Come noto, MS Office 365, è il pacchetto di servizi produttività di Microsoft, comprendente tra gli altri Word, Excel, PowerPoint e Teams. La versione 365 è basata su un abbonamento ai servizi online (c.d. Saas – Software as a Service), ai quali si accede tramite URL o indirizzo web, sempre aggiornati, basati sul cloud per l’archiviazione remota. L’utilizzo di questo servizio comporta il trasferimento dei dati personali, oggetto di trattamento, verso un Paese terzo (gli Stati Uniti d’America, di seguito “USA”) che, al momento non offre adeguate garanzie, in base a quanto prescritto dal Regolamento UE 2016/679 (di seguito, “GDPR”).
L'articolo continua dopo la pubblicità
Il trattamento di dati personali presso paesi terzi deve avvenire solo in condizioni di “adeguatezza” garantite dal Paese terzo: gli USA, a seguito dell’abolizione del Privacy Shield (che abilitava i soggetti di diritto USA, come Microsoft, al trattamento dei dati) da parte della Corte di Giustizia europea (sentenza “Schrems II” della Corte di Giustizia, del 2020, che, per l’appunto, ha invalidato tale accordo), non rientrano nel novero di questi Paesi dichiarati adeguati. (sull’argomento sia consentito rinviare ai seguenti contributi dell’Autore:
Negli USA sono in vigore diverse normative, a vari scopi piuttosto invasive (ad es. antiterrorismo) e senza sufficienti garanzie per gli interessati, che sono state valutate dalle autorità comunitarie (la Corte di Giustizia dell’Unione Europea – CGCE – e lo European Data Protection Board – di seguito, “EPDB” –) come non adeguate, in tal senso.
Di conseguenza, il ricorso a strumenti che comportano il trasferimento dei dati personali negli USA richiede che debbano essere adottare le altre possibili basi di trasferimento previste dal GDPR (ad es. clausole contrattuali standard della Commissione Europea), e, soprattutto, che le stesse si debbano valutare con l’eventuale adozione di ulteriori “misure supplementari” (tecniche, organizzative, contrattuali) descritte da EDPB nelle proprie Raccomandazioni 1/2020.
Per chiarezza va detto che mentre per il caso di Google Analytics (sull’argomento sia consentito rinviare al seguente contributo dell’Autore: Trattamento dati nell'utilizzo del servizio di Google Analytics;) le normative americane non conformi ai principi del GDPR, sono: il FISA 702, l’Executive Order n. 12333 e la Presidential Policy Directive n. 28; per MS Office 365 la norma US non conforme al GDPR è il Clarifying Lawful Overseas Use of Data Act (c.d. CLOUD Act) del marzo 2018.
Per ciò che interessa in questa sede, l’US Cloud Act è una legge federale degli Stati Uniti emanata nel 2018 che modifica principalmente lo Stored Communications Act (SCA) del 1986 per consentire alle forze dell'ordine federali di obbligare le società tecnologiche con sede negli Stati Uniti a fornire i dati richiesti e archiviati sui server indipendentemente dal fatto che i dati siano archiviati negli Stati Uniti o all'estero suolo.
L’US Cloud Act stabilisce, tra l’altro, che le Autorità giudiziarie ed amministrative statunitensi, al fine di accelerare e rendere più efficienti le loro indagini, possano richiedere ai fornitori di servizi cloud soggetti alla giurisdizione statunitense la produzione, la conservazione o il backup di dati ed informazioni contenuti in documenti elettronici conservati in Paesi terzi, tra i quali ovviamente anche l’UE. Per questo motivo lo EDPB nell’ambito della dodicesima sessione plenaria di luglio 2021, nel corso della quale la Commissione LIBE ha espressamente sollecitato e richiesto una attenta valutazione dell’impatto che le previsioni dello US Cloud Act.
Lo US Cloud Act confligge, in prima battuta, con l’art. 48 GDPR a mente del quale “Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo”.
