Bruxelles – Dati personali e nuove regole, il garante europeo per la privacy avvia l’inchiesta sui contratti in vigore tra Microsoft e le istituzioni comunitarie. Obiettivo: verificare che tutto sia rispondente alle nuove regole, entrate in vigore a dicembre, e che l’Unione non sia vittima di furti massicci di informazioni da parte dell’operatore statunitense, come riscontrato in uno Stato membro.
L’Authority di controllo europea ritiene che il regime di prestazione di servizi informatici a Commissione, Consiglio e Parlamento UE possa essere ‘obsoleto’, vale a dire frutto di un accordo tra le parti che potrebbe necessitare aggiornamenti alla luce dei sopraggiunti cambiamenti di legislazione comunitaria. Ma c’è dell’altro. La stessa Autorità garante teme che ci possano essere falle nei sistemi teoricamente a prova di ‘spioni’.
Nuove norme e vecchi contratti
Il Garante europeo per la privacy conferma che se “sta conducendo un’indagine sulla conformità degli accordi contrattuali” conclusi tra le istituzioni dell’UE e Microsoft. Un atto dovuto, spiega Wojciech Wiewiórowski, vice del Garante Giovanni Buttarelli. Le nuove norme sulla protezione dei dati per le istituzioni e gli organi dell’Ue sono entrate in vigore l’11 dicembre 2018. Il regolamento in questione “ha introdotto modifiche significative alle norme che disciplinano l’esternalizzazione” dei servizi. Vuol dire che “gli appaltatori ora hanno responsabilità dirette quando si tratta di garantire la conformità”. Tuttavia, ricorda Wiewiórowski, “quando si affidano a terzi per fornire servizi, le istituzioni dell’UE restano responsabili per qualsiasi trattamento di dati effettuato per loro conto”.
Le istituzioni comunitarie si affidano a servizi e prodotti Microsoft per svolgere le loro attività quotidiane, e questo include l’elaborazione di “grandi quantità” di dati personali. Considerando la natura, la portata, il contesto e gli scopi di questo trattamento dei dati, per l’Autorità di vigilanza “è di vitale importanza che siano adottate adeguate garanzie contrattuali e misure di attenuazione dei rischi per garantire la conformità con il nuovo regolamento”. In tal senso l’inchiesta avviata dal garante europeo per la privacy valuterà pertanto quali prodotti e servizi di Microsoft sono attualmente utilizzati dalle istituzioni dell’UE e se gli accordi contrattuali conclusi tra Microsoft e le istituzioni dell’UE siano pienamente conformi alle norme sulla protezione dei dati.
Il caso olandese
L’avvio delle indagini del Garante europeo avviene dopo le verifiche condotte nei Paesi Bassi dal ministro per la Giustizia olandese. Un dossier reso pubblico a novembre, prima dell’entrata in vigore delle nuove regole comunitarie, quindi, ma che mette in luce criticità del sistema Microsoft.
La compagnia procede alla raccolta sistemica di dati personali individuali attraverso sistemi che di fatto controllano in tempo reale tutte le applicazioni del pacchetto ‘Office’ (Word, Excel, PowerPoint) e la posta elettronica (Outlook). Tutto avviene di nascosto, senza che l’utente sia consapevole né abbia la possibilità di disabilitare la raccolta di informazioni.
Per il garante europeo della privacy non è dunque da escludere che “qualunque istituzione dell’UE” che utilizza le applicazioni Microsoft esaminate nella relazione in questione, possa probabilmente “incorrere in problemi analoghi a quelli riscontrati dalle autorità pubbliche nazionali olandesi, compresi i maggiori rischi per i diritti e le libertà delle persone”.