Office 365 di Microsoft dichiarato illegale per le scuole tedesche - di nuovo!

I fornitori di cloud americani non rispettano le severe leggi tedesche sulla protezione della privacy e non devono essere utilizzati dalle scuole tedesche.

Le scuole tedesche non devono utilizzare Microsoft Office 365 a causa di violazioni della privacy. Dopo due anni di trattative con Microsoft, la Conferenza tedesca per la protezione dei dati (DSK) ha emesso una dichiarazione schiacciante in cui si afferma che, data la mancanza di trasparenza in materia di protezione dei dati e il potenziale accesso da parte di terzi, i dati personali degli alunni delle scuole tedesche non devono essere memorizzati sui server di Microsoft al di fuori della Germania. Questo potrebbe riguardare anche altre soluzioni cloud americane, come quelle di Google e Apple.


Office 365 vietato nelle scuole tedesche

In passato, le scuole tedesche hanno potuto utilizzare il “cloud tedesco” offerto da Microsoft fino alla metà del 2018. In seguito Microsoft ha smesso di offrire un modello di gestione dei dati che soddisfacesse i requisiti tedeschi in materia di protezione della privacy.

Ora la Conferenza tedesca per la protezione dei dati (DSK) ha analizzato l’offerta di Microsoft per le scuole e le autorità tedesche e ha emesso una dichiarazione schiacciante.

Secondo i funzionari della DSK tedesca, Microsoft 365 viola le leggi sulla protezione dei dati (GDPR). Pertanto, non è adatto per un uso conforme alla legge nelle scuole o nelle autorità pubbliche in Germania.

Sebbene siano stati compiuti lievi progressi con il nuovo “Addendum sulla protezione dei dati di prodotti e servizi” di Microsoft, questo non è assolutamente sufficiente a soddisfare i requisiti legali in materia di privacy e sicurezza.

Matthias Pfau, fondatore del servizio di posta elettronica criptata Tutanota, commenta:

È incredibile che i servizi online americani continuino a calpestare il GDPR europeo a più di quattro anni dalla sua approvazione. Ovviamente, le grandi aziende americane sopportano qualsiasi reclamo e anche le sanzioni perché il modello commerciale - “usa il mio servizio e io userò i tuoi dati” - è estremamente redditizio per loro. Invece di affidarsi alla cooperazione volontaria, occorre trarre conseguenze molto più gravi, ad esempio utilizzando sistemi completamente diversi. Linux con LibreOffice è un’ottima alternativa alla quale le scuole e le autorità dovrebbero passare immediatamente. Finché le scuole e le autorità continueranno a utilizzare Microsoft - anche se installato localmente - Microsoft non vede ovviamente alcun motivo per rispettare le norme europee sulla protezione dei dati”.

”Altre soluzioni cloud, come la posta elettronica e il calendario, non devono necessariamente essere utilizzate da Microsoft. Esistono oggi servizi molto validi e completamente criptati, come Tutanota di Hannover. Qui la privacy e la protezione dei dati sono garantite, inoltre tutti i dati sono archiviati su server tedeschi”.

Contenuto della dichiarazione della DSK

Nella dichiarazione la DSK afferma che:

“I responsabili del trattamento devono essere in grado di adempiere ai loro obblighi di responsabilità ai sensi dell’Art. 5 (2) GDPR in ogni momento. Quando si utilizza Microsoft 365, ci si può ancora aspettare delle difficoltà a questo proposito sulla base del “supplemento per la protezione dei dati”, in quanto Microsoft non rivela completamente quali operazioni di trattamento avvengono in dettaglio. Inoltre, Microsoft non rende noto quali operazioni di trattamento vengono eseguite per conto del cliente e quali sono eseguite per scopi propri. I documenti contrattuali non sono precisi a questo proposito e non consentono una valutazione conclusiva del trattamento, che può anche essere esteso, anche per le finalità proprie dell’azienda."

"L**‘utilizzo dei dati personali degli utenti (ad esempio, dipendenti o studenti) per scopi propri del fornitore preclude l’utilizzo di un incaricato del trattamento nel settore pubblico (in particolare nelle scuole)“.**

Le modifiche di Microsoft non sono sufficienti

La nuova valutazione ha fatto seguito a un aggiornamento del “Products and Services Data Protection Addendum” di Microsoft.

Tuttavia, le modifiche apportate non sono sufficienti a soddisfare i requisiti di privacy per le scuole e le autorità tedesche.

Cosa ha cambiato Microsoft?

  1. Microsoft ha adottato alcune delle clausole contrattuali standard della Commissione UE.
  2. Microsoft ha spiegato in modo più dettagliato come valuta i dati stessi e per quali scopi. Ad esempio, l’addendum afferma che Microsoft genera statistiche non personali da dati pseudonimizzati e le utilizza per i propri scopi.

Tuttavia, secondo il Commissario federale per la protezione dei dati Ulrich Kelber, non è ancora chiaro quali dati vengano utilizzati per i propri scopi. Non è ancora possibile valutare dall’esterno quali informazioni Microsoft stia raccogliendo e come le utilizzi per i propri scopi.

Inoltre, il DSK critica il trasferimento dei dati negli Stati Uniti, che li rende accessibili alle autorità americane:

“I colloqui del gruppo di lavoro con Microsoft hanno confermato, in conformità con le disposizioni contrattuali, che i dati personali saranno in ogni caso trasferiti negli Stati Uniti quando si utilizza Microsoft 365”. Non è possibile utilizzare Microsoft 365 senza trasferire i dati personali negli Stati Uniti”.

A conclusione dell’analisi del “Products and Services Data Protection Addendum” di Microsoft, il DSK consiglia anche agli utenti privati di non utilizzare Microsoft 365, poiché non si può fare affidamento sul fatto che Microsoft gestisca le informazioni raccolte in modo conforme alla privacy.

Microsoft, al contrario, ha rilasciato una dichiarazione subito dopo la pubblicazione del DSK, sostenendo che sarebbe possibile utilizzare Microsoft 365 in modo legalmente conforme.

Gmail bandito dalle scuole europee

Con decisioni molto simili, gli organi di controllo della privacy olandesi e danesi hanno dichiarato illegale l’uso di Google e Gmail anche nelle scuole, sempre a causa di violazioni del GDPR. Per saperne di più su queste decisioni, leggete qui.

Microsoft già vietata nel 2019

Già nel 2019 il commissario per la protezione dei dati e la libertà di informazione dell’Assia è giunto a unaconclusione simile a quella dell’esame dell’addendum aggiornato di Microsoft da parte del DSK.

Nel 2019 sono state criticate in particolare due questioni relative alla privacy:

  • Le autorità americane possono accedere ai dati archiviati nel cloud europeo senza che il governo tedesco ne abbia il controllo.
  • In Office 365 e Windows 10 vengono raccolti e trasmessi a Microsoft molti dati di telemetria senza che Microsoft fornisca informazioni soddisfacenti su ciò che viene registrato e trasferito.

Protezione dei dati dei bambini

Per la commissione dell’Assia per la protezione dei dati e la libertà d’informazione, la protezione dei dati dei bambini è al primo posto:

“L’aspetto critico è se una scuola, in quanto istituzione pubblica, può memorizzare i dati personali (dei bambini) in un cloud (europeo), che, ad esempio, è aperto all’accesso delle autorità statunitensi. Le istituzioni pubbliche tedesche hanno una particolare responsabilità per quanto riguarda la liceità e la trasparenza del trattamento dei dati personali”.

Di conseguenza, il commissario per i dati ritiene che il trattamento dei dati da parte di Microsoft sia illegale. Inoltre, non è possibile risolvere il problema chiedendo ai genitori il consenso al trattamento dei dati. Ciò non soddisferebbe i particolari diritti di protezione dei bambini ai sensi dell’articolo 8 del Regolamento generale sulla protezione dei dati (GDPR).

Il commissario dell’Assia afferma inoltre che

”Ciò che è vero per Microsoft è vero anche per le soluzioni cloud di Google e Apple. Le soluzioni cloud di questi fornitori non sono state finora trasparenti e comprensibili. Pertanto, è anche vero che per le scuole l’uso conforme alla privacy non è attualmente possibile”.

Inoltre, aziende come Microsoft sono balzate agli onori della cronaca per gli hack in cui malintenzionati si sono impossessati di una grande quantità di dati, che avrebbero potuto essere evitati se i dati sui server Microsoft fossero stati crittografati Ende-zu-Ende.

Conseguenze per le scuole tedesche

I problemi di privacy sono talmente gravi che le scuole tedesche non possono più utilizzare Office 365.

Tuttavia, molte scuole, in particolare quelle commerciali, utilizzano Office 365 per preparare gli studenti al lavoro d’ufficio con Word, Excel ecc. Invece di Office 365, queste scuole devono ora utilizzare licenze on-premise su sistemi locali.

Serve un’alternativa tedesca

Le scuole che utilizzano Office 365 solo per la posta elettronica hanno anche la possibilità di passare a un servizio di posta elettronica sicuro come Tutanota. Qui tutti i dati vengono archiviati in modo criptato su server tedeschi, rispettando le severe leggi tedesche sulla protezione della privacy e in piena conformità con il GDPR.

In futuro, abbiamo in programma di estendere il nostro servizio di posta elettronica sicura, che già incorpora una rubrica e un calendario, in una Groupware Suite completamente criptata. È necessaria un’alternativa tedesca o europea alle Big Tech, in modo che le scuole e le autorità possano archiviare in modo sicuro i dati dei cittadini nel cloud.

tl:dr: La pubblicazione del DSK ha lo scopo principale di fare pressione su Microsoft affinché si conformi alle normative tedesche sulla protezione dei dati, e non riguarda tutti coloro che in Germania utilizzano altri servizi. Tuttavia, sarebbe molto meglio avere una vera alternativa a Microsoft, Google e Apple. È quello che Tutanota sta costruendo in questo momento. Iniziata con le e-mail sicure, Tutanota offre ora anche una rubrica criptata, uncalendario criptato e il modulo di contatto criptato Secure Connect. Sono previste molte altre funzionalità e stimiamo che in pochi anni saremo in grado di offrire una suite di groupware criptato con crittografia integrata e massimo rispetto della privacy.