Il Garante Europeo per la protezione dei dati sospetta che Microsoft non rispetti le condizioni imposte dall’Unione Europea nel trattamento dei dati personali, come già riscontrato da uno Stato membro che avrebbe segnalato una serie di accessi non autorizzati ai dati personali.
L’indagine, iniziata Aprile 2019, è avvenuta nell’ambito del rapporto di fornitura che il colosso americano intrattiene con l’Unione Europea.
Le istituzioni sarebbero infatti preoccupate dalla possibilità che l’utilizzo dei software forniti da microsoft possa minare la riservatezza dei cittadini europei, mettendo in discussione la stessa prosecuzione dei rapporti contrattuali tra i due contendenti.
Nel mese di aprile 2019 il Garante Europeo per la Protezione dei Dati ha avviato un’indagine sull’uso dei prodotti e servizi Microsoft presso le istituzioni Europee. L’analisi ha identificato i prodotti e servizi Microsoft utilizzati dall’UE e valutato se gli accordi contrattuali tra le parti siano stati pienamente rispettati secondo le leggi sulla protezione dei dati. Il Garante ha inoltre valutato se fossero in essere appropriate misure utili a mitigare i rischi per la protezione dei dati individuali quando le istituzioni UE utilizzano prodotti e servizi Microsoft.
Sebbene le indagini siano ancora in corso di svolgimento, i risultati preliminari fanno emergere serie preoccupazioni circa l’osservazione di importanti termini contrattuali circa la protezione dei dati e il ruolo di Microsoft come fornitore delle istituzioni europee attraverso i propri prodotti e servizi.
Contratti da aggiornare e nuove norme:
Nella sostanza, come sottolinea Wojciech Wiewiórowski, si tratterebbe di aggiornare gli accordi contrattuali in vigore tra Microsoft e l’Unione alle nuove norme sulla protezione dei dati per le istituzioni e gli organi dell’UE, entrate in vigore l’11 dicembre 2018.
I punti salienti di tale aggiornamento sarebbero in particolare:
- L’introduzione, da parte del regolamento, di importanti modifiche alle norme che disciplinano l’esternalizzazione dei servizi, in particolare per quanto riguarda le responsabilità del committente e la sua qualificazione quale titolare del trattamento.
- La sicurezza dei dati personali trattati mediante i sistemi del colosso americano e la generale conformità del trattamento con il GDPR considerata in particolare la mole, la qualità e la sensibilità delle informazioni che vengono trattate da parte delle istituzioni Europee.
Le dichiarazioni rimangono per ora solo ufficiose ma sono corroborate dalle dichiarazioni con le quali Microsoft ha fatto sapere di essere già al lavoro per poter garantire l’integrale rispetto delle nuove disposizioni.
La questione olandese
L’indagine è partita dopo il caso olandese nel quale la pubblicazione di un dossier antecedente all’entrata in vigore delle nuove norma comunitarie, aveva già messo in luce le criticità che possono derivare dall’utilizzo dei sistemi Microsoft in contesti così particolari.
I sistemi della società statunitense sarebbe in grado di raccogliere e catalogare i dati personali di ognuno degli utenti in maniera sistematica.
Ciò avverrebbe attraverso sistemi che controllano in tempo reale le applicazioni ‘Office’ (Word, Excel, PowerPoint) e la posta elettronica (Outlook), e ciò avverrebbe inoltre senza la presenza di un consenso dell’utente, né in modalità opt-out (possibilità di disabilitare la raccolta di informazioni) né tantomeno opt-in (consenso espresso e preventivo alla raccolta di tali dati)
Di fronte ad un tale rapporto, di conseguenza, è probabile che qualsiasi utente, comprese le istituzioni europee, si ritrovi nella medesima situazione evidenziata dal rapporto olandese, sottolinea il Garante Europeo.
