Il Garante privacy francese boccia le policy di Microsoft per la protezione dei dati personali. Il Cnil, la Commission Nationale de l’Informatique et des Libertés, l’ente che vigila sull’applicazione della legge sulla privacy in Francia, ha concluso che il sistema operativo Windows 10 viola le norme francesi e ha dato a Microsoft tre mesi di tempo per mettere a posto le falle del sistema in fatto di protezione dei dati. Se Microsoft non si adeguerà, potrebbe essere multata.
Il Cnil ha condotto un’approfondita indagine, durata oltre un anno, sul sistema operativo di Microsoft e trovato che Windows 10 non rispetta il diritto alla privacy sotto numerosi aspetti: raccolta eccessiva di dati degli utenti, mancanza di sicurezza in uno dei sistemi di autenticazione dell’Os, presenza di un advertising ID che si attiva di default, assenza di informazioni sull’opzione per il blocco dei cookies, trasferimento dei dati personali fuori dall’Ue verso gli Stati Uniti in base al Safe Harbor che però ora non è più valido.
Il Cnil ha deciso di pubblicare una nota formale per la “gravità delle violazioni e il numero di utenti coinvolti”, visto che ci sono oltre 10 milioni di persone che usano Windows in Francia. Nel dettaglio, il Cnil ha scoperto che Windows 10 raccoglie dati sulle specifiche app che gli utenti scaricano, e quanto tempo passano su queste app, informazioni considerate eccessive e non funzionali al servizio. Inoltre, Windows 10 usa i cookies per mostrare pubblicità personalizzate senza informarne gli utenti in modo adeguato o permettere l’opt-out. Viene considerato poco sicuro il sistema basato su un Pin di quattro caratteri per accedere ai servizi Microsoft perché non c’è limite su quanti tentativi si possono fare per entrare e mancherebbe inoltre il consenso individuale al trattamento di alcuni dati personali.
David Heiner, vice president e deputy general counsel di Microsoft, ha assicurato che l’azienda collaborerà col Cnil per capire meglio dove risiedono i timori del Garante privacy e lavorare su soluzioni accettabili e ha garantito che, dopo che la Corte di Giustizia europea ha definito non più applicabile il Safe Harbor, Microsoft sta usando una serie di sistemi di trasferimento dei dati dall’Europa agli Stati Uniti perfettamente legali.
