Considerazioni tecniche e di protezione dei dati su Microsoft 365

Le seguenti domande e risposte sono state tadotte dalla pagina originale:
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

Microsoft 365 (precedentemente Office 365) è una soluzione software di Microsoft Corporation che include varie applicazioni per ufficio come programmi di posta, elaborazione testi, fogli di calcolo, software di presentazione, software di database e molto altro.

Per quanto riguarda il funzionamento tecnico, ci sono caratteristiche diverse. Esistono versioni che consentono il funzionamento sull’infrastruttura IT del titolare del trattamento o di un fornitore di servizi, nonché versioni basate su applicazioni Web o funzionalità cloud.

Qual è il problema in termini di protezione dei dati quando si utilizza Microsoft 365?

I problemi associati all’utilizzo di prodotti software non europei come Microsoft 365 si basano su circostanze tecniche e legali. Di norma, la trasmissione di determinati dati di utilizzo, come l’indirizzo IP, non può essere evitata durante l’uso (maggiori informazioni di seguito). Inoltre, non si può escludere che il provider utilizzi determinati dati di utilizzo per i propri scopi o li trasmetta a partner pubblicitari.

Per il trasferimento dei dati personali è necessaria una base legale. Ciò può derivare da regolamenti legali sulla trasmissione o dalla possibilità di utilizzare un fornitore di servizi come elaborazione degli ordini ai sensi dell’articolo 28, paragrafo 3, del regolamento generale sulla protezione dei dati (GDPR).

Un problema fondamentale, tuttavia, risiede nel fatto che i dati personali trasmessi negli Stati Uniti sono trattati in condizioni legali che non corrispondono al livello europeo di protezione dei dati.

Dopo che la Corte di Giustizia Europea (ECJ) ha dichiarato invalido il cosiddetto Privacy Shield nella sua sentenza del 16 luglio 2020 (Causa 311/18; “Schrems II”), i trasferimenti di dati verso gli USA non possono più essere basati su questo strumento . La Corte di giustizia ha basato la sua decisione sul fatto che le autorità di sicurezza negli Stati Uniti sono in grado di accedere ai dati archiviati dalle società statunitensi in blocco e che gli utenti europei non possono far rivedere queste misure di sorveglianza da un tribunale.

I requisiti legali per il trattamento dei dati negli Stati Uniti di cui agli articoli 44 e seguenti del GDPR difficilmente possono essere soddisfatti con l’abolizione del Privacy Shield.

Se il trattamento dei dati da parte di un fornitore non europeo si basa sulle cosiddette clausole standard di protezione dei dati dell’UE, ovvero contratti modello, sono disponibili modelli corrispondenti; questi fanno spesso parte di contratti corrispondenti, anche con fornitori di servizi statunitensi. Secondo la decisione Schrems II della Corte di giustizia, tuttavia, devono essere adottate misure aggiuntive durante il trasferimento di dati personali negli Stati Uniti per garantire un livello di protezione sostanzialmente equivalente a quello nell’UE. Tuttavia, occorre ancora chiarire quali misure concrete siano possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in considerazione dei diversi scenari di utilizzo.

Per quanto riguarda Microsoft 365, esistono ancora disposizioni nelle condizioni di utilizzo (Online Service Terms OST) o nelle disposizioni sulla protezione dei dati (Date Processing Agreement DPA), che soddisfano i requisiti di protezione dei dati del DSGVO per la trasparenza del trattamento dei dati, le opzioni del cliente per influenzare, le finalità del trattamento dei dati o la cancellazione dei dati non corrispondono.

Perché la possibilità offerta da Microsoft di elaborare i dati su server europei non è sufficiente per un funzionamento conforme alla protezione dei dati?

