EconomiaNotizia

Come i Paesi Bassi stanno domando la Big Tech

Nel 2021, i consulenti per la privacy che lavorano per due università olandesi hanno pubblicato una pagella critica sulle app educative di Google, una serie di strumenti per la classe come Google Docs che vengono utilizzati da oltre 170 milioni di studenti ed educatori in tutto il mondo.

Il l’audit ha avvertito che gli strumenti di Google per le scuole mancavano di una serie di protezioni della privacy, come limiti ristretti su come l’azienda poteva utilizzare i dati personali di studenti e insegnanti, che erano richiesti dalla legge europea. Sebbene la società si sia rivolta alcune delle preoccupazioniafferma il rapporto, Google ha rifiutato di soddisfare le richieste olandesi di ridurre una serie di “rischi elevati” citati nell’audit.

C’è voluta una minaccia da parte dell’autorità olandese per la protezione dei dati, l’autorità di regolamentazione della privacy della nazione, per aiutare a sbloccare la situazione: le scuole olandesi avrebbero presto dovuto smettere di utilizzare gli strumenti educativi di Google, ha detto l’agenzia governativase i prodotti hanno continuato a comportare tali rischi.

Due anni dopo, Google ha sviluppato nuove misure sulla privacy e strumenti di trasparenza per affrontare le preoccupazioni olandesi. Il gigante della tecnologia ora prevede di implementare tali modifiche ai suoi clienti dell’istruzione entro la fine dell’anno nei Paesi Bassi e in altre parti del mondo.

Il governo olandese e le organizzazioni educative hanno avuto un notevole successo nel costringere le aziende Big Tech ad apportare importanti modifiche alla privacy. Il loro approccio del bastone e della carota coinvolge i dirigenti di alto livello della Silicon Valley in mesi di discussioni altamente tecniche e poi ne vale la pena negoziando accordi collettivi che consentono alle aziende di vendere i loro strumenti controllati a diversi ministeri del governo e alle scuole della nazione. E gli sforzi olandesi per stimolare il cambiamento potrebbero fornire un playbook per altre piccole nazioni che litigano con i superpoteri tecnologici.

Per alcune società tecnologiche statunitensi, l’imprimatur olandese è ora diventato uno status symbol, una sorta di sigillo di approvazione che possono mostrare alle autorità di regolamentazione altrove per dimostrare di aver superato uno dei più severi processi di conformità in materia di protezione dei dati in Europa.

Il modo in cui i Paesi Bassi, un piccolo paese con una popolazione di circa 17,8 milioni di persone, sono arrivati ​​a influenzare i giganti tecnologici americani è una storia di Davide e Golia che coinvolge una legge storica, chiamata Regolamento generale sulla protezione dei datientrata in vigore nel 2018 dagli stati membri dell’Unione Europea.

Tale diritto dell’UE richiede alle aziende e ad altre organizzazioni di ridurre al minimo la raccolta e l’utilizzo delle informazioni personali. Richiede inoltre alle aziende, alle scuole e ad altri di condurre audit, chiamati Valutazioni d’impatto sulla protezione dei datiper determinate pratiche, come l’elaborazione di dati personali sensibili, che potrebbero comportare elevati rischi per la privacy.

Ma il governo centrale e le istituzioni educative olandesi sono andati molto oltre commissionando valutazioni tecniche e legali esaustive di piattaforme software complesse come Microsoft Office e Google Workspace — e garantire la partecipazione aziendale di alto livello al processo.

“Hanno un approccio centralizzato che porta alla capacità di avere soluzioni scalabili”, ha affermato Giulia Brill, Chief Privacy Officer di Microsoft. “I Paesi Bassi colpiscono al di sopra del loro peso”.

L’anno scorso Zoom maggiore annunciato modifiche alle sue pratiche e politiche di protezione dei dati dopo mesi di intense discussioni con SURF, una cooperativa nei Paesi Bassi che negozia contratti con fornitori di tecnologia per conto di università e istituti di ricerca olandesi.

Lynn Haaland, chief privacy officer di Zoom, ha affermato che i colloqui hanno aiutato la società di videocomunicazione a capire come migliorare i suoi prodotti per soddisfare gli standard europei di protezione dei dati e “essere più trasparente con i nostri utenti”.

Tra le altre cose, Zoom ha pubblicato un Documento di 11 pagine descrivendo in dettaglio come l’azienda raccoglie e utilizza le informazioni personali sulle persone che partecipano a riunioni e chat sulla sua piattaforma.

L’esperienza tecnica olandese ha aiutato i revisori della privacy a ottenere informazioni insolitamente granulari su come alcune delle più grandi società di software accumulano dati personali su centinaia di milioni di persone. Ha anche consentito agli esperti olandesi di chiamare le aziende per pratiche che sembrano violare le regole europee.

Alcune grandi aziende tecnologiche americane inizialmente esitano, ha detto Sjoera Nasconsulente senior presso la Privacy Company, una società di consulenza dell’Aia che conduce le valutazioni del rischio dei dati per il governo olandese e altre istituzioni.

“Siamo così piccoli che, inizialmente, molti fornitori di servizi cloud si limitano a guardarci, alzare un sopracciglio e dire: ‘E allora? Sei l’Olanda. Tu non hai importanza’”, ha affermato la signora Nas, che ha contribuito a condurre i negoziati olandesi con Microsoft, Zoom e Google. Ma poi, ha detto, le aziende iniziano a capire che i team olandesi stanno negoziando la conformità per i Paesi Bassi con le norme sulla protezione dei dati che si applicano anche in tutta l’Unione europea.

“Poi i fornitori di tecnologia si rendono conto che non saranno in grado di fornire i loro servizi a 450 milioni di persone”, ha detto la signora Nas.

