L’interesse verso la tutela delle persone fisiche attraverso una corretta gestione delle loro informazioni si è evoluta di pari passo con lo sviluppo delle tecnologie con cui i dati personali vengono trattati, fino a divenire un ambito normativo estremamente raffinato e destinato a tutelare un diritto oramai universalmente riconosciuto quale fondamentale.
Il dibattito attorno alla materia è stato vivacizzato solo pochi giorni fa con il provvedimento n. 224 del 9 giugno 2022 dell’Autorità Garante per la Protezione dei Dati Personali (di seguito anche solo “il Garante”), con cui il Garante ha dichiarato a chiare lettere l’illegittimità del trattamento di dati personali per mezzo dell’ utilizzo di Google Analytics, di fatto confermando quanto già deciso dall’Autorità austriaca, prima, e francese, poi.
In particolare, le informazioni oggetto di trasferimento e oggetto di disamina nel provvedimento da parte del Garante riguardavano le interazioni degli utenti, per mezzo del loro indirizzo IP, con i siti web su cui sono installati i cookies di Google Analytics.
L’identificazione dell’utente in queste situazioni non è assolutamente da considerarsi ipotesi remota, tanto più che la stessa risulta maggiormente semplificata laddove l’utente acceda ai siti internet attraverso il proprio account Google, come nel caso oggetto di esame del Garante.
Il provvedimento n. 22422 del Garante esita, pertanto, in un ammonimento, nei confronti della società Titolare del trattamento dei dati personali, a conformare alla normativa privacy vigente entro 90 giorni i trattamenti di dati effettuati per mezzo di Google Analytics, mediante l’adozione di ulteriori misure di garanzia. In difetto di ciò il trattamento dovrà cessare.
Nel suddetto provvedimento, il nodo della questione veniva rintracciato nel trasferimento di dati personali verso gli Stati Uniti in assenza di garanzie adeguate, ai sensi dell’art. 46 del Regolamento (UE) 679/2016 (GDPR) in un contesto normativo in cui, a seguito della sentenza “Schrems II” del luglio 2020, la Corte di Giustizia Europea ha dichiarato inadeguati gli standard di protezione dei dati personali offerti dagli Stati Uniti e, di conseguenza, decaduta la validità del Privacy Shield. La Corte affonda le radici di tale decisione nella sproporzionata facoltà, data dall’Executive Order 12333 e dal Foreign Intelligence Surveillance Act, alle autorità pubbliche americane di poter accedere, senza alcun limite, alle informazioni trasferite negli USA in assenza di alcun mezzo di tutela giudiziaria riconosciuto ai soggetti interessati.
Le FAQ dell’Autorità tedesca
A conferma dell’orientamento già avviato dalle Autorità garanti austriaca, francese e italiana, l’Autorità tedesca (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – BfDI) ha pubblicando sul proprio sito istituzionale le FAQ sulle problematiche legate all’utilizzo di Microsoft 365, destando non poche preoccupazioni stante diffusione capillare dei software di casa Microsoft, alcuni dei quali basato su applicazioni web o funzionalità cloud.
Sotto la lente dell’Autorità teutonica è finito, ancora una volta, il trasferimento di dati personali verso gli Stati Uniti in assenza di una valida base giuridica.
Nel caso specifico, sono stati esaminati i servizi offerti nel pacchetto Microsoft 365 che hanno evidenziato come, allo stato attuale, nonostante le trattative in corso con Microsoft per rivedere le licenze e i termini di trattamento dei dati personali, ci sono ancora regolamenti – nei termini di servizio online OST o nei regolamenti sulla protezione dei dati (DPA) di Microsoft – che non sono conformi ai requisiti di protezione dei dati richiesti dal GDPR.
In particolare, l’Autorità tedesca pone l’accento sul fatto che, sebbene Microsoft memorizzi su server europei i c.d. “dati del cliente” ovvero <<qualsiasi dato, inclusi qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società>>, risultano esclusi da questa forma di tutela:
- i “dati diagnostici”, ricevuti da Microsoft grazie al software installato fisicamente sui device degli utenti, archiviati in server statunitensi;
- i “dati generati dal servizio” derivanti dai traffici di informazioni ottenuti per mezzo dei servizi online offerti da Microsoft, anche questi, archiviati in server statunitensi.
