Las autoridades federales alemanas de protección de datos han prohibido el uso de Microsoft Office 365 en las escuelas debido a problemas de privacidad en torno al uso de proveedores de la nube de EE. UU.
La Conferencia Alemana de Protección de Datos (DSK), que consta de la Autoridad Federal de Protección de Datos de Alemania y 16 reguladores estatales, dijo que, dada la falta de transparencia sobre cómo Microsoft recopila y procesa datos personales, así como el potencial de acceso de terceros para ello, el uso de O365 no cumple legalmente con el Reglamento General de Protección de Datos (GDPR).
“Microsoft no revela completamente qué operaciones de procesamiento se llevan a cabo en detalle. Además, Microsoft no revela completamente qué operaciones de procesamiento se llevan a cabo en nombre del cliente o cuáles se llevan a cabo para sus propios fines”, dijo un informe del grupo de trabajo DSK que analiza el tema.
“Los documentos contractuales no son precisos al respecto y no permiten una evaluación concluyente del procesamiento, que incluso puede ser extenso, incluso para los fines propios de la empresa”, continúa el informe.
“El uso de datos personales de los usuarios (por ejemplo, empleados o estudiantes) para los propios fines del proveedor excluye el uso de un procesador en el sector público (especialmente en las escuelas)”.
Básicamente, esto significa que, debido a la falta de transparencia, es imposible que los reguladores evalúen desde el exterior exactamente qué información recopila Microsoft y cómo utiliza estos datos, lo que hace que su uso sea ilegal según el RGPD.
El informe agregó que las discusiones del grupo de trabajo con Microsoft confirmaron que los datos personales siempre se transferirían a los EE. UU. cuando se usa O365, alegando que “no era posible usar Microsoft 365 sin transferir datos personales a los EE. UU.”
En julio de 2020, el Tribunal de Justicia de las Comunidades Europeas (TJCE) anuló el acuerdo de intercambio de datos del Escudo de privacidad UE-EE. UU., que, según el tribunal, no garantizaba que los ciudadanos europeos tuvieran un derecho de reparación adecuado cuando la Agencia de Seguridad Nacional de EE. UU. recopila datos ( NSA) y otros servicios de inteligencia estadounidenses.
El fallo, coloquialmente conocido como Schrems II en honor al abogado austriaco que llevó el caso al TJUE, también puso en duda la legalidad del uso de cláusulas contractuales estándar (SCC) como base para las transferencias internacionales de datos, y encontró que, aunque estas eran legalmente válidas, las empresas aún tenían la responsabilidad de garantizar que aquellos con quienes compartían los datos otorgaran protecciones de privacidad equivalentes a las contenidas en la legislación de la Unión Europea (UE).
Problemas de larga data
El grupo de trabajo DSK ha estado activamente mirando cómo mejorar O365 para garantizar el cumplimiento de los estándares europeos de protección de datos durante dos años, después de que Microsoft suspendiera su oferta de nube alemana en agosto de 2018 y los reguladores estatales comenzaran a señalar problemas con el servicio.
En julio de 2019, por ejemplo, el Comisionado de Protección de Datos y Libertad de Información de Hesse destacó problemas con O365, específicamente que el uso de un proveedor de nube estadounidense permitiría a las autoridades estadounidenses acceder a datos almacenados en una nube europea, y que mucha telemetría los datos se estaban recopilando y transfiriendo sin un registro suficiente de la actividad.
En consecuencia, el comisionado de Hesse prohibió el uso de O365 en las escuelas de todo el estado alemán de Hesse y señaló en ese momento que “lo que es cierto para Microsoft también es cierto para las soluciones en la nube de Google y Apple”.
“Hasta ahora, las soluciones en la nube de estos proveedores no han sido transparentes ni comprensibles. Por lo tanto, también es cierto que para las escuelas, el uso compatible con la privacidad actualmente no es posible”, agregó el comisionado.
Si bien Microsoft acordó con el grupo de trabajo realizar una serie de cambios en sus sistemas, incluida la adopción de algunos de los SCC de la Comisión Europea y la presentación en mayor detalle de cómo procesa los datos, el DSK consideró que los cambios eran insuficientes. Estos cambios se detallaron en una versión actualizada de Microsoft Anexo de protección de datos de productos y servicios.
