EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.
L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.
Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.
Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:
- mancanza di trasparenza ed informazione all’utente;
- impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
- illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
- incorretta qualifica di Microsoft come data processor;
- insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
- inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
- trasferimento illecito di dati personali al di fuori dello spazio europeo;
- periodo di data retention indefinito.
Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).
Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).
Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.