Garante privacy Ue ‘Microsoft non trasparente con i dati dell’Unione europea’

Il verdetto del garante europeo per la protezione dei dati, che ha concluso l’indagine sull’utilizzo da parte delle istituzioni dell’UE di prodotti e servizi Microsoft.

I dati personali, legali, finanziari, politici e commerciali di oltre 45mila dipendenti delle istituzioni dell’UE sono elaborati ed archiviati con prodotti e servizi Microsoft.

Inoltre, il personale dell’Unione europea gli stessi prodotti e servizi della società fondata da Bill Gates per elaborare i dati personali di cittadini che non fanno parte del personale.

“la portata e i termini del Contratto di licenza inter-istituzionale”, che le istituzioni dell’UE hanno firmato nel 2018 con la società guidata dal ceo Satya Nadella, “hanno portato Microsoft a fungere da controllore in modi non trasparenti”.

A questo verdetto è giunto il garante europeo per la protezione dei dati – EDPS – (anche quest’Autorità è un utente della società statunitense) che ha concluso l’indagine di sua iniziativa sull’utilizzo da parte delle istituzioni dell’UE di prodotti e servizi Microsoft. L’EDPS ha presentato l’indagine nel corso del forum dell’Aia per il cloud contracting.

Microsoft come controller non trasparente

Secondo il Garante privacy europeo, 3 sono le questioni chiave che hanno “portato Microsoft a fungere da controllore in modi non trasparenti” in merito al Contratto di licenza inter-istituzionale, che le istituzioni dell’UE hanno firmato nel 2018 con la società con sede centrale a Redmond, Washington, un sobborgo di Seattle.

  • Diritto di modifica unilaterale di Microsoft.
  • La portata limitata degli obblighi di protezione dei dati nel Contratto e
  • la mancanza di scopi specifici ed esplicitamente definiti per il trattamento dei dati

Istituzioni dell’UE non in grado di controllare l’ubicazione di gran parte dei dati elaborati da Microsoft

Quali conseguenze negative ha causato il Contratto di licenza inter-istituzionale sottoscritto con Microsoft e le istituzioni dell’Ue?

L’indagine del Garante europeo dei dati ha riscontrato che le istituzioni dell’UE non erano in grado di controllare l’ubicazione di gran parte dei dati elaborati da Microsoft. Né avevano il pieno controllo su ciò che è stato trasferito al di fuori dell’UE e dello Spazio Economico Europeo.

Mancavano anche adeguate garanzie per proteggere i dati non ubicati nell’UE/SEE. Ciò ha avuto un impatto pratico negativo sulla capacità delle istituzioni dell’UE di ritenere Microsoft responsabile del trattamento dei dati.

Le istituzioni dell’UE avevano anche poche garanzie di essere in grado di difendere i privilegi e le immunità loro concessi a norma del trattato sul funzionamento dell’Unione europea (“TFUE”) e che Microsoft avrebbe divulgato i dati personali solo nella misura consentita dalle leggi dell’UE.

“Divulgazione non autorizzata dei dati a terzi, comprese le forze dell’ordine o altri enti governativi”

Alla luce dell’analisi del Garante privacy europeo, secondo cui Microsoft ha mantenuto la discrezionalità per elaborare i dati come controllore, almeno una parte di tali dati era probabilmente soggetta alle politiche di Microsoft a cui si fa riferimento nell’Informativa sulla privacy della società. Ciò ha consentito a Microsoft, ha scritto il Garante nell’indagine, di divulgare dati personali (inclusi dati dei clienti, dati dell’amministratore, dati di pagamento e dati di supporto) a terzi, comprese le forze dell’ordine o altri enti governativi.

Wojtek Wiewiórowski, il Garante europeo per la protezione dei dati: “Un’indagine che ora aiuterà per i contratti di servizi Ict”

“La nostra aspettativa è che condividendo i risultati della nostra recente indagine, aiuteremo le pubbliche amministrazioni a migliorare la conformità della protezione dei dati durante la negoziazione di contratti con i loro fornitori di servizi Ict”, ha commentato Wojtek Wiewiórowski, il Garante europeo per la protezione dei dati.

“Non è appropriato”, ha continuato Wiewiórowski, “che i dati delle persone raccolti nella fornitura di servizi alle autorità pubbliche vengano elaborati per i propri scopi da questi fornitori di servizi”.

“Condividendo le competenze tecniche e rafforzando la cooperazione normativa attraverso questo forum”, ha concluso il Garante europeo per la protezione dei dati, “possiamo anche contribuire a garantire lo stesso livello di garanzie e misure di protezione dei dati per tutti i consumatori e le autorità pubbliche che vivono e operano nello Spazio economico europeo (SEE)”. 

Il documento del Garante europeo per la protezione dei dati, oltre ai risultati, presenta le raccomandazioni che richiedono di applicare un elevato livello di trasparenza quando istituzioni dell’Ue sottoscrivono contratti con i loro fornitori di servizi Ict.

Staremo a vedere se le raccomndazioni saranno applicate.

Fonte: Key4biz | di Luigi Garofalo

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL