L'impatto della violazione dei dati di Microsoft sugli utenti dell'UE

In che modo l'utilizzo di Microsoft 365 da parte dell'UE ha violato le norme sulla protezione dei dati?

Uno sguardo dettagliato su come l'Unione Europea utilizza Microsoft 365 ha rivelato che la Commissione ha violato le linee guida del gruppo sulla protezione dei dati utilizzando questo software basato su cloud.

Oggi, il Garante europeo della protezione dei dati (GEPD) ha condiviso i suoi risultati in un comunicato stampa, affermando che la Commissione ha violato “diverse importanti norme sulla protezione dei dati quando utilizzava Microsoft 365”.

Wojciech Wiewiorowski, responsabile del trattamento dei dati, ha spiegato: "La Commissione non ha descritto chiaramente quali tipi di dati personali verrebbero raccolti e per quali ragioni specifiche quando si utilizza Microsoft 365." Ha inoltre osservato che le violazioni della Commissione in qualità di responsabile del trattamento dei dati includono il modo in cui i dati personali vengono elaborati e trasferiti per suo conto.

Il GEPD ha fissato una scadenza entro il 9 dicembre 2024 affinché la Commissione risolva i problemi di conformità rilevati, a condizione che la Commissione continui a utilizzare la suite cloud di Microsoft.

A Microsoft e alla Commissione è stato chiesto il loro parere sulle conclusioni del GEPD, ma nessuna delle due ha risposto al momento della stesura di questo articolo.

L’autorità di regolamentazione, responsabile di garantire che le istituzioni dell’UE rispettino le norme sulla protezione dei dati, ha iniziato a indagare sull’uso di Microsoft 365 e di altri servizi cloud statunitensi da parte della Commissione nel maggio 2021.

La preoccupazione ruota attorno al modo in cui Microsoft gestisce i dati degli utenti dal suo servizio cloud. I regolatori dell’UE lanciano l’allarme da diversi anni, in particolare riguardo alle ragioni legali Microsoft afferma di utilizzare i dati, di un linguaggio poco chiaro nei suoi contratti e dell'assenza di misure tecniche per garantire che i dati vengano utilizzati solo per fornire e mantenere il servizio.

Quando il GEPD ha iniziato a indagare sulla questione, non esisteva alcun accordo per il trasferimento dei dati tra l’Unione europea e gli Stati Uniti, come invece avveniva nel caso dell’accordo UE-USA. Il Privacy Shield era stato invalidato nel luglio 2020.

Alla fine è stato raggiunto un nuovo accordo per i trasferimenti transatlantici di dati, entrato in vigore tre anni dopo, nel luglio 2023. Tuttavia, per la maggior parte del tempo in cui il GEPD ha indagato su come la Commissione utilizzava Microsoft 365, non è stato ancora raggiunto alcun accordo per la gestione dei dati. trasferimenti dall'UE agli Stati Uniti Ciò è preoccupante perché l'utilizzo di Microsoft 365 spesso significa che i dati vengono inviati ai server Microsoft negli Stati Uniti.

Il GEPD ha riscontrato che la Commissione non ha fornito una protezione sufficiente per i dati esportati, il che significa che il livello di protezione di tali dati non era equivalente a quello che avrebbero ricevuto nell’UE.

Di conseguenza, il garante dei dati ha ordinato alla Commissione di interrompere tutti i trasferimenti di dati derivanti dall'utilizzo di Microsoft 365 a Microsoft e ai suoi partner in paesi al di fuori dell'UE/SEE che non dispongono di una decisione di adeguatezza dell'UE per i trasferimenti di dati, con una scadenza . fissato per il 9 dicembre.

Inoltre, alla Commissione è stato chiesto di svolgere un esercizio di mappatura per chiarire quali dati personali vengono inviati a quali destinatari in altri paesi, per quali ragioni e quali garanzie sono messe in atto, compresi eventuali ulteriori trasferimenti. Dovrai inoltre garantire che l’eventuale trasferimento di dati verso paesi extra-UE senza una decisione di adeguatezza avvenga solo per compiti necessari rientranti nelle responsabilità del titolare.