Il Garante tedesco afferma, quindi, che <<in molti casi non è nemmeno chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso criptata e i dati non possono quindi essere visualizzati durante un audit. Nel complesso, vi è una mancanza di trasparenza per quanto riguarda i dati trattati da Microsoft che soddisfano i requisiti del Regolamento generale sulla protezione dei dati>>.
Inoltre, l’Autorità tedesca specifica che, anche in caso di archiviazione dei dati allocati presso i server europei, gli stessi potrebbero essere accessibili in forza di quanto stabilito dall’American Clarifyng Lawful Overseas Use of Data Act (“Cloud Act”) che offre, alle autorità americane l’opportunità di richiedere alle società statunitensi di divulgare dati allocati al di fuori degli Stati Uniti.
Tale circostanza, a giudizio dell’autorità tedesca, rende inadeguate le garanzie offerte da Microsoft rispetto agli standard di sicurezza imposti dalla legislazione europea, atteso che tale divulgazione sarebbe consentita ai sensi dell’art. 48 del GDPR solo in presenza di un accordo di assistenza giudiziaria reciproca che, allo stato attuale, non esiste ancora.
Le condizioni per un uso conforme
Le condizioni cui il Garante tedesco subordina l’uso di Microsoft 365, al fine di renderlo conforme alla normativa privacy vigente, includono:
- l’uso sulle strutture IT del titolare del trattamento (“soluzione on-premise”) o comunque su sedi all’interno dell’UE/SEE che non sono soggette a un obbligo di rinuncia ai sensi della legge CLOUD degli Stati Uniti;
- l’impostazione di blocchi di trasferimenti da installare direttamente sulle impostazioni del sistema operativo Windows 10;
- l’uso di firewall che impediscano la trasmissione di dati diagnostici e di servizio;
- l’uso di indirizzi e-mail/account pseudonimi ufficiali;
- il divieto di utilizzare account Microsoft privati;
- l’uso un browser preconfigurato e sicuro con misure di protezione integrate per la più ampia anonimizzazione/sincronizzazione possibile dei metadati;
- l’intermediazione secondo i client terminali preconfigurati per la più ampia anonimizzazione/sincronizzazione dei metadati;
- L’uso di terminali forniti dagli enti e configurati per risparmiare dati;
- Il reindirizzamento del traffico Internet attraverso la propria infrastruttura con misure tecniche adeguate per nascondere gli indirizzi IP nazionali.
Le misure tecniche organizzative
Alle condizioni su esposte, il Garante tedesco ha ritenuto di chiarire che per quanto riguarda la trasmissione di dati di telemetria, sono particolarmente importanti una serie di misure tecnico-organizzative, tra cui le più significative sono, senza dubbio:
- controllo del flusso di dati dal software Microsoft ai server Microsoft o ad altre destinazioni;
- utilizzo delle opzioni di configurazione disponibili sul lato del prodotto;
- monitoraggio degli aggiornamenti dei prodotti Microsoft e la configurazione di eventuali modifiche di configurazione associate.
Tuttavia, sebbene tali indicazioni, il Garante federale non fornisce mai una chiara indicazione dell’applicazione di tali condizioni d’uso/misure sul possibile successo finale nella compliance.
Lo scenario futuro
Se da un lato le autorità europee proseguono nella loro attività di difesa dei diritti dei cittadini dell’Unione, dall’altro sorgono notevoli problematiche per tutti i Titolari del trattamento, considerando il largo utilizzo di strumenti messi a disposizione dalle big tech statunitensi e la loro diffusione capillare nel nostro territorio. Nel marzo 2022, il presidente USA Joe Biden e la presidente della Commissione europea Ursula von der Leyen annunciavano in conferenza stampa a Bruxelles di aver raggiunto un accordo di principio sui flussi di dati transatlantici. Si è trattato, per ora, di un mero annuncio politico. Non resta che attendere la pubblicazione del documento, con l’auspicio che possa così trovarsi definitivamente soluzione alla vexata quaestio del trasferimento dei dati negli Stati Uniti, consentendo agli operatori europei di non dover rinunciare agli strumenti offerti dai colossi di diritto americano senza incorrere in violazioni del GDPR.