Microsoft, i nuovi impegni privacy alla luce delle raccomandazioni EDPB: quali scenari - Cyber Security 360

LA RIFLESSIONE

Microsoft, i nuovi impegni privacy alla luce delle raccomandazioni EDPB: quali scenari

Come conseguenza dell’abolizione del Privacy Shield, Microsoft ha annunciato l’adozione di nuove misure per adeguarsi alle linee guida dell’EDPB in tema di trasferimento dati personali extra UE: una scelta fatta, evidentemente, dopo aver valutato che le clausole contrattuali standard non sono sufficienti e che potrebbe fare da apripista anche per le altre Big Tech americane. Ecco con quali impatti

26 Nov 2020
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Continuano a palesarsi gli effetti della sentenza Schrems II che ha di fatto invalidato il Privacy Shield: lo scorso 19 novembre, infatti, Microsoft ha comunicato nell’azienda sono in corso di adozione nuove misure per adeguarsi alle linee guida adottate l’11 novembre dall’European Data Protection Board (EDPB) in tema di trasferimento dati personali al di fuori dell’Unione Europea.

L’annuncio contiene un significativo impegno di Microsoft a combattere ogni ingerenza governativa sui file dei propri utenti a livello globale.

L’approccio Microsoft alla privacy degli utenti

Se la sentenza Schrems II della Corte di Giustizia dell’Unione Europea (CGUE 16.07.2020 – C311/18) ha censurato il Privacy Shield perché non protegge adeguatamente i cittadini UE dalle possibili ingerenze del Governo USA sui loro dati personali, Microsoft ci ricorda di non essere un soggetto che recepisce passivamente le richieste governative, ma di aver sempre dato battaglia a queste istanze, ottenendo numerosi successi.

Microsoft ci ricorda quindi che il suo approccio alla privacy degli utenti è sempre stato proattivo e che in questo senso il colosso di Redmond:

  1. utilizza standard di crittografia elevati per proteggere i dati dei clienti, in transito e sui propri server, senza condividere le chiavi di crittografia con autorità governative;
  2. non condivide dati con autorità governative salvo la richiesta di condivisione sia lecita e comunque informa sempre il cliente quando simili iniziative sono poste in essere;
  3. pubblica regolarmente i dati statistici relativi alle richieste di disclosure che riceve (anche se, va detto, le pubblicazioni non sono molto “fruibili” in quanto riportano i dati in “scaglioni” di 500 o 1000 unità, con il risultato che per numerosi bimestri le richieste potrebbero essere sia 0 che 500/1000; più utili sono le informazioni spot presenti in altre pagine del sito Microsoft, dove l’azienda scende più nel dettaglio; sappiamo ad esempio che nella prima metà del 2020 Microsoft ha ricevuto 5.507 richieste di dati dei propri utenti da parte di autorità USA e che l’azienda ha ricevuto da autorità nazionali 91 richieste di accesso ad account enterprise, di queste, 42 sono state rifiutate o ritirate);
  4. contesta e rigetta gli ordini di esibizione non legittimi, ricorrendo giudizialmente avverso quelli che ciononostante vengono mantenuti fermi dall’amministrazione. Tra questi ricorsi Microsoft ricorda di aver coinvolto in un’occasione la Corte Suprema degli Stati Uniti. Il caso riguardava un’indagine relativa ad un traffico di stupefacenti in cui l’autorità inquirente aveva chiesto a Microsoft accesso ai dati delle e-mail scambiate dai trafficanti. Microsoft aveva concesso accesso a quanto conservato nei server USA dell’azienda, negando accesso alle e-mail contenute nei server di Dublino, ritenendo che l’autorità inquirente avrebbe dovuto ottenere i dati per rogatoria internazionale. La Corte Suprema ha trattato il caso nel 2018, senonché quando stava per decidere il governo ha emanato sul tema il c.d. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) e l’autorità inquirente ha emesso una nuova richiesta sulla base della normativa appena emessa, rinunciando alla richiesta originaria. Il caso è stato quindi dismesso.

L’azienda comunica poi che inizierà ad inserire nelle proprie licenze rivolte al settore pubblico e business una serie di “garanzie ulteriori” sulla scorta delle raccomandazioni EDPB.

Tali garanzie sono tese a raggiungere un livello di tutela dei dati personali sostanzialmente equivalente a quello previsto dal GDPR, anche nel caso in cui i dati siano trasferiti oltreoceano.

