Office365 ci faceva schifo, ma adesso ci piace tanto. La papercompliance della Commissione Europea
Long story short: l'8 marzo 2024 la Commissione Europea, con il supporto dell'EDPB, il Garante Europeo, ha riscontrato una serie di criticità e violazioni, 180 pagine per descrivere minuziosamente le ragioni per le quali office356 fa talmente schifo da non poter essere utilizzato dagli enti, istituzioni e organi dell'Unione Europea.
Dopo varie interlocuzioni e modifiche, l'11 luglio l'EDPB ha chiuso l'indagine confermando la risoluzione delle problematiche precedentemente riscontrate.
Oggi, 28 luglio, la Commissione Europea la Commissione europea ha emanato un comunicato dichiarando la conformità di Microsoft 365 alla normativa in materia di protezione dei dati applicabile (che non è il GDPR ma quasi... qui si applica il regolamento UE 2018/1725)
L'EDPS (che non è l'EDPB ma quasi) ha eslamato giubilante:
"Grazie alla nostra indagine approfondita e al seguito dato dalla Commissione, abbiamo contribuito congiuntamente a un significativo miglioramento della conformità alla protezione dei dati nell'uso di Microsoft 365 da parte della Commissione. La Corte riconosce e apprezza inoltre gli sforzi compiuti da Microsoft per allinearsi ai requisiti della Commissione derivanti dalla decisione del GEPD del marzo 2024. Si tratta di un successo significativo e condiviso e di un segnale forte di ciò che può essere conseguito attraverso una cooperazione costruttiva e una vigilanza efficace."
Cosa è successo? Cosa potrà mai essere accaduto, nel frattempo, per consentire a Microsoft Office365 di entrare trionfante nel valhalla, accompagnato dalla immortale musica di Wagner?
Perché non mi sento affatto tranquillo? Beh, forse io non faccio testo... anche perché l'unica scena che riesco ad immaginare per descrivere questo imprimatur all'ingresso di Microsoft nel mondo dei dati delle istituzioni europee non è decisamente appropriata al festoso clima generale:
Stando a quanto afferma la Commissione sono state fatte importanti modifiche e attuate poderose misure per garantire la protezione dei dati personali.
Come d'abitudine riporto il testo ufficiale e la mia personalissima traduzione di cortesia:
TESTO UFFICIALE - dal comunicato stampa della Commissione | Cosa capisco io |
| Purpose Limitation: The Commission has explicitly specified the types of personal data processed and the purposes of processing in its use of Microsoft 365. Through updated contractual, technical, and organisational measures, it has ensured that Microsoft and sub-processors process data solely based on documented instructions and only for specified purposes in the public interest. The Commission has also ensured that further processing is carried out, within the European Economic Area (EEA), as required by EU or Member State law, or, outside of the EEA, in compliance with third-country law that ensures a level of protection essentially equivalent to that in the EEA. | In pratica, a Microsoft abbiamo fatto firmare una carta e li abbiamo fregati! Nella carta c'è scritto che faranno solo e soltanto quello che gli abbiamo detto di fare. Microsoft ci ha promesso che anche i suoi appaltatori faranno i bravi. Ma bravi bravi bravi! ...e noi ci crediamo. Figurati che in quella carta siamo noi a dire loro come trattare i dati e ci abbiamo pure messo dentro che potranno farlo solo nel nostro interesse. Inoltre abbiamo controllato le carte che ci hanno dato e siamo sicuri, ma sicuri sicuri che Microsoft tratterà i dati proprio come vogliano noi europei, anche quando si portano i dati altrove, per esempio, negli usa. |
| Transfers to Third Countries: The Commission has also determined the specific recipients and purposes for which personal data in its use of Microsoft 365 is allowed to be transferred, and ensured compliance with Article 47 of Regulation (EU) 2018/1725. This is complemented by technical and organisational measures implemented by the Commission and Microsoft, thereby reducing the possibility for transfers to third countries not covered by an adequacy decision to occur. Transfers outside the EU/EEA are now limited to countries listed in the amended contract and rely either on adequacy decisions or the derogation for important reasons of public interest, as per Article 50(1)(d) of Regulation (EU) 2018/1725. The Commission has also issued binding instructions to Microsoft and its sub-processors in that respect. | Abbiamo fatto una lista scritta dei motivi che permettono a Microsoft di portare i dati personali dei cittadini europei dove vogliono loro e ci hanno promesso che lo faranno solo per quei motivi, quindi siamo sicuri sicuri... guai a loro se gli venisse in mente di farlo per altre ragioni! Abbiamo persino messo un filtro in modo che i dati non possano andare ovunque nel mondo ma solo nei paesi terzi che deciderà Microsoft. Mica a casaccio, che poi magari non si trovano più. Tu pensa che scemi quelli di Microsoft, lo hanno pure firmato senza fare storie! Si sono proprio fregai con le loro stesse mani. |
