Il Garante Europeo per la protezione dei dati (EDPS) ha reso pubblici i risultati della propria indagine sul contratto che le istituzioni europee hanno stipulato con Microsoft: il testo non contiene soltanto un'analisi degli accordi presi, ma ci sono alcune considerazioni generali che "sono di interesse più ampio che per le sole istituzioni europee: sono di particolare interesse in generale per tutte le autorità pubbliche degli Stati Membri".

In generale sono considerazioni che la pubblica amministrazione di qualsiasi stato potrà utilizzare come guida e supporto ogni qual volta dovrà ricorrere a servizi ITC.  L'utilità del testo è infatti quello di poter fungere da "linee guida" comuni per l'intera UE, dato che il quadro normativo entro il quale si inseriscono è armonico e comune: il GDPR e il regolamento UE 2018-1725.

Il senso del documento, spiega Wojciech Wiewiórowski a capo dell'Edps, è quello di aiutare la PA ad affinare la gestione dei dati nel rispetto delle norme di protezione degli stessi al momento in cui dovranno accordarsi coi fornitori di servizi. Ad esempio, ha spiegato, non è legittimo che i dati sensibili dei cittadini che usufruiscono di servizi pubblici siano utilizzati dai provider per finalità diverse da quelle prestabilite. Anche le modalità con le quali tali dati vengono trattati deve essere ben sviscerata al momento della stipula del contratto con il provider e su questo l'EDPS spinge perchè gli accordi siano stringenti ed estremamente chiari, così come deve essere chiara la catena delle responsabilità riguardo un determinato trattamento sia in termini di gestione e sicurezza che in termini di monitoraggio: queste accortezze permetteranno di minimizzare i rischi per la privacy di ogni singolo cittadino.

Il tutto va inserito in quadro più ampio: la Strategia EDPS 2020 - 2024 punta sulla sovranità digitale come parte integrante e fondamentale della strategia e il documento indica come le pubbliche amministrazioni che stipulano contratti di servizio coi giganti ITC dovrebbero operare in termini di rafforzamento del controllo delle istituzioni UE su come e perchè i dati personali vengono trattati.

L'accordo tra istituzioni europee e Microsoft
L'accordo ha previsto la definizione e la modifica dei parametri delle attività di elaborazione che Microsoft esegue per conto delle istituzioni europee: nei fatti è stata ridotta l'eccessiva discrezionalità con la quale Microsoft agiva come data controller. Sono anche stati irrigiditi i criteri di protezione e salvaguardia di quei dati che fuoriscono dalle istituzioni dell'UE: le istituzioni UE hanno adesso molti più strumenti per assicurarsi che Microsoft utilizzi e divulghi i dati trattati per conto dell'UE solo ed esclusivamente nella misura prevista dal diritto europeo. Su questo, il documento dell'EDPS ha formulato precise raccomandazioni da seguire per assistere la PA degli stati membri nell'affrontare la specifica questione.

L'analisi dettagliata del flusso dei dati generati da prodotti e servizi Micosoft e inviati a Microsoft stessa ha comportato una revisione pesante del flusso stesso: per l'EDPS è fondamentale che le istituzioni UE eseguano test su questi flussi, tendendo verso un approccio globale e comune, condividendo conoscenze e soluzioni tecniche con le varie PA europee per prevenire eventuali flussi di dati non autorizzati a Microsoft. Viene anche stabilito un obbligo di reciproca informazione e avviso qualora siano riscontrate problematiche di protezione dei dati raccolti e trattati con tali servizi o prodotti.

Infine sono stati rivisti e dettagliati scopi e finalità del trattamento dati: l'EDPS ha sottolineato ampiamente il punto, specificando come l'obbligo di trasparenza nei confronti degli interessati comporti necessariamenet una chiarezza a monte del perchè tali dati vengano raccolti e come vengano gestiti. Le PA degli Stati Membri devono adempiere necessariamente all'obbligo di tenere informate le persone interessate.

Il documento completo è disponibile qui (in lingua inglese)