Sebbene Microsoft offra la possibilità di archiviare i dati su server europei (vedere ” 

Condizioni di Microsoft Online Service “), ciò si applica solo a ciò che Microsoft chiama “dati dei clienti”. Questa è la definizione di Microsoft di qualsiasi dato, inclusi qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società tramite l’Utilizzo. “Dati diagnostici” che Microsoft raccoglie o riceve dal software installato localmente dalla Società in relazione al Servizio online (a volte indicati come dati di telemetria) e ” 

Dati generati dal servizio”.‘ che Microsoft genera o deduce nel corso del funzionamento di qualsiasi servizio online non sono interessati. Questi dati vengono quindi memorizzati su sistemi negli Stati Uniti. A causa del loro possibile riferimento personale, sorgono questioni relative alla trasmissione legittima alla luce della giurisprudenza della Corte di giustizia europea (ECJ 311/18 (“Schrems II”)).Al fine di impedire la trasmissione di dati di telemetria personali, i responsabili devono pertanto garantire mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati tramite un’infrastruttura adeguata) che non abbia luogo in modo dimostrabile alcuna trasmissione di dati di telemetria a Microsoft».Inoltre, la possibilità di archiviazione dei dati su server europei tiene conto solo in parte del problema dell’accesso da parte di autorità statunitensi non conformi alla normativa europea, dal momento che l’American Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018 per Le società statunitensi hanno l’obbligo di consegnare i dati anche se i dati sono archiviati al di fuori degli Stati Uniti.

Perché lo US CLOUD Act è un problema di privacy?

Lo US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) del 23 marzo 2018) offre alle autorità americane l’opportunità di richiedere alle società statunitensi (o alle loro filiali) di fornire dati, anche se si trovano al di fuori degli Stati Uniti e vengono salvati.Ai sensi dell’articolo 48 DS-GVO, tale trasmissione di dati a un paese terzo è consentita solo se può essere basata su un accordo internazionale in vigore, come un accordo di mutua assistenza giudiziaria. Tale accordo non esiste ancora.Un approccio iniziale è stato quello di utilizzare una soluzione di amministrazione fiduciaria offerta da Microsoft, in cui Microsoft non aveva accesso diretto ai dati archiviati in Europa (“Microsoft Germany Cloud”). Tuttavia, il prodotto “MS Deutschland Cloud” da allora è stato interrotto da Microsoft e non è più disponibile come opzione operativa.Gli ordini corrispondenti da parte delle autorità statunitensi di divulgare i dati sono solitamente accompagnati da un obbligo di riservatezza da parte dell’autorità richiesta per rilasciare i dati (in questo caso, ad esempio Microsoft come responsabile del trattamento), in modo che gli interessati non siano informati che i loro dati sono stati stato divulgato (cfr. art. 15 cpv. 1 lett. c GDPR).In caso di accesso ai dati da parte delle autorità statunitensi o relative richieste di restituzione, ciò comporta una violazione dell’articolo 48 del GDPR.

Effetti della decisione dell’OLG Karlsruhe di settembre 2022 per l’uso di MS 365 nelle scuole

La decisione del tribunale regionale superiore di Karlsruhe (decisione del 7 settembre 2022, Az.: 15 Verg 8/22) si riferisce al diritto degli appalti e non alle norme sulla protezione dei dati del regolamento generale sulla protezione dei dati (GDPR). I criteri decisionali erano quindi le disposizioni di legge contro le restrizioni della concorrenza e l’ordinanza sull’aggiudicazione degli appalti pubblici. Il tribunale regionale superiore di Karlsruhe non ha specificato le norme relative alle responsabilità ai sensi del regolamento generale sulla protezione dei dati (GDPR) e i requisiti restrittivi della Corte di giustizia europea (sentenza del 16 luglio 2020 “Schrems-II)” per quanto riguarda i trasferimenti di dati a gli Stati Uniti nel presente contesto discusso.

L’Alta Corte Regionale di Karlsruhe ha deciso che, in caso di aggiudicazione di un appalto pubblico, la garanzia dell’offerente di poter offrire un prodotto legale e quindi anche conforme alla protezione dei dati o un servizio corrispondente non deve essere messa in discussione fin dall’inizio. Ciò vale anche per gli offerenti che offrono applicazioni digitali. La procedura di aggiudicazione deve svolgersi su questa base. L’offerente è quindi responsabile di questo. Questo non dice nulla su applicazioni, prodotti o servizi specifici, ma affina solo il ruolo dell’offerente nel processo.