Le licenze Microsoft erano già state oggetto di scrutinio nel 2020 da parte dello European data Protection Supervisor (EDPS), l’Autorità garante per la protezione dei dati presso le istituzioni della comunità europea, che aveva evidenziato una serie di criticità, quali, in estrema sintesi: l’assenza di vincolo alle istruzioni del titolare, la mancata procedura per la nomina dei sub-responsabili, l’uso di clausole contrattuali standard troppo generiche e il pericolo del potenziale accesso ai dati istituzionali da parte di autorità USA.
Sia le autorità olandesi che quelle tedesche hanno condotto una serie di istruttorie finalizzate a determinare la conformità del prodotto Microsoft 365 con le prescrizioni di cui al GDPR.
Le conclusioni alle quali è giunta l’Autorità tedesca per la protezione dei dati vengono di seguito, brevemente, richiamate.
L’utilizzo di MS Office 365 comporta l’emersione di problemi legati alla protezione dei dati.
I problemi associati all'utilizzo di prodotti software non europei come Microsoft Office 365 si basano su circostanze tecniche e legali. Di norma, la trasmissione di determinati dati di utilizzo, come l'indirizzo IP, non può essere evitata durante l'uso. Inoltre, non si può escludere che il provider utilizzi determinati dati di utilizzo per propri scopi o li trasmetta a partner pubblicitari.
Per il trasferimento dei dati personali è necessaria una base giuridica. Ciò può derivare da regolamenti di trasmissione legale o dalla possibilità di utilizzare un fornitore di servizi come elaborazione degli ordini ai sensi dell'articolo 28, paragrafo 3, del GDPR.
Se il trattamento dei dati da parte di un fornitore non europeo si basa sulle cosiddette clausole standard dell'UE sulla protezione dei dati, ovvero contratti tipo, sono disponibili modelli corrispondenti; questi fanno spesso parte di contratti corrispondenti, anche con fornitori di servizi statunitensi. Secondo la decisione Schrems II della Corte di giustizia, tuttavia, nel trasferimento di dati personali negli USA devono essere adottate misure aggiuntive per garantire che sia garantito un livello di protezione sostanzialmente equivalente a quello dell'UE.
Qui, tuttavia, occorre ancora chiarire quali misure concrete possono essere prese in considerazione alla luce di tale requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo.
Per quanto riguarda Microsoft Office 365, esistono ancora normative nei termini di utilizzo (Termini di servizio online OST) o le normative sulla protezione dei dati (Date Processing Agreement DPA), che soddisfano i requisiti di protezione dei dati del DSGVO (acronimo tedesco di “Regolamento generale per la protezione dei dati); ma per quanto attiene ai seguenti aspetti: la trasparenza del trattamento dei dati, le opzioni per influenzare il cliente, le finalità del trattamento dei dati o la cancellazione dei dati; non c’è corrispondenza.
Sebbene Microsoft offra la possibilità di archiviazione dei dati su server europei (vedi "Termini del servizio online Microsoft"), ciò si applica solo ai "dati dei clienti" come li descrive Microsoft. Questa è la definizione di Microsoft per qualsiasi dato, inclusi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società tramite l'Utilizzo.
"Dati diagnostici" sono, invece, i dati che Microsoft raccoglie o riceve dal software installato localmente dal Cliente in connessione con il Servizio in linea (a volte indicato anche come dati di telemetria: trattasi in buona sostanza di “misurazione e trascrizione di informazioni di interesse del progettista di sistema o all’operatore”) e "Dati generati dal servizio" che Microsoft genera o deduce nel corso dell'esecuzione di un Servizio in linea non ricercato. Questi dati vengono quindi archiviati su sistemi negli Stati Uniti. A causa del loro contenuto (riferimento a dati personali) sorgono questioni relative alla lecita trasmissione alla luce della giurisprudenza della Corte di giustizia europea (CGCE 311/18 ("Schrems II")).
Al fine di impedire la trasmissione di dati di telemetria personali, i titolari del trattamento devono quindi garantire mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati tramite un'infrastruttura adeguata) che non vi sia alcuna trasmissione di dati di telemetria a Microsoft in modo dimostrabile (i.e., il titolare deve essere in gradi di fornire le evidenze di ciò).
Lo US CLOUD Act non è conforme al GDPR.
