Si hay dos cosas que nunca deben mezclarse, es el cumplimiento de la ciberseguridad/privacidad y la política de la empresa. Y, sin embargo, está en el centro de una lucha de cumplimiento entre Microsoft y las autoridades alemanas que podría acabar castigando a los clientes de la empresa.

El Datenschutzkonferenz alemán, el organismo regulador responsable de administrar la versión alemana del Reglamento general de protección de datos (GDPR) de la Unión Europea, ha declarado públicamente que «no fue posible ningún uso compatible con la protección de datos de Microsoft Office 365».

Esa es la declaración más absoluta y audaz que jamás haya visto de un organismo de cumplimiento.

Para ser específicos, los reguladores no han encontrado explícitamente violaciones de las reglas de cumplimiento tanto como han encontrado rutas de datos que Microsoft no explicaría lo suficiente. Estas rutas parecían volcar datos en servidores controlados por Microsoft con sede en los Estados Unidos.

“La pregunta central y recurrente de la serie de discusiones fue en qué casos Microsoft actúa como procesador y en qué casos como controlador. Esto no pudo ser aclarado de manera concluyente. Los controladores deben poder demostrar en todo momento su responsabilidad de conformidad con el art. 5 par. 2 GDPR”, afirma el informe, antes de agregar que “siguen esperando dificultades ya que Microsoft no revela completamente qué procesamiento está teniendo lugar en detalle. Además, Microsoft no explica completamente qué procesamiento se realiza en nombre del cliente o cuál se realiza para sus propios fines. Los documentos contractuales no son específicos a este respecto y, por lo tanto, permiten un procesamiento que no puede evaluarse de manera concluyente o incluso extenderse para sus propios fines.

Como era de esperar, Microsoft no está de acuerdo y argumenta que sus productos son la perfección del software.

«Hoy, Datenschutzkonferenz (DSK) de Alemania expresó su preocupación sobre el cumplimiento de Microsoft 365 (M365) con las leyes de privacidad de datos alemanas y europeas», dijo Microsoft en un comunicado. «Respetuosamente no estamos de acuerdo con la posición de DSK, ya que nos aseguramos de que nuestros productos M365 no cumplan, pero a menudo excedan, las estrictas leyes de privacidad de datos de la Unión Europea. Nuestros clientes en Alemania y en toda la UE pueden usar con confianza los productos M365 de una manera legalmente compatible. para permitirles hacer más con menos.

Microsoft también prometió que intentaría compartir más información sobre sus procesos (es decir, una mayor transparencia).

«Nos tomamos muy en serio los esfuerzos de DSK por una mayor transparencia, y aunque nuestras prácticas de documentación y transparencia superan las de la mayoría de los demás en nuestro espacio, estamos comprometidos a hacerlo aún mejor», dijo la compañía. “Específicamente, como parte de nuestros compromisos de límite de datos de la UE, proporcionaremos documentación de transparencia adicional sobre los flujos de datos de los clientes y los propósitos de procesamiento. También proporcionaremos una documentación más transparente sobre el procesamiento y el seguimiento por parte de los subprocesadores y los empleados de Microsoft fuera de la UE.

No está claro si Microsoft será lo suficientemente transparente al explicar exactamente cómo funcionan sus fuentes de datos y por qué, y si la empresa está dispuesta a cambiarlas.

Entonces, ¿qué significa esto para Microsoft y, lo que es más importante, para los clientes de computación empresarial de Microsoft?

Comencemos con los spin-offs de Microsoft. En comparación con Estados Unidos, Europa se toma muy en serio la privacidad y la ciberseguridad. Y es seguro decir que Alemania tiene la reputación de tomar el cumplimiento más en serio que nadie en la UE o el Reino Unido.

En teoría, esto debería significar graves consecuencias para la empresa. Pero según Peter Dorce, un especialista en privacidad en Alemania que trabaja frecuentemente con los reguladores, es poco probable que Microsoft se vea obligado a realizar más cambios o responder preguntas específicas. Su software simplemente está tan ampliamente distribuido que sería políticamente poco atractivo forzar el problema.

Las autoridades de cumplimiento alemanas «pueden vivir con la situación en la que Microsoft pretende hacer todo bien y las autoridades afirman haber hecho todo lo posible para obligar a Microsoft a cumplir», dijo en una entrevista con Computerworld. Microsoft “no cumple con los requisitos más básicos de GDPR. Carecen de transparencia fundamental. No podemos evaluar lo que hacen porque no nos lo dicen.

Aquí es donde entra la política, donde las fuerzas prácticas pueden influir en las acciones de cumplimiento del gobierno. Los reguladores alemanes “temen represalias. (Con la idea de los reguladores), no obtendremos más presupuesto si decimos que ya no puede usar Office. O incluso Google Analytics, más”, dijo Dorenvant. “Son temas políticos. Nadie quiere ser el malo.

Por lo tanto, es probable que Microsoft patine sobre el tema, al menos por ahora. Pero, ¿qué pasa con los administradores de TI corporativos? ¿Las empresas que utilizan productos de Microsoft son inmunes a las sanciones por cumplimiento? No necesariamente. Puede parecer injusto dejar que Microsoft salga libre de problemas y castigar a sus clientes, pero de ahí el argumento de que es muy probable. Y no solo en Alemania.

«En Bélgica, los Países Bajos, Alemania y otros lugares, hay juicios en curso contra los clientes de productos de Microsoft», dijo.

Esto nos lleva a un problema de cumplimiento de TI corporativo aún mayor. No hace mucho tiempo, un adagio informático popular decía que nadie podía ser despedido por comprar IBM. Esto significaba que quedarse con los proveedores de tecnología más grandes generalmente protegía sus decisiones de compra en gran medida.

En cumplimiento, el mismo pensamiento sugiere que cuando las empresas usan Microsoft, SAP, Oracle, Google o cualquiera de los otros grandes jugadores, TI puede asumir que los aspectos básicos, los problemas de cumplimiento y ciberseguridad más básicos, han sido respaldados (especialmente cuando se trata de a algo como GDPR).

Nunca fue una estrategia sabia, pero ciertamente no lo es hoy. Si Microsoft todavía tiene lagunas en los problemas de cumplimiento de los requisitos mínimos, es probable que los otros jugadores importantes también los tengan.

Para ser franco, su cumplimiento es su cumplimiento. El uso de proveedores de confianza no lo protegerá de las pesadillas regulatorias. Es posible que las autoridades no tengan las agallas para ir en contra de estos proveedores, pero dar el ejemplo de algunas compañías Fortune 1000 es una historia completamente diferente.

Derechos de autor © 2022 IDG Communications, Inc.

Share This