As escolas alemãs não podem usar legalmente o Microsoft Office 365 por falta de clareza sobre como os dados são coletados, compartilhados e usados, bem como o potencial de transferência ilegal de dados pessoais de cidadãos europeus para os EUA
- Repórter sênior
- 30 de novembro de 2022 16:59
Por
- Sebastian Klovig Skelton,
Publicado:
As autoridades federais alemãs de proteção de dados proibiram o uso do Microsoft Office 365 em s escolas devido a questões de privacidade em torno do uso de provedores de nuvem dos EUA.
A Conferência Alemã de Proteção de Dados (DSK) – que consiste na Autoridade Federal de Proteção de Dados Alemã e 16 reguladores estaduais – disse que, dada a falta de transparência sobre como a Microsoft coleta e processa dados pessoais, bem como o potencial de acesso de terceiros para ele, o uso do O365 não está legalmente em conformidade com o Regulamento Geral de Proteção de Dados (GDPR).
- “A Microsoft não divulga totalmente quais operações de processamento ocorrem em detalhes. Além disso, a Microsoft não divulga totalmente quais operações de processamento são realizadas em nome do cliente ou para seus próprios fins”, disse um
“Os documentos contratuais não são precisos a esse respeito e não permitem uma avaliação conclusiva de processamento, que pode até ser extenso, inclusive para os próprios fins da empresa”, continuou o relatório.
“O uso de dados pessoais dos usuários (por exemplo, funcionários ou alunos) para fins próprios do provedor exclui o uso de um processador no setor público (especialmente em escolas).”
Isso significa essencialmente que, devido à falta de transparência, é impossível para os reguladores avaliar de fora exatamente quais informações a Microsoft está coletando e como está usando esses dados, tornando-os ilegais o uso sob GDPR.
O relatório adicionou as discussões do grupo de trabalho com A Microsoft confirmou que os dados pessoais sempre serão transferidos para os EUA quando o O365 for usado, alegando que “não é possível usar o Microsoft 365 sem transferir dados pessoais para os EUA”.
Em julho de 2020, o Tribunal Europeu de Justiça (ECJ) derrubou o acordo de compartilhamento de dados UE-EUA Privacy Shield, que o O tribunal disse que falhou em garantir que os cidadãos europeus tenham direito de reparação adequado quando os dados são coletados pela Agência de Segurança Nacional dos EUA (NSA) e outros serviços de inteligência dos EUA. )
A decisão, coloquialmente conhecida como Schrems II em homenagem ao advogado austríaco que levou o caso ao Tribunal de Justiça, também lançou dúvidas sobre a legalidade do uso de cláusulas contratuais padrão ( SCCs) como base para transferências internacionais de dados, concluindo que, embora legalmente válidos, as empresas ainda tinham a responsabilidade de garantir que aqueles com quem compartilharam os dados receberam proteções de privacidade equivalentes àquelas contidas na lei da União Europeia (UE).
Problemas de longa data
O grupo de trabalho DSK tem estado ativamente analisando como melhorar o O365 para garantir a conformidade com os padrões europeus de proteção de dados por dois anos, depois que a Microsoft interrompeu sua oferta de nuvem na Alemanha em agosto de 2018 e os reguladores estaduais começaram a sinalizar problemas com o serviço.
Em julho de 2019, por exemplo, o Comissário de Proteção de Dados e Liberdade de Informação de Hessian destacou problemas com O365, especificamente que o uso de um provedor de nuvem americano permitem que as autoridades dos EUA acessem dados armazenados em uma nuvem europeia, e que muitos telemet dados ry estavam sendo coletados e transferidos sem registro suficiente da atividade.
O Hessian Commissioner consequentemente proibiu o uso do O365 em escolas em todo o estado alemão de Hesse, e observou na época que “o que é verdade para a Microsoft também é verdade para as soluções em nuvem do Google e da Apple”.
“Até agora, as soluções em nuvem desses provedores não foram definidas de forma transparente e compreensível. Portanto, também é verdade que, para as escolas, o uso compatível com a privacidade atualmente não é possível”, acrescentou o comissário.
Embora a Microsoft tenha concordado com o grupo de trabalho em fazer uma série de alterações em seus sistemas, incluindo a adoção de alguns dos SCCs da Comissão Europeia e detalhamento de como processa os dados, as alterações foram considerado insuficiente pelo DSK. Essas alterações foram detalhadas em uma versão atualizada do
Referenciando o relatório do grupo de trabalho em um declaração separada , o DSK disse: “A prova dos controladores de dados para operar o Microsoft 365 em conformidade com a lei de proteção de dados não pode ser fornecida com base no adendo de proteção de dados de 15 de setembro de 2022 fornecido pela Microsoft.
“Em particular, desde que a transparência necessária sobre o processamento de dados pessoais de processamento comissionado para propósitos próprios da Microsoft não for estabelecida e sua legalidade não for comprovada, esta prova não pode ser fornecida.”
Microsoft responde Microsoft, no entanto,
Disse que as preocupações da DSK não levam em conta adequadamente as mudanças que a empresa já fez em seus sistemas e decorrem de “vários mal-entendidos” sobre como seus trabalho de serviços.
“Trabalhamos em estreita colaboração com o DSK durante todo o processo de revisão e responderam às preocupações levantadas com várias mudanças radicais”, disse a Microsoft. “Exemplos disso são um procedimento de notificação aprimorado para alterações de subprocessadores e esclarecimentos adicionais sobre o processamento de dados pessoais pela Microsoft para atividades comerciais da Microsoft solicitadas pela prestação de serviços aos clientes. A Microsoft cooperou totalmente com o DSK e, embora discordemos da avaliação do DSK, gostaríamos de abordar quaisquer preocupações remanescentes.
“Levamos a sério a demanda da DSK por mais transparência. Embora nossos padrões de transparência já excedam os da maioria dos outros fornecedores em nosso setor, estamos comprometidos em nos tornar ainda melhores. Em particular, como parte de nossa fronteira de dados da UE planejada, forneceremos mais documentação sobre os fluxos de dados de nossos clientes e as finalidades do processamento no interesse da transparência. Também forneceremos mais transparência sobre os locais e processamento por subprocessadores e funcionários da Microsoft fora da UE.”
Acrescentou: “No interesse de uma maior transparência, gostaríamos que o relatório completo fosse divulgado com as respostas e comentários detalhados enviados ao DSK da Microsoft, mas com a redação apropriada.”
Embora a Microsoft tenha se comprometido a criar um limite de dados da UE até o final de 2022, os dados especialistas em proteção já criticaram a medida como uma admissão tácita de que os dados estão sendo processados rotineiramente fora do bloco, alegando que não há maneira viável de impedir que os dados dos cidadãos europeus sejam transferidos para os EUA, onde há um padrão de proteção mais baixo.
Em sua resposta ao DSK, a Microsoft disse que o Data Boundary “reduzir significativamente o fluxo de dados da UE para outros países… [possibilitando] o setor público e clientes corporativos na UE e em toda a Associação Européia de Livre Comércio para processar e armazenar dados de clientes na região”.
Após a publicação do relatório do grupo de trabalho, o comissário federal de proteção de dados Ulrich Kelber disse enquanto a Microsoft fez “progressos em pontos individuais ”, as autoridades de proteção de dados “teriam que examinar [em] casos individuais para ver se a conformidade com a proteção de dados ainda pode ser alcançada”.
Kelber acrescentou que duvidava que o O365 pudesse “simplesmente ser usado em um computador sem outras medidas de proteção”.
Comentando sobre as descobertas do DSK, Matthias Pfau, fundador do serviço de e-mail criptografado Tutanota, disse que era “inacreditável” que os serviços de nuvem baseados nos EUA continuam a atropelar os direitos de dados europeus mais de quatro anos após a introdução do GDPR em maio de 2018.
“Obviamente, as grandes corporações americanas estão suportando quaisquer reclamações e também penalidades porque o modelo de negócios – ‘use meu serviço e eu ‘usará seus dados’ – é extremamente lucrativo para eles. Em vez de confiar na cooperação voluntária, consequências muito mais duras devem ser extraídas aqui; por exemplo, usando sistemas completamente diferentes”, disse ele.
“Linux com Open Office é uma alternativa muito boa para a qual escolas e autoridades devem mudar imediatamente. Enquanto escolas e autoridades continuarem a usar a Microsoft – embora instalada localmente – a Microsoft obviamente não vê razão para respeitar as regras europeias de proteção de dados.”
