Il Garante europeo della protezione dei dati (GEPD) ha recentemente stabilito che l’uso da parte della Commissione europea di Microsoft 365 viola le rigorose norme sulla protezione dei dati del blocco.
Questa decisione storica evidenzia la crescente tensione tra la comodità delle suite di produttività basate su cloud e l’urgente necessità di salvaguardare i dati sensibili, soprattutto all’interno delle istituzioni governative.
Le pratiche relative ai dati della Commissione sono state giudicate non sicure
Il GEPD ha avviato la sua indagine nell’utilizzo di Microsoft 365 da parte della Commissione già nel maggio 2021, alimentato dalle preoccupazioni sui trasferimenti transatlantici di dati e sulla conformità al regolamento generale sulla protezione dei dati (GDPR) dell’UE.
Il nocciolo della questione sta nel fatto che Microsoft, in quanto azienda con sede negli Stati Uniti, è soggetta alle leggi statunitensi come la Atto CLOUDgarantendo potenzialmente alle autorità statunitensi l’accesso ai dati archiviati sui server di Microsoft.
Dopo un attento esame, il GEPD ha concluso che la Commissione non ha attuato garanzie sufficienti per i trasferimenti di dati verso gli Stati Uniti. Ciò lascia i dati dei cittadini dell’UE potenzialmente vulnerabili all’accesso da parte delle agenzie di intelligence statunitensi, sollevando seri interrogativi sulla privacy e sulla sovranità dei dati.

Dove ha fallito la protezione dei dati della Commissione?
Il GEPD non si è limitato a lanciare un allarme generale su Microsoft 365, ma ha anche individuato esattamente dove la Commissione ha sbagliato.
Innanzitutto, non esistevano garanzie sufficienti per l’invio di dati personali al di fuori dell’Europa. Si tratta di un enorme campanello d’allarme, soprattutto dopo che l’intero accordo sullo Scudo per la Privacy è stato respinto nella decisione Schrems II, che ha reso chiaro che la sorveglianza statunitense potrebbe essere un problema.
Poi c’è da chiedersi se la Commissione avesse davvero bisogno di Microsoft 365. Non potevano davvero spiegare perché fosse così essenziale. Questo ci porta a chiederci se tramite Microsoft stessero elaborando molti più dati di quanto fosse effettivamente necessario.
Infine, sembra che il controllo iniziale della privacy effettuato dalla Commissione prima di iniziare a utilizzare Microsoft 365 non sia stato sufficientemente approfondito. Questo è un grosso problema: eseguire correttamente tale valutazione è il modo per individuare i rischi per la privacy e affrontarli prima che diventino un problema.
Microsoft 365 potrebbe oscurarsi nell’UE
Il verdetto del GEPD non è solo un avvertimento. Questo è un ultimatum serio con conseguenze importanti. La Commissione ha ora una scadenza ravvicinata, il 9 dicembre 2024, per interrompere completamente tutti i flussi di dati verso Microsoft e i suoi partner statunitensi derivanti dall’utilizzo della suite Microsoft 365.
La mancata osservanza delle norme potrebbe comportare sanzioni ingenti e danneggiare la reputazione dell’organo amministrativo centrale dell’UE. Questo li mette in una situazione difficile.
Si affrettano a trovare un modo alternativo per gestire i propri dati in modo conforme al diritto dell’UE, o affrontano le potenziali conseguenze della ribellione?

La commissione risponde
La Commissione ha confermato di aver ricevuto la decisione dell’EDPB e ha affermato che dovrà analizzare la motivazione “in dettaglio” prima di prendere qualsiasi decisione su come procedere.
In una serie di dichiarazioni durante una conferenza stampahanno espresso la fiducia che esso rispetti “le norme applicabili sulla protezione dei dati, sia in fatto che in diritto”.
Hanno anche citato “vari miglioramenti” già apportati ai contratti con il GEPD durante la sua indagine.
La Commissione ha ulteriormente sottolineato il proprio impegno nei confronti della protezione dei dati e della collaborazione con il GEPD:
“Abbiamo collaborato pienamente con il GEPD sin dall’inizio dell’indagine… La Commissione è sempre stata pronta ad attuare, ed è grata di aver ricevuto, qualsiasi raccomandazione motivata dal GEPD. La protezione dei dati è una priorità assoluta per la Commissione”.
Il dilemma: privacy vs interruzione
Tuttavia, le dichiarazioni della Commissione alludono anche al rischio di gravi perturbazioni qualora fosse costretta a interrompere Microsoft 365. Sostengono che “il rispetto della decisione del GEPD sembra purtroppo probabile che possa indebolire l’attuale elevato livello di servizi IT mobili e integrati”.
Questa affermazione sottolinea la tensione tra il mantenimento di un flusso operativo senza soluzione di continuità e la garanzia di una protezione ferrea dei dati.

Quello che viene dopo?
La Commissione si è impegnata ad analizzare attentamente la decisione del GEPD, suggerendo un periodo di deliberazione interna in vista. Il risultato finale rimane incerto: daranno priorità alla conformità, sacrificando potenzialmente la facilità delle operazioni, o cercheranno una soluzione di compromesso?
La risposta avrà conseguenze più ampie per il futuro della gestione dei dati all’interno dell’Unione europea.
Credito immagine in primo piano: Microsoft.