Um estudo da consultora Privacy Company a pedido do governo holandês determinou que o Windows 10 e as versões empresariais do Microsoft Office 2016 e 365 se encontram em incumprimento de várias cláusulas do RGPD
A investigação levada a cabo pela consultora de segurança e privacidade holandesa Privacy Company determinou que as versões empresariais do Microsoft Office 2016 e 365 (alvos do estudo, visto serem as utilizadas pelo governo holandês), bem como todo o sistema operativo Windows 10, usam métodos de recolha de dados em contradição direta com as diretivas do RGPD O relatório identificou diversos fatores de risco para a proteção de dados nas subscrições empresariais (ProPlus) do Office 2016 e Office 365, incluindo a recolha e armazenamento de metadados e dados sensíveis sem consentimento dos utilizadores e a extensão injustificada do período de retenção.
Recolha indevida de dadosNa sua informação de privacidade, a Microsoft afirma recolher dados para propósitos operacionais e de segurança. Contudo, o relatório determinou que a empresa recolhe, de forma sistemática, vastos volumes de dados não requeridos para este tipo de aplicação, como excertos de texto do Word e assuntos de emails processados pelo Outlook. Estes dados, na sua maioria, são intrínsecos aos serviços oferecidos pela Microsoft – muitos são de facto dados operacionais relativos ao funcionamento do Windows Office. Contudo, a sua recolha é feita sem informar o utilizador, obter o seu consentimento, permitir a desativação ou discriminar o propósito da recolha e armazenamento dos dados, e o seu armazenamento, segundo o relatório, extende-se muito para além do período de retenção justificável. Para além desta recolha levada a cabo pelo software base do Office, a Microsoft incluiu um software separado dedicado a recolher dados de telemetria – enviados diretamente para os servidores da empresa nos Estados Unidos. Adicionalmente, todos os dados relativos ao uso individual dos Connected Services do Office – como por exemplo o serviço de tradução – são também sistematicamente recolhidos e armazenados. “Do ponto de vista técnico, é inevitável que se tenha de fornecer dados à Microsoft, como o email e endereço de IP, de forma a aceder aos seus serviços,” refere o relatório. “Porém, a Microsoft não deve armazenar estes dados funcionais transientes, a não ser que a sua retenção seja estritamente necessária, como por exemplo para propósitos de segurança.”
Responsabilidades legaisOutro ponto no qual a Microsoft não se encontra em cumprimento está na definição legal das suas funções no processamento dos dados De forma sumária, o RGPD entende dois tipos de entidades envolvidas na recolha e processamento de dados:
Estas duas categorias têm, naturalmente, enquadramentos legais diferentes, mais não seja porque as coimas são estabelecidas em função do nível de responsabilidade das entidades envolvidas, independentemente da sua categoria. Ainda assim, o responsável – como o nome indica– detém um nível de responsabilidade para com os detentores dos dados muito mais elevado, estando ao seu encargo a obtenção e gestão do consentimento informado de cada indivíduo. É também o principal responsável pela garantia e demonstração dos princípios estabelecidos pelo RGPD para o processamento de dados pessoais, incluindo “(…) transparência, minimização dos dados, precisão, integridade e limitação do armazenamento, e confidencialidade dos dados pessoais”. Atualmente, a Microsoft apresenta-se como pertencendo à categoria de subcontratante. Contudo, à luz das conclusões desta investigação, age como responsável, uma vez que estão assumidamente ao seu critério o propósito e modo do armazenamento dos dados pessoais dos utilizadores, bem como a determinação do período de retenção dos mesmos. Está portanto sujeita a responsabilidades e riscos legais significativamente inferiores aos que a legislação estabelece para o seu nível de decisão.
Mitigação e prevençãoA Microsoft tomou já um conjunto de medidas com vista a abordar problemas apresentados neste relatório – como a implementação de opções avançadas de privacidade – e comprometeu-se a fornecer aos utilizadores informação adequada, incluindo uma ferramenta de visualização dos dados de telemetria recolhidos. Referiu também planos para retificar a sua posição como responsável pelo processamento de dados. Até a situação estar normalizada, o relatório sugere aos utilizadores empresariais uma série de medidas preventivas, como o uso das configurações de privacidade e a minimização do uso dos serviços off-premises (Connected Services, a versão Web do Office 365, SharePoint Oneline, etc), mas friza que “não é possível para os clientes empresariais do Office resolverem todos os problemas,” e que “deve ser procurada uma solução europeia.” |