O Microsoft Office 365 declarou ilegal para as escolas alemãs - mais uma vez!

Os fornecedores americanos de nuvens não cumprem as rigorosas leis alemãs de protecção da privacidade e não devem ser utilizados pelas escolas alemãs.

As escolas alemãs não devem utilizar o Microsoft Office 365 devido a violações da privacidade. Após dois anos de negociações com a Microsoft, a Conferência Alemã de Protecção de Dados (DSK) emitiu uma declaração condenatória de que, dada a falta de transparência no que diz respeito à protecção de dados e ao potencial acesso de terceiros, nenhum dado pessoal de crianças de escolas alemãs deve ser armazenado nos servidores da Microsoft fora da Alemanha. Isto poderia também afectar outras soluções de nuvem americanas, tais como as da Google e da Apple.


Office 365 banido nas escolas alemãs

No passado, as escolas alemãs puderam fazer uso da “nuvem alemã” oferecida pela Microsoft até meados de 2018. Depois, a Microsoft deixou de oferecer um modelo de depositário de dados que satisfazia os requisitos alemães no que diz respeito à protecção da privacidade.

Agora, a Conferência Alemã de Protecção de Dados (DSK) analisou a oferta da Microsoft para as escolas e autoridades alemãs e emitiu uma declaração condenatória.

De acordo com os funcionários alemães da DSK, a Microsoft 365 está a violar as leis de protecção de dados (GDPR). Por conseguinte, não é adequado para uso legal em escolas ou autoridades públicas na Alemanha.

Embora tenha havido um ligeiro progresso com a nova “Adenda sobre Protecção de Dados de Produtos e Serviços” da Microsoft, isto não é de forma alguma suficiente para satisfazer os requisitos legais de privacidade e segurança.

Matthias Pfau, fundador do serviço de correio electrónico encriptado Tutanota comenta:

É inacreditável que os serviços on-line americanos continuem a pisar o PIBR europeu mais de quatro anos depois de este ter sido aprovado. Obviamente, as grandes empresas americanas estão a suportar quaisquer queixas e também penalizações porque o modelo de negócio - “use o meu serviço e eu vou usar os seus dados” - é extremamente lucrativo para elas. Em vez de confiar na cooperação voluntária, devem ser aqui tiradas consequências muito mais duras; por exemplo, através da utilização de sistemas completamente diferentes. O Linux com o LibreOffice é uma alternativa muito boa para a qual as escolas e as autoridades devem mudar imediatamente. Enquanto as escolas e autoridades continuarem a utilizar a Microsoft - embora instalada localmente - a Microsoft não vê obviamente qualquer razão para respeitar as regras europeias de protecção de dados”.

”Outras soluções de nuvem, tais como correio electrónico e calendário, não têm de ser utilizadas pela Microsoft. Existem agora serviços muito bons e totalmente encriptados, tais como o Tutanota de Hanôver. Aqui, a privacidade e a protecção de dados são garantidas, e todos os dados são armazenados em servidores alemães”.

Conteúdo da declaração da DSK

Na declaração diz a DSK:

“Os controladores devem ser capazes de cumprir as suas obrigações de responsabilização nos termos da Arte. 5 (2) GDPR em todos os momentos. Ao utilizar o Microsoft 365, ainda se podem esperar dificuldades a este respeito com base no “suplemento de protecção de dados”, uma vez que a Microsoft não divulga totalmente quais as operações de processamento que têm lugar em pormenor. Além disso, a Microsoft não revela totalmente quais as operações de processamento que são realizadas em nome do cliente ou quais as que são realizadas para os seus próprios fins. Os documentos contratuais não são precisos a este respeito e não permitem uma avaliação conclusiva do processamento, que pode mesmo ser extensiva, inclusive para os próprios fins da empresa”.

A utilização de dados pessoais dos utilizadores (por exemplo, empregados ou estudantes) para os próprios fins do fornecedor impede a utilização de um processador no sector público (especialmente nas escolas)“.

As alterações da Microsoft não são suficientes

A nova avaliação seguiu-se após uma actualização da “Adenda sobre Protecção de Dados de Produtos e Serviços” da Microsoft.

No entanto, as alterações efectuadas não são suficientes para satisfazer os requisitos de privacidade das escolas e autoridades alemãs.

O que mudou a Microsoft?

  1. A Microsoft adoptou algumas das cláusulas contratuais-tipo da Comissão Europeia.
  2. A Microsoft explicou mais detalhadamente como avalia os dados propriamente ditos e para que fins é feita esta avaliação. Por exemplo, a adenda afirma que a Microsoft gera estatísticas não pessoais a partir de dados pseudonimizados e utiliza-os para os seus próprios fins.

Contudo, de acordo com o Comissário Federal de Protecção de Dados Ulrich Kelber, ainda não é claro quais os dados que são utilizados para as próprias agendas da empresa. Ainda não é possível avaliar do exterior que informação a Microsoft está a recolher e como está a utilizar estes dados para os seus próprios fins.

Além disso, a DSK critica a transferência de dados para os EUA, o que torna os dados acessíveis às autoridades americanas:

“As discussões do grupo de trabalho com a Microsoft confirmaram, em conformidade com as disposições contratuais, que os dados pessoais serão de qualquer forma transferidos para os EUA quando o Microsoft 365 for utilizado. Não é possível utilizar o Microsoft 365 sem transferir dados pessoais para os EUA”.

Em conclusão da análise da “Adenda sobre Protecção de Dados de Produtos e Serviços da Microsoft”, a DSK aconselha também os utilizadores privados a não utilizarem o Microsoft 365, uma vez que simplesmente não se pode confiar que a Microsoft trata as informações recolhidas de uma forma que respeite a privacidade.

A Microsoft, pelo contrário, emitiu uma declaração logo após a publicação da DSK, argumentando que seria possível utilizar o Microsoft 365 de uma forma conforme à lei.

Gmail banido das escolas europeias

Em decisões muito semelhantes, os cães de guarda da privacidade holandeses e dinamarqueses declararam a utilização do Google e do Gmail ilegal também nas escolas, também devido a violações do GDPR. Leia mais sobre estas decisões aqui.

Microsoft já banida em 2019

Já em 2019, o comissário Hessian de Protecção de Dados e Liberdade de Informação chegou a umaconclusão semelhante à da análise da adenda actualizada da Microsoft pela DSK há pouco.

Em 2019, duas questões de privacidade foram especificamente criticadas:

  • As autoridades americanas podem aceder aos dados armazenados na nuvem europeia sem que o governo alemão tenha controlo sobre isso.
  • No Office 365 e no Windows 10, são recolhidos e transmitidos à Microsoft muitos dados de telemetria sem que a Microsoft dê informações satisfatórias sobre o que é registado e transferido.

Proteger os dados das crianças

Para a Comissão Hessiana de Protecção de Dados e Liberdade de Informação, a protecção dos dados das crianças está em primeiro lugar:

“O aspecto crítico é se uma escola como instituição pública pode armazenar dados pessoais (de crianças) numa nuvem (europeia), que, por exemplo, está aberta ao acesso das autoridades americanas. As instituições públicas na Alemanha têm uma responsabilidade particular no que diz respeito à permissibilidade e transparência do tratamento de dados pessoais”.

Em consequência, o comissário de dados justifica que o tratamento de dados pela Microsoft é ilegal. Além disso, isto não pode ser ajudado pedindo aos pais o consentimento para o tratamento de dados. Isto não satisfaria os direitos específicos de protecção das crianças no que diz respeito ao artigo 8º do Regulamento Geral sobre Protecção de Dados (GDPR).

O comissário Hessian afirma também que

”O que é verdade para a Microsoft também é verdade para o Google e para as soluções de nuvem da Apple. As soluções de nuvem destes fornecedores não têm sido até agora transparentes e compreensivelmente definidas. Por conseguinte, também é verdade que para as escolas a utilização compatível com a privacidade não é actualmente possível”.

Além disso, empresas como a Microsoft fizeram as notícias com hacks onde atacantes maliciosos ganharam tropas de dados - tudo isto poderia ter sido evitado se os dados nos servidores Microsoft tivessem sido encriptados de ponta a ponta.

Consequências para as escolas alemãs

As preocupações com a privacidade são tão graves que as escolas alemãs não podem continuar a utilizar o Office 365.

No entanto, muitas escolas, particularmente escolas de comércio, utilizam o Office 365 para preparar os alunos para o trabalho de escritório com Word, Excel, etc. Em vez do Office 365, estas escolas devem agora utilizar licenças no local de trabalho nos sistemas locais.

É necessária uma alternativa alemã

As escolas que só utilizam o Office 365 para correio electrónico também têm a opção de mudar para um serviço de correio electrónico seguro como o Tutanota. Aqui todos os dados são armazenados encriptados em servidores alemães, respeitando as rigorosas leis alemãs de protecção da privacidade e em total conformidade com a GDPR.

No futuro, planeamos alargar o nosso serviço seguro de correio electrónico que já incorpora um livro de endereços e um calendário num Groupware Suite totalmente encriptado. É necessária uma alternativa alemã ou europeia à Big Tech para que as escolas e as autoridades possam armazenar em segurança os dados dos cidadãos na nuvem.

tl:dr: A publicação da DSK trata principalmente de pressionar a Microsoft a cumprir os regulamentos alemães de protecção de dados; e menos sobre todas as pessoas na Alemanha que utilizam outros serviços. Mesmo assim, seria muito melhor ter uma verdadeira alternativa à Microsoft, Google e Apple. É isso que a Tutanota está a construir neste momento. Começando com e-mails seguros, Tutanota oferece agora também um livro de endereços encriptado, umcalendário encriptado e o formulário de contacto encriptado Secure Connect. Estão previstas muitas mais funcionalidades, e estimamos que dentro de alguns anos seremos capazes de oferecer um conjunto de groupware encriptado com encriptação incorporada e o máximo respeito pela privacidade.