La suite per l’ufficio e per la produttività Microsoft 365 è al centro di un’indagine svolta dall’ufficio del Garante Privacy tedesco (Datenschutzkonferenz, DSK). Stando a quanto rappresentato nel documento dell’Autorità, Microsoft 365 sarebbe incompatibile con l’utilizzo nelle scuole.
Il problema principale sembra essere che, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), le persone di età inferiore ai 13 anni non possono esprimere il consenso per la raccolta dei dati. L’autorizzazione può essere concessa da un tutore o da un altro soggetto con responsabilità genitoriale per i minori di 16 anni ma la legge è chiara sul fatto che le aziende non possono in ogni caso raccogliere il consenso dei minori di 13 anni.
DSK ha inoltre rilevato che Microsoft non rivela completamente quali operazioni di elaborazione vengono eseguite per conto del cliente sui suoi dati e quali vengono svolte per finalità care all’azienda di Redmond.
Per via della mancanza di trasparenza, è impossibile per le Autorità di regolamentazione valutare dall’esterno quali informazioni Microsoft sta raccogliendo e come utilizza questi dati: per questo motivo DSK parla di trattamenti non conformi alle disposizioni del GDPR.
Nel documento si legge anche che durante l’utilizzo di Microsoft 365 vengono comunque trasferiti dati verso server situati negli Stati Uniti, cosa che non è al momento ritenuta possibile da parte delle Autorità europee.
Si tratta di problemi di vecchia data che affliggono ancora oggi la stragrande maggioranza dei prodotti e dei servizi che le multinazionali statunitensi mettono a disposizione anche degli utenti europei.
Nella risposta di Microsoft alle eccezioni del DSK tedesco, l’azienda sostiene che le contestazioni non terrebbero conto delle modifiche già apportate ai suoi sistemi e derivano da “diversi malintesi” su come funzionano i servizi.
Anzi, Microsoft dichiara esplicitamente: “non condividiamo la posizione del DSK. Garantiamo che i nostri prodotti Microsoft 365 non solo soddisfano ma spesso superano le rigide leggi sulla protezione dei dati dell’Unione Europea. I nostri clienti in Germania e in tutta l’UE possono continuare a utilizzare Microsoft 365 senza esitazione e in modo legalmente sicuro“.
Microsoft aggiunge di aver collaborato strettamente con il DSK e di prendere a cuore la richiesta di maggiore trasparenza. L’azienda guidata da Satya Nadella si impegna, in particolare, a fornire ulteriore documentazione sui flussi dei dati dei clienti e sulle finalità del trattamento.
Microsoft 365, inoltre, ridurrà in modo significativo il flusso di dati dall’UE verso altri Paesi consentendo ai clienti del settore pubblico e alle aziende con sede in Europa di elaborare e memorizzare le loro informazioni all’interno dei confini dell’Unione. Nella presa di posizione di Microsoft, disponibile anche in lingua inglese, gli utenti tedeschi vengono invitati a rivolgersi al supporto clienti in caso di dubbi sul contenuto del report pubblicato da DSK.
Il fondatore di Tutanota, famoso servizio di posta elettronica crittografata, Matthias Pfau, è intervenuto sulla questione dichiarando “è incredibile che i servizi online USA continuino a calpestare il GDPR europeo a più di quattro anni dalla sua approvazione” e invitando a migrare in massa verso il software libero e soluzioni open source.
Nei giorni scorsi il Ministero dell’istruzione francese aveva risposto a un’interpellanza dichiarando che prodotti come Microsoft 365 e Google Workspace non dovrebbero essere utilizzati nelle scuole.