LA RIFLESSIONE

Microsoft, i nuovi impegni privacy alla luce delle raccomandazioni EDPB: quali scenari

Come conseguenza dell’abolizione del Privacy Shield, Microsoft ha annunciato l’adozione di nuove misure per adeguarsi alle linee guida dell’EDPB in tema di trasferimento dati personali extra UE: una scelta fatta, evidentemente, dopo aver valutato che le clausole contrattuali standard non sono sufficienti e che potrebbe fare da apripista anche per le altre Big Tech americane. Ecco con quali impatti

26 Nov 2020
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Continuano a palesarsi gli effetti della sentenza Schrems II che ha di fatto invalidato il Privacy Shield: lo scorso 19 novembre, infatti, Microsoft ha comunicato nell’azienda sono in corso di adozione nuove misure per adeguarsi alle linee guida adottate l’11 novembre dall’European Data Protection Board (EDPB) in tema di trasferimento dati personali al di fuori dell’Unione Europea.

L’annuncio contiene un significativo impegno di Microsoft a combattere ogni ingerenza governativa sui file dei propri utenti a livello globale.

L’approccio Microsoft alla privacy degli utenti

Se la sentenza Schrems II della Corte di Giustizia dell’Unione Europea (CGUE 16.07.2020 – C311/18) ha censurato il Privacy Shield perché non protegge adeguatamente i cittadini UE dalle possibili ingerenze del Governo USA sui loro dati personali, Microsoft ci ricorda di non essere un soggetto che recepisce passivamente le richieste governative, ma di aver sempre dato battaglia a queste istanze, ottenendo numerosi successi.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Microsoft ci ricorda quindi che il suo approccio alla privacy degli utenti è sempre stato proattivo e che in questo senso il colosso di Redmond:

  1. utilizza standard di crittografia elevati per proteggere i dati dei clienti, in transito e sui propri server, senza condividere le chiavi di crittografia con autorità governative;
  2. non condivide dati con autorità governative salvo la richiesta di condivisione sia lecita e comunque informa sempre il cliente quando simili iniziative sono poste in essere;
  3. pubblica regolarmente i dati statistici relativi alle richieste di disclosure che riceve (anche se, va detto, le pubblicazioni non sono molto “fruibili” in quanto riportano i dati in “scaglioni” di 500 o 1000 unità, con il risultato che per numerosi bimestri le richieste potrebbero essere sia 0 che 500/1000; più utili sono le informazioni spot presenti in altre pagine del sito Microsoft, dove l’azienda scende più nel dettaglio; sappiamo ad esempio che nella prima metà del 2020 Microsoft ha ricevuto 5.507 richieste di dati dei propri utenti da parte di autorità USA e che l’azienda ha ricevuto da autorità nazionali 91 richieste di accesso ad account enterprise, di queste, 42 sono state rifiutate o ritirate);
  4. contesta e rigetta gli ordini di esibizione non legittimi, ricorrendo giudizialmente avverso quelli che ciononostante vengono mantenuti fermi dall’amministrazione. Tra questi ricorsi Microsoft ricorda di aver coinvolto in un’occasione la Corte Suprema degli Stati Uniti. Il caso riguardava un’indagine relativa ad un traffico di stupefacenti in cui l’autorità inquirente aveva chiesto a Microsoft accesso ai dati delle e-mail scambiate dai trafficanti. Microsoft aveva concesso accesso a quanto conservato nei server USA dell’azienda, negando accesso alle e-mail contenute nei server di Dublino, ritenendo che l’autorità inquirente avrebbe dovuto ottenere i dati per rogatoria internazionale. La Corte Suprema ha trattato il caso nel 2018, senonché quando stava per decidere il governo ha emanato sul tema il c.d. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) e l’autorità inquirente ha emesso una nuova richiesta sulla base della normativa appena emessa, rinunciando alla richiesta originaria. Il caso è stato quindi dismesso.

L’azienda comunica poi che inizierà ad inserire nelle proprie licenze rivolte al settore pubblico e business una serie di “garanzie ulteriori” sulla scorta delle raccomandazioni EDPB.

Tali garanzie sono tese a raggiungere un livello di tutela dei dati personali sostanzialmente equivalente a quello previsto dal GDPR, anche nel caso in cui i dati siano trasferiti oltreoceano.

