Si hay dos cosas que nunca deben mezclarse, es el cumplimiento de la ciberseguridad/privacidad y la política de la empresa. Y, sin embargo, está en el centro de una lucha de cumplimiento entre Microsoft y las autoridades alemanas que podría acabar castigando a los clientes de la empresa.
Datenschutzkonferenz ของเยอรมัน ซึ่งเป็นหน่วยงานกำกับดูแลที่รับผิดชอบในการบริหารกฎข้อบังคับการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) ฉบับภาษาเยอรมัน ได้ประกาศต่อสาธารณะว่า "ไม่มีการใช้ Microsoft Office 365 ที่สอดคล้องกับการป้องกันข้อมูล"
นั่นเป็นถ้อยแถลงที่ชัดเจนและชัดเจนที่สุดที่ฉันเคยเห็นจากหน่วยงานกำกับดูแล
Para ser específicos, los reguladores no han encontrado explícitamente violaciones de las reglas de cumplimiento tanto como han encontrado rutas de datos que Microsoft no explicaría lo suficiente. Estas rutas parecían volcar datos en servidores controlados por Microsoft con sede en los Estados Unidos.
“La pregunta central y recurrente de la serie de discusiones fue en qué casos Microsoft actúa como procesador y en qué casos como controlador. Esto no pudo ser aclarado de manera concluyente. Los controladores deben poder demostrar en todo momento su responsabilidad de conformidad con el art. 5 par. 2 GDPR”, afirma el informe, antes de agregar que “siguen esperando dificultades ya que Microsoft no revela completamente qué procesamiento está teniendo lugar en detalle. Además, Microsoft no explica completamente qué procesamiento se realiza en nombre del cliente o cuál se realiza para sus propios fines. Los documentos contractuales no son específicos a este respecto y, por lo tanto, permiten un procesamiento que no puede evaluarse de manera concluyente o incluso extenderse para sus propios fines.
ไม่น่าแปลกใจที่ Microsoft ไม่เห็นด้วย โดยอ้างว่าผลิตภัณฑ์ของตนเป็นซอฟต์แวร์ที่สมบูรณ์แบบ
«Hoy, Datenschutzkonferenz (DSK) de Alemania expresó su preocupación sobre el cumplimiento de Microsoft 365 (M365) con las leyes de privacidad de datos alemanas y europeas», dijo Microsoft en un comunicado. «Respetuosamente no estamos de acuerdo con la posición de DSK, ya que nos aseguramos de que nuestros productos M365 no cumplan, pero a menudo excedan, las estrictas leyes de privacidad de datos de la Unión Europea. Nuestros clientes en Alemania y en toda la UE pueden usar con confianza los productos M365 de una manera legalmente compatible. para permitirles hacer más con menos.
Microsoft ยังสัญญาว่าจะพยายามแบ่งปันข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการของตน (เช่น ความโปร่งใสมากขึ้น)
«Nos tomamos muy en serio los esfuerzos de DSK por una mayor transparencia, y aunque nuestras prácticas de documentación y transparencia superan las de la mayoría de los demás en nuestro espacio, estamos comprometidos a hacerlo aún mejor», dijo la compañía. “Específicamente, como parte de nuestros compromisos de límite de datos de la UE, proporcionaremos documentación de transparencia adicional sobre los flujos de datos de los clientes y los propósitos de procesamiento. También proporcionaremos una documentación más transparente sobre el procesamiento y el seguimiento por parte de los subprocesadores y los empleados de Microsoft fuera de la UE.
ยังไม่ชัดเจนว่า Microsoft จะมีความโปร่งใสเพียงพอหรือไม่ในการอธิบายว่าแหล่งข้อมูลของตนทำงานอย่างไรและเพราะเหตุใด และบริษัทยินดีที่จะเปลี่ยนแปลงหรือไม่
สิ่งนี้มีความหมายอย่างไรสำหรับ Microsoft และที่สำคัญกว่านั้น สำหรับลูกค้าที่ใช้คอมพิวเตอร์ระดับองค์กรของ Microsoft
Comencemos con los spin-offs de Microsoft. En comparación con Estados Unidos, Europa se toma muy en serio la privacidad y la ciberseguridad. Y es seguro decir que Alemania tiene la reputación de tomar el cumplimiento más en serio que nadie en la UE o el Reino Unido.
En teoría, esto debería significar graves consecuencias para la empresa. Pero según Peter Dorce, un especialista en privacidad en Alemania que trabaja frecuentemente con los reguladores, es poco probable que Microsoft se vea obligado a realizar más cambios o responder preguntas específicas. Su software simplemente está tan ampliamente distribuido que sería políticamente poco atractivo forzar el problema.
Las autoridades de cumplimiento alemanas «pueden vivir con la situación en la que Microsoft pretende hacer todo bien y las autoridades afirman haber hecho todo lo posible para obligar a Microsoft a cumplir», dijo en una entrevista con Computerworld. Microsoft “no cumple con los requisitos más básicos de GDPR. Carecen de transparencia fundamental. No podemos evaluar lo que hacen porque no nos lo dicen.
Aquí es donde entra la política, donde las fuerzas prácticas pueden influir en las acciones de cumplimiento del gobierno. Los reguladores alemanes “temen represalias. (Con la idea de los reguladores), no obtendremos más presupuesto si decimos que ya no puede usar Office. O incluso Google Analytics, más”, dijo Dorenvant. “Son temas políticos. Nadie quiere ser el malo.
Por lo tanto, es probable que Microsoft patine sobre el tema, al menos por ahora. Pero, ¿qué pasa con los administradores de TI corporativos? ¿Las empresas que utilizan productos de Microsoft son inmunes a las sanciones por cumplimiento? No necesariamente. Puede parecer injusto dejar que Microsoft salga libre de problemas y castigar a sus clientes, pero de ahí el argumento de que es muy probable. Y no solo en Alemania.
“ในเบลเยียม เนเธอร์แลนด์ เยอรมนี และที่อื่น ๆ มีการฟ้องร้องลูกค้าของผลิตภัณฑ์ Microsoft อย่างต่อเนื่อง” เขากล่าว
Esto nos lleva a un problema de cumplimiento de TI corporativo aún mayor. No hace mucho tiempo, un adagio informático popular decía que nadie podía ser despedido por comprar IBM. Esto significaba que quedarse con los proveedores de tecnología más grandes generalmente protegía sus decisiones de compra en gran medida.
ในการปฏิบัติตามข้อกำหนด แนวคิดเดียวกันนี้ชี้ให้เห็นว่าเมื่อบริษัทต่างๆ ใช้ Microsoft, SAP, Oracle, Google หรือผู้เล่นรายใหญ่รายอื่นๆ ฝ่ายไอทีสามารถสันนิษฐานได้ว่าพื้นฐาน ความปลอดภัยทางไซเบอร์ขั้นพื้นฐานที่สุด และการปฏิบัติตามข้อกำหนดได้รับการสนับสนุน (โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวกับ บางอย่างเช่น GDPR)
Nunca fue una estrategia sabia, pero ciertamente no lo es hoy. Si Microsoft todavía tiene lagunas en los problemas de cumplimiento de los requisitos mínimos, es probable que los otros jugadores importantes también los tengan.
Para ser franco, su cumplimiento es su cumplimiento. El uso de proveedores de confianza no lo protegerá de las pesadillas regulatorias. Es posible que las autoridades no tengan las agallas para ir en contra de estos proveedores, pero dar el ejemplo de algunas compañías Fortune 1000 es una historia completamente diferente.
ลิขสิทธิ์ © 2022 IDG Communications, Inc.