| Disclosures and Notifications: Additional contractual provisions ensure that only EU or Member State law may require that Microsoft or its sub-processors omit notification to the Commission of disclosure requests for personal data in the Commission’s use of Microsoft 365 processed within the EEA, or that they disclose such data. For data processed outside the EEA, the same may be required under third-country law as long as it provides an essentially equivalent protection. All this complements the existing technical and organisational measures implemented by the Commission and Microsoft for personal data processed within and outside of the EEA. | Eravamo già tranquilli così ma abbiamo voluto strafare, forse abbiamo anche esagerato un po', poveretti. Gli abbiamo fatto firmare pure una carta che dice che, se il governo Americano gli chiederà di vedere i nostri dati, loro ce lo dovranno dire! Ma subitissimo!!! Se dovesse capitare che divulghino i nostri dati personali a qualcun altro, anche se non sappiamo a chi, mica potranno stare zitti, anche in quel caso ce lo dovranno dire subito. Giurin-giuretta. |
| Conclusion of Proceedings: In view of the measures taken, the factual situation has substantially changed compared to the one examined in the EDPS Decision of 8 March 2024. As a result, the EDPS has found that the infringements found have been remedied, and has therefore closed its enforcement proceedings. | Dato che adesso la situazione è proprio tutta diversa da prima, dato che non ci sono più tutti i casini che avevamo trovato, abbiamo deciso che ora possiamo tranquillamente usare Office365 nei centri nevralgici dell'amministrazione europea, mettendoci pure su tutti i nostri dati perché, tanto, avendo firmato quella carta, ce li siamo inculati per bene questi imbecilli americani. Ci volevano fregare, ma non ci sono mica riusciti, perché noi siamo più furbi di loro!
|
Non posso dire di essere felicissimo... non sto impazzendo di gioia. Nella scala della felicità direi che oscillo tra un emo e Leonardo Manera. Volendo riassumere in poche parole il mio pensiero, direi che la penso come Sora Lella:
Trovo tutto questo grottesco, specialmente ricordando che, solo 6 giorni fa, il 22 luglio Il direttore degli affari pubblici e giuridici di Microsoft Francia ha dichiarato, di fronte a una commissione del Senato francese, che l'azienda non può garantire che i dati dei cittadini francesi custoditi sui server in Europa non verranno trasmessi al governo statunitense.
(sipario)
Con quello che ho detto, penso di aver già causato un fulmine a ciel sereno che, fortunatamente, si è scaricato sul tetto del vicino... ed ora ho esaurito le parole.
In conclusione, è una vicenda strana al punto da non arrivare nemmeno nelle pagine della cronaca. Tuttavia mi piacerebbe che fosse chiaro un concetto, anche perché parlare di enti, istituzioni ed accordi internazionali potrebbe dare l'impressione che, stringi stringi, di questa vicenda ci si possa anche disinteressare... Vorrei che si capisse chi paga veramente? E non mi riferisco al costo delle licenze ma a chi ci mette... i dati personali.
Chiedo aiuto a chi, molto meglio di me, può spiegare la situazione.
Buona visione.
Ho raccolto e tradotto i documenti rilevanti sul tema.
Clicca qui per vedere e scaricare il PDF contenete:
- il comunicato ufficiale della Commissione che ammette Office365 nel valhalla
- il parere dell'EDPB che risolve le magagne
- il parere dell'EDPB che evidenzia le magagne
Roba da fanatici, lo so.
ADDENDA e COMMENTO:
Prosit.
La prima è positiva: le aziende possono tirare un sospiro di sollievo poiché, usando Office 365, fino ad oggi erano in dubbio sul fatto che tale software potesse essere a norma o meno rispetto al GDPR
La seconda implicazione è decisamente meno goduriosa: se la Commissione europea ha dovuto sottoscrivere dei patti integrativi per rendere legittimo l’uso di Office 365, significa che nessuna azienda può dirsi a norma usando Office 365 nella forma attualmente commercializzata, sottoscrivendo i contratti standard. Essere a norma significa “costringere“ Microsoft a sedersi ad un tavolo, concordare un testo e assumere precisi obblighi, omologhi a quelli appena sottoscritti con la commissione
Io non credo che un titolare del trattamento abbia questa forza negoziale, anzi, ho più volte sperimentato l’esatto contrario: Microsoft nemmeno si prende il disturbo di rispondere alle richieste.
La conseguenza è qualcosa che mi turba da tempo e che, a mio parere, dovrebbe orientare sia l’attività politica del legislatore che quello di enforcement delle autorità di controllo. Non si può pretendere che ciascun titolare si trasformi in Don Chisciotte, imbracci una lancia e lotti contro giganti invincibili e mulini a vento. Solo le istituzioni possono fare in modo che i prodotti, così come vengono commercializzati, presentino le caratteristiche necessarie per essere impiegate nel territorio dell’Unione Europea.
Finché le istituzioni, garanti in testa, faranno finta di non vedere la realtà, pretendendo dai titolari del trattamento qualcosa che esula dal loro controllo, la situazione sarà sempre molto incerta e, globalmente, la compliance sarà frustrata. L’applicazione ottusa di una particolarissima interpretazione della norma ci sta allontanando dal fine ultimo: la protezione dei dati personali.