Se ci sono due cose che non dovrebbero mai essere mescolate, è la conformità alla sicurezza informatica/privacy e la politica aziendale. Eppure è al centro di una lotta per la conformità tra Microsoft e le autorità tedesche che potrebbe finire per punire i clienti dell'azienda.

Il tedesco Datenschutzkonferenz, l'organismo di regolamentazione responsabile dell'amministrazione della versione tedesca del regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, ha dichiarato pubblicamente che "non era possibile un utilizzo conforme alla protezione dei dati di Microsoft Office 365".

Questa è la dichiarazione più assoluta e audace che abbia mai visto da un'agenzia di conformità.

Per essere precisi, le autorità di regolamentazione non hanno trovato esplicitamente violazioni delle regole di conformità tanto quanto hanno trovato percorsi di dati che Microsoft non spiegherebbe sufficientemente. Questi percorsi sembravano scaricare dati su server controllati da Microsoft con sede negli Stati Uniti.

“La questione centrale e ricorrente della serie di discussioni era in quali casi Microsoft agisce come responsabile del trattamento e in quali casi come titolare del trattamento. Questo non può essere chiarito in modo definitivo. I titolari devono poter dimostrare in ogni momento la propria responsabilità ai sensi dell'art. 5 paia. 2 GDPR", afferma il rapporto, prima di aggiungere che "continuano a essere previste difficoltà in quanto Microsoft non rivela completamente in dettaglio quale elaborazione sta avvenendo. Inoltre, Microsoft non spiega completamente quale trattamento viene effettuato per conto del cliente o cosa viene effettuato per i propri scopi. I documenti contrattuali non sono specifici al riguardo e quindi consentono trattamenti che non possono essere conclusivamente valutati o addirittura estesi per le proprie finalità.

Non sorprende che Microsoft non sia d'accordo, sostenendo che i suoi prodotti sono la perfezione del software.

"Oggi, il Datenschutzkonferenz (DSK) tedesco ha espresso preoccupazione per la conformità di Microsoft 365 (M365) alle leggi tedesche ed europee sulla privacy dei dati", ha affermato Microsoft in una nota. "Siamo rispettosamente in disaccordo con la posizione di DSK, poiché ci assicuriamo che i nostri prodotti M365 non soddisfino, ma spesso superino, le rigide leggi sulla privacy dei dati dell'Unione Europea. I nostri clienti in Germania e in tutta l'UE possono tranquillamente utilizzare i prodotti M365 in modo legalmente conforme. per consentire loro di fare di più con meno.

Microsoft ha anche promesso che avrebbe cercato di condividere più informazioni sui suoi processi (vale a dire più trasparenza).

"Prendiamo molto sul serio gli sforzi di DSK per una maggiore trasparenza e, sebbene le nostre pratiche di trasparenza e documentazione superino quelle della maggior parte degli altri nel nostro settore, ci impegniamo a fare ancora meglio", ha affermato la società. “In particolare, come parte dei nostri impegni per il limite massimo di dati dell'UE, forniremo ulteriore documentazione sulla trasparenza sui flussi di dati dei clienti e sulle finalità di elaborazione. Forniremo inoltre una documentazione più trasparente dell'elaborazione e del tracciamento da parte di sub-incaricati e dipendenti Microsoft non UE.

Non è chiaro se Microsoft sarà abbastanza trasparente nello spiegare esattamente come funzionano le sue fonti di dati e perché, e se l'azienda è disposta a cambiarle.

Quindi cosa significa questo per Microsoft e, soprattutto, per i clienti di Microsoft Enterprise Computing?

Cominciamo con gli spin-off di Microsoft. Rispetto agli Stati Uniti, l'Europa prende molto sul serio la privacy e la sicurezza informatica. Ed è sicuro affermare che la Germania ha la reputazione di prendere la conformità più seriamente di chiunque altro nell'UE o nel Regno Unito.

In teoria, ciò dovrebbe comportare gravi conseguenze per l'azienda. Ma secondo Peter Dorce, uno specialista della privacy in Germania che lavora spesso con le autorità di regolamentazione, è improbabile che Microsoft sarà costretta ad apportare ulteriori modifiche o rispondere a domande specifiche. Il loro software è semplicemente così ampiamente distribuito che sarebbe politicamente poco attraente forzare il problema.

Le autorità di conformità tedesche "possono convivere con la situazione in cui Microsoft finge di fare tutto bene e le autorità affermano di aver fatto tutto il possibile per costringere Microsoft a conformarsi", ha affermato in un'intervista a Computerworld. Microsoft “non soddisfa i requisiti più basilari del GDPR. Mancano di trasparenza fondamentale. Non possiamo valutare quello che fanno perché non ce lo dicono.

È qui che entra in gioco la politica, dove le forze pratiche possono influenzare le azioni di applicazione del governo. I regolatori tedeschi “temono rappresaglie. (Con il pensiero delle autorità di regolamentazione), non otterremo più budget se diciamo che non puoi più usare Office. O anche Google Analytics, in più", ha detto Dorenvant. “Queste sono questioni politiche. Nessuno vuole essere il cattivo.

Quindi è probabile che Microsoft pattizzi sulla questione, almeno per ora. Ma per quanto riguarda gli amministratori IT aziendali? Le aziende che utilizzano prodotti Microsoft sono immuni da sanzioni per la conformità? Non necessariamente. Può sembrare ingiusto lasciare Microsoft fuori dai guai e punire i suoi clienti, ma da qui l'argomento che è molto probabile. E non solo in Germania.

"In Belgio, Paesi Bassi, Germania e altrove, sono in corso azioni legali contro i clienti dei prodotti Microsoft", ha affermato.

Questo ci porta a un problema di conformità IT aziendale ancora più grande. Non molto tempo fa, un popolare adagio informatico diceva che nessuno poteva essere licenziato per aver acquistato IBM. Ciò significava che restare fedeli ai maggiori fornitori di tecnologia in genere proteggeva in larga misura le loro decisioni di acquisto.

In conformità, lo stesso pensiero suggerisce che quando le aziende utilizzano Microsoft, SAP, Oracle, Google o uno qualsiasi degli altri grandi attori, l'IT può presumere che le basi, i problemi di sicurezza informatica e conformità più basilari siano stati supportati (specialmente quando si tratta di qualcosa come GDPR).

Non è mai stata una strategia saggia, ma certamente non lo è oggi. Se Microsoft ha ancora scappatoie nei problemi di conformità ai requisiti minimi, è probabile che lo facciano anche gli altri principali attori.

Per essere schietti, il tuo adempimento è il tuo adempimento. L'utilizzo di fornitori affidabili non ti proteggerà dagli incubi normativi. Le autorità potrebbero non avere il coraggio di andare contro questi fornitori, ma dare l'esempio di alcune aziende Fortune 1000 è una storia completamente diversa.

Copyright © 2022 IDG Communications, Inc.

Condividi questo