L'Autorità austriaca per la protezione dei dati ("DSB") ha emesso una decisione che stabilisce che Microsoft 365 Education traccia illegalmente gli studenti e utilizza i dati degli studenti per i propri scopi. Il gigante del software non ha inoltre risposto a una richiesta di accesso relativa a Microsoft 365 Education, ampiamente utilizzato nelle scuole europee. Al contrario, Microsoft ha cercato di scaricare tutte le responsabilità sulle scuole locali. Sebbene le scuole interessate debbano fornire dati di accesso più dettagliati e ulteriori informazioni sulla privacy in base alla decisione, spetta ora a Microsoft rispondere finalmente su come utilizza i dati degli utenti per i propri scopi commerciali.
Trasferimento di responsabilità a tre vie. Durante la pandemia di COVID molte scuole sono passate rapidamente al "cloud" e le Big Tech si sono affrettate a fornire prodotti "educativi". Tuttavia, Microsoft ha spostato tutta la responsabilità di rispettare le leggi sulla privacy sulle scuole e sulle autorità nazionali, che hanno poco o nessun controllo effettivo sull'uso dei dati degli studenti. Le scuole locali di solito non sono abbastanza potenti per opporsi a Microsoft, il che porta a una situazione di "prendere e lasciare". Di fronte alla richiesta di accesso di uno studente ai dati personali elaborati da Microsoft 365 Education, si è assistito a un massiccio puntamento di dita: Microsoft ha semplicemente rinviato il reclamante alla sua scuola locale. Tuttavia, la scuola del reclamante ha potuto fornire solo informazioni minime, in quanto non ha modo di accedere alle informazioni di Microsoft. Nessuno si è sentito in grado di rispettare i diritti del GDPR. Il reclamante, rappresentato da noyb, ha quindi presentato un reclamo contro tutti i possibili attori (la scuola locale, il consiglio locale per l'istruzione, il Ministero dell'Istruzione e Microsoft US) presso l'Ufficio austriaco per la protezione dei dati.
Felix Mikolasch, avvocato specializzato in protezione dei dati presso noyb: "Microsoft ha cercato di spostare quasi tutte le responsabilità di Microsoft 365 Education alle scuole o ad altre istituzioni nazionali. L'autorità austriaca per la protezione dei dati ha deciso che ciò non è accettabile. Accogliamo con favore questa decisione"
Tracciamento illegale dei bambini e impossibilità di accesso. Il DSB austriaco ha riscontrato diverse violazioni del GDPR. In primo luogo, ha riscontrato che Microsoft 365 Education utilizzava cookie di tracciamento senza consenso, il che è risultato illegale. Sia la scuola che il Ministero dell'Istruzione austriaco hanno dichiarato durante la procedura di non essere a conoscenza di tali cookie di tracciamento prima del reclamo. Il DSB ha ora ordinato la cancellazione dei dati personali in questione. In secondo luogo, Microsoft ha violato il diritto di accesso ai sensi dell'articolo 15 del GDPR non fornendo un accesso completo ai dati del reclamante. Microsoft dovrà ora fornire tale accesso. Microsoft dovrà anche spiegare in termini chiari cosa significa che utilizza i dati per i suoi scopi aziendali, come la "modellazione aziendale" o l'"efficienza energetica", e se ha inviato dati personali a LinkedIn, OpenAI o alla società di tracciamento Xandr.
Felix Mikolasch, avvocato specializzato in protezione dei dati presso la noyb: "Microsoft è solita sostenere che i suoi prodotti educativi sono rispettosi della privacy. Questa procedura ha dimostrato che non è proprio così"
Microsoft lascia scuole e autorità all'oscuro. La decisione stabilisce inoltre che la scuola del denunciante e il Ministero dell'Istruzione austriaco debbano fornire ulteriori informazioni, in particolare quali informazioni degli studenti sono state trasmesse a Microsoft. Tuttavia, il DSB austriaco ha anche sottolineato che Microsoft non ha fornito al Ministero dell'Istruzione informazioni complete sul trattamento dei dati in Microsoft 365 Education, il che rende sostanzialmente impossibile per le scuole locali rispettare gli obblighi previsti dagli articoli 13 e 14 del GDPR.
Felix Mikolasch, avvocato specializzato in protezione dei dati presso la noyb: "La decisione della DPA austriaca mette davvero in evidenza la mancanza di trasparenza di Microsoft 365 Education. È quasi impossibile per le scuole informare studenti, genitori e insegnanti su ciò che accade con i loro dati"
Microsoft Irlanda scavalcata. Microsoft ha anche cercato di sostenere che in realtà la sua filiale europea in Irlanda è responsabile dei prodotti Microsoft 365 in Europa. Il DSB ha respinto questa argomentazione e ha ritenuto che in realtà sia Microsoft US a prendere le decisioni pertinenti. Le decisioni minori prese in Irlanda per adattare un prodotto all'UE non spostano la responsabilità (e quindi la giurisdizione del caso) all'Irlanda. Le grandi aziende tecnologiche statunitensi sostengono regolarmente di rientrare nella giurisdizione irlandese, perché la Commissione irlandese per la protezione dei dati è nota per non applicare quasi mai la legge dell'UE.
Probabili conseguenze di vasta portata per Microsoft 365. Microsoft 365 Education è utilizzato da milioni di studenti e insegnanti in tutta Europa. Milioni di altre persone utilizzano lo standard "Microsoft 365" presso aziende e autorità in Europa. Informare adeguatamente i dipendenti, gli studenti e gli altri utenti sulle modalità di utilizzo dei loro dati è obbligatorio per legge, ma spesso di fatto impossibile per i clienti commerciali. Se Microsoft non fornisce informazioni chiare e maggiori poteri ai suoi clienti commerciali, l'utilizzo di Microsoft 365 è difficilmente conforme alla legge dell'UE. Le autorità tedesche per la protezione dei dati hanno già considerato Microsoft 365 non conforme ai requisiti del GDPR.
Max Schrems, avvocato specializzato in protezione dei dati presso la noyb: "Abbiamo fornitori di 'big tech' che cercano di ottenere tutto il potere, ma scaricano tutte le responsabilità sui clienti commerciali europei. Se Microsoft non cambia radicalmente la configurazione dei suoi prodotti, i clienti commerciali europei non saranno in grado di rispettare i loro obblighi"
