L’European Data Protection Supervisor (EDPS), o semplicemente il Garante privacy europeo, ha svolto un’indagine sull’accordo di licenza tra Microsoft e le istituzioni UE che per funzionare, come qualsiasi organizzazione, necessitano di computer e suite di lavoro. Le evidenze del Garante europeo a carico di Microsoft sono pesanti.
Indice degli argomenti
Lo scenario attuale
DPO e consulenti privacy conoscono fin troppo bene il problema.
Il GDPR ex art. 28 prevede che sia il titolare a dare indicazioni su quali debbano essere le caratteristiche e le modalità del trattamento dei dati, in caso di esternalizzazione del servizio, attraverso la nomina a responsabile del trattamento, atto che deve essere di natura contrattuale o di pari valore.
Semplificando, ciò comporta una serie di oneri e controlli che il titolare deve effettuare sul proprio “fornitore”. Se la prassi è ormai divenuta consolidata per gli attori su cui le organizzazioni hanno un potere contrattuale superiore o analogo, è pressoché utopico con i giganti del web.
Provate a mandare una nomina a responsabile ex art. 28 a Dublino, sede di Microsoft Ireland.
Se questa debolezza, di fatto, è acclarata dalla maggior parte di coloro che si occupano di GDPR, è inaccettabile o dovrebbe esserlo per le istituzioni europee ed ecco che EDPS solleva il caso.
Il paper di EDPS, redatto nel marzo scorso e presentato il 02 luglio 2020, svela il segreto di pulcinella. Il Garante europeo critica pesantemente gli accordi di licenza di Microsoft e la condotta del gigante di Redmond (Washington), che in materia di GDPR è opaco o quantomeno superficiale.
Microsoft è a tutti gli effetti un fornitore di gran parte delle organizzazioni europee, pubbliche e private. In quanto tale dovrebbe assoggettarsi alle indicazioni dell’articolo 28 GDPR ma ciò non avviene. Le condizioni contrattuali delle licenze standard dei prodotti e servizi di Microsoft vengono accettate senza alcuna possibilità di negoziazione da parte della quasi totalità dei suoi clienti e ciò è palesemente in contraddizione con il GDPR.
I richiami del Garante privacy europeo
EDPS intima alle istituzioni europee di non subire passivamente le condizioni imposte unilateralmente da Microsoft e, in pieno rispetto della normativa europea, di provvedere a sottoscrivere un accordo completo e conforme all’art. 28 del GDPR e impartire a Microsoft le istruzioni documentate per il trattamento dei dati e tutti i consequenziali poteri di controllo su sub-processor, misure di sicurezza e in generale di conformità al GDPR.
Le istituzioni dell’UE, al pari di ogni titolare o piccola organizzazione italiana o europea, cimentatasi nell’applicazione del GDPR, con Microsoft e gli altri giganti dell’ICT, hanno dovuto arrendersi e accettare conformità lacunose su temi quali l’ubicazione dei dati, i trasferimenti internazionali e il rischio di divulgazione illecita dei dati.
Provate a esercitare i diritti di titolare del trattamento e tentate di effettuare un audit presso i datacenter Microsoft, controllare la posizione dei dati elaborati, verificare adeguatamente i dati trasferiti al di fuori dell’UE/SEE.
Un inciso doveroso, di interesse per i tecnici del GDPR, è che l’accordo “Institutional Licensing Agreement – ILA” firmato nel 2018 tra Microsoft e la UE, così come il paper qui commentato con i richiami di EDPS, non ricadono nell’alveo del GDPR ma del Regolamento UE 2018/1752 (la versione per l’apparato pubblico europeo del GDPR), che ha larghissime analogie con il Regolamento UE 679/2016 (GDPR).
