Come noto, una delle tematiche più delicate nel settore tecnologico riguarda il corretto trattamento dei dati personali. Detti dati, per società che forniscono servizi digitali, rappresentano il nucleo fondamentale del proprio business, in quanto finalizzati al perseguimento di finalità di vario tipo, anche legate al miglioramento del prodotto.
Al fine di evitare che possano emergere dei fenomeni di abuso dei dati personali, le autorità garanti sono chiamate a verificare che le attività di trattamento siano poste in essere coerentemente alla normativa vigente. Con l’entrata in vigore del GDPR, direttamente applicabile dal 2018 a tutti i trattamenti posti in essere in Europa, il ruolo delle Autorità è diventato sempre più rilevante, contribuendo allo sviluppo dell’industria tecnologica, ed in particolare dei servizi resi dalle Big Tech.
In detto contesto, appare interessante l’analisi svolta dal New York Times sull’operato dell’Autorità Garante olandese: negli ultimi 2 anni, le verifiche e gli audit svolti dall’autorità e dai consulenti olandesi hanno stimolato, in particolare, rilevanti cambiamenti in Google, Microsoft e Zoom.
Il caso Google: l’approccio del bastone e della carota
Con riferimento a Google, innanzitutto, i consulenti privacy olandesi della Privacy Company, società di consulenza sita a L’Aia che conduce le valutazioni del rischio dei dati per il governo olandese e altre istituzioni, avevano effettuato, nel 2021, un’analisi critica dei trattamenti dati posti in essere dalle app per l’educazione di Google. Tra questi strumenti, rientrava, a titolo esemplificativo, anche Google Docs, utilizzato da oltre 170 milioni di studenti ed insegnanti in tutto il mondo.
Dall’audit condotto da detti consulenti, svolto secondo le logiche della valutazione d’impatto, è emerso, in particolare, che gli strumenti di Google destinati alle scuole mancavano di una serie di tutele dei dati personali, richieste invece dalla normativa europea, legati alla limitazione delle finalità di utilizzo dei dati personali di studenti ed insegnanti.
In particolare, si identificavano 10 rischi “elevati” e 3 rischi “bassi” per i dati personali, nell’ipotesi di utilizzo della G Suite for Education. A fronte dei rilievi sollevati, Google provvedeva comunque ad effettuare una serie di implementazioni tecniche, volte proprio a consentire l’utilizzo della propria strumentazione anche in un contesto scolastico o universitario.
Tra le altre cose, Google ha accettato di limitare il modo in cui utilizzava i dati diagnostici dalle sue app educative di base a soli tre scopi fissi, in luogo degli oltre dodici originariamente perseguiti. I tre usi includevano la fornitura di servizi ai clienti e la gestione di problemi tecnici come le minacce alla sicurezza.
Google ha inoltre accettato di non utilizzare i dati diagnostici per scopi legati a ricerche di mercato, profilazione degli utenti o analisi dei dati. E ha accettato di sviluppare uno strumento per i clienti dell’istruzione per vedere i loro dati diagnostici.
“Abbiamo dovuto spiegare a Google che i consigli scolastici hanno un dovere di diligenza e devono avere il controllo dei dati personali degli studenti”, ha detto Job Vos, responsabile della protezione dei dati per SIVON, una cooperativa olandese che negozia contratti con i fornitori di tecnologia per conto delle scuole olandesi, che ha partecipato ai colloqui di anni con Google. “Non può essere utilizzato per scopi commerciali.”
A fronte dell’impegno profuso nell’adozione di maggiori misure di sicurezza, tuttavia, Google, come riportato dal New York Times, si rifiutava di soddisfare la richiesta di ridurre una serie di rischi elevati evidenziati nell’audit.
A fronte di detto rifiuto, l’Autorità olandese per la protezione dei dati personali avanzava a Google un ultimatum: in assenza della riduzione di detti rischi, le scuole olandesi non avrebbero più potuto far uso degli strumenti forniti da Google. Contestualmente, tra Google e l’autorità olandese iniziava un rapporto collaborativo che avrebbe portato, nei successivi due anni, allo sviluppo di nuove prassi di trattamento dei dati personali.
In un comunicato stampa ufficiale di Google, la società dichiarava di essersi impegnata a riscontrare gli elementi di rischio emersi nella valutazione d’impatto svolta dai consulenti olandesi per i servizi di Google WorkSpace e Workspace for Education. “Come risultato di tale impegno, oggi Google annuncia l’intenzione di offrire nuovi impegni contrattuali sulla privacy per i dati di servizio che si allineano con gli impegni che offriamo per i dati dei clienti. Una volta che questi nuovi impegni saranno generalmente disponibili, elaboreremo i dati di servizio in qualità di responsabile del trattamento secondo le istruzioni dei clienti, ad eccezione dell’elaborazione limitata che continueremo a intraprendere come titolare del trattamento”.
