A FORZA DI MENARE SU GOOGLE E FACEBOOK, CI ERAVAMO SCORDATI DEL PRIMO MONOPOLISTA DELLA SILICON VALLEY: MICROSOFT - PER IL SUPERVISORE EUROPEO PER LA PROTEZIONE DEI DATI, ABBIAMO AFFIDATO AL GIGANTE INFORMATICO UN POTERE ECCESSIVO SU ISTITUZIONI E FUNZIONARI. CON UN MEGA-ACCORDO NEL 2018 LE ISTITUZIONI EUROPEE, DALLA COMMISSIONE ALLA BCE, HANNO AFFIDATO TUTTI I LORO DATI AL CLOUD DI MICROSOFT, ORMAI NECESSARIO PER USARE L'UBIQUO PACCHETTO OFFICE

Federico Fubini per il ''Corriere della Sera''

satya nadella

Il testo è uscito senza annunci, al punto da passare quasi inosservato. Eppure il Supervisore europeo per la protezione dei dati (Edps) ha redatto una requisitoria feroce, che va al cuore di una delle contraddizioni dell'Unione europea in questi anni: Bruxelles cerca di contrastare lo strapotere dei colossi statunitensi delle tecnologie, proprio mentre si affida ad essi perché non esistono in Europa imprese in grado di fornire servizi simili. Il risultato - accusa il Supervisore europeo - è che oggi i dati personali, legali, finanziari, politici e commerciali dei 46 mila funzionari delle istituzioni europee, dalla Commissione alla Banca centrale europea, sono nelle mani di Microsoft.

Lo sono sulla base di accordi che lasciano al gruppo fondato da Bill Gates ampia discrezionalità di trattarli e esportarli dove crede e, in molti casi, di utilizzarli in violazione delle stesse norme europee sulla privacy: senza che le istituzioni europee ne abbiano sufficiente controllo e senza che sappiano dove esattamente alcuni dei dati vengono custoditi al di fuori del territorio stesso della Ue. Questa almeno è la conclusione un rapporto pubblicato da Edps, al termine di una lunga indagine «di propria iniziativa».

donald trump con satya nadella e jeff bezos

Edps è un'istituzione creata sulla base di una norma del 2018, guidata dal polacco Wojciech Wiewiórowski e incaricata per le istituzioni europee di funzioni simili a quelle del Garante della privacy in Italia. Il suo messaggio è destinato a cambiare i rapporti fra Microsoft e molte autorità pubbliche in Europa, perché Edps avverte: «Ciò che abbiamo trovato sarà probabilmente di interesse più ampio, in particolare per le pubbliche autorità degli Stati europei» che usano i software e il cloud del gruppo di Redmond. Al centro dell'inchiesta c'è l'Accordo inter-istituzionale per la fornitura di servizi concluso del 2018 fra Microsoft e l'insieme delle istituzioni dell'Unione europea.

Esso include l'uso di software come Office - con programmi Outlook, Word, Excel o Powerpoint - ma anche Azure, il cloud di Microsoft. Il cloud è il servizio di archiviazione e potenzialmente di analisi dei dati in colossali data center situati di solito in località segrete per ragioni di sicurezza; Microsoft Azure ha circa il 18% di questo mercato nel mondo, subito dietro Amazon Web Services (33%). Ma Edps trova l'accordo con le istituzioni Ue così pericoloso per la protezione dei dati di queste ultime che chiede di stracciarlo e riscriverlo.

satya nadella a milano

L'autorità riferisce di «una serie di problemi riguardanti la localizzazione dei dati, il loro trasferimento internazionale e il rischio che i dati stessi siano rivelati in modo illegale». L'accusa è molto delicata, dato che sembra coinvolgere anche gli archivi digitali della Bce: «Le istituzioni europee - si legge - non sono state in grado di controllare la localizzazione di una larga parte dei dati gestiti da Microsoft, né hanno controllato adeguatamente ciò che è stato trasferito fuori dalla Ue e come». Inoltre, «c'è stata anche una mancanza di adeguate salvaguardie a protezione dei dati che hanno lasciato il territorio dell'Unione europea» e «le istituzioni della Ue hanno avuto a loro disposizione poche garanzie a difesa dei privilegi e delle immunità».

Impossibile poi per Bruxelles «assicurarsi che Microsoft rivelasse dati personali solo nella misura permessa dalla legge europea». Il gruppo oggi guidato dall'indiano Satya Nadella si è anche riservato il potere di cambiare unilateralmente alcune condizioni importanti. E Bruxelles le ha accettate, in contraddizione con le sue stesse direttive sulla protezione dei dati personali.