EDPS investiga la telemetria di Office

EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.

L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.

Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.

Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:

  • mancanza di trasparenza ed informazione all’utente;
  • impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
  • illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
  • incorretta qualifica di Microsoft come data processor;
  • insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
  • inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
  • trasferimento illecito di dati personali al di fuori dello spazio europeo;
  • periodo di data retention indefinito.

Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).

Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).

Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.

DPIA: quando effettuarla?

Il Regolamento Europeo 679/2016 ha istituito (art. 35) il concetto di D.P.I.A. (Data Protection Impact Assessment – in italiano Valutazione dell’Impatto sulla Protezione dei Dati Personali).

Si tratta di una valutazione (preventiva) dell’impatto che un trattamento di dati personali potrebbe determinare sui diritti e le libertà delle persone interessate; qualora il rischio potenziale risulti elevato, occorrerà adottare tutte le necessarie (e possibili) misure di riduzione; nel caso il rischio residuo rimanga elevato occorrerà ricorrere alla consultazione della Autorità di Controllo.

Quando occorre effettuare una DPIA?

L’autorità Garante ha predisposto una apposita pagina informativa sulla DPIA; in generale, si deve condurre una valutazione di impatto:

  • quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tali ampie definizioni non consentono di determinare con esattezza i casi specifici che necessitano di valutazione DPIA; per agevolare i vari Titolari del trattamento nella autonoma decisione (accountability), il gruppo di lavoro “Article 29 Working Party” ha prodotto delle apposite linee guida.

Sono individuati nove criteri discriminanti:

  • in presenza di valutazioni o assegnazioni di punteggi, inclusive di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato“;
  • nel caso di processi decisionali automatizzati aventi effetto giuridico o significamente incidenti in modo analogo: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono significativamente in modo analogo su dette persone fisiche”;
  • qualora si effettui un monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • in presenza di dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  • qualora il trattamento di dati avvenga su larga scala: il regolamento generale sulla protezione dei dati non specifica “larga scala”; il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
    1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    3. la durata, ovvero la persistenza, dell’attività di trattamento;
    4. la portata geografica dell’attività di trattamento;
  • qualora si ricerchino corrispondenze o combinazione da insiemi di dati, es. partendo da due o più basi di dati di diverse tipologie, diversi Titolari o diverse finalità (data mining – machine learning);
  • dati relativi a interessati vulnerabili: il trattamento di questo tipo di dati è prono a squilibrare il rapporto tra gli interessati e il titolare del trattamento, oppure ad esercitare compiutamente i propri diritti;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come l’adozione combinata di tecnologie biometriche e fisiche per il riconoscimento di utenti;
  • qualora il trattamento sia effettuato per “impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, come nel caso di trattamenti occorrenti a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto.

Il WP29 indica come, in presenza di almeno due di questi indicatori, sia necessario condurre la valutazione DPIA.

Di recente, la Autorità di Controllo Belga ha pubblicato un elenco di trattamenti che debbono essere valutati con apposita DPIA:

  • trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
  • qualora i dati personali vengono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o risolvere un determinato contratto di servizi con una persona fisica;
  • quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
  • quando il trattamento viene eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
  • nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
  • quando i dati vengono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
  • qualora particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
  • in presenza di elaborazioni su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (IoT, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento viene utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
  • quando si effettuino elaborazioni su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di ricondurre a persone fisiche, quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
  • in caso di elaborazioni automatizzate e sistematiche di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.

GDPR compliance assessment

La nostra attività GDPR assessment consiste in una valutazione completa ed approfondita della vostra organizzazione, per valutarne il livello di compliance al Regolamento Europeo 679/2016 (GDPR o RGPD).

Le attività di analisi riguardano tutti gli ambiti ed i processi inerenti al trattamento di dati personali; vengono analizzati gli aspetti giuridici, legali, procedurali, organizzativi e tecnologici, sia inerenti sistemi informativi che trattamenti cartacei, nonchè la necessità di effettuare la DPIA – Data Protection Impact Assessment per i trattamenti soggetti.

Vengono sottoposti a valutazione di adeguatezza gli strumenti adottati per il trattamento dei dati personali ed il relativo livello di sicurezza, ivi compresa l’aderenza ai requisiti di trasparenza, minimizzazione, privacy by design – default e dei tempi di conservazione.

Sono anche valutati il livello di formazione degli incaricati ed il livello di accountability delle varie unità organizzative, nonchè il rispetto delle prerogative e dei diritti degli interessati.

Il nostro team ha le competenze necessarie a rendere ogni organizzazione, anche multinazionale, aderente ai dettami del Regolamento UE 679/2016 sulla protezione dei dati personali dei soggetti presenti nel territorio europeo.