Ci sono forti dubbi sulla conformità al Gdpr dei contratti per i prodotti Microsoft usati dalle istituzioni Ue: lo scrive l’Edps (European Data Protection Supervisor) in una nota di aggiornamento sull’inchiesta che sta valutando se gli accordi contrattuali stipulati tra gli organismi comunitari e l’azienda americana siano rispettosi della normativa europea sulla privacy.
“Anche se l’inchiesta è ancora in corso i risultati preliminari – sottolinea il Garante europeo per i dati personali – portano alla luce gravi preoccupazioni sulla compliance dei rilevanti termini contrattuali con le regole sulla data protection” e sul “ruolo di Microsoft” come società cui viene affidata l’elaborazione dei dati nelle istituzioni europee che usano i suoi prodotti e servizi. Un risk assessment sull’uso dei prodotti Microsoft nelle istituzioni pubbliche è già stato condotto dal ministero della Giustizia e della sicurezza olandese e ha confermato “che le autorità pubbliche dei paesi membro si trovano di fronte a problematiche simili”.
L’inchiesta partita dall’Olanda
Il Garante Ue per la protezione dei dati (allora nella persona di Giovanni Buttarelli), ha avviato lo scrutinio degli accordi contrattuali stipulati tra le istituzioni dell’Ue e Microsoft lo scorso aprile. L’Edps prendeva atto dell’inchiesta condotta dalle autorità nazionali olandesi su Microsoft Office ProPlus, Windows 10 Enterprise, Office 365 online e le relative app mobili, che aveva portato alla luce “elevati rischi per la protezione dei dati” di diversi tipi, tra i quali “la conservazione illegale di categorie speciali di dati, sia nei metadati che nei contenuti, come per esempio gli oggetti delle e-mail”.
Modificare i contratti per tutelare i dati
In seguito alla sua inchiesta il ministero della Giustizia e della sicurezza olandese ha raggiunto un accordo con Microsoft che prevede una modifica nei termini contrattuali con gli enti statali, protezioni tecniche e specifiche impostazioni al fine di tutelare meglio i diritti individuali. Ciò, indica oggi l’Edps, dimostra che “ci sono ampi margini di miglioramento nello sviluppo dei contratti fra le pubbliche amministrazioni e i più potenti sviluppatori di software e fornitori esterni di servizi online”. L’Edps “è del parere che tali soluzioni dovrebbero essere estese non solo verso tutte le organizzazioni pubbliche e private nell’Ue (è quanto ci aspettiamo nel breve termine), ma anche ai singoli individui”.
Più controllo sui contratti IT
La cooperazione tra pubbliche autorità negli Stati membro, istituzioni Ue e altre organizzazioni internazionali è essenziale per assicurare che gli accordi contrattuali con Microsoft forniscono lo stesso livello di protezione dei diritti individuali in tutta l’area economica europea, per l’Edps, prosegue l’Edps.
Il ministero della Giustizia olandese e l’Edps hanno organizzato a fine agosto in Olanda una prima riunione su scala Ue dei clienti dei prodotti software e cloud da cui ha preso forma The Hague Forum. Il gruppo ha lo scopo di discutere come riprendere il controllo sui servizi e i prodotti It offerti dai grandi fornitori globali e di valutare la creazione di standard contrattuali, anziché accettare termini e condizioni scritti da questi provider. L’Edps invita tutte le parti interessate a unirsi al Forum e elaborare insieme termini contrattuali equi per la pubblica amministrazione, anche considerate le nuove sfide degli ambienti cloud.
Rischi per i diritti individuali
Per il Garante europeo della privacy qualsiasi istituzione Ue che utilizzi le applicazioni Microsoft indagate dall’Olanda “incontreranno probabilmente problemi simili”, incluso “l’aumento dei rischi per i diritti e le libertà degli individui”. Nell’inchiesta ancora in corso l’Edps sta valutando anche se, nei termini contrattuali per l’utilizzo dei prodotti Microsoft nelle istituzioni Ue, ci siano misure appropriate per mitigare i rischi per i diritti alla protezione dei dati degli individui.
Le istituzioni dell’Unione si basano sui servizi e sui prodotti del colosso Usa del software per condurre le loro attività giornaliere – faceva notare l’Edps ad aprile all’apertura dell’indagine. Considerando la portata, la natura e gli scopi del trattamento di questi dati “è di importanza vitale che siano in vigore appropriate salvaguardie contrattuali e misure che mitighino i rischi”, per assicurare il rispetto del Gdpr.