Il Clarifying Lawful Overseas Use of Data Act (CLOUD-Act degli Stati Uniti del 23 marzo 2018) offre alle autorità americane l'opportunità di richiedere alle società statunitensi (o alle loro filiali) di fornire dati, anche se si trovano al di fuori degli Stati Uniti.
Ai sensi dell'articolo 48 del GDPRDS-GVO, tale trasmissione di dati a un paese terzo è consentita solo se può essere basata su un accordo internazionale in vigore, come un accordo di assistenza giudiziaria reciproca. Tale accordo ad oggi non esiste.
Un approccio iniziale è stato quello di utilizzare una soluzione di amministrazione fiduciaria offerta da Microsoft, in cui Microsoft non aveva accesso diretto ai dati archiviati in Europa ("Microsoft Germany Cloud"). Tuttavia, il prodotto "MS Deutschland Cloud" è stato successivamente interrotto da Microsoft e non è più disponibile come opzione operativa.
Gli ordini corrispondenti delle autorità statunitensi di divulgare i dati sono generalmente accompagnati da un obbligo di riservatezza da parte del soggetto (i.e., Microsoft come responsabile del trattamento) cui è richiesto di divulgare i dati, in modo che le persone interessate non siano informate che i loro dati sono stati comunicati (tale fattispecie si verifica in violazione di quanto sancito dall’art. 15 cpv. 1 lett. c del GDPR).
In caso di accesso ai dati da parte delle autorità statunitensi o relative richieste di restituzione, ciò comporta una violazione dell'articolo 48 GDPR (“Trasferimento o comunicazione non autorizzati dal diritto dell’Unione”).
In quali condizioni è concepibile un uso conforme alla protezione dei dati di Microsoft Office 365?
I problemi di protezione dei dati riguardano principalmente i prodotti basati su cloud. A titolo di esempio sono disponibili informazioni sulle condizioni alle quali l'uso di Microsoft Office 365 può essere consentito dalla legge sulla protezione dei dati. Ciò accadrebbe nelle ipotesi in cui: a) il funzionamento di MS Office 365 avviene nelle strutture IT del titolare del trattamento ("soluzione in loco"); b) o in luoghi all'interno dell'UE/SEE che non sono soggetti a un obbligo di divulgazione ai sensi dello US CLOUD Act.
Il divieto di trasmissione dei dati di telemetria è applicabile in relazione al pacchetto MS Office 365 o il sistema operativo Windows sottostante. Con Windows 10 Enterprise, la trasmissione di dati a Microsoft può essere in gran parte impedita dalle impostazioni del sistema operativo.
Così come può essere applicato il filtro durante la trasmissione dei dati di telemetria personale tramite un'infrastruttura appropriata (firewall) a meno che ciò non possa essere impedito dalle specifiche di configurazione. In questo caso, i titolari del trattamento devono utilizzare misure contrattuali, tecniche o organizzative per garantire che non vi sia alcuna trasmissione di dati di telemetria a Microsoft in modo dimostrabile
Trattamento dei dati basato sulle cosiddette clausole standard UE sulla protezione dei dati (contratti tipo). Secondo la decisione Schrems II della Corte di giustizia, tuttavia, nel trasferimento di dati personali negli USA devono essere adottate misure aggiuntive per garantire che sia garantito un livello di protezione sostanzialmente equivalente a quello dell'UE. Qui, tuttavia, è ancora necessario chiarire quali misure concrete sono possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo.
Tra le misure individuate dal garante tedesco si annoverano le seguenti:
Quali "dati di utilizzo" vengono trasmessi con Microsoft Office 365?
Quando si utilizzano pacchetti software come Microsoft Office 365 o soluzioni cloud corrispondenti, possono essere trattati dati personali o di identificazione personale a diversi livelli.
Microsoft, in questo contesto, distingue tra "Dati del cliente", trattasi di tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software, forniti a Microsoft da o per conto del Cliente tramite l'Utilizzo; "Dati diagnostici" che Microsoft raccoglie da Software installato o ricevuto localmente dal Cliente in relazione al Servizio in linea (a volte indicato come dati di telemetria) e ai "Dati generati dal servizio" che Microsoft genera o deduce nel corso dell'esecuzione di un Servizio in linea.