Haciendo referencia al informe del grupo de trabajo en una declaración separada, DSK dijo: “La prueba de que los controladores de datos operan Microsoft 365 de conformidad con la ley de protección de datos no se puede proporcionar sobre la base del apéndice de protección de datos del 15 de septiembre de 2022 proporcionado por Microsoft.
“En particular, mientras no se establezca la transparencia necesaria sobre el procesamiento de datos personales del procesamiento por encargo para los propios fines de Microsoft y no se pruebe su legalidad, no se puede proporcionar esta prueba”.
microsoft responde
Microsoft, sin embargo, sostiene que todavía es posible que las escuelas alemanas utilicen O365 de manera legal y que sus productos “no solo cumplen, sino que a menudo superan las estrictas leyes de protección de datos de la UE”.
Dijo que las preocupaciones de DSK no tienen en cuenta adecuadamente los cambios que la empresa ya ha realizado en sus sistemas y se derivan de “varios malentendidos” sobre cómo funcionan sus servicios.
“Hemos trabajado en estrecha colaboración con DSK durante todo el proceso de revisión y hemos respondido a las inquietudes planteadas con varios cambios radicales”, dijo Microsoft. “Ejemplos de esto son un procedimiento de notificación mejorado para cambios de subprocesadores y aclaraciones adicionales sobre el procesamiento de datos personales por parte de Microsoft para las actividades comerciales de Microsoft provocadas por la prestación de los servicios a los clientes. Microsoft ha cooperado completamente con el DSK y, aunque no estamos de acuerdo con la evaluación del DSK, nos gustaría abordar las inquietudes restantes.
“Nos tomamos muy en serio la demanda de DSK de más transparencia. Si bien nuestros estándares de transparencia ya superan los de la mayoría de los demás proveedores de nuestro sector, estamos comprometidos a mejorar aún más. En particular, como parte de nuestra frontera de datos de la UE planificada, proporcionaremos más documentación sobre los flujos de datos de nuestros clientes y los propósitos del procesamiento en aras de la transparencia. También proporcionaremos más transparencia sobre las ubicaciones y el procesamiento por parte de los subprocesadores y los empleados de Microsoft fuera de la UE”.
Agregó: “En aras de una mayor transparencia, agradeceríamos que se publique el informe completo con las respuestas detalladas y los comentarios enviados al DSK de Microsoft, pero con la redacción adecuada”.
Si bien Microsoft se comprometió a crear un límite de datos de la UE para fines de 2022, los expertos en protección de datos criticaron previamente la medida como una admisión tácita de que los datos se procesan de manera rutinaria fuera del bloque, alegando que no hay forma factible de evitar que los ciudadanos europeos los datos se transfieran al extranjero a los EE. UU., donde existe un estándar de protección más bajo.
En su respuesta al DSK, Microsoft dijo que Data Boundary “reduciría significativamente el flujo de datos de la UE a otros países… [enabling] clientes corporativos y del sector público en la UE y en toda la Asociación Europea de Libre Comercio para procesar y almacenar datos de clientes en la región”.
Tras la publicación del informe del grupo de trabajo, el comisionado federal de protección de datos, Ulrich Kelber, dijo que si bien Microsoft había logrado “progresos en puntos individuales”, las autoridades de protección de datos “tendrían que mirar [at] casos individuales para ver si aún se puede lograr el cumplimiento de la protección de datos”.
Kelber agregó que dudaba que O365 pudiera “simplemente usarse en una computadora sin más medidas de protección”.
Al comentar sobre los hallazgos de DSK, Matthias Pfau, fundador del servicio de correo electrónico encriptado Tutanota, dijo que era “increíble” que los servicios en la nube con sede en EE. UU. continúen pisoteando los derechos de datos europeos más de cuatro años después de la introducción del RGPD en mayo de 2018.
“Obviamente, las grandes corporaciones estadounidenses están soportando cualquier queja y también sanciones porque el modelo de negocio – ‘usa mi servicio y usaré tus datos’ – es extremadamente lucrativo para ellas. En lugar de depender de la cooperación voluntaria, aquí deben extraerse consecuencias mucho más duras; por ejemplo, mediante el uso de sistemas completamente diferentes”, dijo.
“Linux con Open Office es una muy buena alternativa a la que las escuelas y las autoridades deberían cambiar de inmediato. Mientras las escuelas y las autoridades sigan usando Microsoft, aunque instalado localmente, Microsoft obviamente no ve ninguna razón para respetar las normas europeas de protección de datos”.