La privacy di Microsoft 365 nel mirino del Garante UE

Il Garante Privacy UE contro la Commissione per Microsoft 365. Per la serie "chi fa le leggi poi è il primo a non applicarle", scopriamo cosa è avvenuto nella primavera del 2024 in seno alle istituzioni Europee. Diamo un rapido sguardo alle norme a tutela della riservatezza nel nostro Paese e nell'intero Continente, vediamo la realtà delle cose ed i passi avanti che vanno ancora fatti.

Il garante UE contro la Commissione per la privacy di Microsoft 365

Il contesto giuridico

Facciamo un brevissimo passo indietro prima di approfondire per chiarire il contesto giuridico in cui si inserisce la notizia.

Il GPDR

Già il Regolamento europeo 679/2016, noto come GDPR, aveva sancito limiti alle possibilità di trasferimento di dati personali in stati al di fuori dell'Unione Europea, consentendoli solo in presenza di specifici presupposti. Una legge americana infatti, il c.d. Patriot Act, approvato all'indomani dell'11 settembre 2001, malgrado successive modifiche ma anche proroghe, consente ampie deroghe alle libertà individuali tra cui la privacy, al fine di ostacolare il terrorismo. In alcuni casi (le NSL, National Security Letter) era persino concesso all'FBI di ottenere, dai fornitori internet, dati sulle attività web dei cittadini, senza neppure mandato di un Giudice.

Il Regolamento 1725/2018

Il Regolamento 1725 del 2018 è stato adottato dal Parlamento e dal Consiglio Europeo, per rafforzare le garanzie per i cittadini europei nel trattamento dei dati da parte delle stesse Istituzioni Europee. Nell'articolo 1 del provvedimento si legge: "La protezione delle persone fisiche in relazione al trattamento dei dati di carattere personale è un diritto fondamentale". E all'articolo 6: "Le persone i cui dati personali sono trattati da istituzioni e organi dell'Unione, in qualsiasi circostanza, ad esempio in quanto impiegate presso tali istituzioni e organi, dovrebbero essere tutelate".

Insomma il Regolamento, conferma che il GDPR ha dato maggiori garanzie di riservatezza ai cittadini europei, ma impone alle sue istituzioni di dare il buon esempio e tutelarli "in qualsiasi circostanza".

L'indagine del Garante UE sull'uso di Microsoft 365 nella Commissione

Ma evidentemente così non è stato se l'indagine, avviata nel 2021 dal Garante Europeo, l'EDPS (European Data Protection Supervisor), si è conclusa con il riscontro di molteplici violazioni di norme fondamentali del Regolamento del 2018 e del GDPR e di carenze, cito testualmente, di "garanzie adeguate da parte della Commissione per assicurare che i dati personali trasferiti al di fuori dell'Ue/See godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'Ue/See".

Vorrei citare Il Privacy Shield, la National Security Letter ed il Privacy Act americani e la storica sentenza Schrems II da cui l'indagine citata è scaturita. Ma non è questo il luogo. In ogni caso, al centro di tutto c'è il contratto di fornitura stipulato dalla Commissione europea con Microsoft, sempre in agguato dove si comanda, per l'utilizzo di Microsoft 365.

Prosegue infatti l'EDPS nella nota stampa sulla notizia: "Inoltre, nel suo contratto con Microsoft, la Commissione non ha sufficientemente specificato quali tipi di dati personali debbano essere raccolti e per quali finalità esplicite e specificate nell'utilizzo di Microsoft 365".

Ricapitolando: Microsoft raccoglie e trasmette negli Stati Uniti tutte le informazioni sincronizzate nel cloud di Microsoft 365. Ma la normativa europea impone l'adozione di misure supplementari per i servizi che trasferiscono dati personali di cittadini europei verso stati, al di fuori dello spazio economico europeo, in questo caso gli USA, se hanno leggi sulla privacy dei propri cittadini con minori garanzie rispetto alle nostre.

L'attuale EDPS, Wiewiórowski, sulla questione ha dichiarato: "È responsabilità delle istituzioni, degli organi e degli organismi dell'UE garantire che qualsiasi trattamento di dati personali al di fuori e all'interno dell'UE/del SEE, anche nel contesto dei servizi basati su cloud, sia accompagnato da solide garanzie e misure di protezione dei dati. Ciò è imperativo per garantire che le informazioni delle persone fisiche siano protette, come richiesto dal regolamento (UE) 2018/1725, ogniqualvolta i loro dati siano trattati da un'Istituzione UE o per suo conto."

I provvedimenti del Garante UE contro la Commissione per Microsoft 365

Il Garante Europeo ha quindi ordinato alla Commissione, di sospendere tutti i flussi di dati derivanti dal suo utilizzo di Microsoft 365 a Microsoft e alle sue affiliate e sub-responsabili del trattamento, situati in paesi al di fuori dell'UE/SEE non contemplati da una decisione di adeguatezza. Ha inoltre deciso di ordinare alla Commissione di rendere conformi al regolamento UE 2018/1725 le operazioni di trattamento risultanti dall'uso di Microsoft 365. La Commissione deve dimostrare il rispetto di entrambi gli ordini entro il 9 dicembre 2024.