Microsoft: i nuovi impegni privacy

Queste ulteriori misure (che Microsoft raccoglie sotto il nome “Defending your Data”) prevedono l’impegno di Microsoft a:

  1. fare quanto possibile affinché eventuali richieste governative di accesso ai dati vengano rivolte direttamente al cliente;
  2. informare tempestivamente il cliente della richiesta di accesso, salvo ciò sia proibito dalla legge, anche in questo caso Microsoft farà quanto possibile per ottenere un’esenzione dalla proibizione e comunque comunicherà la richiesta non appena la proibizione sarà venuta meno;
  3. fare quanto possibile per contestare la richiesta sul piano del diritto, anche sulla base di violazioni del diritto del paese del cliente (e quindi del GDPR se si tratta di un paese dell’Unione Europea).

Microsoft si impegna, inoltre, a tenere indenne il cliente dei danni che questi dovesse subire a causa della condivisione dei dati da parte di Microsoft verso un governo di un paese terzo.

La scelta di indennizzare i clienti è di sicuro impatto, anche se non si vede come questa possa contribuire a creare una situazione di sostanziale equivalenza fra la protezione dei dati personali esistente in UE e quella garantita in USA.

Il problema sollevato dalla sentenza Schrems II consiste proprio nell’esistenza, in USA, di ipotesi in cui legittimamente il governo può accedere ai dati di cittadini europei che non sono ammesse nell’Unione.

Di fronte a questo problema gli impegni di Microsoft sono senz’altro rassicuranti ma purtroppo restano poco concreti (specie se pensiamo che nell’ipotesi più insidiosa, ovvero in cui la disclosure debba essere tenuta segreta al cliente, con Microsoft che eviterà in questi casi anche la tutela dell’indennizzo).

Sarebbe stata forse preferibile una spinta sulle misure tecnologiche di tutela del dato. La crittografia di Microsoft, se portata al livello “zero-knowledge” (nemmeno Microsoft ha le chiavi di decrittazione, ma solo il cliente) risolverebbe in radice tutti i problemi, anche se evidentemente si tratta di una soluzione che confligge con il modello di business dell’azienda.

Una prima risposta all’abolizione del Privacy Shield

Al netto di quanto precede, questa presa di posizione di Microsoft va senz’altro accolta con favore, come primo passo per rispondere al quadro normativo successivo alla “caduta” del Privacy Shield.

La scelta di Microsoft, inoltre, risponde ad una serie di considerazioni significative che, ci si augura, faranno da apripista per analoghi adeguamenti da parte di altre aziende statunitensi interessate da questa problematica.

Dobbiamo infatti ricordare che l’EDPB, nell’annunciare le sue nuove indicazioni circa le “garanzie ulteriori”, precisa che i titolari e responsabili del trattamento devono adottarle quando:

  1. trasferiscono dati verso paesi terzi per i quali non è stata adottata una decisione di adeguatezza (lista in cui rientrano gli USA dopo la sentenza Schrems II che ha posto nel nulla la decisione di adeguatezza relativa al Privacy Shield);
  2. le clausole contrattuali standard (art. 46 GDPR) non sono sufficienti.

Secondo l’EDPB il titolare e il responsabile sono tenuti ad una scrupolosa valutazione caso per caso per determinare la necessità di adottare queste garanzie ulteriori e, nel caso in cui tali misure fossero necessarie, quali misure adottare per controbilanciare gli squilibri derivanti dalla situazione normativa e dalle prassi vigenti nel paese terzo e garantire un livello di protezione dei dati dei cittadini europei essenzialmente equivalente a quello presente in seno all’Unione.

Microsoft evidentemente ha fatto questa valutazione ed ha concluso che le clausole contrattuali standard non sono sufficienti per garantire un trasferimento di dati personali in linea con il GDPR verso gli Stati Uniti.

La scelta Microsoft come buon esempio per altre aziende

La scelta di Microsoft mette quindi decisamente pressione ai suoi concorrenti e agli altri player del settore tech americano. La decisione del colosso di Redmond rende chiara la necessità di individuare garanzie ulteriori per trasferire legittimamente i dati personali di cittadini europei negli USA.

Gli altri giganti tech (come Amazon, Facebook e Google) che in risposta alla sentenza Schrems II avevano semplicemente modificato le loro policy sostituendo il riferimento al Privacy Shield con l’introduzione delle clausole contrattuali standard, dovranno ora necessariamente ripensare il loro approccio e promuovere misure ulteriori per continuare a trattare dati europei oltreoceano.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr