L’importanza di raggiungere una sovranità digitale europea. L’indagine del GEPD sull’accordo Microsoft-UE

Il Garante europeo della protezione dei dati ha recentemente pubblicato un’indagine sull’uso da parte delle istituzioni dell’Unione europea dei prodotti e dei servizi Microsoft. Il rapporto evidenzia una serie di criticità nell’accordo con cui le Istituzioni europee (compresa la Commissione e la BCE) consentono a Microsoft di trattare i dati. Al colosso della tecnologia è riconosciuta ampia discrezionalità nel trattamento, senza limiti particolari per quanto riguarda le finalità, e la possibilità, senza adeguate garanzie di esportare i dati in Paesi terzi. Le mancanze dell’accordo sollevano problemi di garanzie, tutela della privacy e sicurezza dei dati di interesse nazionale.

 

Lo scorso luglio il Garante europeo della protezione dei dati (GEPD) ha pubblicato i risultati dell’indagine, avviata di propria iniziativa, sull’uso da parte delle istituzioni dell’Unione europea dei prodotti e dei servizi Microsoft.

Il GEPD ha analizzato l’Inter-Institutional Licence Agreement (ILA) stipulato tra Microsoft e le istituzioni europee e ne ha valutato la conformità con quanto prescritto dal Regolamento (UE) 2018/1725 che stabilisce le regole per la protezione dei dati nelle istituzioni, organi, uffici e agenzie dell’UE e del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati – GDPR).
L’indagine ha evidenziato più di un profilo problematico rispetto al quale il GEPD ha formulato le proprie raccomandazioni.

In primo luogo, Microsoft avrebbe agito come titolare del trattamento in modo non trasparente e senza rispettare i principi europei in materia di trattamento dei dati. Ciò è dipeso, secondo il Garante, da tre fattori dovuti alla formulazione dell’ILA: la possibilità riconosciuta a Microsoft dall’accordo di modificare unilateralmente i termini di quest’ultimo; l’assenza nell’ILA di obblighi stringenti di protezione dei dati e la mancata prescrizione di finalità specifiche ed espresse per il trattamento dei dati.

In secondo luogo, secondo il Garante, l’ILA non contiene misure adeguate per imporre il rispetto da parte di Microsoft e, soprattutto, da parte dei soggetti di cui questo si avvale per il trattamento dei dati, delle garanzie previste dall’art. 29 del Regolamento UE 2018/1725 citato, in base al quale i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto che vincola il responsabile del trattamento al titolare del trattamento. Il contratto in particolare, deve prevedere, che il responsabile del trattamento metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla norma e consenta le attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.

Infine, le previsioni contenute nell’ILA presenterebbero diverse mancanze per quanto riguarda la tutela dei dati e dei soggetti interessati in caso di transito o trasferimento dei dati in altri Paesi. Secondo l’indagine del GEPD, le istituzioni dell’UE non sono state in grado di controllare l’ubicazione di una gran parte dei dati elaborati da Microsoft, né di garantire adeguata protezione ai dati usciti dallo spazio giuridico europeo.

Per risolvere questi problemi, il Garante ha indicato una serie di raccomandazioni funzionali a rendere l’ILA conforme ai principi e alle norme in materia di trattamento dei dati.

Secondo il GEPD, ciascuna istituzione dell’UE dovrebbe agire come unico titolare del trattamento per quanto riguarda l’utilizzo dei prodotti e dei servizi forniti da Microsoft. Dovrebbe essere possibile modificare le disposizioni dell’ILA che interessano la protezione dei dati solo attraverso un accordo bilaterale e non unilateralmente. Il campo di applicazione delle disposizioni dell’ILA riguardanti la protezione dei dati dovrebbe essere ampliato e coprire tutti i dati personali, non solo forniti a Microsoft, ma anche generati da Microsoft. Le istituzioni dell’UE dovrebbero negoziare una serie specifica, esplicita ed esaustiva di scopi per il trattamento lecito dei dati personali. Questi dovrebbero essere limitati a quelli necessari alle istituzioni dell’UE per utilizzare tali prodotti e servizi. Altri scopi dovrebbero essere espressamente vietati.

Per quanto riguarda il transito e il trasferimento dei dati, infine, l’ILA dovrebbe vietare a Microsoft (e tutti coloro che trattano i dati per conto di questo) di divulgare dati personali ad autorità degli Stati membri, autorità di paesi terzi, organizzazioni internazionali o altro terze parti, a meno che ciò non sia espressamente autorizzato dal diritto dell’UE o dal diritto degli Stati membri purché, in questo caso, siano rispettate le condizioni stabilite dall’ordinamento europeo per la divulgazione. L’ILA dovrebbe poi contenere obblighi di informazione più stringenti in capo a Microsoft e prevedere che nessuna divulgazione di dati da parte di questo dovrebbe avvenire senza previa notifica o accordo con l’istituzione dell’UE interessata.

Il GEPD attraverso il rapporto qui richiamato pone al centro del dibattito sulla regolazione del trattamento dei dati problemi nodali su cui è opportuno riflettere.

Il primo riguarda la necessità di raggiungere quanto prima una sovranità digitale europea per evitare che, come sta accadendo, dati di rilevanza pubblica (nel caso di specie dati personali, legali, finanziari, politici e commerciali dei quarantaseimila funzionari delle istituzioni europee, dalla Commissione alla BCE) siano nelle mani di un colosso statunitense della tecnologia (in base, tra l’altro ad un accordo, si è visto, che lascia a Microsoft ampia discrezionalità di trattarli ed esportarli altrove. e di utilizzarli in violazione delle stesse norme europee sulla privacy).

La questione appena richiamata ne porta con sé una seconda, quella dello scarso coordinamento tra Stati all’interno dell’Unione europea. La sovranità digitale è, infatti, perseguita (ma non ancora raggiunta) a livello nazionale senza una cooperazione tra gli Stati membri (con l’eccezione, in parte del progetto Gaia X, una piattaforma di cloud computing promossa da Francia e Germania che però si candida a fare da pilota per un cloud europeo) per la realizzazione di server sotto la giurisdizione UE che consentano di non temere improvvise interruzioni di servizi, di gestione di infrastrutture critiche, di controllo o di perdita di dati. Una risposta comune a livello europeo è strettamente, inoltre, necessaria per arginare i rischi in termini di tutela delle libertà e dei diritti, dovuti a differenze regolatorie, non tanto tra Stati membri, quanto piuttosto rispetto a Paesi terzi. Al riguardo, di particolare interesse è il caso Schrems e la recente sentenza Schrems II dello scorso 16 luglio in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti, con la quale la Corte di giustizia ha ritenuto illegittima la decisione adottata dalla Commissione nel 2016, di adeguatezza del “Privacy Shield” (sulla vicenda si veda B. Carotti, Schrems procura ancora battaglia a Facebook).

Infine, l’importanza di affrancarsi dai colossi stranieri della tecnologia, evidenziata dall’indagine, tocca il tema degli investimenti infrastrutturali (in questo caso dell’infrastruttura digitale di cloud) e impone di riflettere sull’importanza del ruolo dello Stato e sulle forme cooperazione tra pubblico e privato, questione sulla quale le recenti vicende della rete unica in materia di comunicazioni possono senz’altro rappresentare un utile punto di riferimento