Viene raccolta una grande quantità di dati sull'uso individuale di Word, Excel, PowerPoint e Outlook, Team e altre applicazioni e servizi. La raccolta va ben oltre il richiamo di un programma o la durata di utilizzo. Ad esempio, Microsoft raccoglie informazioni sugli eventi in Word, come premere il tasto backspace più volte di seguito, ma anche la frase prima e dopo una parola cercata nel correttore ortografico online. Il componente di telemetria integrato non solo registra i dati di utilizzo per le applicazioni utilizzate principalmente, ma anche l'utilizzo individuale dei servizi connessi come il servizio di traduzione o il motore di ricerca Microsoft Bing, nonché i dati sul dispositivo finale utilizzato, l'indirizzo di Accesso a Internet (indirizzo IP), dati sulla posizione e altro.
Nella maggior parte dei casi, i dati diagnostici o generati dal servizio sono informazioni tecniche che non hanno alcun riferimento personale diretto. Tuttavia, questi possono essere assegnati a un ID utente univoco appartenente all'utente o rappresentare identificatori univoci. Gli studi hanno dimostrato che a causa della grande quantità di informazioni, la reidentificazione è possibile anche quando si utilizzano account utente pseudonimi.
I titolari del trattamento sono obbligati ad adottare misure tecniche e organizzative che offrano protezione contro trattamenti non autorizzati o illeciti (art. 5 GDPR). Per quanto riguarda la trasmissione dei dati di telemetria, è importante applicare, almeno, le seguenti misure:
https://docs.microsoft.com/de-de/deployoffice/privacy/products-versions-privacy-controls
https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls.
L’autorità federale tedesca chiarisce, inoltre, che nonostante le criticità emerse da tempo e il dialogo in corso con Microsoft per rivedere le licenze e i termini di trattamento dei dati personali, in tali accordi (detti “Online Service Terms – OST”) e relativi DPA (Data Processing Agreement) sussistano ancora disposizioni non conformi ai requisiti di protezione dei dati riguardo ai seguenti aspetti: la trasparenza del trattamento, le possibilità di influenzare l’utilizzatore, le finalità del trattamento o la cancellazione dei dati.
Viene dato conto che l’opzione offerta da Microsoft di possibile selezione del solo territorio UE per l’archiviazione dei dati è ammessa solo per i dati “dei clienti” (come file vari generati e utilizzati dagli utenti), mentre non è ammessa per i dati “diagnostici” raccolti dal software (anche se installato localmente dal cliente) né per i dati “generati dai servizi stessi” nel corso della loro gestione.
Ciò significa che tali dati sono custoditi in server negli USA e si deve tenere conto che i dati (e metadati) sull’uso individuale delle applicazioni e dei servizi possono rivelare molto sugli utilizzatori.
Quindi, la realizzazione di questa telemetria comporta dei rischi per i dati personali coinvolti.
L’autorità tedesca afferma, inoltre, che “in molti casi non è nemmeno chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso criptata e i dati non possono quindi essere visualizzati durante un audit. Nel complesso, vi è una mancanza di trasparenza per quanto riguarda i dati trattati da Microsoft che soddisfano i requisiti del Regolamento generale sulla protezione dei dati”.
Per impedire questo, il cliente dovrebbe impiegare sistemi di filtraggio che impediscano di far arrivare dati in chiaro a Microsoft negli USA. Comunque sia, sarebbe un rimedio parziale: correttamente si puntualizza che in virtù del CLOUD Act anche i dati extra-USA possono finire in una richiesta di accesso delle autorità americane.
Un’alternativa, secondo l’autorità tedesca, è quella di utilizzare Office 365 solo in locale (soluzione “on-premises”) o in sedi all’interno dell’Unione che non siano soggette all’obbligo di divulgazione ai sensi del CLOUD Act.
Adempimenti a carico dei titolari del trattamento.
Sulla scorta di quanto esposto ed in linea con l’analisi condotta dall’Autorità per la protezione dei dati tedesca, si ipotizza – in prima battuta - l’adozione delle seguenti misure (che sono prettamente tecniche/organizzative ed il cui elenco può/deve essere integrato con il contributo della funzione aziendale dei Sistemi Informativi e dell’Ufficio Privacy), che possono essere riassunte come segue: