El Office 365 de Microsoft se declara ilegal para las escuelas alemanas, ¡otra vez!

Los proveedores estadounidenses de la nube no cumplen con las estrictas leyes alemanas de protección de la privacidad y no deben ser utilizados por las escuelas alemanas.

Las escuelas alemanas no deben utilizar Microsoft Office 365 debido a las violaciones de la privacidad. Después de dos años de negociaciones con Microsoft, la Conferencia Alemana de Protección de Datos (DSK) emitió una declaración condenatoria que, dada la falta de transparencia en lo que respecta a la protección de datos y el posible acceso de terceros, no debe almacenarse ningún dato personal de los escolares alemanes en los servidores de Microsoft fuera de Alemania. Esto también podría afectar a otras soluciones estadounidenses en la nube, como las de Google y Apple.


Prohibición de Office 365 en los colegios alemanes

En el pasado, los colegios alemanes podían hacer uso de la “nube alemana” ofrecida por Microsoft hasta mediados de 2018. Entonces, Microsoft dejó de ofrecer un modelo de fideicomiso de datos que cumplía con los requisitos alemanes en cuanto a la protección de la privacidad.

Ahora, la Conferencia Alemana de Protección de Datos (DSK) ha analizado la oferta de Microsoft para las escuelas y autoridades alemanas y ha emitido un comunicado condenatorio.

Según los responsables de la DSK alemana, Microsoft 365 incumple las leyes de protección de datos (GDPR). Por lo tanto, no es adecuado para su uso conforme a la ley en escuelas o autoridades públicas en Alemania.

Aunque ha habido un ligero progreso con el nuevo “Anexo de Protección de Datos de Productos y Servicios” de Microsoft, esto no es en absoluto suficiente para cumplir con los requisitos legales de privacidad y seguridad.

Matthias Pfau, fundador del servicio de correo electrónico cifrado Tutanota, comenta

”Esincreíble que los servicios online estadounidenses sigan pisoteando el GDPR europeo más de cuatro años después de su aprobación. Evidentemente, las grandes empresas estadounidenses aguantan las denuncias y también las sanciones porque el modelo de negocio - “usa mi servicio y yo usaré tus datos”- les resulta extremadamente lucrativo. En lugar de confiar en la cooperación voluntaria, hay que sacar consecuencias mucho más duras, por ejemplo, utilizando sistemas completamente diferentes. Linux con LibreOffice es una muy buena alternativa a la que las escuelas y las autoridades deberían cambiar inmediatamente. Mientras las escuelas y las autoridades sigan utilizando Microsoft -aunque sea instalado localmente-, es evidente que Microsoft no ve motivos para respetar las normas europeas de protección de datos."

"Otras soluciones en la nube, como el correo electrónico y el calendario, no tienen por qué ser utilizadas por Microsoft. Ahora hay servicios muy buenos y totalmente encriptados, como Tutanota de Hannover. Aquí, la privacidad y la protección de datos están garantizadas, además de que todos los datos se almacenan en servidores alemanes.”

Contenido de la declaración de la DSK

En la declaración, la DSK dice:

“Los controladores deben ser capaces de cumplir con sus obligaciones de responsabilidad de acuerdo con el Art. 5 (2) GDPR en todo momento. Cuando se utiliza Microsoft 365, todavía se pueden esperar dificultades en este sentido sobre la base del “suplemento de protección de datos”, ya que Microsoft no revela completamente qué operaciones de procesamiento tienen lugar en detalle. Además, Microsoft no revela completamente qué operaciones de procesamiento se llevan a cabo en nombre del cliente o cuáles se llevan a cabo para sus propios fines. Los documentos contractuales no son precisos a este respecto y no permiten evaluar de forma concluyente el tratamiento, que puede ser incluso amplio, incluso para fines propios de la empresa."

" Eluso de datos personales de los usuarios (por ejemplo, empleados o estudiantes) para fines propios del proveedor excluye el uso de un procesador en el sector público (especialmente en las escuelas).

Los cambios de Microsoft no son suficientes

La nueva evaluación se produjo tras una actualización del “Anexo de Protección de Datos de Productos y Servicios” de Microsoft.

Sin embargo, los cambios introducidos no son suficientes para cumplir los requisitos de privacidad de las escuelas y autoridades alemanas.

¿Qué ha cambiado Microsoft?

  1. Microsoft adoptó algunas de las cláusulas contractuales estándar de la Comisión Europea.
  2. Microsoft explicó con más detalle cómo evalúa los datos por sí misma y con qué fines lo hace. Por ejemplo, la adenda afirma que Microsoft genera estadísticas no personales a partir de datos seudónimos y las utiliza para sus propios fines.

Sin embargo, según el Comisario Federal de Protección de Datos, Ulrich Kelber, todavía no está claro qué datos se utilizan para los propios fines de la empresa. Todavía no es posible evaluar desde el exterior qué información recoge Microsoft y cómo utiliza estos datos para sus propios fines.

