La Autoridad Austriaca de Protección de Datos ("DSB") emitió una decisión en la que concluía que Microsoft 365 Educación rastrea ilegalmente a los estudiantes y utiliza los datos de los estudiantes para fines propios de Microsoft. El gigante del software tampoco respondió a una solicitud de acceso relacionada con Microsoft 365 Educación, que se utiliza ampliamente en las escuelas europeas. En su lugar, Microsoft intentó trasladar toda la responsabilidad a las escuelas locales. Aunque las escuelas pertinentes también tienen que proporcionar datos de acceso más detallados e información adicional sobre privacidad de acuerdo con la decisión, ahora le toca a Microsoft responder finalmente cómo utiliza los datos de los usuarios para sus propios fines comerciales.
Cambio de responsabilidades a tres bandas. Durante la pandemia de COVID, muchas escuelas se pasaron rápidamente a la "nube" y las grandes tecnológicas se apresuraron a ofrecer productos "educativos". Sin embargo, Microsoft trasladó toda la responsabilidad de cumplir con las leyes de privacidad a las escuelas y a las autoridades nacionales, que tienen poco o ningún control real sobre el uso de los datos de los estudiantes. Las escuelas locales no suelen tener poder suficiente para oponerse a Microsoft, lo que lleva a una situación de "lo tomas y lo dejas". Ante una solicitud de acceso de un estudiante a los datos personales procesados por Microsoft 365 Educación, esto llevó a una acusación masiva: Microsoft se limitó a remitir al reclamante a su escuela local. Sin embargo, la escuela del denunciante solo pudo proporcionar una información mínima, ya que no tiene forma alguna de acceder a la información que obra en poder de Microsoft. Nadie se sintió capaz de cumplir con los derechos del GDPR. En consecuencia, el denunciante, representado por noyb, presentó una denuncia contra todos los posibles implicados (la escuela local, el consejo local de educación, el Ministerio de Educación y Microsoft US) ante el OSD austriaco.
Felix Mikolasch, abogado especializado en protección de datos de noyb: "Microsoft intentó trasladar casi todas las responsabilidades de Microsoft 365 Educación a las escuelas u otras instituciones nacionales. La DPA austriaca ha decidido ahora que esto no cuela. Celebramos esta decisión"
Seguimiento ilegal de los niños y falta de acceso. La DPA austriaca encontró varias violaciones del GDPR. En primer lugar, descubrió que Microsoft 365 Education utilizaba cookies de seguimiento sin consentimiento, lo que se consideró ilegal. Tanto la escuela como el Ministerio de Educación austriaco afirmaron durante el procedimiento que no tenían conocimiento de dichas cookies de seguimiento antes de la denuncia. El OSD ordenó ahora la supresión de los datos personales pertinentes. En segundo lugar, Microsoft vulneró el derecho de acceso previsto en el artículo 15 del RGPD al no facilitar pleno acceso a los datos del denunciante. Microsoft tendrá ahora que facilitar dicho acceso. Microsoft también tendrá que explicar en términos claros qué significa que utiliza datos para sus fines empresariales, como "modelado empresarial" o "eficiencia energética", y si envió datos personales a LinkedIn, OpenAI o la empresa de seguimiento Xandr.
Felix Mikolasch, abogado especializado en protección de datos de noyb: "Microsoft suele argumentar que sus productos educativos son respetuosos con la privacidad. Este procedimiento demostró que en realidad no es así"
Microsoft deja a oscuras a escuelas y autoridades. Las decisiones también sostienen que la escuela del denunciante y el Ministerio de Educación austriaco deben proporcionar más información, en particular qué datos de los alumnos se transmitieron a Microsoft. Sin embargo, el OSD austriaco también subrayó que Microsoft no proporcionó al Ministerio de Educación información completa sobre el tratamiento de datos en Microsoft 365 Educación, lo que hace básicamente imposible que las escuelas locales cumplan con sus obligaciones en virtud de los artículos 13 y 14 del GDPR.
Felix Mikolasch, abogado de protección de datos de noyb: "La decisión de la DPA austriaca realmente pone de relieve la falta de transparencia con Microsoft 365 Education. Es casi imposible para las escuelas informar a los estudiantes, padres y profesores sobre lo que está sucediendo con sus datos."
Microsoft Irlanda soslayada. Microsoft también intentó argumentar que, de hecho, su filial de la UE en Irlanda está a cargo de los productos de Microsoft 365 en Europa. El OSD rechazó ese argumento y sostuvo que, de hecho, Microsoft US toma las decisiones pertinentes. Las decisiones menores tomadas en Irlanda para adaptar un producto a la UE no trasladan la responsabilidad (y, por tanto, la jurisdicción del caso) a Irlanda. Las grandes empresas tecnológicas de EE.UU. suelen argumentar que caen bajo jurisdicción irlandesa, porque se sabe que la Comisión de Protección de Datos irlandesa apenas aplica la legislación de la UE.
Probables consecuencias de gran alcance para Microsoft 365. Millones de estudiantes y profesores de toda Europa utilizan Microsoft 365 Educación. Otros millones de personas utilizan el estándar "Microsoft 365" en empresas y autoridades de Europa. Informar adecuadamente a los empleados, estudiantes y otros usuarios sobre cómo se utilizan sus datos es obligatorio por ley - pero a menudo imposible de hecho para los clientes comerciales. Si Microsoft no proporciona información clara y más competencias a sus clientes comerciales, el uso de Microsoft 365 difícilmente cumplirá la legislación de la UE. Las autoridades alemanas de protección de datos ya han considerado que Microsoft 365 no cumple los requisitos del GDPR.
Max Schrems, abogado especializado en protección de datos de noyb: "Tenemos proveedores de 'big tech' que intentan hacerse con todo el poder, pero trasladando todas las responsabilidades a los clientes comerciales europeos. Si Microsoft no cambia fundamentalmente la configuración de sus productos, los clientes comerciales europeos no podrán cumplir con sus obligaciones."