Lo stesso EDPS afferma: “Non solo la legge applicata… si basa sugli stessi principi e condivide la stragrande maggioranza delle disposizioni con il GDPR, ma l’accordo siglato dalle istituzioni dell’UE si basa su documenti di contratti multilicenza Microsoft standard e pertanto probabilmente presenterà analogie con gli accordi conclusi da altre organizzazioni”.
Il Garante europeo raccomanda alle istituzioni UE, ma ciò potrebbe essere allargato per analogia anche a tutti noi comuni mortali, di considerare attentamente eventuali acquisti di prodotti e servizi Microsoft, così come di altre ICT big company.
Approfondiamo quindi insieme le criticità riscontrate da EDPS.
Microsoft come titolare del trattamento
Le licenze standard di Microsoft consentono al gigante di Redmond il diritto illimitato di modificare unilateralmente in qualsiasi momento l’intera “suite” contrattuale e consequenzialmente i termini relativi alla protezione dei dati, le finalità per le quali ha elaborato i dati personali, l’ubicazione dei dati e le norme che disciplinano la divulgazione e il trasferimento di dati, senza che i clienti abbiano facoltà di un ricorso contrattuale contro tali cambiamenti.
Nello specifico dell’ILA (accordo fra Microsoft e UE firmato nel 2018), nel gennaio del 2020 Microsoft di sua iniziativa ha introdotto un nuovo documento standard chiamato “Addendum per la protezione dei dati” nel quale ha travasato una serie di importanti condizioni sulla protezione dei dati, prima incluse nel documento “Termini dei servizi online”, a suo tempo firmato in sede di attivazione dei servizi dalle istituzioni europee.
La criticità risiede nel fatto che l’Addendum non è mai stato firmato dalla controparte e tra i documenti ufficiali non vi è alcun riferimento a quest’ultimo. Si potrebbe pensare, forse con eccessiva leggerezza e malizia, che il GDPR sia stato asportato dagli adempimenti di Microsoft.
“Questo livello di discrezione… rende di fatto Microsoft un controller”, afferma il Garante UE nel paper.
La condizione di titolare autoproclamata, fenomeno da me già riscontrata in molte situazioni, operando come DPO e consulente GDPR, viene talvolta preferita rispetto a quella del Processor, soprattutto da quelle organizzazioni “GDPR unfriendly”, perché ciò nelle loro superficiali convinzioni pensano così di godere di maggiore agilità e libertà nella gestione di dati personali.
Il Garante europeo ha inoltre riscontrato che le licenze standard di Microsoft distinguono implicitamente quattro categorie di dati, con livelli di protezione diverso, creando l’evidente rischio che alcune categorie di dati raccolti e utilizzati non rientrino nell’ambito delle protezioni contrattuali standard e beneficiassero di un livello di protezione inferiore, determinato esclusivamente da Microsoft.
Quattro diversi livelli di protezione.
La categoria di dati personali più protetta è rappresentata dai dati forniti direttamente dai fruitori dei servizi online. Nel caso trattato da EDPS, i 45.000 dipendenti e collaboratori delle istituzioni europee, che quotidianamente utilizzano un computer che utilizzi programmi Microsoft.
I dati raccolti da Microsoft durante l’utilizzo dei servizi online è, invece, solo in parte coperto dalle garanzie contrattuali.
L’EDPS si è accorta durante l’indagine, dell’esistenza di una terza categoria di dati ottenuti da Microsoft durante l’utilizzo dei suoi servizi professionali i quali non rientrano nell’ambito di applicazione dei principali obblighi negoziati dell’accordo quadro.
Una quarta categoria di dati relativa ai dati diagnostici di Windows, della suite di produttività di Office o Office 365 ProPlus (es: Word, Excel, PowerPoint) installati localmente e non annoverabili quali servizi online, non rientrano nell’ambito di alcun controllo contrattuale significativo e consequenzialmente coperti dall’informativa sulla privacy di Microsoft.
