L’European Data Protection Supervisor (EDPS), che funge da autorità di controllo sui trattamenti eseguiti dalle istituzioni della UE, ha avviato un’investigazione per verificare la regolarità degli accordi contrattuali intercorrenti tra le medesime istituzioni e Microsoft.
In un comunicato Wojciech Wiewiórowski – assistente del Supervisor Giovanni Buttarelli – ha dichiarato: “Le nuove norme sulla protezione dei dati per le istituzioni e gli organi dell’UE sono entrate in vigore l’11 dicembre 2018. Il Regolamento 2018/1725 ha introdotto modifiche significative alle norme che disciplinano l’esternalizzazione. Gli appaltatori ora hanno responsabilità dirette quando si tratta di garantire la conformità. Tuttavia, quando si affidano a terzi per ottenere servizi, le istituzioni dell’UE restano responsabili per qualsiasi trattamento di dati effettuato per loro conto. Hanno anche il dovere di garantire che qualsiasi accordo contrattuale rispetti le nuove regole e di identificare e mitigare eventuali rischi. È per questo che il rapporto contrattuale tra le istituzioni dell’UE e Microsoft è ora sottoposto al controllo del EDPS. ”
Le istituzioni UE fanno sistematico ricorso ai prodotti ed ai servizi di Microsoft per svolgere le proprie attività quotidiane e l’EDPS intende verificarne che la compliance alla luce del nuovo quadro normativo che impone al contesto istituzionale europeo regole affini a quelle introdotte dal GDPR per le altre organizzazioni stabilite nella UE o che trattano dati di cittadini della UE.
A preoccupare l’Autorità non è soltanto la possibile obsolescenza degli accordi rispetto al mutato framework regolamentare; c’è anche un tema di sicurezza e riservatezza delle informazioni da approfondire scrupolosamente.
Poco prima dell’entrata in vigore del Regolamento 2018/1725, il Ministro della Giustizia e della Sicurezza dei Paesi Bassi aveva comissionato apposite verifiche sul pacchetto Microsoft Office ProPlus utilizzato dall’amministrazione olandese; e di certo gli esiti che ne sono scaturiti non sono stati incoraggianti. Secondo il Data Protection Impact Assessment datato 5 novembre 2018, Microsoft procede alla raccolta sistemica di dati personali attraverso sistemi che, di fatto, controllano in tempo reale tutte le applicazioni del pacchetto Office (Word, Excel, PowerPoint) e di Outlook. Il tutto avviene senza che l’utente sia ne informato né abbia la possibilità di inibire la raccolta di tali dati.
Per il Garante europeo, quanto rilevato dal ministero olandese giustifica un’indagine approfondita perché “qualsiasi istituzione europea che usi i servizi di Microsoft segnalati in questo rapporto rischia di dover affrontare gli stessi problemi”. Ne va dei diritti e delle liberà non solo degli utenti istituzionali che utilizzano quotidianamente i programmi di Microsoft ma anche dei diritti e delle liberà di tutti gli individui i cui dati sono trattati dalle istituzioni UE per tramite delle medesime applicazioni.
