Long story short: l'8 marzo 2024 la Commissione Europea, con il supporto dell'EDPB, il Garante Europeo, ha riscontrato una serie di criticità e violazioni, 180 pagine per descrivere minuziosamente le ragioni per le quali office356 fa talmente schifo da non poter essere utilizzato dagli enti, istituzioni e organi dell'Unione Europea. Dopo varie interlocuzioni e modifiche, l'11 luglio l'EDPB ha chiuso l'indagine confermando la risoluzione delle problematiche precedentemente riscontrate. Oggi, 28 luglio, la Commissione Europea ha emanato un comunicato dichiarando la conformità di Microsoft 365 alla normativa in materia di protezione dei dati applicabile (che non è il GDPR ma quasi... qui si applica il regolamento UE 2018/1725) L'EDPS (che non è l'EDPB ma quasi) ha eslamato giubilante: "Grazie alla nostra indagine approfondita e al seguito dato dalla Commissione, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità alla protezione dei dati nell'uso di Microsoft 365 da parte della Commissione. La Corte riconosce e apprezza inoltre gli sforzi compiuti da Microsoft per allinearsi ai requisiti della Commissione derivanti dalla decisione del GEPD del marzo 2024. Si tratta di un successo significativo e condiviso e di un segnale forte di ciò che può essere conseguito attraverso una cooperazione costruttiva e una vigilanza efficace." Cosa è successo? Cosa potrà mai essere accaduto, nel frattempo, per consentire a Microsoft Office365 di entrare trionfante nel valhalla, accompagnato dalla immortale musica di Wagner? Perché non mi sento affatto tranquillo? Beh, forse io non faccio testo... Leggi l'articolo di Christian Bernieri

Il direttore degli affari pubblici e giuridici di Microsoft Francia ha dichiarato, di fronte a una commissione del Senato francese, che l'azienda non può garantire che i dati dei cittadini francesi custoditi sui server in Europa non verranno trasmessi al governo statunitense. Si tratta di una dichiarazione estremamente importante, in particolare nell'ambito del dibattito attuale legato alla sovranità digitale europea. Era il 10 giugno scorso quando Anton Carniaux, direttore degli affari pubblici e giuridici per Microsoft Francia, ha testimoniato di fronte al Senato francese per parlare degli ordini che l'azienda riceve tramite l'Union des groupements d'achats publics (UGAP), ovvero un ente che si occupa di centralizzare l'acquisto di beni e servizi per scuole e comuni. Carniaux ha affermato, durante la sua testimonianza, che Microsoft non può garantire che i dati dei cittadini francesi non vengano trasferiti verso gli USA a seguito di una richiesta del governo statunitense, ma altresì che una tale richiesta di trasferimento non è mai avvenuta. Il CLOUD Act, diventato legge nel 2018, fa infatti sì che il governo statunitense possa richiedere accesso ai dati contenuti nei data center delle aziende americane, anche quando tali dati sono fisicamente localizzati in altri Paesi. Leggi l'articolo

Per conformarsi a un ordine esecutivo del presidente americano Donald Trump, nei mesi scorsi Microsoft ha sospeso l’account email di Karim Khan, procuratore della Corte penale internazionale che stava investigando su Israele per crimini di guerra. Per anni, scrive il New York Times, Microsoft ha fornito servizi email al tribunale con sede a L’Aja, riconosciuto da 125 paesi tra cui l’Italia (ma non da Stati Uniti, Israele, Cina, Russia e altri). All’improvviso, il colosso di Redmond ha staccato la spina al magistrato per via dell’ordine esecutivo firmato da Trump che impedisce alle aziende americane di fornirgli servizi: secondo il successore di Biden, le azioni della Corte contro Netanyahu “costituiscono una inusuale e straordinaria minaccia alla sicurezza nazionale e alla politica estera degli Stati Uniti”. Così, di punto in bianco, il procuratore non ha più potuto comunicare con i colleghi. [...] Le conseguenze non si sono fatte attendere. Tre dipendenti con contezza della situazione hanno rivelato al quotidiano newyorchese che alcuni membri dello staff della Corte si sarebbero rivolti all’azienda svizzera Protonmail per poter continuare a lavorare in sicurezza. Il giornale non chiarisce il perché della decisione, né se tra essi vi sia lo stesso Khan. Una conferma al riguardo arriva dall’agenzia Associated Press. Protonmail, contattata da Guerre di Rete, non ha commentato, spiegando di non rivelare informazioni personali sui clienti per questioni di privacy e di sicurezza. Leggi l'articolo

