noyb se ha anotado otra victoria en su proceso contra Microsoft 365 Educación: La autoridad austriaca de protección de datos (DSB) ha decidido que la empresa instaló ilegalmente cookies en los dispositivos de un alumno sin su consentimiento. Según la propia documentación de Microsoft, estas cookies analizan el comportamiento del usuario, recopilan datos del navegador y se utilizan para publicidad. Microsoft dispone ahora de cuatro semanas para cumplir la normativa y dejar de utilizar cookies de rastreo.
- Decisión del OSD austriaco (DE)
- RP de la anterior decisión del OSD contra Microsoft
- Reclamaciones originales de 2024
Antecedentes. En junio de 2024, noyb había presentado ante el OSD austriaco dos reclamaciones relativas a Microsoft 365 Education en las escuelas. La primera reclamación se resolvió en octubre de 2025. En aquel entonces, el OSD sostuvo que Microsoft había violado el derecho de acceso en virtud del artículo 15 del GDPR. La segunda denuncia, que ya se ha resuelto, se refería al uso de cookies de seguimiento ilegales en Microsoft 365 Educación.
Segundo noyb contra Microsoft. En su decisión más reciente, el OSD ha vuelto a considerar que Microsoft actuó ilegalmente. En concreto, la compañía colocó cookies de seguimiento en los dispositivos de un menor que utilizaba Microsoft 365 Educación. Según la propia documentación de Microsoft, estas cookies analizan el comportamiento del usuario, recopilan datos del navegador y se utilizan con fines publicitarios. El OSD ha ordenado además a Microsoft que deje de rastrear al denunciante en un plazo de cuatro semanas. Tanto la escuela como el Ministerio de Educación austriaco afirmaron que no tenían conocimiento de la existencia de tales cookies de rastreo antes de las denuncias de noyb.
Felix Mikolasch, abogado de protección de datos de noyb: "Está claro que rastrear a menores no es respetuoso con la privacidad. Parece que a Microsoft no le importa mucho la privacidad, a menos que sea para sus declaraciones de marketing y relaciones públicas"
Microsoft Irlanda eludida. Durante el procedimiento, Microsoft también trató de argumentar que su filial de la UE en Irlanda está a cargo de los productos de Microsoft 365 en Europa. El OSD rechazó ese argumento y sostuvo que, de hecho, Microsoft US toma las decisiones pertinentes. Las grandes empresas tecnológicas de EE.UU. suelen alegar que caen bajo jurisdicción irlandesa, porque se sabe que la Comisión de Protección de Datos irlandesa apenas aplica la legislación de la UE.
Probables consecuencias de gran alcance para Microsoft 365. Millones de estudiantes y profesores de toda Europa utilizan Microsoft 365 Educación. Otros millones de personas utilizan el estándar "Microsoft 365" en empresas y autoridades de Europa. El seguimiento de los usuarios sin consentimiento no cumple la legislación de la UE, lo que supone un problema para todas las organizaciones que utilizan Microsoft 365. Las autoridades alemanas de protección de datos ya han considerado que Microsoft 365 no cumple los requisitos del GDPR.
Max Schrems: "Las empresas y las autoridades de la UE deben utilizar software que cumpla la normativa. Microsoft ha vuelto a incumplir la ley"
