Oggi annunciamo nuove misure di protezione per i nostri clienti pubblici e privati che sempre più spesso hanno bisogno di spostare i loro dati dall’Unione Europea, tra Paesi, regioni e continenti. Tra questi, un impegno contrattuale a contrastare le richieste di dati da parte dei Governi e un impegno monetario volto a dimostrare la precisa volontà dell’azienda. Microsoft è la prima azienda a dare una risposta alle indicazioni fornite la scorsa settimana dalle autorità di regolamentazione della protezione dei dati dell’Unione Europea.
Ogni giorno, i nostri clienti hanno la necessità di trasferire i dati attraverso le loro reti globali per servire i clienti, lavorare con fornitori e partner e gestire per esempio le buste paga dei collaboratori. Questi movimenti transfrontalieri di dati sono stati oggetto di recenti controversie e azioni normative, tra cui una sentenza all’inizio di quest’anno della Corte di giustizia dell’Unione Europea e una bozza di raccomandazioni rilasciata la scorsa settimana dal Comitato europeo per la protezione dei dati (EDPB) su come le imprese possono conformarsi a questa sentenza.
Con l’annuncio di oggi, ci stiamo muovendo per essere la prima azienda a dare una risposta alle linee guida dell’EDPB con nuove misure che dimostrano ancora una volta il nostro impegno nella difesa dei dati dei nostri clienti. Come Microsoft, abbiamo già mostrato le forti misure di protezione e la trasparenza delle nostre pratiche. Siamo convinti che le nuove misure annunciate oggi siano più che rispettose della normativa e delle bozze di raccomandazioni dell’EDPB e speriamo che offrano ai nostri clienti ancora più tranquillità in merito al trattamento dei loro dati.
- Primo, ci impegniamo a contrastare le richieste da parte di qualsiasi Governo per i dati dei nostri clienti del settore pubblico e privato, laddove vi sia una base legale per farlo. Questo forte impegno va oltre le raccomandazioni proposte dal Comitato europeo per la protezione dei dati (EDPB).
- Secondo, abbiamo deciso di offrire un indennizzo economico agli utenti di questi clienti qualora dovessimo divulgare i loro dati in risposta a una richiesta di pubblica autorità che violi il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea. Anche questo impegno va ben oltre le raccomandazioni dell’EDPB, a dimostrazione della fiducia che Microsoft ripone nella tutela dei dati dei propri clienti del settore pubblico e privato e nella protezione degli stessi dati da un’esposizione inappropriata.
Chiamiamo queste ulteriori misure di protezione Difesa dei tuoi dati e inizieremo ad aggiungerle immediatamente all’interno dei nostri contratti.
La Difesa dei tuoi dati apporta un’integrazione sostanziale alle misure sulla privacy che per noi sono prioritarie e che già offriamo ai clienti.
- Crittografia: proteggiamo i dati dei clienti con un elevato standard di crittografia sia quando sono in transito sia quando sono inattivi. La crittografia è un punto critico nella bozza delle raccomandazioni EDPB. Non forniamo a nessuna autorità le nostre chiavi di crittografia o assistenza per infrangerla.
- Priorità ai diritti dei clienti: non forniamo ad alcuna autorità un accesso diretto e illimitato ai dati dei nostri clienti. Se una pubblica autorità richiede i dati dei clienti, deve seguire una procedura legale. Adempiremo alla richiesta soltanto se siamo chiaramente obbligati a farlo. In prima battuta, tentiamo sempre di reindirizzare ordini di questo tipo verso i clienti oppure a informare questi ultimi che abbiamo ricevuto una richiesta di divulgazione. Decliniamo o impugniamo regolarmente ordini che non appaiono legali.
- Trasparenza: da molti anni pubblichiamo le informazioni sulle richieste di dati avanzate dalle autorità pubbliche. Abbiamo intentato una causa contro il governo degli Stati Uniti perché ci fosse riconosciuta la possibilità di divulgare più informazioni sugli ordini che ci rivolge la sicurezza nazionale per cercare i dati dei clienti e abbiamo raggiunto un accordo che ci permette di pubblicarle. Di conseguenza, due volte all’anno, rilasciamo informazioni più dettagliate su questo tipo di richieste in tutte le nostre aree di business (consumer, enterprise e settore pubblico), oltre al nostro usuale Law Enforcement Request Report.
- Esperienza legale: in materiale legale, abbiamo più esperienza di qualsiasi altra azienda che va in tribunale per stabilire i limiti degli ordini di vigilanza governativa, e abbiamo persino presentato un ricorso alla Corte Suprema degli Stati Uniti. Le nostre iniziative ci hanno permesso di offrire ai clienti una maggiore trasparenza e forme di protezione più solide. Nessun impegno a ricorrere contro gli ordini di accesso può assicurare una vittoria, ma i nostri successi precedenti giustificano un buon grado di ottimismo.
Parte della discussione pubblica sull’impatto delle richieste di dati del Governo americano si concentra sulle società con sede negli Stati Uniti. Ma è chiaro che le leggi statunitensi sull’accesso ai dati da parte del Governo si applicano alle aziende che operano negli Stati Uniti, anche se hanno sede in Europa o altrove.
La privacy è un valore fondamentale per Microsoft perché crediamo che le persone useranno solo tecnologie di cui si fidano. Ecco perché siamo stati il primo fornitore di soluzioni cloud a collaborare con le autorità europee per la protezione dei dati all’approvazione del modello dell’Unione europea e i primi che hanno adottato i nuovi standard tecnici per la privacy nel cloud. Inoltre, siamo sostenitori convinti del GDPR, fin da quando è stato proposto nel 2012. Abbiamo esteso i diritti fondamentali ai sensi del GDPR ai consumatori di tutto il mondo e i diritti fondamentali del California Consumer Privacy Act per tutti i nostri clienti consumer negli Stati Uniti. Ma non è tutto: abbiamo lanciato l’iniziativa Tech Fit for Europe per sviluppare soluzioni digitali basate su valori e regole europee.
Ci auguriamo che queste nuove misure possano rafforzare la fiducia che i nostri clienti privati e pubblici ripongono in noi e nel nostro impegno nel proteggere i loro dati e dei loro utenti.
Ulteriori informazioni sono disponibili qui