Además, el DSK critica la transferencia de datos a EE.UU., que hace que los datos sean accesibles a las autoridades estadounidenses:

“Las conversaciones del grupo de trabajo con Microsoft confirmaron, de acuerdo con las disposiciones contractuales, que los datos personales se transferirán en cualquier caso a los Estados Unidos cuando se utilice Microsoft 365. No es posible utilizar Microsoft 365 sin transferir datos personales a EE.UU.”.

Como conclusión del análisis del “Anexo de Protección de Datos de Productos y Servicios” de Microsoft, el DSK aconseja también a los usuarios privados que no utilicen Microsoft 365, ya que simplemente no se puede confiar en que Microsoft maneje la información recopilada de forma respetuosa con la privacidad.

Microsoft, por el contrario, ha emitido una declaración justo después de la publicación del DSK en la que argumenta que sería posible utilizar Microsoft 365 de forma legalmente compatible.

Prohibición de Gmail en las escuelas europeas

En decisiones muy similares, los organismos de control de la privacidad holandeses y daneses han declarado ilegal el uso de Google y Gmail también en las escuelas, también debido a violaciones del GDPR. Lee más sobre estas decisiones aquí.

Microsoft ya está prohibido en 2019

Ya en 2019, el comisario de Protección de Datos y Libertad de Información de Hesse llegó a unaconclusión similar a la del escrutinio de la adenda actualizada de Microsoft por parte del DSK justo ahora.

En 2019, se criticaron específicamente dos cuestiones de privacidad:

  • Las autoridades estadounidenses pueden acceder a los datos almacenados en la nube europea sin que el gobierno alemán tenga control sobre ello.
  • En Office 365 y Windows 10 se recogen muchos datos de telemetría y se transmiten a Microsoft sin que esta dé información satisfactoria sobre lo que se registra y transfiere.

Proteger los datos de los niños

Para la Comisión de Protección de Datos y Libertad de Información de Hesse, la protección de los datos de los niños es lo primero:

“El aspecto crítico es si una escuela, como institución pública, puede almacenar datos personales (de niños) en una nube (europea) que, por ejemplo, está abierta al acceso de las autoridades estadounidenses. Las instituciones públicas en Alemania tienen una responsabilidad especial en cuanto a la permisividad y la transparencia del tratamiento de datos personales.”

En consecuencia, el comisario de datos razona que el tratamiento de datos por parte de Microsoft es ilegal. Además, no se puede evitar pedir a los padres el consentimiento para el tratamiento de datos. Esto no satisfaría los derechos de protección particular de los niños en relación con el artículo 8 del Reglamento General de Protección de Datos (RGPD).

El comisario de Hesse también afirma que

”Lo que es cierto para Microsoft también lo es para las soluciones en la nube de Google y Apple. Las soluciones en la nube de estos proveedores no han sido hasta ahora transparentes y comprensibles. Por lo tanto, también es cierto que para las escuelas el uso conforme a la privacidad no es posible actualmente.”

Además, empresas como Microsoft han sido noticia por hackeos en los que atacantes malintencionados obtuvieron montones de datos, todo lo cual podría haberse evitado si los datos de los servidores de Microsoft estuvieran cifrados de extremo a extremo.

Consecuencias para las escuelas alemanas

Los problemas de privacidad son tan graves que las escuelas alemanas ya no deben utilizar Office 365.

Sin embargo, muchas escuelas, especialmente las de comercio, utilizan Office 365 para preparar a los estudiantes para el trabajo de oficina con Word, Excel, etc. En lugar de Office 365, estas escuelas deben utilizar ahora licencias locales en sistemas locales.

Se necesita una alternativa alemana

Las escuelas que solo utilizan Office 365 para el correo electrónico también tienen la opción de cambiar a un servicio de correo electrónico seguro como Tutanota. Aquí todos los datos se almacenan encriptados en servidores alemanes, respetando las estrictas leyes alemanas de protección de la privacidad y cumpliendo plenamente con el GDPR.

En el futuro, tenemos previsto ampliar nuestro servicio de correo electrónico seguro, que ya incorpora una libreta de direcciones y un calendario, a una suite de trabajo en grupo totalmente cifrada. Se necesita una alternativa alemana o europea a la Big Tech para que las escuelas y las autoridades puedan almacenar de forma segura los datos de los ciudadanos en la nube.

tl:dr: La publicación del DSK trata principalmente de presionar a Microsoft para que cumpla con la normativa alemana de protección de datos; y menos de que todos en Alemania utilicen otros servicios. Aun así, sería mucho mejor tener una alternativa real a Microsoft, Google y Apple. Eso es lo que Tutanota está construyendo ahora. Tras empezar con los correos electrónicos seguros, Tutanota ofrece ahora también una libreta de direcciones encriptada, uncalendario encriptado y el formulario de contacto encriptado Secure Connect. Están previstas muchas más funciones, y estimamos que en unos años podremos ofrecer una suite de groupware encriptada con cifrado incorporado y máximo respeto a la privacidad.