Nella speranza di aiutare i Dirigenti Scolastici alle prese con la redazione della DPIA per i servizi cloud di Microsoft Corporation, riportiamo di seguito una traduzione effettuata tramite DeepL delle FAQ su Microsoft 365 realizzate dall'Autorità Garante per la Protezione dei Dati Personali dei land tedeschi.
Per ulteriore completezza, mettiamo inoltre a disposizione dei Dirigenti Scolastici e dei rispettivi DPO l'ottima analisi tecnica delle criticità riscontrate dal Garante del Baden-Württemberg nei trattamenti effettuati da Microsoft, tradotta in italiano.
Microsoft 365 (ex Office 365) è una soluzione software di Microsoft Corporation che comprende varie applicazioni di Office come programmi di posta elettronica, elaborazione testi, fogli di calcolo, software di presentazione, software di database e altro ancora.
Per quanto riguarda il funzionamento tecnico, esistono diverse versioni. Esistono versioni che consentono il funzionamento sull'infrastruttura IT del responsabile o di un fornitore di servizi, nonché versioni basate su applicazioni web o funzionalità cloud.
- Quali sono i problemi in termini di legge sulla protezione dei dati quando si utilizza Microsoft 365?
- Perché l'opzione offerta da Microsoft di elaborare i dati su server europei non è sufficiente per un funzionamento conforme alla protezione dei dati?
- Perché la legge statunitense CLOUD pone un problema di protezione dei dati?
- Implicazioni della decisione dell'OLG di Karlsruhe del settembre 2022 per l'uso di MS 365 nelle scuole
- A quali condizioni è possibile un utilizzo di Microsoft 365 conforme alla protezione dei dati?
- Quali "dati di utilizzo" vengono trasmessi con Microsoft 365?
- Quali misure tecniche e organizzative possono essere adottate per impedire il trasferimento dei dati diagnostici a Microsoft?
- Come valutare l'utilizzo di Microsoft 365 su tablet o smartphone?
Quali sono i problemi in termini di legge sulla protezione dei dati quando si utilizza Microsoft 365?
I problemi legati all'utilizzo di prodotti software non europei come Microsoft 365 si basano su circostanze tecniche e legali. Ad esempio, la trasmissione di alcuni dati di utilizzo, come l'indirizzo IP, è di solito inevitabile (si veda sotto per maggiori dettagli). Non si può inoltre escludere che il provider utilizzi alcuni dati di utilizzo per i propri scopi o li trasmetta a partner pubblicitari.
Per il trasferimento dei dati personali è necessaria una base giuridica. Questa può derivare dalle disposizioni di legge in materia di trasmissione o dalla possibilità di strutturare contrattualmente tale utilizzo di un fornitore di servizi come trattamento commissionato ai sensi dell'articolo 28 (3) del Regolamento generale sulla protezione dei dati (GDPR).
Un problema fondamentale, tuttavia, è che i dati personali trasferiti negli Stati Uniti sono trattati in condizioni giuridiche che non corrispondono al livello europeo di protezione dei dati.
Tuttavia, dopo che la Corte di giustizia europea (CGUE) ha dichiarato invalido il cosiddetto Privacy Shield nella sentenza del 16 luglio 2020 (causa 311/18; "Schrems II"), i trasferimenti di dati verso gli Stati Uniti non possono più basarsi su questo strumento. La Corte di giustizia europea ha basato la sua decisione, tra l'altro, sul fatto che le autorità di sicurezza degli Stati Uniti hanno la possibilità di accedere in massa ai dati memorizzati dalle aziende statunitensi e che gli utenti europei non possono far controllare queste misure di sorveglianza dai tribunali.
I presupposti giuridici per la protezione dei dati di cui agli artt. 44 e segg. DS-GVO per il trattamento dei dati negli Stati Uniti non possono essere soddisfatti con l'abolizione del Privacy Shield.
Nella misura in cui il trattamento dei dati da parte di un fornitore non europeo si basa sulle cosiddette clausole di protezione dei dati standard dell'UE, ossia sui contratti tipo, sono disponibili modelli corrispondenti, che spesso fanno parte dei contratti corrispondenti anche con i fornitori di servizi statunitensi. Secondo la decisione Schrems II della Corte di giustizia europea, tuttavia, per i trasferimenti di dati personali negli Stati Uniti devono essere adottate misure aggiuntive per garantire un livello di protezione sostanzialmente equivalente a quello dell'UE. Tuttavia, è ancora necessario chiarire quali misure concrete possono essere prese in considerazione alla luce di questo requisito chiarito dalla Corte di giustizia europea e in relazione ai diversi scenari di utilizzo.
Per quanto riguarda Microsoft 365, le condizioni di utilizzo (Online Service Terms OST) o le disposizioni sulla protezione dei dati (Data Processing Agreement DPA) non sono ancora conformi ai requisiti di protezione dei dati del GDPR per quanto riguarda la trasparenza del trattamento dei dati, le possibilità di influenza del cliente, le finalità del trattamento dei dati o la cancellazione dei dati.
Perché l'opzione offerta da Microsoft di elaborare i dati su server europei non è sufficiente per un funzionamento conforme alla protezione dei dati?
Sebbene Microsoft offra la possibilità di archiviare i dati su server europei (vedere "Termini del servizio online Microsoft"), ciò si applica solo a quelli che Microsoft chiama "dati dei clienti". Questi sono definiti da Microsoft come tutti i dati, compresi i file di testo, audio, video o immagine e il software, forniti a Microsoft da o per conto del cliente attraverso l'uso. I "Dati Diagnostici" che Microsoft raccoglie o riceve dal software installato localmente dal Cliente in relazione al Servizio Online (talvolta indicati come Dati di Telemetria) e i "Dati Generati dal Servizio" che Microsoft genera o ricava nel corso della gestione di un Servizio Online non sono coperti. Tali dati vengono pertanto archiviati in sistemi situati negli Stati Uniti. A causa del loro possibile riferimento personale, sorgono questioni relative alla giurisprudenza della Corte di Giustizia Europea (CGCE 311/18 ("Schrems II")). Questioni relative al trasferimento legittimo.
Per evitare la trasmissione di dati personali di telemetria, i responsabili del trattamento dei dati devono quindi garantire, mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati attraverso un'infrastruttura adeguata), che non avvenga in modo dimostrabile alcuna trasmissione di dati di telemetria a Microsoft".
Inoltre, la possibilità di archiviare i dati su server europei risolve solo in parte il problema dell'accesso da parte delle autorità statunitensi non conforme alla normativa europea, poiché la legge statunitense Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018 impone alle aziende statunitensi l'obbligo di consegnare i dati anche se sono archiviati al di fuori degli Stati Uniti.
Perché la legge statunitense CLOUD pone un problema di protezione dei dati?
La legge statunitense Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018) consente alle autorità statunitensi di richiedere alle aziende statunitensi (o alle loro filiali) la consegna dei dati, anche se questi sono conservati al di fuori degli Stati Uniti.
Ai sensi dell'art. 48 del GDPR, tale consegna di dati a un Paese terzo è consentita solo se si basa su un accordo internazionale in vigore, come un trattato di mutua assistenza legale. Ad oggi, tale accordo non esiste.
Inizialmente, un approccio alla soluzione era quello di utilizzare una soluzione fiduciaria offerta da Microsoft, in cui Microsoft non aveva accesso diretto ai dati archiviati in Europa ("Microsoft Deutschland Cloud"). Tuttavia, il prodotto "MS Deutschland Cloud" è stato dismesso da Microsoft e non è più disponibile come opzione operativa.
I corrispondenti ordini di divulgazione dei dati da parte delle autorità statunitensi sono solitamente accompagnati da un obbligo di riservatezza da parte dell'autorità a cui viene richiesto di divulgare i dati (in questo caso, ad esempio, Microsoft in qualità di incaricato del trattamento), in modo che gli interessati non siano informati della divulgazione dei loro dati (cfr. Art. 15(1)(c) del GDPR).
In caso di accesso ai dati da parte delle autorità statunitensi o di richieste di divulgazione in tal senso, ciò comporta una violazione dell'articolo 48 del GDPR.
Implicazioni della decisione dell'OLG di Karlsruhe del settembre 2022 per l'uso di MS 365 nelle scuole
La decisione dell'OLG di Karlsruhe (decisione del 7.9.2022, rif.: 15 Verg 8/22) riguarda la legge sugli appalti pubblici e non le norme sulla protezione dei dati del Regolamento generale sulla protezione dei dati (DS-GVO). La decisione si basa pertanto sulle disposizioni della Legge contro le restrizioni della concorrenza e del Regolamento sull'aggiudicazione degli appalti pubblici. Le disposizioni in materia di responsabilità ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e i requisiti restrittivi della Corte di giustizia europea (sentenza del 16 luglio 2020 "Schrems-II)" relativi al trasferimento di dati negli Stati Uniti non sono stati discussi in dettaglio dall'OLG Karlsruhe nel presente contesto.
L'OLG Karlsruhe ha stabilito che, in caso di aggiudicazione di appalti pubblici, la garanzia di un offerente di poter offrire un prodotto o un servizio legale e quindi conforme alla protezione dei dati non può essere messa in discussione fin dall'inizio. Ciò vale anche per gli offerenti che offrono applicazioni digitali. La procedura di aggiudicazione deve essere condotta su questa base. L'offerente è quindi responsabile di questo aspetto. Questo non dice nulla su applicazioni, prodotti o servizi concreti, ma si limita a precisare il ruolo dell'offerente nella procedura.
In caso di trattamento commissionato, come nel caso dell'utilizzo di prodotti software, l'autorità appaltante rimane comunque responsabile del corretto trattamento dei dati in conformità alle disposizioni del GDPR (art. 4, nn. 7 e 8, art. 24 e segg. del GDPR). In questo contesto, l'art. 24 (1) DS-GVO stabilisce che il responsabile del trattamento deve non solo garantire, ma anche fornire la prova che il trattamento commissionato viene effettuato in conformità al Regolamento generale sulla protezione dei dati.
L'affidamento esclusivo alle garanzie contrattuali di un appaltatore in merito alla conformità di un prodotto alla protezione dei dati non sarebbe in linea con questi requisiti elevati. La decisione dell'OLG di Karlsruhe, quindi, con ogni probabilità non porterà le autorità di controllo della protezione dei dati a modificare le loro precedenti opinioni sull'uso di prodotti software non europei nel contesto scolastico.
Le autorità di controllo della protezione dei dati - proprio come la KMK - sono in costante contatto con Microsoft. Recentemente si è saputo che Microsoft ha pubblicato nuovi regolamenti contrattuali con miglioramenti in materia di protezione dei dati, che sono attualmente all'esame delle autorità di controllo. Si tratta probabilmente, tra l'altro, di una reazione ai suggerimenti e alle raccomandazioni delle autorità di controllo della protezione dei dati e quindi di un passo nella giusta direzione, ma non ancora sufficiente.
In questo contesto, vale la pena ricordare che il Land dell'Assia ha indetto una gara d'appalto per le applicazioni software da utilizzare nelle scuole, in particolare per i sistemi di videoconferenza. La gara è stata vinta da un fornitore dell'Assia che lavora sulla base di BigBlueButton. È quindi previsto che anche le scuole dell'Assia utilizzino in futuro questa applicazione in modo generalizzato e non ne utilizzino più altre (si veda il comunicato stampa all'indirizzo: https://kultusministerium.hessen.de/digitalisierung/landesweites-videokonferenzsystem-fuer-schulen).
Recenti notizie di stampa indicano che il Presidente degli Stati Uniti Biden ha firmato un ordine esecutivo per un nuovo quadro sulla privacy dei dati UE-USA. Secondo quanto riportato, questo ordine introduce una serie di nuovi diritti per i cittadini dell'UE in caso di misure di sorveglianza da parte delle autorità di sicurezza statunitensi. Tuttavia, non è ancora disponibile alcun testo. Sulla base di questo ordine esecutivo, la Commissione europea adotterà nuovamente una decisione di adeguatezza per gli Stati Uniti per consentire il trasferimento di dati personali negli Stati Uniti. Ciò avverrà probabilmente non prima dell'inizio del 2023 e sarà direttamente contestato in tribunale. A medio termine, quindi, non ci si può aspettare una situazione giuridicamente sicura.
A quali condizioni è possibile un utilizzo di Microsoft 365 conforme alla protezione dei dati?
I problemi di protezione dei dati riguardano principalmente i prodotti basati sul cloud, in quanto spesso utilizzati soprattutto nelle scuole. A titolo di esempio per il settore scolastico, ecco alcune indicazioni sulle condizioni in cui l'uso di Microsoft 365 può essere consentito dalla legge sulla protezione dei dati. Queste includono
- Il funzionamento di Microsoft 365 sulle strutture informatiche del responsabile del trattamento ("soluzione on-premises") o in sedi all'interno dell'UE/SEE che non sono soggette all'obbligo di divulgazione ai sensi della legge statunitense CLOUD. (Nota: anche le attuali raccomandazioni dell'Ufficio Federale per la Sicurezza Informatica (BSI) prevedono una deroga all'archiviazione nel cloud; IT-Grundschutzkompendium Baustein APP.1.1.A12 Rinuncia all'archiviazione nel cloud).
- Impedire il trasferimento dei dati di telemetria quando si utilizza Microsoft 365 o il sistema operativo Windows sottostante. Con Windows 10 Enterprise, la trasmissione dei dati a Microsoft può essere ampiamente impedita dalle impostazioni del sistema operativo.
- La Conferenza delle autorità per la protezione dei dati del governo federale e dei Länder ha emesso delle raccomandazioni a questo proposito. Si consiglia pertanto di tenere in considerazione le seguenti raccomandazioni.
- Filtraggio durante la trasmissione di dati telemetrici personali attraverso un'infrastruttura corrispondente (firewall), nella misura in cui ciò non possa essere impedito da specifiche di configurazione. In questo caso, le parti responsabili devono garantire, attraverso misure contrattuali, tecniche o organizzative, che non avvenga alcuna trasmissione di dati telemetrici a Microsoft (Nota: nel contesto di un progetto pilota nel Baden-Württemberg, in cui è stata utilizzata una versione di Microsoft 365 legata alla scuola, ciò non è stato possibile secondo le informazioni fornite dalla LfDI Baden-Württemberg. Un filtro corrispondente può quindi essere associato alle necessarie restrizioni funzionali.
- Trattamento dei dati sulla base delle cosiddette clausole standard di protezione dei dati dell'UE (contratti tipo). Secondo la decisione Schrems II della Corte di giustizia europea, tuttavia, per i trasferimenti di dati personali negli Stati Uniti devono essere adottate misure aggiuntive per garantire un livello di protezione sostanzialmente equivalente a quello dell'UE. Tuttavia, è ancora necessario chiarire quali misure concrete possono essere prese in considerazione alla luce di questo requisito chiarito dalla Corte di giustizia europea e in vista dei diversi scenari di utilizzo (Nota: Carenze legali dei contratti tipo per l'elaborazione commissionata per quanto riguarda gli MS Teams, in particolare le deviazioni inammissibili dai requisiti dell'art. 28 del GDPR - riassunto dal Commissario per la protezione dei dati di Berlino a partire dal 2020, pag. 20).
- L'utilizzo di indirizzi/account di posta elettronica ufficiali pseudonimi (idealmente temporaneamente da un pool) e il divieto di utilizzare account Microsoft privati.
- L'utilizzo di un browser preconfigurato e protetto con misure di protezione integrate per la massima anonimizzazione/equalizzazione dei metadati.
- L'interconnessione di client terminali adeguatamente preconfigurati per la massima anonimizzazione/equalizzazione dei metadati.
- L'utilizzo di dispositivi terminali forniti dalla scuola e configurati per il salvataggio dei dati.
- Reindirizzamento del traffico Internet attraverso un'infrastruttura separata con misure tecniche adeguate per mascherare gli indirizzi IP di origine.
Quali "dati di utilizzo" vengono trasmessi con Microsoft 365?
Quando si utilizzano pacchetti software come Microsoft 365 o soluzioni cloud corrispondenti, possono emergere dati personali o di identificazione personale a vari livelli.
In questo contesto, Microsoft distingue tra "dati del cliente" e tutti i dati, compresi tutti i file di testo, audio, video o immagine e il software, che vengono forniti a Microsoft da o per conto del cliente attraverso l'utilizzo, "dati diagnostici" che Microsoft raccoglie o riceve dal software installato localmente dal cliente in relazione al servizio online (questi sono talvolta indicati anche come dati di telemetria) e "dati generati dal servizio" che Microsoft genera o ricava nel corso della gestione di un servizio online.
Su larga scala, ciò comporta la raccolta di dati sull'uso individuale di Word, Excel, PowerPoint e Outlook, Teams e altre applicazioni e servizi. Questo va ben oltre il richiamo di un programma o la durata dell'utilizzo. Ad esempio, Microsoft raccoglie informazioni sugli eventi in Word, come quando il tasto backspace viene premuto più volte di seguito, ma anche la frase prima e dopo una parola cercata nel correttore ortografico online. Il componente di telemetria integrato non raccoglie solo i dati di utilizzo delle applicazioni principalmente utilizzate, ma anche l'uso individuale dei servizi collegati, come il servizio di traduzione o il motore di ricerca Bing di Microsoft, nonché i dati sul dispositivo finale utilizzato, l'indirizzo di accesso a Internet (indirizzo IP), i dati sulla posizione e altro ancora.
Nell'ambito di un'indagine condotta per conto del Ministero della Giustizia olandese nel 2018, Microsoft ha dichiarato che vengono inviati ai server di Microsoft da 23.000 a 25.000 tipi di eventi e che fino a 30 team lavorano con questi dati (DPIA Office 365 ProPlus versione 1905, pagina 70). Microsoft fornisce una panoramica dei dati diagnostici raccolti nell'ambito di Microsoft 365 (Microsoft dichiara un tempo di lettura di circa 7,5 ore per questo documento). Tuttavia, in molti casi non è chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso crittografata e i dati non possono quindi essere visualizzati durante un audit. Nel complesso, vi è una mancanza di trasparenza per quanto riguarda i dati trattati da Microsoft che soddisfano i requisiti del Regolamento generale sulla protezione dei dati. Soprattutto l'uso dei dati provenienti dal contesto scolastico rimane poco chiaro. Pertanto, non si può escludere un uso improprio.
Nella maggior parte dei casi, i dati diagnostici o generati dal servizio sono informazioni tecniche che di per sé non hanno un riferimento personale diretto. Tuttavia, possono essere assegnati a un ID utente unico appartenente all'utente o rappresentare identificatori unici. Alcuni studi hanno dimostrato che, a causa della grande quantità di informazioni, la reidentificazione è possibile anche quando si utilizzano account utente pseudonimi.
Quali misure tecniche e organizzative possono essere adottate per impedire il trasferimento dei dati diagnostici a Microsoft?
I responsabili del trattamento sono tenuti ad adottare misure tecniche e organizzative che garantiscano la protezione da un trattamento non autorizzato o illegale (art. 5 GDPR). Per quanto riguarda il trasferimento dei dati di telemetria, le seguenti misure sono particolarmente importanti:
-
Controllo delle trasmissioni di dati a Microsoft. Questo dovrebbe riguardare, ad esempio, il traffico di dati in uscita dai computer degli utenti e le relative destinazioni, al fine di scoprire il flusso di dati dal software Microsoft ai server Microsoft o ad altre destinazioni. In particolare, dovrebbe riguardare i normali modelli di utilizzo dei prodotti e dei servizi Microsoft in uso.
Per l'analisi dei dati diagnostici in Windows 10 e per i prodotti Office, Microsoft mette a disposizione il Visualizzatore di dati diagnostici (DDV): https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855. -
Utilizzo delle opzioni di configurazione disponibili sul lato del prodotto per impedire la trasmissione di dati diagnostici/telemetrici (vedere ad esempio https://www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/ ).
All'interno dei prodotti Office, Microsoft offre una serie di cosiddetti "elementi di controllo" con cui è possibile configurare la raccolta/trasmissione di dati diagnostici: - Se non sono disponibili opzioni di configurazione corrispondenti, per impedire la trasmissione di dati telemetrici personali, è necessario garantire, mediante misure contrattuali, tecniche o organizzative (ad esempio, filtrando l'accesso a Internet tramite un'infrastruttura corrispondente del responsabile del trattamento), che non vi sia una trasmissione dimostrabile di dati telemetrici a Microsoft.
- Monitorare gli aggiornamenti dei prodotti Microsoft ed esaminare la configurazione di eventuali modifiche associate.
- Se devono essere distribuiti prodotti e servizi Microsoft che non sono stati utilizzati in precedenza, condurre valutazioni del rischio per la privacy di tali prodotti e servizi prima della loro distribuzione.
Pubblicazione del GEPD "Esito dell'indagine di iniziativa sull'uso di prodotti e servizi Microsoft da parte delle istituzioni dell'UE" (2 luglio 2020).
https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#technical-measures
Come valutare l'utilizzo di Microsoft 365 su tablet o smartphone?
L'attuale versione di Microsoft 365 per Android o iOS si basa su funzionalità cloud. Per utilizzare il pacchetto è necessario un account Microsoft. Anche se dopo l'installazione è possibile scegliere se i documenti vengono archiviati nel cloud o localmente, questo non è importante per quanto riguarda l'elaborazione dei dati di telemetria o di utilizzo.
Tali dati vengono generati, come si può leggere dalle informazioni fornite da Microsoft. A tale scopo, il produttore offre un visualizzatore di dati diagnostici (DDV) dedicato. La portata di questi dati può essere ridotta, a seconda dei servizi opzionali configurati.
Microsoft offre i cosiddetti "controlli con cui è possibile configurare la raccolta/trasmissione dei dati diagnostici (Android / iOS).
In caso di utilizzo ufficiale o aziendale e di trasmissione di dati diagnostici agli Stati Uniti, devono essere soddisfatti i requisiti della sentenza 311/18 della Corte di giustizia europea (Schrems II). Se un datore di lavoro dovesse ordinarlo o richiederlo, avrebbe bisogno di una base giuridica per il trasferimento.
Anche se un riferimento personale diretto può essere ridotto attraverso gli account pseudonimi di Microsoft, a causa della quantità di dati (vedi sopra) e dei dati individuali relativi ai dispositivi, si può presumere che esista una possibilità di re-identificazione.