Il Garante europeo, come se non bastasse, evidenzia che, data la natura interconnessa dei prodotti Microsoft, dei servizi online e dei servizi professionali, non è infatti chiaro delimitare in maniera precisa l’appartenenza di un dato a una specifica categoria o se questo possa spostarsi da una all’altra. Il Garante UE accusa quindi Microsoft di poca trasparenza riguardo ai controlli applicati sulle diverse categorie di dati. “Lack of transparency concerning which contractual controls”, sono le parole del paper.
In definitiva, secondo EDPS, il reale titolare dei dati dispone di pochi o nessun controllo contrattuale su quali dati personali siano raccolti da Microsoft o cosa Microsoft possa fare con tali dati.
Limitazioni alla finalità
Secondo il Garante europeo la finalità dichiarata da Microsoft per le proprie attività di trattamento è: “fornire prodotti o servizi professionali”.
Appare immediatamente ovvio a tutti che utilizzare questa ipergenerica finalità, per definire l’enorme e variegata gamma di attività svolte da Microsoft, è decisamente approssimativo e contrario all’indicazione del GDPR che all’Art. 5, comma 1, lettera b) dice: “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”.
Il famoso Addendum, delle cui criticità e debolezze contrattuali abbiamo già detto, in fase di definizioni delle finalità prova a chiarire cosa potrebbe o non potrebbe rientrare nella “fornitura” di un servizio, annovera quale ulteriore finalità: “fornire esperienze utente personalizzate”.
Ciò più che redimere la questione la complica, poiché la frase “esperienze utente personalizzate” abusata dal marketing è direttamente e palesemente in conflitto con il divieto del GDPR di “profilazione dell’utente” qualora non se ne abbia il consenso e induce il Garante europeo a chiedersi quale sia l’interpretazione e applicazione della “profilazione” da parte di Microsoft. “Raising a question as to how narrowly Microsoft interprets ‘user profiling’” sono le parole testuali del paper.
E di nuovo, a sottolineare l’esistenza di qualche fraintendimento o leggerezza di Microsoft relativamente al GDPR, è la dichiarata possibilità da parte di Microsoft di essere legittimata a offrire raccomandazioni mirate sui propri prodotti. Attività evidentemente ascrivibile al Direct Marketing e per la quale non è ammesso il legittimo interesso ma il consenso.
Nell’Addendum, Microsoft si arroga il diritto di agire come titolare per le attività di “legitimate business operations”, a cui associa sei finalità specifiche. Il Garante richiama questa errata sovrapposizione e incoerenza terminologica, che potrebbe facilmente ingenerare fraintendimento fra ciò che è Marketing, ciò che per Microsoft è un “legittimo fare affare” e la base giuridica del Legittimo interesse (Art. 6 del GDPR) che nulla ha a che fare con con quanto sopra. “… suggested a significant overlap with what might under the GDPR qualify as legitimate interests pursued by the controller. It was unclear from the broad and vague language, to what extent those purposes were necessary for the provision of the online and professional services” sono le parole testuali del paper.
Il Garante UE, quindi, anche relativamente alla finalità non può che richiamare l’incoerenza di Microsoft e il palese scostamento dai dettami del GDPR, raccomandando espressamente di vietare finalità che siano difformi da quelle necessarie al titolare: “Other purposes should be expressly prohibited” sono le parole testuali del paper.
La gravità di quanto sopra è acuita dal fatto che Microsoft è e rimane un responsabile ex art, 28 e in quanto tale non può decidere finalità e trattamenti diversi da quelli decisi dal titolare.
Microsoft, in pratica, decide di arrogarsi diritti non dovutigli sui dati personali dei propri clienti e di utilizzarli per finalità commerciali.
Controller vs Processor: Sub-Processor & Audit
Il Garante europeo entra quindi nel merito di quali siano le violazioni dei contratti standard di Microsoft, richiamando l’art. 29 del Regolamento UE 2018/1725 e il suo analogo art. 28 del GDPR.
