le forze dell’ordine o altri enti governativi”
Alla luce dell’analisi del Garante privacy europeo, secondo cui Microsoft ha mantenuto la discrezionalità per elaborare i dati come controllore, almeno una parte di tali dati era probabilmente soggetta alle politiche di Microsoft a cui si fa riferimento nell’Informativa sulla privacy della società. Ciò ha consentito a Microsoft, ha scritto il Garante nell’indagine, di divulgare dati personali (inclusi dati dei clienti, dati dell’amministratore, dati di pagamento e dati di supporto) a terzi, comprese le forze dell’ordine o altri enti governativi.
Wojtek Wiewiórowski, il Garante europeo per la protezione dei dati: “Un’indagine che ora aiuterà per i contratti di servizi Ict”
“La nostra aspettativa è che condividendo i risultati della nostra recente indagine, aiuteremo le pubbliche amministrazioni a migliorare la conformità della protezione dei dati durante la negoziazione di contratti con i loro fornitori di servizi Ict”, ha commentato Wojtek Wiewiórowski, il Garante europeo per la protezione dei dati.
“Non è appropriato”, ha continuato Wiewiórowski, “che i dati delle persone raccolti nella fornitura di servizi alle autorità pubbliche vengano elaborati per i propri scopi da questi fornitori di servizi”.
“Condividendo le competenze tecniche e rafforzando la cooperazione normativa attraverso questo forum”, ha concluso il Garante europeo per la protezione dei dati, “possiamo anche contribuire a garantire lo stesso livello di garanzie e misure di protezione dei dati per tutti i consumatori e le autorità pubbliche che vivono e operano nello Spazio economico europeo (SEE)”.
Le 11 raccomandazioni per i contratti con Microsoft
Il documento del Garante europeo per la protezione dei dati, oltre ai risultati, presenta le raccomandazioni che richiedono di applicare un elevato livello di trasparenza quando istituzioni dell’Ue sottoscrivono contratti con i loro fornitori di servizi Ict. Ecco le 6 raccomandazioni:
- Ogni istituzione dell’UE dovrebbe agire come unico controllore per quanto riguarda il suo uso di prodotti e servizi Microsoft quando svolge compiti nell’interesse pubblico o nell’esercizio dell’autorità ufficiale.
- L’accordo di licenza ombrello dovrebbe prevedere un ordine di precedenza inequivocabile dei documenti contrattuali.
- Le modifiche che le istituzioni dell’UE hanno negoziato ai termini standard di Microsoft dovrebbero essere incluse nel documento contrattuale di più alto livello. Così dovrebbero essere tutte le disposizioni necessarie per conformarsi al regolamento (UE) 2018/1725.
- Dovrebbe essere possibile modificare le disposizioni del Contratto di licenza inter-istituzionale riguardanti la protezione dei dati solo di comune accordo.
- L’ambito di applicazione delle disposizioni del Contratto di licenza inter-istituzionale sulla protezione dei dati dovrebbe essere ampliato per includere tutti i dati personali non solo forniti a Microsoft ma anche generati da Microsoft, in conseguenza dell’utilizzo da parte delle istituzioni dell’UE di tutti i prodotti e servizi Microsoft.
- Le istituzioni dell’UE dovrebbero negoziare una serie di scopi specifici, espliciti ed esaustivi per coprire tutti i tipi di dati personali coinvolti nel loro uso di prodotti e servizi Microsoft. Gli scopi dovrebbero essere limitati a quelli necessari alle istituzioni dell’UE per utilizzare tali prodotti e servizi. Altri scopi dovrebbero essere espressamente vietati.
- Tutte le istituzioni dell’UE dovrebbero eseguire test per verificare il flusso di dati personali a Microsoft dai suoi prodotti e servizi attuali e futuri, seguendo un approccio completo e documentato. Questo approccio dovrebbe, in particolare:
- coprire i normali schemi di utilizzo dei propri utenti che coinvolgono i prodotti e servizi Microsoft da testare;
- analizzare tutto il traffico in uscita dai computer degli utenti e tutte le sue destinazioni in modo da individuare i flussi di dati dal software Microsoft ai server Microsoft o ai suoi subappaltatori.
- Le istituzioni dell’UE dovrebbero inoltre monitorare il rilascio degli aggiornamenti dei prodotti Microsoft e collaborare con l’azienda per la loro configurazione al fine di eliminare qualsiasi trasferimento illecito di dati personali.
- Laddove un’istituzione dell’UE negozia l’approvvigionamento di prodotti o servizi software per conto di altre istituzioni dell’UE, l’istituzione dell’UE che sta negoziando dovrebbe informare l’altra istituzione dell’UE di eventuali problemi di protezione dei dati che identifica con i prodotti o servizi.
- Le istituzioni dell’UE dovrebbero condividere tra loro competenze tecniche e soluzioni per eliminare qualsiasi trasferimento illecito di dati personali a Microsoft.
- Laddove le istituzioni dell’UE intendessero utilizzare prodotti e servizi Microsoft che non utilizzavano già (come i servizi cloud Microsoft Office 365 o Microsoft Azure), dovrebbero eseguire valutazioni complete dei rischi di protezione dei dati posti da tali prodotti e servizi prima di implementarli.
Staremo a vedere se le raccomndazioni saranno applicate.