• Studio Legale Cappello

Il caso Microsoft e l’importanza dell’indipendenza tecnologica dell’UE

In data 2 luglio 2020, l’EDPS (European Data Protection Supervisor) ha reso noto un Public Paper contenente gli esiti di un’investigazione avviata di propria iniziativa e concernente l’Accordo di licenza interistituzionale del 2018, siglato dalle Istituzioni europee per l’uso di prodotti e servizi Microsoft, tra cui la suite Office e il servizio di cloud Microsoft Azure.


In particolare, l’EDPS ha messo in luce alcuni termini dell’Accordo che avrebbero portato Microsoft a fungere, di fatto, da controller dei dati di oltre 45mila dipendenti delle Istituzioni dell’UEin ways that were not transparent”, ossia:

- il diritto di modifica unilaterale dei termini di protezione dei dati da parte di Microsoft;

- la portata limitata degli obblighi di protezione dei dati contenuta nell’Accordo;

- la mancanza di scopi specifici ed esplicitamente definiti per il trattamento dei dati personali.


Uno dei punti problematici derivanti dalle criticità rilevate dall’EDPS, riguarda l’ubicazione della maggior parte dei dati conservati da Microsoft che, stando al Paper, potrebbero essere trasferiti al di fuori del territorio dell’UE e del SEE, senza che le Istituzioni UE abbiano piena contezza né dei dati trasferiti né dell’ubicazione degli stessi.


Un’altra problematica rilevata dall’EDPS, riguarda il rischio che i dati trattati possano essere oggetto di divulgazione non autorizzata a terzi, tra cui forze dell’ordine ed enti governativi, sulla base del fatto che, stando a quanto previsto dai Termini dei servizi online Microsoft, solo alcuni dei dati sono obbligatoriamente archiviati in UE.

Si tratta di criticità non da poco che “are likely to be of wider interest than just of the EU institutions: they may be of particular interest to all public authorities in EU/EEA Member States”, come rilevato dallo stesso EDPS.


D’altra parte il mercato dei Big Data Analytics, da molti definiti il nuovo petrolio, è al centro delle nuove politiche europee per la digitalizzazione. Solo lo scorso febbraio, la Commissione Europea aveva presentato la Strategia europea in materia di dati che, come sottolinea la stessa Commissione, sono “il fulcro della trasformazione digitale”.

In una società sempre più digitale, i dati definiscono il modo di produrre, consumare e vivere e l’accesso a volumi crescenti di dati, unitamente alla capacità di utilizzarli, sono essenziali per la crescita e l’innovazione digitale.


Pertanto, i timori connessi al trattamento dei dati da parte di Microsoft, si innestano in un contesto di già forte propulsione all’indipendenza tecnologica dell’UE, nella consapevolezza che, interrompere la dipendenza dalle Big Tech, le quali oggi detengono il mercato dei Big Data, sia un passo fondamentale per la realizzazione di un Digital Single Market davvero competitivo e leader sullo scenario internazionale.


Negli ultimi due anni l’UE ci ha abituati a una forte spinta verso la digitalizzazione europea, ancor più accelerata con la crisi derivante dall’emergenza sanitaria del COVID-19.


A ben vedere, il Public Paper dell’EDPS, enucleando taluni rischi concreti che necessitano di interventi istituzionali, rappresenta forse il tassello mancante per spingere l’Unione Europea verso l’indipendenza tecnologica necessaria per la creazione del digital single market.