Windows 10 viola la privacy
La CNIL (Commission Nationale de l’Informatique et des Libertés), autorità amministrativa indipendente francese a tutela dei dati personali, esercitante le sue funzioni in conformità alla legge sulla protezione dei dati francese del 6 gennaio 1978 (modificata il 6 agosto 2004), con decisione n. 2016-058 del 30 giugno 2016, ha bacchettato la Microsoft, constatando e contestando quanto si vedrà sotto.
La CNIL, in particolare, osserva che dopo il lancio del nuovo sistema operativo Windows 10, nel mese di luglio 2015, i media e partiti politici francesi hanno lamentato la possibilità che Microsoft Corporation raccogliesse eccessivi dati personali degli utenti.
Nel frattempo, all’interno del G29 è stato subito creato un gruppo di contatto (gruppo di lavoro comprendente le Agenzie nazionali per la protezione dei dati in Europa) al fine di esaminare la questione e condurre indagini nei vari Stati membri interessati.
E’ in questo contesto che la CNIL ha effettuato sette osservazioni on-line nei mesi di aprile e giugno 2016 e ha conseguentemente interrogato Microsoft Corporation circa alcuni punti della sua politica sulla privacy, per verificare se Windows 10 rispetti o meno il Data Protection Act francese.
Privacy e regolamento europeo Copertina flessibile – 26 mag 2016
Da tale interrogazione sono emersi diversi punti inquietanti.
RACCOGLIMENTO DI DATI ECCESSIVI E/O IRRILEVANTI
La CNIL ha scoperto che la Microsoft stava raccogliendo dati di diagnostica e di utilizzo tramite il suo servizio di telemetria, che utilizza tali dati anche per identificare i problemi e per migliorare i propri prodotti.
A questo scopo, è stato scoperto che Microsoft Corporation elabora, per esempio, i dati personali conservati dalle app di Windows, acquisendo, senza consenso alcuno, informazioni personali su tutte le applicazioni scaricate e installate nel sistema da un utente, rilevando addirittura il tempo trascorso dall’utente su ciascuna applicazione.
Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo Copertina flessibile – 5 apr 2016
Pertanto, la società raccoglie dati eccessivi, poiché tali dati non sono necessari per il funzionamento del servizio.
MANCANZA DI SICUREZZA
L’azienda permette agli utenti di scegliere un PIN composto da quattro caratteri per autenticarsi su tutti i suoi servizi on-line, in particolare per l’accesso al proprio account di Microsoft, il quale elenca gli acquisti effettuati in negozio e gli strumenti di pagamento utilizzati: ma il numero di tentativi per accedere mediante PIN non è limitata, il che significa che i dati utente non sono affatto sicuri o riservati.
MANCATA INFORMAZIONE ED ASSENZA DI UNA OPZIONE PER BLOCCARE I COOKIES
L’azienda installa cookies pubblicitari sui terminali degli utenti senza informarli adeguatamente di questo in anticipo o non consentendo loro di opporsi a tale installazione.
TRASFERIMENTO DEI DATI PERSONALI FUORI DALLA UE
La Microsoft afferma che è in atto un trasferimento dei dati personali dei titolari di un account fuori dell’UE in un “porto sicuro” (Safe Harbor): tuttavia ciò non è ancora possibile data la sentenza della Corte di Giustizia dell’UE del 6 ottobre 2015.
Per tutte le motivazioni sopra elencate, il Presidente del CNIL ha deciso di emettere un avviso formale alla Microsoft Corporation, diffidandola a rispettare la legge entro tre mesi.
E’ da ribadire che tale procedimento ha coinvolto, per ora, esclusivamente la Francia. Le altre autorità per la protezione dei dati appartenenti al gruppo di contatto WP29 proseguiranno le loro indagini nell’ambito delle rispettive procedure nazionali.
E ‘stato deciso, inoltre, di rendere pubblico l’avviso a causa, tra l’altro, della gravità delle infrazioni e del numero di persone coinvolte (più di dieci milioni di utenti Windows sul territorio francese).
La CNIL, infine, tiene a precisare che gli avvisi formali non sono sanzioni e che verranno intraprese ulteriori azioni se la società non si uniforma alla decisione sopra menzionata e alla legge francese entro i termini specificati.
Nel caso in cui Microsoft Corporation non rispetterà la diffida entro i termini specificati, il Presidente potrà nominare un investigatore interno che potrà redigere una relazione, proponendo al comitato ristretto della CNIL, competente per l’esame delle violazioni del Data Protection Act, una sanzione nei confronti della società statunitense.
Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione avv. Giacomo Romano
Copyrights © 2015 – Salvis Juribus - ISSN 2464-9775
Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.
Vincenzo Di Ciò
Latest posts by Vincenzo Di Ciò (see all)
- Windows 10 viola la privacy - 23 July 2016
- Unioni civili: al via i sì! - 22 July 2016
- Goodbye scontrino! Arriva il registratore di cassa telematico - 22 July 2016