In caso di elaborazione degli ordini – come nel caso dell’utilizzo di prodotti software – il cliente rimane responsabile del corretto trattamento dei dati in conformità con le disposizioni del GDPR (art. 4 n. 7 e 8, art. 24 e ss. GDPR ) . In questo contesto, l’articolo 24 (1) GDPR stabilisce che la persona responsabile non solo deve garantire, ma anche fornire la prova che l’elaborazione dell’ordine viene eseguita in conformità con il regolamento generale sulla protezione dei dati.

Affidarsi esclusivamente alle garanzie contrattuali di un appaltatore in merito alla conformità alla protezione dei dati di un prodotto non sarebbe conciliabile con questi elevati requisiti. La decisione dell’Alta Corte Regionale di Karlsruhe quindi con ogni probabilità non porterà le autorità di controllo della protezione dei dati a modificare le loro precedenti dichiarazioni sull’uso di prodotti software non europei nel contesto scolastico.

Le autorità di controllo della protezione dei dati, proprio come il KMK, sono in costante contatto con Microsoft. Di recente si è saputo che Microsoft ha pubblicato un nuovo regolamento contrattuale con migliorie sulla protezione dei dati, attualmente all’esame delle autorità di controllo. Tra l’altro, sono probabilmente una reazione ai suggerimenti e alle raccomandazioni delle autorità di controllo della protezione dei dati e sono quindi un passo nella giusta direzione, ma non sono sufficienti.

In questo contesto, va ricordato che lo stato dell’Assia ha pubblicato un bando di gara per quanto riguarda le applicazioni software da utilizzare nelle scuole, e in particolare i sistemi di videoconferenza. Lì, un fornitore con sede in Assia che lavora sulla base di BigBlueButton ha vinto la gara. È quindi previsto anche in Assia che le scuole utilizzino questa applicazione su tutta la linea in futuro e non utilizzino più altre applicazioni.

Recenti comunicati stampa indicano che il presidente degli Stati Uniti Biden ha firmato un ordine esecutivo per un nuovo quadro sulla privacy dei dati UE-USA. Secondo i rapporti, questo ordine introduce una serie di nuovi diritti per i cittadini dell’UE nelle misure di sorveglianza da parte delle autorità di sicurezza statunitensi. Tuttavia, nessun testo è ancora disponibile. Sulla base di questo ordine esecutivo, la Commissione europea emetterà un’altra decisione di adeguatezza per gli Stati Uniti per consentire il trasferimento di dati personali negli Stati Uniti. Ciò avverrà probabilmente non prima dell’inizio del 2023 e sarà immediatamente contestato in tribunale. Non è quindi prevedibile una situazione giuridicamente sicura a medio termine.

A quali condizioni è concepibile un utilizzo conforme alla protezione dei dati di Microsoft 365?

I problemi di protezione dei dati riguardano principalmente i prodotti basati su cloud, come quelli spesso utilizzati soprattutto nelle scuole. A titolo di esempio per il settore scolastico, qui troverai informazioni sulle condizioni alle quali l’utilizzo di Microsoft 365 può essere consentito ai sensi della legge sulla protezione dei dati. Che include