Lo sforzo olandese ha iniziato a prendere piede nel 2018, dopo che il Ministero della giustizia e della sicurezza del paese ha commissionato un audit di una versione aziendale di Microsoft Office. Il rapporto ha affermato che Microsoft ha raccolto sistematicamente fino a 25.000 tipi di attività degli utenti come i cambiamenti ortografici e dettagli sulle prestazioni del software da programmi come PowerPoint, Word e Outlook senza fornire documentazione o offrire agli amministratori un’opzione per limitare la raccolta di dati. Nel un post sul blog all’epoca, la signora Nas, la cui società ha condotto l’audit, ha descritto i risultati come “allarmanti”.

I software di consumo in genere raccolgono enormi quantità di dati sull’utilizzo e sulle prestazioni dai dispositivi e dai servizi cloud degli utenti, dati diagnostici che le aziende tecnologiche statunitensi spesso impiegano liberamente per scopi commerciali come lo sviluppo di nuovi servizi. Ma secondo il diritto dell’UE, i dati diagnostici legati a un utente identificabile sono considerati informazioni personali, proprio come le e-mail che una persona invia o le foto che pubblica.

Ciò significa che le aziende devono limitare il loro uso di dati personali diagnostici e fornire alle persone copie di essi su richiesta. L’audit olandese ha rilevato che Microsoft non era riuscita a farlo.

Microsoft ha accettato di risolvere questi problemi. Nel 2019, la società ha introdotto una nuova politica sulla privacy e sulla trasparenza per i clienti cloud in tutto il mondo che includeva “modifiche richieste dal Ministero della Giustizia olandese”, ha scritto la signora Brill in un post sul blog aziendale. Microsoft ha anche rilasciato a strumento di visualizzazione dei dati per consentire ai clienti di vedere i “dati diagnostici grezzi” che Office ha inviato all’azienda.

La signora Brill ha affermato che le discussioni con gli olandesi hanno aiutato Microsoft ad abbracciare le opinioni europee sulla protezione dei dati, un cambiamento nella cultura aziendale che, secondo lei, è stato più significativo delle modifiche al software.

“Si inizia con la cultura e poi assicurandosi che il perno culturale si manifesti nei nostri prodotti e nel nostro software e, cosa più importante, nel modo in cui descriviamo ciò che facciamo ai nostri clienti”, ha affermato la signora Brill.

La pandemia ha accelerato l’effetto olandese sulle società tecnologiche statunitensi.

Nel 2021, l’audit olandese degli strumenti di Google per le scuole, ora noto come Google Workspace for Education, ha riferito che i prodotti mancavano di determinati controlli sulla privacy, trasparenza e limiti contrattuali sull’utilizzo dei dati personali. Gli strumenti educativi includevano app come Gmail e Google Classroom, un hub di apprendimento online.

Alla fine Google ha acconsentito alle richieste olandesi di restringere in modo significativo il modo in cui l’azienda poteva utilizzare i dati personali raccolti dai suoi strumenti didattici, cosa che le autorità di regolamentazione statunitensi non avevano realizzato.

Tra le altre cose, Google ha accettato di limitare a just tre scopi fissi, giù da più di una dozzina di scopi. I tre usi includevano la fornitura di servizi ai clienti e la gestione di problemi come le minacce alla sicurezza.

Google ha inoltre accettato di non utilizzare i dati diagnostici per scopi quali ricerche di mercato, profilazione degli utenti o analisi dei dati. E ha accettato di sviluppare uno strumento per consentire ai clienti dell’istruzione di visualizzare i propri dati diagnostici.

“Dovevamo spiegare a Google che i consigli scolastici hanno il dovere di diligenza e devono avere il controllo dei dati personali degli studenti”, ha affermato Job Vos, responsabile della protezione dei dati per SIVON, una cooperativa olandese che negozia contratti con fornitori di tecnologia per conto delle scuole olandesi, che hanno partecipato agli anni di colloqui con Google. “Non può essere utilizzato per scopi commerciali.”

In una recente intervista, Phil Venables, chief information security officer di Google Cloud, ha affermato che Google collabora regolarmente con le autorità di regolamentazione di tutto il mondo e non considera particolarmente degne di nota le discussioni con gli olandesi o i conseguenti cambiamenti nelle pratiche relative ai dati di Google. Ha aggiunto che la società ha accolto con favore la raffinatezza tecnica degli sforzi olandesi.

“Siamo stati felici di lavorare con gli olandesi perché sono stati esigenti su questo”, ha detto Venables, “e abbiamo risposto a questo”.

Google ha accettato di fornire nuovi controlli sulla privacy e strumenti di trasparenza entro la fine del 2022. La signora Nas e il signor Vos hanno affermato che ora stanno testando le soluzioni proposte da Google, un processo che potrebbe richiedere mesi.

Gli sforzi olandesi potrebbero fornire miglioramenti della privacy per le scuole negli Stati Uniti e altrove, molte delle quali non dispongono delle competenze tecniche interne per indagare in modo indipendente su come piattaforme complesse come Google raccolgono e utilizzano i dati degli studenti.

Ma gli esperti di privacy olandesi vedono il loro processo di verifica e negoziazione come parte di uno sforzo molto più ampio da parte dei paesi che cercano di affermare la loro sovranità digitale di fronte alle superpotenze tecnologiche americane.

“Fondamentalmente siamo catturati dai colossi della tecnologia”, ha detto la signora Nas. “Stiamo iniziando a renderci conto che l’unico modo per affrontarlo è negoziare la nostra strada per la loro conformità agli standard europei”.




Source link

Related Articles

Back to top button