L’accordo titolare-responsabile
- gli accordi standard di Microsoft non vincolano il responsabile del trattamento (Microsoft) al titolare del trattamento (le istituzioni UE nel paper) e non prevedono che Microsoft tratti i dati personali soltanto su istruzione documentata (Art 28 comma 3, lettera a));
- gli accordi standard di Microsoft non definiscono “il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento” (art 28 comma 3);
- EDPS afferma che “la natura e la finalità del trattamento sono definiti con precisione insufficiente”.
Sub-processors
Anche in materia di subfornitori Microsoft viola i tipici elementi, cui invece sono soggetti i fornitori europei che necessitino di una filiera di subfornitura.
Microsoft dovrebbe assumere un sub-processore solo sulla base di una previa autorizzazione scritta da parte del controller e qualora invece opti su una meno autorizzazione scritta generale, dovrebbe comunque una volta cada anno farsi approvare l’elenco dei sub-processor.
Inoltre, per essere in conformità al GDPR il cliente di Microsoft (il titolare) dovrebbero poter liberamente rifiutare uno o più sub-fornitori senza subire alcuna perdita di servizio.
Secondo quanto evidenziato dal Garante europeo Microsoft non nomina i sub-fornitori previa autorizzazione (né specifica né generale) e non dà la possibilità di opporsi alla nomina di un sub-fornitore. Nel caso delle Istituzioni europee, qualora vi sia la selezione di un nuovo sub-processor, Microsoft comunicava nel nome del sub-processore, nel tipo generale di servizio fornito e nel paese in cui si trovava la propria sede. Informazioni ritenute dal Garante non sufficienti.
Inoltre, Microsoft dovrebbe inoltre trasferire contrattualmente i propri obblighi di protezione dei dati all’intera sua filiera di fornitura, sia in tema di misure tecniche e organizzative che di altre incombenze previste dal GDPR, ma a EDPS non è chiaro se ciò avvenga e se avvenga con le modalità previste dal GDPR.
Audit
Ai sensi dell’Art. 28, comma 3, lettera h) del GDPR dovrebbe essere consentito svolgere degli Audit a Microsoft da parte dei Titolari del trattamento dei dati.
Immaginando che tale attività potrebbe essere cosa gradita e curiosa per molti di coloro che si occupano di privacy e non solo, questo è uno degli elementi che generano discrimine fra i giganti dell’ICT e tutti gli altri Responsabili, che non godono dello status di big company.
La lettera h) è chiara al riguardo: “metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”.
Io stesso in qualità di DPO o consulente ho fatto e/o subito Audit di verifica; perché non dovrebbe esservi assoggettata anche Microsoft è la domanda che si fa l’EDPS?
EPDS ha invece appreso durante la redazione del paper che Microsoft, per aggirare questo obbligo, avrebbe disposto che gli audit di sicurezza fossero eseguiti almeno una volta all’anno da revisori della sicurezza esterni selezionati e pagati da Microsoft.
Il Garante UE ha quindi raccomandato, data la grande mole di dati trattati in virtù dell’utilizzo da parte delle istituzioni dell’UE di prodotti e servizi Microsoft, l’elevato numero di soggetti coinvolti e la mancanza di chiarezza in merito a ciò che è stato elaborato, dove, come e per quali scopi, che vengano disposti audit efficaci. “To implement robust, effective audit” sono le parole del paper.
Ubicazione, trasferimenti e diffusione dei dati
Microsoft, inoltre, ha mancato nel rispetto dell’obbligo di archiviare i dati nell’UE o meglio lo ha applicato solo a un sottoinsieme dei dati trattati. Il paper entra nel dettaglio di quali dati siano conservati sul territorio europeo e quali invece siano discrezionalmente gestiti extra UE.
