Nemmeno la Commissione europea va esente da “accuse” di mancata compliance in materia di protezione dati.
A stabilirlo è il Garante europeo della protezione dei dati (EDPS) il quale, al termine di un’indagine svolta al riguardo, giunge alla conclusione che la Commissione europea nell’utilizzare lo strumento Microsoft 365 vìola alcune norme fondamentali sulla protezione dei dati UEDPR (pendant del GDPR).
Scopriamo quali.
Indice degli argomenti
Il “capo di accusa” per l’uso di Microsoft 365
L’EDPS ritiene che la Commissione europea abbia violato alcune norme sulla protezione dei dati adoperando Microsoft 365, e per l’effetto impone una serie di misure correttive, come si evince dal comunicato stampa dell’11 marzo 2024.
L’indagine svolta
L’indagine sull’uso dello strumento di Microsoft 365 è stata avviata nel maggio 2021 in seguito alla storica sentenza Schrems II della CGUE, con lo scopo di “verificare la conformità della Commissione alle raccomandazioni precedentemente emanate dal GEPD sull’uso dei prodotti e dei servizi Microsoft da parte delle istituzioni e degli organi dell’UE”, nello spirito di collaborazione con l’EDPB come da rapporto dell’EDPB sull’azione coordinata di applicazione delle norme del 2022 al fine di far rispettare le norme sulla protezione dei dati, e in questo caso il Regolamento UE 1018/1725 – EUDPR. In pratica il GDPR per gli Organi istituzionali (UE).
Le norme violate
Secondo l’EDPS, la Commissione ha violato diverse parti del Regolamento UE sulla protezione dei dati, senza prevedere “garanzie adeguate per il trasferimento di dati personali al di fuori dell’UE o dello Spazio economico europeo” SEE (art. 4, par. 2, artt. 46 e 48).
Non avrebbe, infatti, valutato né prima del trasferimento né dopo adeguate misure di sicurezza poste a tutela di attività di trattamento, in questo caso del trasferimento dati extra UE.
Nel merito, risulta infatti che la Commissione, nello stipulare il contratto con Microsoft, non abbia in alcun modo specificato “i tipi di dati personali raccolti e lo scopo della raccolta dei dati quando si utilizza Microsoft 365”, inclusiva dei servizi cloud (come Word, Excel, PowerPoint, Outlook e servizi online come OneDrive, Teams e SharePoint) ai sensi e per gli effetti di cui all’art. 29, par. 3, lett. a).
In altri termini, l’Istituzione in parola non si sarebbe preoccupata di indicare quale tipologia di dati personali potevano essere trasferiti a chi, in che Paesi terzi e per quali finalità.
Per conseguenza, non avrebbe potuto ottenere le informazioni minime necessarie per valutare ulteriori necessarie misure supplementari atte a garantire un livello di protezione equivalente.
Non solo, la Commissione, in qualità di titolare del trattamento, non avrebbe fornito istruzioni documentate, né avrebbe valutato se le finalità di un ulteriore trattamento fossero compatibili con le finalità per la raccolta dei dati personali.
Da ultimo, nello stipulare le Clausole Contrattuali Standard – SCC per i trasferimenti extra UE (dalla Commissione a Microsoft Corporation), non avrebbe “tracciato chiaramente i trasferimenti proposti, aver concluso una valutazione dell’impatto dei trasferimenti e aver incluso in tali SCC le opportune salvaguardie”. In pratica, avrebbe difettato nella mappatura degli stessi.
Da qui le mancanze e poi le violazioni accertate.
Le misure correttive
Alla luce dell’indagine e a seguito dell’accertamento delle norme violate, ecco che l’EDPS ha imposto alla Commissione delle misure correttive. Scopriamo quali.
Anzitutto, ha ordinato alla Commissione, di “sospendere tutti i flussi di dati derivanti dall’uso di Microsoft 365 a Microsoft e alle sue affiliate e subprocessor, situati in paesi terzi non coperti da una decisione di adeguatezza”, ex art. 58, par. 2, lett. j), del Reg. 2018/1725, dimostrando l’effettiva attuazione di tale sospensione.
