Sulla scia della pandemia, le scuole dell'Unione Europea hanno iniziato a implementare sempre più servizi digitali per l'apprendimento online. Se da un lato questi sforzi di modernizzazione sono uno sviluppo apprezzabile, dall'altro un piccolo numero di grandi aziende tecnologiche ha immediatamente cercato di dominare lo spazio, spesso con l'intenzione di abituare i bambini ai loro sistemi e creare una nuova generazione di futuri clienti "fedeli". Una di queste è Microsoft, i cui servizi 365 Education violano i diritti di protezione dei dati dei bambini. Quando gli studenti vogliono esercitare i loro diritti GDPR, Microsoft afferma che le scuole sono il "responsabile del trattamento" dei loro dati. Tuttavia, le scuole non hanno alcun controllo sui sistemi.
- Prima denuncia contro Microsoft (DE)
- Prima denuncia contro Microsoft (EN auto-traduzione)
- Secondo reclamo contro Microsoft (DE)
- Seconda denuncia contro Microsoft (EN auto-traduzione)
Spostamento di responsabilità tra Big Tech e scuole locali. I fornitori di software come Microsoft hanno un enorme potere di mercato, che consente loro di dettare i termini e le condizioni dei contratti con chiunque voglia utilizzare i loro prodotti. Allo stesso tempo, questi fornitori di software cercano di eludere le responsabilità insistendo sul fatto che quasi tutto ricade sulle autorità locali o sulle scuole. In realtà, nessuno dei due ha il potere di influenzare il modo in cui Microsoft tratta i dati degli utenti. Al contrario, si trovano di fronte a una situazione di "prendere o lasciare" in cui tutto il potere decisionale e i profitti spettano a Microsoft, mentre le scuole devono sopportare la maggior parte dei rischi. Le scuole non hanno alcuna possibilità realistica di negoziare o modificare i termini.
I diritti del GDPR vengono ignorati. In pratica, ciò porta a una situazione in cui Microsoft sta cercando di scaricare contrattualmente la maggior parte delle sue responsabilità legali ai sensi del GDPR sulle scuole che forniscono servizi Microsoft 365 Education ai loro alunni o studenti. Ciò significa, ad esempio, che le richieste di accesso a Microsoft rimangono senza risposta, mentre le scuole non hanno un modo realistico di soddisfare tali richieste perché non possiedono i dati necessari.
Maartje de Graaf, avvocato specializzato in protezione dei dati presso la noyb: "Questo approccio "prendere o lasciare" da parte di fornitori di software come Microsoft sta spostando tutte le responsabilità del GDPR sulle scuole. Microsoft detiene tutte le informazioni chiave sul trattamento dei dati nel suo software, ma punta il dito contro le scuole quando si tratta di esercitare i diritti. Le scuole non hanno modo di rispettare gli obblighi di trasparenza e informazione"
Distaccati dalla realtà. In Austria, dove la noyb ha presentato i suoi due reclami, i presidi locali sono presumibilmente incaricati di determinare le "finalità e i mezzi" ai sensi dell'articolo 4(7) del GDPR e di garantire la conformità rispetto ai fornitori di software internazionali come Microsoft. Il risultato è un regime di conformità completamente distaccato dalla realtà del trattamento dei dati.
Maartje de Graaf, avvocato specializzato in protezione dei dati presso noyb: "Con l'attuale sistema che Microsoft sta imponendo alle scuole, la scuola dovrebbe sottoporre Microsoft a un audit o dare istruzioni su come trattare i dati degli alunni. Tutti sanno che tali accordi contrattuali sono fuori dalla realtà. Questo non è altro che un tentativo di spostare la responsabilità dei dati dei bambini il più lontano possibile da Microsoft"
Un labirinto di documentazione sulla privacy. Cercare di scoprire esattamente quali politiche o documenti sulla privacy si applicano all'uso di Microsoft 365 Education è di per sé una spedizione. C'è una grave mancanza di trasparenza, che costringe gli utenti e le scuole a navigare in un labirinto di politiche sulla privacy, documenti, termini e contratti che sembrano tutti applicabili. Le informazioni fornite in questi documenti sono sempre leggermente diverse, ma sempre vaghe su ciò che accade effettivamente ai dati dei bambini quando utilizzano i servizi di Microsoft 365 Education.
Maartje de Graaf, avvocato specializzato in protezione dei dati presso la noyb: "Microsoft fornisce informazioni così vaghe che anche un avvocato qualificato non può comprendere appieno come l'azienda tratta i dati personali in Microsoft 365 Education. È quasi impossibile per i bambini o per i loro genitori scoprire la portata della raccolta dei dati di Microsoft"
Tracciare segretamente i bambini. Ma questo non è l'unico problema. Sebbene il denunciante non abbia acconsentito al tracciamento, Microsoft 365 Education ha comunque installato dei cookie che, secondo la documentazione di Microsoft stessa, analizzano il comportamento degli utenti, raccolgono i dati del browser e vengono utilizzati per la pubblicità. Tale tracciamento, comunemente utilizzato per una profilazione altamente invasiva, viene apparentemente effettuato senza che la scuola del denunciante ne sia a conoscenza. Poiché Microsoft 365 Education è ampiamente utilizzato, è probabile che l'azienda tracci tutti i minori che utilizzano i suoi prodotti educativi. L'azienda non ha una base giuridica valida per questo trattamento.
Felix Mikolasch, avvocato per la protezione dei dati presso la noyb: "La nostra analisi dei flussi di dati è molto preoccupante. Microsoft 365 Education sembra tracciare gli utenti indipendentemente dalla loro età. È probabile che questa pratica riguardi centinaia di migliaia di alunni e studenti nell'UE e nel SEE. Le autorità dovrebbero finalmente intervenire e far rispettare efficacemente i diritti dei minori"
La noyb chiede all'autorità austriaca per la protezione dei dati (DSB) di indagare e analizzare concretamente quali dati vengono elaborati da Microsoft 365 Education. Né la documentazione sulla privacy di Microsoft, né le richieste di accesso, né le ricerche condotte da noybsono riuscite a chiarire completamente questo aspetto, che viola le disposizioni sulla trasparenza del GDPR. Inoltre, l'azienda non ha rispettato il diritto di accesso. Poiché i termini e le condizioni e la documentazione sulla privacy di Microsoft 365 Education sono uniformi per l'UE/SEE, tutti i bambini che vivono in questi Paesi sono esposti alle stesse violazioni dei loro diritti GDPR. Pertanto, noyb suggerisce anche che l'autorità dovrebbe imporre una multa a Microsoft.