Il governo olandese e le organizzazioni educative, rileva il New York Times, hanno dunque avuto un “notevole successo nel costringere le aziende Big Tech ad apportare importanti cambiamenti alla privacy. Il loro approccio del bastone e della carota coinvolge dirigenti di alto livello della Silicon Valley in mesi di discussioni altamente tecniche e poi ne vale la pena negoziando accordi collettivi che consentono alle aziende di vendere i loro strumenti controllati a diversi ministeri governativi e scuole della nazione. E gli sforzi olandesi per spingere il cambiamento potrebbero fornire un copione per altre piccole nazioni alle prese con le superpotenze tecnologiche”.
Conseguentemente, per alcune aziende tecnologiche, il benestare dell’autorità olandese rappresenta una sorta di “sigillo di approvazione che possono mostrare alle autorità di regolamentazione altrove per dimostrare di aver superato uno dei più rigorosi processi di conformità alla protezione dei dati in Europa”.
Il caso Microsoft: una cooperazione costruttiva
Le autorità olandesi, negli ultimi anni, hanno dunque preso parte al complesso procedimento di adeguamento di piattaforme software particolarmente complesse, tra cui anche Microsoft Office. “Hanno un approccio centralizzato che porta alla capacità di avere soluzioni scalabili”, ha dichiarato al New York Times Julie Brill, Chief Privacy Officer di Microsoft. “L’Olanda colpisce al di sopra del suo peso.”
Sulla scorta delle indagini svolte dagli esperti olandesi, emergeva come Microsoft avesse sistematicamente raccolto fino a 25.000 tipi di attività degli utenti come modifiche ortografiche e dettagli sulle prestazioni del software da programmi come PowerPoint, Word e Outlook senza fornire documentazione al riguardo o dare agli amministratori un’opzione per limitare la raccolta di dati. In un blog post, la Privacy Company, azienda che ha svolto l’audit sui sistemi Microsoft, descriveva i risultati come “allarmanti”. “Microsoft raccoglie sistematicamente dati su larga scala sull’uso individuale di Word, Excel, PowerPoint e Outlook”. Di nascosto, senza informare le persone. Microsoft non offre alcuna scelta per quanto riguarda la quantità di dati, o la possibilità di disattivare la raccolta, o la possibilità di vedere quali dati vengono raccolti, perché il flusso di dati è codificato”.
Occorre premettere che i software di questo tipo, in generale, raccolgono dati sull’utilizzo e sulle prestazioni dai dispositivi degli utenti e dai servizi cloud, dati diagnostici che le aziende spesso utilizzano liberamente per scopi come lo sviluppo di nuovi servizi. Tuttavia, ai sensi di quanto previsto dal GDPR, anche i dati diagnostici ove legati a un utente identificabile sono considerati informazioni personali. Ciò significa che le aziende devono limitare l’uso dei dati personali anche se solo diagnostici e fornirne copia agli interessati, ove sia richiesto. Funzionalità che Microsoft, alla data dell’audit, non era riuscita a implementare.
Nel 2019, ad ogni modo, la società ha introdotto una nuova politica sulla privacy e sulla trasparenza per i clienti cloud in tutto il mondo che includeva “modifiche richieste dal Ministero della Giustizia olandese”, si riportava nel comunicato aziendale. Microsoft ha anche rilasciato uno strumento di visualizzazione dei dati per consentire ai clienti di visualizzare i “dati di diagnostica grezzi” che Office ha inviato all’azienda.
L’attività di cooperazione con le autorità olandesi, dunque, hanno aiutato Microsoft ad implementare funzioni conformi con le norme europee sulla protezione dei dati, e a far propri i principi contenuti da dette norme. “Inizia con la cultura e poi assicurandoci che il perno culturale si manifesti nei nostri prodotti e nel nostro software e, soprattutto, nel modo in cui descriviamo ciò che facciamo ai nostri clienti”, ha affermato Julie Brill.
Il caso Zoom
Proprio lo scorso anno, peraltro, Zoom ha annunciato importanti cambiamenti alle sue pratiche e politiche di protezione dei dati, spiegando di aver collaborato, per la redazione della valutazione d’impatto sulla protezione dei dati personali proprio con SURF, il fornitore di servizi ICT per l’istruzione e la ricerca olandese che si occupa del settore delle università e degli istituti di ricerca. “A seguito di un’intensa consultazione collaborativa con SURF, il fornitore di servizi ICT per l’istruzione e la ricerca olandese” si legge nel comunicato di questi ultimi, “Zoom ha apportato e continuerà ad apportare modifiche ai suoi accordi sulla privacy per i clienti Education e Enterprise nello Spazio economico europeo (SEE). Oltre a queste modifiche e ai nuovi accordi contrattuali, SURF consiglia alle organizzazioni di implementare autonomamente diverse misure raccomandate e di concludere nuovi accordi di elaborazione dei dati con Zoom. Non appena questi sono stati implementati, SURF informa che gli interessati possono utilizzare Zoom per comunicazioni altamente riservate e non dovranno affrontare ciò che SURF considera elevati rischi per la privacy”.
Tra le misure concordate nel corso della collaborazione, rientrano, a titolo esemplificativo:
- Soluzioni di localizzazione dei dati: i clienti di EU Zoom hanno preoccupazioni sulla privacy relative al trattamento dei dati personali negli Stati Uniti e preferiscono che tutti i dati personali vengano elaborati nell’UE. Zoom si è impegnata, in consultazione con SURF, a renderlo possibile entro la fine di quest’anno;
- Richieste di accesso ai soggetti dei dati (DSAR): Zoom migliorerà la capacità dei clienti di rispondere alle DSAR con due strumenti self-service per gli amministratori degli account aziendali e didattici:
- Chiarire i ruoli e le responsabilità di Zoom: Zoom ha convenuto che era opportuno riclassificarsi come responsabile del trattamento dei dati per tutti i dati personali, ad eccezione di un elenco limitato di situazioni in cui i clienti dell’istruzione e dell’impresa (i titolari del trattamento dei dati) lo autorizzano a elaborare “ulteriormente” alcuni dati personali come titolare indipendente del trattamento dei dati. Ciò vale anche per i dati personali che Zoom raccoglie attraverso il suo sito Web disponibile al pubblico;
- Scheda dati sulla privacy: Zoom ha migliorato la propria documentazione pubblica sul trattamento dei dati personali con la pubblicazione di una scheda (https://explore.zoom.us/media/privacy-data-sheet-feb.pdf ) che sarà regolarmente aggiornata, e che descrive in dettaglio come l’azienda raccoglie e utilizza le informazioni personali sulle persone che partecipano a riunioni e chat sulla sua piattaforma.
Lynn Haaland, chief privacy officer di Zoom, ha affermato al New York Times che i colloqui hanno aiutato la società di videocomunicazioni a capire come migliorare i suoi prodotti per soddisfare gli standard europei di protezione dei dati ed “essere più trasparenti con i nostri utenti”.
La forza della negoziazione
Il caso olandese, dunque, è il chiaro esempio di come, all’interno di fenomeni digitali così complessi, la forza delle Autorità e dei governi europei stia anche nella loro capacità di stimolare il cambiamento, anche e soprattutto mettendo a disposizione delle società il proprio know-how per rendere il servizio sempre più sicuro per gli utenti.
L’esperienza maturata sul campo dai tecnici olandesi, infatti, ha aiutato le Autorità della privacy a ottenere informazioni insolitamente granulari su come alcune delle più grandi società di software accumulano dati personali su centinaia di milioni di persone. Ha anche permesso agli esperti olandesi di chiamare le aziende per pratiche che sembrano violare le regole europee, incentivandole ad attuare prassi più sicure.
Alcune grandi aziende tecnologiche americane all’inizio esitano, ha affermato al New York Times Nas, consulente senior presso la Privacy Company, che si è occupata di svolgere la DPIA di controllo sui servizi di Google e ha contribuito a guidare i negoziati olandesi con Microsoft, Zoom e Google. “Siamo così piccoli che, inizialmente, molti fornitori di servizi cloud ci guardano, alzano un sopracciglio e dicono: ‘E allora? Sei l’Olanda. Non importa”, ha continuato. Ma poi, riferisce, le aziende iniziano a capire che i team olandesi stanno negoziando la conformità per i Paesi Bassi con le norme sulla protezione dei dati che si applicano anche in tutta la restante parte dell’Unione europea.
Gli esperti olandesi, infatti, vedono il loro processo di audit e negoziazione come parte di uno sforzo molto più ampio da parte dei paesi che cercano di affermare la loro sovranità digitale di fronte alle superpotenze tecnologiche americane. “Siamo fondamentalmente catturati dai colossi della tecnologia”, ha detto Sjoera Nas. “Stiamo iniziando a renderci conto che l’unico modo per affrontarlo è negoziare la nostra strada verso la loro conformità agli standard europei”.