Il Garante poi sottolinea che qualora siano necessari trasferimenti internazionali verso paesi terzi o organizzazioni extra UE, questi dovrebbero essere effettuati solo nel rigoroso rispetto delle norme di trasferimento applicabili, in seguito a una valutazione documentata dei rischi per i diritti e le libertà degli interessati e soprattutto a seguito di una libera decisione del titolare e non di Microsoft.
Il Garante europeo ha inoltre rilevato che Microsoft non dispone di “Binding Corporate Rules – BCR” (art. 47 GDPR) soluzione che avrebbe probabilmente risolto alla radice il problema dei trasferimenti infragruppo di dati personali.
La matassa, invece, è ulteriormente complicata dal famoso Addendum unilaterale di Microsoft che richiama per i trasferimenti dei dati le “Standard Contractual Corporation – SCC” (art. 48 GDPR), le quali chiamano in causa non solo Microsoft Ireland ma anche Microsoft Corporation, secondo le quali entrambe possono effettuare trasferimenti internazionali ai loro sub-processor.
Nello specifico le SCC per i trasferimenti di Microsoft Corporation non sono conformi poiché le appendici non specificano con precisione l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, le misure di sicurezza da applicarsi.
Così come il contenuto delle appendici deve essere di volta in volta rivisto specificatamente per ciascun prodotto e servizio, e non essere una precompilazione general generica (Microsoft pre-populated the description of the processing in the appendices è l’inciso usato nel paper).
Infine, il Garante europeo chiama in causa il protocollo n. 7 al Trattato sul Funzionamento dell’Unione Europea – TFUE o Trattato di Lisbona, che prevede l’inviolabilità della proprietà, delle attività, degli archivi, delle comunicazioni e dei documenti dell’UE. Dal protocollo n. 7 risulta che Microsoft può divulgare i dati personali che tratta per conto delle istituzioni dell’UE solo se lo notifica all’istituzione dell’UE interessata e se ne ottiene il permesso o in alternativa con l’autorizzazione della Corte di giustizia.
Nel momento in cui Microsoft ha discrezionalmente deciso di trattare i dati o parte di essi come Titolare, assoggettandoli alle proprie Privacy policy, ciò le ha consentito di divulgare dati personali a terzi, comprese forze dell’ordine o altri enti governativi di paesi comunitari o extra-comunitari.
A seconda delle leggi del paese terzo ove abbia sede Microsoft (es: USA) o un qualsiasi suo sub-fornitore, questi soggetti potrebbero trovarsi di fronte a un conflitto di leggi e potrebbero ritenere più prudente rispettare le leggi del paese terzo ove risiedono anche se ciò fosse in violazione del diritto dell’UE (Depending on the laws of that third country and their extra-territorial reach, such processors may be faced by a conflict of laws and deem it prudent to comply with the laws of the third country even if this puts them in breach of EU law).
Conclusioni
Nelle sue conclusioni, il Garante Europeo si sofferma su quella che potrebbe essere una sfida impari anche per le stesse istituzioni europee, nonché sfida titanica per le organizzazioni normali private o pubbliche che siano, di pretendere di sedersi a un tavolo con Microsoft per discutere modifiche alle licenze standard di un gigante quale Microsoft (that a hyperscale service provider would find acceptance of contractual changes).
Il Garante europeo chiude il proprio paper con un incoraggiamento rivolto ai Titolari affinché non siano scoraggiati dalla prospettiva di negoziare maggiori diritti e libertà degli interessati, anche di fronte a un partner commerciale di notevole peso.
Il paper, a mio personale giudizio, è nei fatti un mero esercizio del Garante, per addetti ai lavori, che si sentiranno rinfrancati in una serie di dubbi che spesso sono insorti nella gestione del GDPR in riferimento alle ICT company.
La mia personale speranza è che il paper possa essere d’ispirazione a qualche garante nazionale, che a seguito di un’attività ispettiva entri nel merito e redima le spinose questioni descritte nel paper e in questo articolo sintetizzatevi.