Come ormai sappiamo, WhatsApp ha dato un ultimatum a tutti i suoi utenti: chi non ha accettato la nuova policy entro il 15 maggio non potrà più usare WhatsApp. L'azienda di proprietà di Facebook, con sede Europea in Irlanda, ci aveva già provato a febbraio 2021 sollevando feroci critiche che l'avevano indotta a rimandare la scadenza per avere il tempo di spiegare meglio agli utenti i cambiamenti introdotti nella policy. PRIVACY, RIASSUNTO DELLE PUNTATE PRECEDENTI. Perdonate il riassunto, ma altrimenti è impossibile capire la situazione già ingarbugliata di suo. Alla fine di aprile del 2016 l'Unione Europea ha adottato un regolamento per la protezione dei dati (GDPR - General Data Protection Regulation), il testo entra in vigore a partire dal maggio 2018. Da wikipedia: "Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE." [1] Tra le altre figure il regolamento istituisce anche quella del "Titolare del trattamento dei dati", che incaricherà il responsabile della protezione dei dati di prendere tutti gli accorgimenti necessari. Ora attenzione, perché quanto scritto sotto, si rivelerà importante ai fini del mio ragionamento. Il titolare del trattamento dei dati deve prendere tutte le precauzioni possibili affinché sia impedita una violazione, perdita, furto di dati personali del cui trattamento è titolare. Per esempio: un incendio distrugge un data center; i dati personali memorizzati nel data center stesso non sono recuperabili; il responsabile del trattamento dei dati non ha predisposto un backup; il titolare del trattamento dei dati è responsabile legalmente del danno causato dalla perdita di dati. Ancora da Wikipedia: "Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e adempiere agli obblighi previsti." La questione del trasferimento dei dati all'estero è rilevante. Il garante della privacy in proposito afferma che "il trasferimento verso Paesi non appartenenti alle Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea".[2] In assenza di tale decisione possono costituire garanzie adeguate al trasferimento dei dati all'estero, previa autorizzazione del garante, le clausole contrattuali ad hoc (art. 46, par. 3, lett. a). [2] Sappiamo che la sentenza Schrems II della Corte di Giustiza Europea ha invalidato l'accordo tra UE e USA relativamente alla protezione dei dati personali detto "Privacy Shields", affermando che l'ordinamento giuridico sulla protezione dei dati degli USA non garantisce la stessa protezione dell'ordinamento UE. In sostanza per trasferire dati personali dall'Europa agli USA in maniera legale si deve fare leva su uno dei metodi menzionati dal garante della privacy [2]. TORNIAMO A WHATSAPP. Nella nuova privacy policy, quella che WhatsApp chiede di accettare pena la sospensione del servizio, nel paragrafo "Operazioni a livello globale", è scritto a chiare lettere che "Le informazioni controllate da WhatsApp potrebbero essere trasferite o trasmesse o archiviate e trattate negli Stati Uniti" [3] e che per farlo utilizza le clausole contrattuali standard approvate dalla Commissione Europea [4]. Inoltre è scritto anche: “WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook, che esternamente con i nostri partner e con le persone con cui l'utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy e dei nostri Termini.“ Che vuol dire? Innanzi tutto vuol dire che l'accettazione delle nuove clausole da parte dell'utente aggira il divieto di trasferimento dei dati negli USA. Oltre a ciò, l’accettazione di questo paragrafo da parte dell’utente consente a Facebook, proprietaria di WhatsApp, di acquisire i dati degli utenti dell’App di messaggistica e incrociarli (quando non unificarli) con quelli degli utenti di Facebook per rendere i profili degli utenti sempre più precisi e sempre più remunerativi. In ogni caso, WhatsApp dovrebbe attivamente garantire, secondo il GDPR, tutte le protezioni dei dati personali dei propri utenti adeguandosi alla giurisdizione UE. A prescindere dalla possibilità e volontà di farlo, tutto ciò funziona fintantoché il titolare del trattamento dei dati personali è WhatsApp. Ma può capitare che il titolare non sia Facebook. Non sono un legale, ma leggendo vari articoli ho capito che per esempio il titolare del trattamento dei dati di un gruppo WhatsApp è l'amministratore del gruppo e/o l'amministratore del condominio. [5] La stessa cosa si può dire per il medico di base che invia una ricetta tramite WhatsApp al suo paziente. In sostanza va tutto bene, a norma di legge, finché il titolare del trattamento dei dati è WhatsApp ltd. In caso sia un soggetto diverso la responsabilità legale di una eventuale violazione, furto, distruzione, etc., dei dati personali sarebbe del soggetto in questione: il medico di base e l'amministratore del gruppo di condominio, come negli esempi descritti sopra. Il Titolare (es.: il medico) avrebbe dovuto far accettare ai partecipanti alla comunicazione tramite WhatsApp (es.: il paziente) una privacy policy che preveda l'esportazione dei dati verso gli USA. Una circostanza che nella vita reale non accade praticamente mai. IN CONCLUSIONE E quindi? In definitiva si tratta di disquisizioni di lana caprina. Il nocciolo della questione sta tutto nella sostanza del problema, che, al di la degli aspetti giuridici, è nella adeguatezza o meno di chiunque nel proteggere i dati personali degli utenti. E sulla sostanza la Corte di Giustiza Europea si è espressa con la sentenza Schrems II che invalida il precedente accordo con gli USA (il Privacy Shield). La giurisdizione degli USA non garantisce un livello di protezione dei dati personali conforme alla giurisdizione Europea. Praticamente non c'è da fidarsi di come gli americani proteggono i nostri dati. E se non c'è da fidarsi... Ci sarebbe da domandarsi anche se i nostri dati sono realmente al sicuro nei data center Europei o Italiani. Soprattutto ci sarebbe da domandarsi, più in generale, cosa vuol dire oggi, al tempo del "cloud", fidarsi di come i nostri fornitori di App proteggono i nostri dati che raccolgono mediante le medesime App. Ma questo è un altro discorso. Sempre seguendo il filo del ragionamento, andando oltre il tema WhatsApp e messaggistica digitale, c'è da chiedersi se davvero abbiamo bisogno di raccogliere tutti questi dati. Alcune domande le ho poste in questo articolo Note: [1] https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati [2] https://www.garanteprivacy.it/temi/trasferimento-dati-estero [3] https://www.whatsapp.com/legal/updates/privacy-policy-eea [4] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en [5] https://www.altalex.com/documents/news/2021/04/12/condominio-e-gruppi-whatsapp-quali-implicazioni-per-privacy#p2