European Data Protection Supervisor (EDPS), che è l'autorità indipendente europea incaricata di monitorare il rispetto delle regole sulla protezione dei dati, ha avviato un'indagine nei confronti di Microsoft. I funzionari di Bruxeless si concentreranno sui contratti di fornitura software e servizi siglati tra le varie istituzioni UE e il colosso statunitense.
L'iniziativa è diretta conseguenza del Data Protection Impact Assessment Report del 5 novembre 2018 effettuato sui dati di diagnostica di Microsoft Office ProPlus per volere del Ministero olandese della Giustizia. Nello specifico si parla della raccolta sistematica di dati personali individuali tramite le applicazioni Word, Excel, Powerpoint e Outlook. "Qualsiasi istituzione dell'UE che utilizzi le applicazioni Microsoft esaminate nella presente relazione probabilmente affronterà problemi simili a quelli incontrati dalle autorità pubbliche nazionali, compresi i maggiori rischi per i diritti e le libertà delle persone", sottolinea EDPS riferendosi al caso olandese.
Insomma, come sottolinea il Garante aggiunto dell'EDPS Wojciech Wiewiórowski: "Il regolamento 2018/1725 (tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, NdR) ha introdotto modifiche significative alle norme che disciplinano l'esternalizzazione".
"Gli appaltatori ora hanno responsabilità dirette quando si tratta di garantire la conformità. Tuttavia, quando si affidano a terzi per fornire servizi, le istituzioni dell'UE restano responsabili per qualsiasi trattamento di dati effettuato per loro conto. Hanno anche il dovere di garantire che qualsiasi accordo contrattuale rispetti le nuove regole e di identificare e mitigare eventuali rischi".
Ecco spiegato il motivo dell'indagine, soprattutto considerando il fatto i prodotti Microsoft impiegati dalle istituzioni UE elaborano un grande quantità di dati personali. Bisogna infatti ricordare che l'EDPS non è solo responsabile del controllo della conformità alle norme, ma deve poter anche garantire che gli utenti siano consapevoli di eventuali rischi per i diritti e le libertà individuali e sociali in relazione al trattamento di dati personali.