1. Il funzionamento di Microsoft 365 sulle strutture IT del titolare del trattamento (“soluzione locale”) o in sedi all’interno dell’UE/SEE che non sono soggette all’obbligo di divulgazione ai sensi della legge statunitense sul cloud. (Nota: le attuali raccomandazioni dell’Ufficio federale per la sicurezza delle informazioni (BSI) prevedono anche una rinuncia al cloud storage).
2. La prevenzione della trasmissione di dati di telemetria quando si utilizza Microsoft 365 o il sistema operativo Windows sottostante. Con Windows 10 Enterprise, la trasmissione dei dati a Microsoft può essere ampiamente impedita dalle impostazioni del sistema operativo.
3. La conferenza delle autorità di vigilanza sulla protezione dei dati del governo federale e statale ha formulato raccomandazioni in tal senso.
4. Filtraggio durante la trasmissione di dati di telemetria personale tramite un’infrastruttura appropriata (firewall), a meno che ciò non possa essere impedito dalle specifiche di configurazione. Qui, i responsabili devono utilizzare misure contrattuali, tecniche o organizzative per garantire che non vi sia alcuna trasmissione dimostrabile di dati di telemetria a Microsoft (Nota: nell’ambito di un progetto pilota nel Baden-Württemberg, in cui una versione di Microsoft 365 relativa alla scuola è stato testata, tuttavia non è possibile senza ulteriori restrizioni e limitazioni, quindi un filtro appropriato può essere associato alle necessarie restrizioni funzionali.
5. Elaborazione dei dati sulla base delle cosiddette clausole standard di protezione dei dati dell’UE (contratti tipo). Secondo la decisione Schrems II della Corte di giustizia, tuttavia, devono essere adottate misure aggiuntive durante il trasferimento di dati personali negli Stati Uniti per garantire un livello di protezione sostanzialmente equivalente a quello nell’UE. Qui, tuttavia, è ancora necessario chiarire quali misure concrete siano possibili alla luce di questo requisito chiarito dalla Corte di giustizia e in vista dei diversi scenari di utilizzo (nota: vizi giuridici nei contratti modello per l’elaborazione degli ordini per quanto riguarda gli Stati membri squadre, in particolare deviazioni inammissibili dalle specifiche dell’articolo 28 GDPR)
6. L’utilizzo di indirizzi/account e-mail ufficiali pseudonimi (idealmente temporaneamente da un pool) e il divieto di utilizzo di account Microsoft privati
7. Utilizzo tramite un browser preconfigurato e sicuro con misure di protezione integrate per la più ampia anonimizzazione/sincronizzazione dei metadati.
8. L’interposizione di terminal client opportunamente preconfigurati per la più ampia anonimizzazione/sincronizzazione dei metadati.
9. L’uso di dispositivi terminali forniti dalla scuola e configurati per il salvataggio dei dati.
10. Il reindirizzamento del traffico Internet attraverso un’ apposita infrastruttura con misure tecniche adeguate per nascondere gli indirizzi IP domestici.

Quali “dati di utilizzo” vengono trasmessi con Microsoft 365?

Quando si utilizzano pacchetti software come Microsoft 365 o soluzioni cloud corrispondenti, i dati personali o di identificazione personale possono presentarsi a diversi livelli.

Microsoft, in questo contesto, distingue tra “Dati del cliente” come tutti i dati, inclusi tutti i file di testo, audio, video o immagine e software, forniti a Microsoft da o per conto del Cliente tramite l’Utilizzo, “Dati diagnostici” che Microsoft raccoglie da Software installato o ricevuto localmente dalla Società in relazione al Servizio Online (a volte indicato come dati di telemetria) e “Dati Generati dal Servizio ” che Microsoft genera o deduce nel corso del funzionamento di un Servizio Online.

Viene raccolta una grande quantità di dati sull’uso individuale di Word, Excel, PowerPoint e Outlook, dei team e di altre applicazioni e servizi. Questo va ben oltre il richiamo di un programma o la durata dell’utilizzo. Ad esempio, Microsoft raccoglie informazioni sugli eventi in Word, come premere il tasto backspace più volte di seguito, ma anche la frase prima e dopo una parola cercata nel correttore ortografico online. Il componente di telemetria integrato non solo registra i dati di utilizzo per le applicazioni utilizzate principalmente, ma anche l’utilizzo individuale di servizi connessi come il servizio di traduzione o il motore di ricerca Microsoft Bing, nonché i dati sul dispositivo utilizzato, l’indirizzo Internet accesso (indirizzo IP), dati sulla posizione e altro.
 

Nell’ambito di un’indagine condotta per conto del Ministero della Giustizia olandese nel 2018, Microsoft ha dichiarato che ai server di Microsoft vengono inviati da 23.000 a 25.000 tipi di eventi e che fino a 30 team lavorano con questi dati ( DPIA Office 365 ProPlus versione 1905 , pagina 70 ). Microsoft fornisce una panoramica dei dati di diagnostica raccolti come parte di Microsoft 365 (Microsoft dichiara un tempo di lettura di circa 7,5 ore per questo documento)). Tuttavia, spesso non è chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso crittografata e quindi i dati non possono essere visualizzati durante un esame. Tutto sommato, c’è stata una mancanza di trasparenza sufficiente per il regolamento generale sulla protezione dei dati per quanto riguarda i dati trattati da Microsoft. Soprattutto l’uso dei dati del contesto scolastico rimane poco chiaro. Pertanto, l’uso improprio non può essere escluso.
Nella maggior parte dei casi, i dati diagnostici o generati dal servizio sono informazioni tecniche che non hanno alcun riferimento personale diretto. Tuttavia, questi possono essere assegnati a un ID utente univoco appartenente all’utente o rappresentare identificatori univoci Studi hanno dimostrato che, a causa della grande quantità di informazioni, è possibile una nuova identificazione anche quando si utilizzano account utente pseudonimi.

