Alcuni clienti ci chiedono spiegazioni sul rapporto tra i servizi cloud Office 365 e G-suite (ora Workspace) e il GDPR (General Data Protection Regulation) cioè la normativa Europea di protezione dei dati che serve a tutelare la privacy dei cittadini Europei.

Questo articolo vuole fare un pò di chiarezza sul tema senza andare troppo in dettagli tecnici, ma fornendo comunque alcuni link verso siti istituzionali per chi volesse approfondire.

Microsoft 365 è GDPR compliant?

Office 365 e Google Workspace sono servizi cloud (saas) gestiti da corporations USA. Queste conservano i dati nei propri data center, che possono essere locati sia in USA che in Europa.

Qualcuno potrebbe pensare che sia sufficiente che i dati siano in EU per essere GDPR compliant, ma in realtà non è così semplice. Il GDPR, infatti, prevede limitazioni nel trasferimento dei dati da parte delle corporations USA verso altri paesi (leggi anche questo articolo). Ciò avviene sulla base di accordi bilaterali tra USA ed EU che al momento sono incompleti.

La corte Europea ha infatti invalidato, con la sentenza Schrems II, l’accordo tra gli Stati Uniti e l’Unione Europea, chiamato Privacy Shield. Questo regolamentava appunto il trasferimento dei dati da EU verso gli USA e sostituiva il precedente accordo, chiamato Safe Harbour.

Questo perché l’EU ritiene che i dati dei cittadini Europei vengano abusati e trattati illegalmente, non solo dalle corporation americane, ma anche dalle varie agenzie governative.

Alleghiamo un link al sito della comunità Europea di recente aggiornamento che va in dettaglio sull’argomento.

Dall’articolo si può estrarre il seguente paragrafo:

“Ci sono i soliti tentativi di minimizzare la questione, di legittimare l’uso delle clausole contrattuali standard e, in generale, di ignorare il fatto che dal 16/07/2020 è stato confermato che per molti anni i trasferimenti e l’elaborazione di dati da parte di entità statunitensi sono stati effettuati illegalmente.”

Nello specifico la EU rileva che Microsoft sistematicamente utilizzi i dati illegalmente al di là delle continue dichiarazioni di rispettare la privacy dei cittadini Europei.

In aggiunta Trump ha emanato il Cloud Act che rafforza il potere delle agenzie governative USA (es. NSA) di poter utilizzare i dati delle corporations Americane per gli interessi nazionali allontanandosi così ulteriormente dal GDPR Europeo.

Quale potrebbe essere la soluzione?

Siamo perciò di fronte ad un braccio di ferro che non vede una vera e propria soluzione. Altri paesi come Cina e Russia hanno di fatto vietato l’utilizzo delle piattaforme cloud USA e si sono dotate di proprie infrastrutture; ora si comincia a parlare di “colonialismo digitale” anche in Italia.

Alleghiamo qui un link dell’agenda digitale del governo Italiano.

Pur rivendendo soluzioni Microsoft Office 365 e Google Workspace, Utixo offre anche un’infrastruttura proprietaria per la gestione delle posta. Questa è analoga ad Office 365 ed utilizza le stesse tecnologie (Hosted Exchange) ma sotto il nostro controllo, perciò è GDPR compliant.