Dopo un processo durato due anni, il comitato congiunto dell’autorità federale tedesca per la protezione dei dati e di 17 autorità di regolamentazione statali ha rilevato che sulla base di questi documenti (forniti da MS), non è possibile utilizzare Microsoft Office 365 in modo conforme ai requisiti di protezione dei dati.
Boom!
Ora mi chiedo se e come sia possibile che servizi simili di Google o di altre aziende statunitensi siano conformi alle leggi dell’UE.
La settimana scorsa il Ministero dell’Istruzione francese, rispondendo a un’interrogazione di un deputato, aveva già dichiarato che l’uso di Microsoft e Google nelle scuole era illegale ai sensi del regolamento GDPR dell’UE.
Francia: Assemblée Nationale
Germania: AG DSK Microsoft-Onlinedienste
Dicono i tedeschi:
“L’attuale addendum sulla privacy del settembre 2022 include modifiche alle precedenti disposizioni che regolano la divulgazione dei dati forniti a Microsoft in qualità di incaricato del trattamento per i propri scopi commerciali “per ottemperare agli obblighi di legge”. Le modifiche contengono una nuova formulazione, ma la sostanza è che i poteri rimangono ugualmente ampi.
Ad esempio, il regolamento limita il diritto del cliente di impartire istruzioni in merito alla divulgazione dei dati elaborati per conto del cliente. L’addendum sulla privacy dei dati consente le divulgazioni se richieste dalla legge o descritte nell’addendum sulla protezione dei dati. Tali divulgazioni non sono limitate alle istruzioni del titolare del trattamento, in modo che possano essere effettuate nel contesto dell’art. 28(3)(1) frase. 28(3)(1) frase 2(a) DSGVO, sono consentite solo se si riferiscono a obblighi derivanti dal diritto dell’Unione o degli Stati membri a cui Microsoft è soggetta, sono limitate. Non è questo il caso. Pertanto, l’obbligo di Microsoft di fornire istruzioni non soddisfa i requisiti minimi legali ai sensi dell’Art. 28 (3) comma (1) DSGVO. 28 (3) comma (1) frase 2 (a) del GDPR.
Le indagini del gruppo di lavoro dimostrano che Microsoft si riserva anche contrattualmente il diritto di divulgare informazioni di ampia portata che, se attuate, non sarebbero conformi ai requisiti di cui all’art. 48 del GDPR. 48 del GDPR. in caso di attuazione”.
È un bel caos…
Stefano Quintarelli
Partner Founder Rexilience