Quali misure tecniche e organizzative possono essere adottate per impedire l’invio di dati diagnostici a Microsoft?

I responsabili del trattamento sono obbligati ad adottare misure tecniche e organizzative che offrano protezione contro trattamenti non autorizzati o illeciti (articolo 5 GDPR). Per quanto riguarda la trasmissione dei dati di telemetria, sono particolarmente importanti le seguenti misure:

• Controllo dei trasferimenti di dati a Microsoft. Questo dovrebbe coprire il traffico in uscita dai computer degli utenti e le sue destinazioni come esempio per scoprire il flusso di dati dal software Microsoft ai server Microsoft o ad altre destinazioni. In particolare, dovrebbero essere coperti i normali modelli di utilizzo dei prodotti e servizi Microsoft utilizzati. Microsoft fornisce il Diagnostic Data Viewer (DDV) per l’analisi dei dati diagnostici in Windows 10 e prodotti Office.
• Utilizzo delle opzioni di configurazione disponibili sul lato prodotto per impedire la trasmissione di dati diagnostici/telemetrici. All’interno dei prodotti Office, Microsoft offre una serie di cosiddetti “controlli” con i quali è possibile configurare la raccolta/trasmissione di dati diagnostici
• Se le opzioni di configurazione corrispondenti non sono disponibili, al fine di impedire la trasmissione di dati personali di telemetria, è necessario garantire mediante misure contrattuali, tecniche o organizzative (ad es. filtrando l’accesso a Internet tramite un’infrastruttura corrispondente della persona responsabile) che dimostrabilmente no avviene la trasmissione dei dati di telemetria a Microsoft.
• Monitoraggio degli aggiornamenti dei prodotti Microsoft e revisione di eventuali modifiche alla configurazione associate.
• Se devono essere distribuiti prodotti e servizi Microsoft che non sono stati utilizzati in precedenza, condurre valutazioni del rischio per la privacy di tali prodotti e servizi prima della distribuzione.

Informazioni aggiuntive:

Pubblicazione del Garante europeo della protezione dei dati “Esito dell’indagine di propria iniziativa sull’uso di prodotti e servizi Microsoft da parte delle istituzioni dell’UE” (2 luglio 2020)

https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#technical-measures

Come valutare l’utilizzo di Microsoft 365 su tablet o smartphone?

L’attuale versione di Microsoft 365 per Android o iOS si basa su funzionalità cloud. Per utilizzare il pacchetto è necessario un account Microsoft. Sebbene sia possibile scegliere dopo l’installazione se i documenti vengono archiviati nel cloud o localmente, ciò non è importante per quanto riguarda l’elaborazione della telemetria o dei dati di utilizzo.

Tali dati derivano come si può leggere dalle informazioni di Microsoft. Il produttore offre a tale scopo un visualizzatore di dati diagnostici (DDV) dedicato . L’ambito di questi dati può essere ridotto, a seconda dei servizi opzionali configurati.

Microsoft offre i cosiddetti “controlli” che possono essere utilizzati per configurare la raccolta/trasmissione di dati diagnostici

In caso di uso ufficiale o commerciale e di trasmissione di dati diagnostici negli Stati Uniti, devono essere soddisfatti i requisiti risultanti dalla sentenza della Corte di giustizia 311/18 (Schrems II). Se un datore di lavoro dovesse ordinarlo o richiederlo, avrebbe bisogno di una base legale per il trasferimento.

Gli account Microsoft pseudonimi possono ridurre un riferimento personale diretto, ma a causa della quantità di dati (vedi sopra) e dei singoli dati relativi al dispositivo, si può presumere che esista la possibilità di una nuova identificazione.