Microsoft: i nuovi impegni privacy

Queste ulteriori misure (che Microsoft raccoglie sotto il nome “Defending your Data”) prevedono l’impegno di Microsoft a:

  1. fare quanto possibile affinché eventuali richieste governative di accesso ai dati vengano rivolte direttamente al cliente;
  2. informare tempestivamente il cliente della richiesta di accesso, salvo ciò sia proibito dalla legge, anche in questo caso Microsoft farà quanto possibile per ottenere un’esenzione dalla proibizione e comunque comunicherà la richiesta non appena la proibizione sarà venuta meno;
  3. fare quanto possibile per contestare la richiesta sul piano del diritto, anche sulla base di violazioni del diritto del paese del cliente (e quindi del GDPR se si tratta di un paese dell’Unione Europea).

Microsoft si impegna, inoltre, a tenere indenne il cliente dei danni che questi dovesse subire a causa della condivisione dei dati da parte di Microsoft verso un governo di un paese terzo.

La scelta di indennizzare i clienti è di sicuro impatto, anche se non si vede come questa possa contribuire a creare una situazione di sostanziale equivalenza fra la protezione dei dati personali esistente in UE e quella garantita in USA.

Il problema sollevato dalla sentenza Schrems II consiste proprio nell’esistenza, in USA, di ipotesi in cui legittimamente il governo può accedere ai dati di cittadini europei che non sono ammesse nell’Unione.

Di fronte a questo problema gli impegni di Microsoft sono senz’altro rassicuranti ma purtroppo restano poco concreti (specie se pensiamo che nell’ipotesi più insidiosa, ovvero in cui la disclosure debba essere tenuta segreta al cliente, con Microsoft che eviterà in questi casi anche la tutela dell’indennizzo).

Sarebbe stata forse preferibile una spinta sulle misure tecnologiche di tutela del dato. La crittografia di Microsoft, se portata al livello “zero-knowledge” (nemmeno Microsoft ha le chiavi di decrittazione, ma solo il cliente) risolverebbe in radice tutti i problemi, anche se evidentemente si tratta di una soluzione che confligge con il modello di business dell’azienda.

Una prima risposta all’abolizione del Privacy Shield

Al netto di quanto precede, questa presa di posizione di Microsoft va senz’altro accolta con favore, come primo passo per rispondere al quadro normativo successivo alla “caduta” del Privacy Shield.

La scelta di Microsoft, inoltre, risponde ad una serie di considerazioni significative che, ci si augura, faranno da apripista per analoghi adeguamenti da parte di altre aziende statunitensi interessate da questa problematica.

Dobbiamo infatti ricordare che l’EDPB, nell’annunciare le sue nuove indicazioni circa le “garanzie ulteriori”, precisa che i titolari e responsabili del trattamento devono adottarle quando:

  1. trasferiscono dati verso paesi terzi per i quali non è stata adottata una decisione di adeguatezza (lista in cui rientrano gli USA dopo la sentenza Schrems II che ha posto nel nulla la decisione di adeguatezza relativa al Privacy Shield);
  2. le clausole contrattuali standard (art. 46 GDPR) non sono sufficienti.

Secondo l’EDPB il titolare e il responsabile sono tenuti ad una scrupolosa valutazione caso per caso per determinare la necessità di adottare queste garanzie ulteriori e, nel caso in cui tali misure fossero necessarie, quali misure adottare per controbilanciare gli squilibri derivanti dalla situazione normativa e dalle prassi vigenti nel paese terzo e garantire un livello di protezione dei dati dei cittadini europei essenzialmente equivalente a quello presente in seno all’Unione.

Microsoft evidentemente ha fatto questa valutazione ed ha concluso che le clausole contrattuali standard non sono sufficienti per garantire un trasferimento di dati personali in linea con il GDPR verso gli Stati Uniti.

La scelta Microsoft come buon esempio per altre aziende

La scelta di Microsoft mette quindi decisamente pressione ai suoi concorrenti e agli altri player del settore tech americano. La decisione del colosso di Redmond rende chiara la necessità di individuare garanzie ulteriori per trasferire legittimamente i dati personali di cittadini europei negli USA.

Gli altri giganti tech (come Amazon, Facebook e Google) che in risposta alla sentenza Schrems II avevano semplicemente modificato le loro policy sostituendo il riferimento al Privacy Shield con l’introduzione delle clausole contrattuali standard, dovranno ora necessariamente ripensare il loro approccio e promuovere misure ulteriori per continuare a trattare dati europei oltreoceano.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5