Francia vs Microsoft: Windows 10 non rispetta la legge sulla protezione dei dati

Windows 10 e il sistema di telemetria integrato, che effettua la raccolta dei dati di utilizzo del PC, tornano sotto i riflettori a seguito della dura presa di posizione della CNIL (Commission Nationale de l'Informatique et des Libertés), l'autorità amministrativa francese che si occupa di vigilare sull'applicazione della legge per la tutela dei dati personali.

L'accusa della CNIL 

L'accusa è netta ed articolata e parte dal rilevare un'eccessiva attività di raccolta di dati non rilevanti per migliorare il servizio. 

IL CNIL ha notato che la compagnia ha raccolto dati diagnostici e di utilizzo attraverso il suo servizio di telemetria e che utilizza tali dati, tra le altre cose, per identificare i problemi e migliorare i prodotti. Per questo scopo, Microsoft Corporation, elabora, ad esempio, i dati di utilizzo delle app Windows e del Windows Store, fornendo informazioni, tra le altre cose, su tutte le app scaricate e installate nel sistema da un utente e sul tempo trascorso su ciascuna di esse. Perciò la compagnia sta raccogliendo una quantità di dati eccessiva e non necessaria per il funzionamento del servizio. 

Il CNIL punta l'indice anche sul fronte della sicurezza, con specifico riferimento al sistema che permette di accedere al sistema operativo Windows 10 tramite inserimento di un PIN di quattro cifre: 

La compagnia consente agli utenti di scegliere un PIN di quattro caratteri per autenticarsi a tutti i servizi online, in particolare per l'accesso al proprio account Microsoft, che elenca gli acquisti effettuati nello store e gli strumenti di pagamento utilizzati, ma il numero di tentativi per l'inserimento del PIN non è limitato, ciò significa che i dati degli utenti non sono sicuri o riservati

Secondo l'analisi condotta dal CNIL, manca, inoltre, il consenso individuale al trattamento di determinati dati personali: 

Un advertising ID è attivato per default quando Windows 10 è installato, ciò consente alle app Windows 10 e alle altre app di terze parti di monitorare la navigazione dell'utente e di offrire advertising mirata senza ottenere il consenso dell'utente. 

Sotto accusa anche il sistema di gestione dei cookies: 

La compagnia inserisce advertising cookies nei terminali degli utenti senza informarli correttamente in anticipo o dandogli la possibilità di opporsi 

Da ultimo, il CNIL contesta il trasferimento dei dati personali relativi all'account degli utenti negli Stati Uniti, sulla base del "Safe Harbour", operazione non conforme alla decisione della Corte di Giustizia dell'Unione Europea del 6 ottobre 2015.

I cinque punti sopra illustrati si traducono nella richiesta formale indirizzata a Microsoft che dovrà adeguare i suoi prodotti alla normativa sulla protezione dei dati personali francese per evitare di andare incontro a sanzioni. Microsoft ha a disposizione tre mesi per raggiungere tale obiettivo.

La risposta di Microsoft

David Heiner, vice presidente e vice consigliere generale di Microsoft, non ha mancato di rispondere tempestivamente alle accuse formulate dalla CNIL. Il dirigente ha confermato che la casa di Redmond lavorerà nei prossimi mesi a stretto contatto con l'autorità amministrativa francese per comprende le sue preoccupazioni e per trovare soluzioni che reputerà accettabili. 

Per quanto riguarda il Safe Harbour Framework, l'accordo tra Unione Europea e Stati Uniti per la disciplina dei flussi di dati internazionali - dichiarato illegittimo dalla Corte di Giustizia Europea nell'ottobre del 2015 - Microsoft ricorda che si è già schierata per supportare il nuovo "Privacy Shield" e che il Safe Harbour non è l'unico strumento utilizzato per trasferire oltre i confini dell'Unione Europea i dati personali.

Heiner fa riferimento ad "una varietà di meccanismi legali alla base del trasferimento dei dati dall'Europa, comprese le clausole contrattuali standard, un meccanismo di trasferimento dei dati stabilito dalla Commissione Europea e approvato dalle autorità europee per la protezione dei dati al fine di coprire i flussi dall'Unione Europea agli Stati Uniti"

Microsoft ha confermato, da ultimo, che il mese prossimo aggiornerà l'informativa sulla privacy . Verosimile che le modifiche introdotte siano giustificate dalle necessità di soddisfare le richieste dell'autorità amministrativa francese. Si precisa, per completezza di informazione, che quanto rilevato dalla CNIL, riguarda valutazioni esclusivamente riconducibili alla legge sulla tutela della privacy francese. Le altre autorità garanti per la privacy europee non hanno formulato, per il momento, richieste analoghe a Microsoft.