La nota stampa riporta che il Garante ritiene inoltre che le misure imposte "siano appropriate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni riscontrate". Nella nota si legge anche: "Molte delle violazioni riscontrate riguardano tutte le operazioni di trattamento effettuate dalla Commissione, o per suo conto, quando utilizzano Microsoft 365, e hanno un impatto su un gran numero di persone".

Quindi, per non intralciarne il lavoro, l'EDPS ha concesso alla Commissione un termine di ben 8 mesi per adeguarsi agli ordini. Riservandosi comunque la possibilità di effettuare nel frattempo ulteriori indagini e adottare altri provvedimenti.

Sembra un caso che nella stessa data del provvedimento dell'EDPS, differenti testate di settore abbiano rilanciato un comunicato stampa di Microsoft sui recenti aggiornamenti di software e servizi volti a rispettare la legge sui mercati digitali, nota come DMA, Digital Markets Act e tutelare maggiormente la privacy e la libertà di scelta degli utenti europei.

Niente di nuovo... ma perché!?

Insomma niente di nuovo sotto il sole. Malgrado buoni propositi, in seno perfino alle istituzioni Europee, si continuano ad utilizzare soluzioni monopolistiche che vengono dagli USA, sono studiate per imporre i loro formati e programmi, raccolgono dati per trattarli come vogliono e sono bersagliate dalla quasi totalità di virus in circolazione.

Pensa cosa significa rivolgersi alla sanità pubblica per richiedere un delicato esame diagnostico legato ad un problema di salute e sapere che tutte queste informazioni possono finire in mano a governi stranieri per il semplice fatto di sfruttare un software da ufficio nel cloud come Microsoft 365.

Avremmo software come LibreOffice e i servizi cloud di Collabora Online, altrettanto completi, sviluppati in Europa, che adottano formati standard che non vincolano all'uso di uno specifico programma e che rispettano la nostra privacy. Ne ho parlato in LibreOffice e formati aperti.

Se mi chiedi il perché ciò avvenga, non è certo per l'inferiorità di queste soluzioni, ma perché, come detto poc'anzi, i colossi girano come avvoltoi intorno alle istituzioni e le corteggiano per non lasciarsi scappare nemmeno un'opportunità di business, inchiodarli all'uso delle loro tecnologie e travolgere qualunque possibile alternativa.

Come successe quando il sindaco di Monaco di Baviera, dopo l'annuncio dell'abbandono dei software Microsoft e una migrazione completa verso Linux e software open-source, ricevette visita dell'amministratore delegato di Microsoft in persona, Steve Ballmer all'epoca, che cercò, invano di convincerlo a ripensarci. Lo stesso Steve Ballmer aveva definito Linux un cancro. Certo le cose sono molto cambiate dopo la sua cacciata da Microsoft e l'arrivo di Nadella e ne ho parlato in I piani di Microsoft per Linux e l’open-source.

L'articolo 68 del CAD (Codice dell'Amministrazione Digitale)

In Italia abbiamo il CAD, Codice dell'Amministrazione Digitale, lettera morta da quasi 20 anni dopo la sua adozione. L'art. 68 sul riuso del software, impone ad enti pubblici, scuole e amministrazioni locali, di effettuare, secondo precisi criteri, una valutazione comparativa delle soluzioni software adottabili per le proprie esigenze. Solo all'esito di questa permette, se tutte le altre si rivelano inadeguate e come ultima spiaggia il ricorso a soluzioni commerciali come i software di Microsoft, Google, Zoom e compagnia "bella".

E allora cosa possiamo fare nel nostro piccolo oltre a rifiutare le imposizioni sui nostri PC di casa e lavoro ed educare i più giovani alla pluralità di scelte possibili? Né io e né, credo, chi segue da un po' le mie iniziative, siamo pronti alla rassegnazione.

Purtroppo, quanto all'art. 68 del CAD, la stragrande maggioranza delle amministrazioni pubbliche disattende l'obbligo di preferenza per software dai codici aperti e quello sulla valutazione comparativa. Perché non sono previste ancora specifiche sanzioni in caso di violazioni e fintanto che le cose restano così, non potremo vederle cambiare drasticamente.

L'inevitabile

Va anche detto che ci sono passi avanti. Anche successivamente alla "legge Stanca" e all'adozione del Codice dell'amministrazione digitale, ci sono novità normative. Spingono tutte verso inevitabili scelte per software aperto, indipendenza tecnologica, sovranità digitale e scenari che permetterebbero il prosperare di realtà software locali, favorendo la nostra economia, invece che continuare a convogliare all'estero enormi capitali che permettono di potenziare strumenti di controllo e influenza di massa.

Succederà, non so quando, ma è inevitabile. E sei hai letto fin qui, quando avverrà, ripenserai a me e magari ci ritroveremo per festeggiare!