Anche una big come Microsoft, al cospetto del GDPR, sta cambiando il modo in cui i dati diagnostici dei dispositivi Windows vengono elaborati e controllati. In gioco, c’è la sua fetta di mercato europeo, e non ha intenzione di perderla. Le sue mosse di adeguamento riportano però l’attenzione su un tema un tempo caldo, rimasto congelato
di fronte alle attuali emergenze geopolitiche ed energetiche. Il trattamento dei dati “in viaggio” tra UE e USA.
Microsoft lascia in UE il controllo dei dati UE
Per rispettare la sovranità dell’UE, Microsoft, a passo svelto, sta mettendosi nelle condizioni di poter garantire che i dati diagnostici di tutti i dispositivi di un’organizzazione vengano elaborati in modo coerente e nella stessa regione geografica. È l’unico modo, oggi, per assicurarsi lunga (e serena) vita in Europa, evitando sanzioni e polemiche che l’Unione ha dimostrato di saper avanzare, per difendere i dati dei suoi cittadini.
Per diverso tempo, gli amministratori IT che optavano per una certa configurazione del Windows diagnostic data, hanno potuto contare su una serie di opportunità “libertine”. Tra le più stridenti con il concetto europeo di privacy, quella di consentire una pipeline di dati commerciali e l’elaborazione di analisi desktop.
Da quando ha promesso di fare più attenzione al trattamento dei dati europei, Microsoft sta riaggiustando una serie di policy e parametri nella sua offerta, diagnostica compresa. Per uscirne bene, ha deciso di far scomparire del tutto quel tipo di configurazione esistente, anche per evitare malintesi e false aspettative. Al suo posto, ha inserito una nuova opzione basata su Azure Active Directory, che permette all’intera organizzazione di impostare il ruolo di Microsoft nell’elaborazione dei dati.
Con questa novità, si può dire finalmente mantenuta la promessa fatta due anni fa alle aziende europee. Ora possono essere certe che, utilizzando Azure, ma anche Microsoft 365 e Dynamics 365, possono mantenere tutti i loro dati all’interno dei confini dell’Unione Europea. In termini di dispositivi, significa che quelli Windows con lo strumento di diagnostica attivato, e collegati a un tenant Azure AD con un indirizzo di fatturazione nell’UE (o nell’Associazione europea di libero scambio) vedranno i dati diagnostici configurati automaticamente con l’opzione che li vede poi elaborati in Europa. In termini di compliance, significa che Microsoft elaborerà i dati diagnostici di Windows, ma l’organizzazione ne avrà il controllo e sarà il team IT a rispondere alle domande sui dati degli utenti finali.
Microsoft sta spingendo le aziende ad accettare i cambiamenti, diffondendoli release dopo release, di offerta in offerta. Per alcune è un sollievo, per altre un grattacapo ma – si potrebbe dire – “è il GDPR, bellezza”.
Due framework pending, per paura di calpestare la privacy
Era il 2018 quando il GDPR ha introdotto ciò che oggi per noi è un concetto saldo, rassicurante e prezioso. Quello di una libera circolazione dei dati personali, esclusivamente all’interno di una sfera che protegge la privacy degli utenti.
Sono i confini di questa sfera, complessi da definire, non potendo essere quelli della UE stessa, per chiari motivi di dipendenza tecnologica della stessa, soprattutto dagli USA. Infatti, è proprio con gli USA che si sta cercando di fare un accordo per un “libero flusso di dati” tra le due aree, senza che l’elevato livello di protezione dei dati personali, necessario all’interno dell’UE, venga compromesso.
Non si è ancora “arrivati a una quadra”, gli impegni sulla data protection presi dagli USA non sembrano convincere del tutto l’UE. Durante questa fase di “valutazione di adeguatezza” resta un’immagine sfocata e idealizzata di un Data Protection Framework su cui mancano le firme. Inizialmente lo si voleva vedere attuato quest’anno, si è ancora in tempo per sperare. Ora la parola spetta all’UE che, dopo aver espresso informali perplessità, non si è ancora ufficialmente pronunciata.
Sembra più fluido, per ora, l’iter interno all’Unione per approvare le proposte della Commissione europea per uno European Health Data Space recentemente avanzate. Il timore è sempre quello di non tutelare pienamente la privacy e i diritti dei pazienti. I vantaggi, però, anche in questo caso sarebbero enormi. A beneficiarne sarebbero i pazienti europei ma anche la ricerca.
Quello a cui si vorrebbe arrivare è sempre un framework che garantisca lo scambio di dati medici essenziali e cruciali per salvare vite umane, salvando anche i diritti degli europei. I primi a beneficiarne sarebbero loro, ottenendo un accesso più facile ai dossier sulla propria salute. Allo stesso tempo, questo data space consentirebbe agli operatori sanitari di accedere alla loro storia clinica, per effettuare diagnosi più accurate e trattamenti personalizzati.
Elaborando grandi quantità di questi dati, l’idea sarebbe anche quella di aiutare i ricercatori a fare buona ricerca e I regolatori a compiere buone scelte, più consapevoli e virtuose.
Ci sono già numerosi progetti in corso a livello nazionale, o addirittura regionale, basati sul valore dei dati sanitari condivisi. Un buon segno di buona volontà condivisa, un segnale per l’UE perché sia rapida nel trovare una soluzione europea che eviti la solita frammentazione da cui l’Europa è affetta da tempo.
