Microsoft ha risposto all’appello dell’Ue: archivierà e processerà i dati di tutte le organizzazioni e delle Pubbliche amministrazioni europee clienti di Microsoft su server in Europa.
Lo ha annunciato a inizio del mese il colosso tecnologico di Redmond con il piano ‘Eu Data Boundary for Microsoft Cloud’. La svolta rientra nel più ampio progetto Eu Cloud Customer Summit, che sarà delineato da Microsoft in autunno.
Google e Microsoft, insieme al leader di mercato Amazon, dominano il regno dell’archiviazione dei dati in tutto il mondo, alimentando le preoccupazioni in Europa sul rischio di sorveglianza da parte degli Stati Uniti sulla scia dell’adozione dello US CLOUD Act del 2018.
Anche se prosegue l’iniziativa Gaia-X guidata da Francia e Germania, che mira a stabilire standard comuni per l’archiviazione e l’elaborazione dei dati su server situati a livello locale e conformi alle rigide leggi sulla privacy dei dati dell’Unione europea, Microsoft non vuole restarne fuori.
Senza dimenticare la sentenza storica dello scorso luglio (“Schrems II”), quando la Corte di Giustizia Ue ha stabilito l’invalidità del Privacy Shield, l’accordo chiave tra Usa e Ue utilizzato per trasferire i dati personali degli europei attraverso l’Atlantico per uso commerciale.
Tuttavia, la Corte di giustizia ha consentito alle società cloud come AWS e Google di utilizzare ancora le clausole contrattuali standard come meccanismo legale di trasferimento dei dati, con alcune modifiche.
Se Microsoft sta attualmente testando un piano per archiviare i dati europei in Europa, Google e Facebook potrebbero avere problemi in vista.
Tutti i dettagli.
COSA FARÀ MICROSOFT CON I DATI UE
L’impegno di Microsoft prevede che i dati di tutte le organizzazioni e Pa clienti all’interno dell’Unione Europea saranno processati e archiviati in Ue, “a conferma del nostro impegno in materia di archiviazione dati” ha spiegato Brad Smith, presidente del colosso tecnologico.
Sintetizzando, non si avrà il bisogno di spostare i dati al di fuori dell’Ue.
I servizi cloud di Microsoft, viene d’altra parte evidenziato, erano già conformi alle linee guida dell’Ue anche prima dell’annuncio. “Abbiamo già iniziato le attività a livello tecnico, affinché i nostri servizi cloud possano archiviare e processare nell’Ue tutti i dati personali dei clienti europei, se lo desiderano” ,ha sottolineato Smith.
I SERVIZI CLOUD COINVOLTI
Questo impegno si applicherà a tutti i principali servizi cloud di Microsoft: Azure, Microsoft 365 e Dynamics 365.
IL PIANO EU DATA BOUNDARY FOR MICROSOFT CLOUD
“Stiamo già iniziando a lavorare a questo piano ulteriore — si legge nella nota — denominato Eu Data Boundary for Microsoft Cloud, con l’obiettivo di terminare le attività previste entro la fine del prossimo anno”.
“Siamo fiduciosi che l’aggiornamento odierno possa essere un ulteriore elemento per tutti i clienti che desiderano un impegno ancora maggiore sulla Data Residency. Continueremo a confrontarci con i clienti e le autorità regolatorie su questo piano nei prossimi mesi, in merito agli adeguamenti necessari in termini di sicurezza e proseguiremo tenendo conto dei loro feedback”.
LA RETE DI DATA CENTER IN EUROPA
Il piano EU Data Boundary for Microsoft Cloud è reso possibile grazie a un’ampia infrastruttura europea di data center. Microsoft ha aperto il suo primo centro dati in Europa nel 2009 e nel 2020 ne ha annunciati altri in 13 Paesi, tra cui l’Italia.
COSA STA DECIDENDO IL GARANTE DELLA PRIVACY AUSTRIACO
Microsoft è corso dunque ai ripari, impegnandosi per l’archiviazione di dati europei su server in Ue, ma cosa stanno facendo a questo proposito gli altri colossi tecnologici (Google e Facebook in primis)?.
Lo scorso 6 maggio l’associazione per i diritti digitali Noyb ha annunciato di aver richiamato l’autorità austriaca per la protezione dei dati in merito alle presunte violazioni di Google LLC del Gdpr, a seguito di una richiesta di parere da parte del DSB sulle società europee che continuano a inviare i dati dei visitatori del sito web a Google LLC e Facebook Inc. in presunta violazione della sentenza della Corte di giustizia dell’Unione europea Schrems II.
Dopo la sentenza “Schrems II”, l’organizzazione noyb presieduta proprio da Max Schrems ha presentato infatti 101 reclami contro i siti web dell’UE nell’agosto 2020 che hanno continuato a trasmettere dati su ogni visitatore a Google e Facebook. Tutti i reclami sono diretti anche contro le società madri statunitensi di Google e Facebook.
COSA RISCHIA GOOGLE
Il primo di questi reclami potrebbe presto essere dibattuto dall’Autorità austriaca per la protezione dei dati (Dpa) e potrebbe portare a una massiccia multa nei confronti di Google.
Si tratta di una possibile sanzione di oltre 6 miliardi di euro. Poiché il reclamo è rivolto a Google LLC che opera separatamente dalla sua controllata europea (Google Ireland Ltd), qualsiasi autorità per la protezione dei dati nell’Ue può imporre una sanzione ai sensi del Gdpr. In questo caso specifico, la Dpa austriaca può imporre il 4% del fatturato globale di Google LLC.
E COSA RISCHIA FACEBOOK
Ma anche Facebook non può stare tranquillo in Europa.
Venerdì l’Alta Corte irlandese ha stabilito che la Commissione irlandese per la protezione dei dati (Dpc), il principale regolatore di Facebook nell’Unione europea, può riprendere un’indagine sul trasferimento di dati degli utenti europei della società negli Stati Uniti.
Lo scorso agosto il Dpc aveva anche emesso un ordine provvisorio secondo cui Facebook non può utilizzare il meccanismo delle clausole contrattuali standard (Scc) per trasferire i dati degli utenti tra l’Ue e gli Stati Uniti.
Lo scorso luglio la Corte di giustizia ha anche stabilito infatti che, in base agli Scc, i garanti della privacy nazionali devono sospendere o vietare i trasferimenti al di fuori dell’Ue se la protezione dei dati in altri paesi non può essere garantita.
Facebook ha affermato che il regolatore della privacy irlandese aveva emesso la sentenza prematuramente, dando alla società troppo poco tempo per rispondere. Il tribunale irlandese ha respinto tale affermazione e ha consentito al Dpc di procedere con le sue indagini sulla condivisione dei dati di Facebook.
“CONSEGUENZE DEVASTANTI”
Il caso è significativo per il colosso guidato da Mark Zuckerberg. La società potrebbe essere costretta infatti a memorizzare i dati degli utenti dell’Ue a livello locale se il Dpc gli imponesse di interrompere lo spostamento dei dati negli Stati Uniti per l’elaborazione.
Sebbene la decisione della corte irlandese non determini un arresto immediato dei flussi di dati, l’attivista austriaco per la privacy Max Schrems ha dichiarato di ritenere che la decisione lo renda inevitabile.
Facebook aveva contestato sia l’indagine che il progetto di decisione preliminare. Quest’ultime porterebbero conseguenze “devastanti” e “irreversibili” per la sua attività, che si basa sull’elaborazione dei dati degli utenti per pubblicare annunci online mirati.