Poi l’EDPS ha imposto di “rendere conformi i trattamenti derivanti dall’utilizzo di Microsoft 365 e di dimostrare tale conformità entro il 9 dicembre 2024” per il tramite di:
- una mappatura dei trasferimenti dei dati personali che vengono trasferiti, a chi destinatari, perché e con quali tutele; esclusivamente per consentire l’esecuzione dei compiti di competenza del responsabile del trattamento;
- un accordo sulle altre misure organizzative e tecniche affinché:
- i dati personali siano raccolti per specifiche ed esplicite finalità;
- i tipi di dati personali siano sufficientemente determinati in relazione alle finalità per cui sono trattati;
- qualsiasi trattamento da parte di Microsoft o suoi affiliati sia effettuato solo su istruzioni documentate della Commissione (titolare), “a meno che, per i trattamenti all’interno del SEE, non sia richiesto dalla legge dell’UE o di uno Stato membro, o, per i trattamenti al di fuori del SEE, dalla legge di un paese terzo che garantisca un livello di protezione sostanzialmente equivalente a quello del SEE, a cui Microsoft o i suoi subprocessori sono soggetti”.
L’EDPS precisa poi che, con riferimento ai dati personali trattati nel SEE, solo il diritto dell’UE o degli Stati membri vieta di notificare alla Commissione una “richiesta di divulgazione”, costituendo una misura necessaria e proporzionata.
In definitiva, l’EDPS ritiene che “le misure correttive che impone (cfr. allegato per un estratto dettagliato) siano adeguate, necessarie e proporzionate alla luce della gravità e della durata delle violazioni accertate”.
L’annosa questione del trasferimento dati extra UE
Molte delle violazioni riscontrate in questa vicenda, riguardano l’annosa questione delle operazioni di trattamento dati all’estero che, nel caso di specie come è stato riscontrato dal GEDP, colpiscono un gran numero di persone.
Il trasferimento di dati personali al di fuori dello Spazio Economico Europeo – SEE come noto è un tema complesso e dibattuto da anni, al punto tale che per certi aspetti (pensiamo alle vicende Schrems) sembra una tematica non pervenire mai ad una soluzione stabile e definitivo.
Il principio di fondo, come un leitmotiv, è sempre lo stesso: garantire un livello di protezione dei dati personali adeguato.
Le criticità al riguardo sono molteplici, pensiamo alla mancanza di adeguatezza dal momento che non tutti i paesi terzi garantiscono un livello di protezione dei dati equivalente al GDPR.
Alla difficoltà di controllo e governo sui dati che vengono trasferiti all’estero; e non di meno al rischio di violazioni o usi illegittimi se non anche illeciti.
Di qui, il GDPR prevede alcune soluzioni per effettuare un trasferimento dei dati all’estero sicuro e ciò lo fa prevedendo:
- decisioni di adeguatezza;
- clausole contrattuali standard – SCC;
- Binding Corporate Rules – BCR cioè quelle norme vincolanti di impresa (art. 47) multinazionali.
Si tratta in ogni caso di una questione sempre molto attuale che merita di essere seguita e approfondita, il cui stato dell’arte non è di facile composizione, occorrendo una valutazione volta per volta.
I prossimi passi
La Commissione ha ora tempo fino al 9 dicembre 2024 per attuare la sospensione dei flussi di dati e mettere in atto le misure correttive indicate e summenzionate, rappresentando un tempo congruo e adeguato.
Tuttavia, considerata la funzione istituzionale e il ruolo importante che la Commissione europea svolge, l’EDPS ha ritenuto “di non compromettere la capacità della Commissione UE di svolgere i propri compiti nell’interesse pubblico o di esercitare pubblici poteri di cui è investita”.
Concludiamo, quindi, con le dichiarazioni ufficiali rilasciate dal Garante europeo Wojciech Wiewiórowski per sottolineare ancora una volta l’importanza della questione in disamina, richiamandoci al comunicato stampa ufficiale sopra citato: “È responsabilità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE (IUE) garantire che qualsiasi trattamento di dati personali all’esterno e all’interno dell’UE/SEE, anche nel contesto dei servizi basati su cloud, è accompagnato da solide garanzie e misure in materia di protezione dei dati. Ciò è fondamentale per garantire che le informazioni delle persone siano protette, come richiesto dal regolamento (UE) 2018/1725, ogni volta che i loro dati sono trattati da, o per conto di, un IUE”.
Tanto basta.