In un contesto più ampio, il GEPD ha chiesto alla Commissione di aggiornare i suoi contratti con Microsoft per garantire che includano tutte le clausole legali, le misure organizzative e le misure tecniche richieste. Questo per garantire che i dati personali siano raccolti solo per ragioni chiare e specifiche e che tali ragioni siano ben definite in termini di modalità di trattamento dei dati.

Secondo l'ordinanza, Microsoft e le sue affiliate o subincaricati possono trattare i dati solo sulla base di chiare istruzioni da parte della Commissione. Se il trattamento avviene nella regione, deve seguire le leggi dell’UE o degli Stati membri. Se avviene al di fuori della regione, i dati devono essere trattati secondo le leggi di un paese terzo che offre livelli di protezione simili.

I contratti dovrebbero inoltre stabilire che i dati non possono essere utilizzati per nessun motivo diverso dallo scopo originale per il quale sono stati raccolti.

Il GEPD ha osservato che la Commissione non ha rispettato la regola della “limitazione delle finalità”, che costituisce una parte fondamentale delle norme sulla protezione dei dati. Non hanno identificato chiaramente quali dati personali venivano raccolti nell’ambito dell’accordo di licenza con Microsoft Ireland, il che ha impedito loro di garantire che i dati fossero chiaramente definiti e specifici.

Inoltre, l’UE non ha fornito a Microsoft istruzioni chiare su come trattare i dati, non ha limitato il trattamento in conformità con tali istruzioni e non ha verificato se il successivo utilizzo dei dati da parte di Microsoft fosse coerente con lo scopo iniziale per il quale erano stati raccolti . Queste sono solo alcune delle violazioni delle norme osservate dal GEPD.

In una dichiarazione, Wiewiorowski ha sottolineato:

È essenziale che le istituzioni, gli organi, gli uffici e le agenzie dell’UE garantiscano che qualsiasi trattamento dei dati personali, sia all’interno che all’esterno dell’UE/SEE e in particolare nei servizi cloud, segua rigorose misure di protezione dei dati. Ciò è fondamentale per salvaguardare le informazioni delle persone come richiesto dal regolamento (UE) 2018/1725 ogni volta che i loro dati vengono trattati da o per conto di un'IUE.

Negli ultimi anni, Microsoft ha adottato misure per affrontare le crescenti preoccupazioni derivanti dalle normative UE relative ai trasferimenti di dati. Hanno lanciato un'iniziativa per mantenere i dati localizzati, in particolare per i clienti cloud nella regione, chiamata “Limite dati UE per il cloud Microsoft”. Anche così, questa configurazione tecnica è ancora in fase di implementazione.

Microsoft ha osservato che alcuni dati continueranno ad essere utilizzati al di fuori dell'UE, anche se prevede di completare l'annuncio entro la fine dell'anno. Devono esaminare attentamente il perché. In una conferenza stampa hanno affermato di essere fiduciosi nel rispetto delle leggi sulla protezione dei dati sia pratiche che legali.

Hanno inoltre affermato di aver apportato “una serie di miglioramenti” al loro contratto con il GEPD nel corso dell’indagine. Ci sono domande. La Commissione ha confermato di essere pronta ad attuare le raccomandazioni del GEPD e ha sottolineato che la protezione dei dati è la sua massima priorità.

"La Commissione è impegnata a garantire che l'utilizzo di Microsoft M365 rispetti le norme sulla protezione dei dati e questo impegno si estende a tutti gli altri software acquistati", hanno menzionato. Hanno poi affermato: “Le nuove norme sulla protezione dei dati per le istituzioni e gli organi dell’UE sono entrate in vigore l’11 dicembre 2018. La Commissione si sta adoperando per creare quadri solidi e sicuri per la collaborazione con i partner internazionali. Questi standard guidano tutti i nostri processi e contratti. , compresi quelli con aziende come Microsoft.

Sebbene la Commissione abbia pubblicamente sottolineato il suo impegno nel soddisfare i requisiti legali, ha anche espresso preoccupazione in merito "La decisione del GEPD potrebbe incidere negativamente sull'attuale livello dei servizi IT mobili e integrati."

«Questa situazione potrebbe colpire non solo Microsoft ma anche altri servizi IT commerciali. Tuttavia, dobbiamo esaminare attentamente i risultati delle decisioni e le ragioni che ne sono alla base. "Non possiamo commentare ulteriormente finché la nostra analisi non sarà completata.", hanno aggiunto.