noyb ha ottenuto un'altra vittoria nel suo procedimento contro Microsoft 365 Education: L'autorità austriaca per la protezione dei dati (DSB) ha deciso che l'azienda ha installato illegalmente dei cookie sui dispositivi di un alunno senza consenso. Secondo la documentazione fornita da Microsoft, questi cookie analizzano il comportamento degli utenti, raccolgono dati sul browser e vengono utilizzati per la pubblicità. Microsoft ha ora quattro settimane di tempo per adeguarsi e cessare l'uso dei cookie di tracciamento.
- Decisione del DSB austriaco (DE)
- PR per la precedente decisione del DSB contro Microsoft
- Reclami originali del 2024
Premessa. Nel giugno 2024, noyb ha presentato al DSB austriaco due reclami relativi a Microsoft 365 Education nelle scuole. Il primo reclamo è stato deciso nell'ottobre 2025. All'epoca, il DSB aveva ritenuto che Microsoft avesse violato il diritto di accesso ai sensi dell'articolo 15 del GDPR. Il secondo reclamo, che è stato ora deciso, riguardava l'uso di cookie di tracciamento illegali in Microsoft 365 Education.
Il secondo noyb vittoria contro Microsoft. Nella sua ultima decisione, il DSB ha nuovamente stabilito che Microsoft ha agito illegalmente. Nello specifico, l'azienda ha inserito dei cookie di tracciamento nei dispositivi di un minore che utilizzava Microsoft 365 Education. Secondo la documentazione fornita da Microsoft, questi cookie analizzano il comportamento degli utenti, raccolgono i dati del browser e vengono utilizzati per la pubblicità. Il DSB ha inoltre ordinato a Microsoft di interrompere il tracciamento del denunciante entro quattro settimane. Sia la scuola che il Ministero dell'Istruzione austriaco hanno dichiarato di non essere a conoscenza di tali cookie di tracciamento prima delle denunce della Noyb.
Felix Mikolasch, avvocato per la protezione dei dati della noyb: "Tracciare i minori non è chiaramente rispettoso della privacy. Sembra che a Microsoft non importi molto della privacy, a meno che non si tratti di dichiarazioni di marketing e PR"
Microsoft Irlanda scavalcata. Nel corso del procedimento, Microsoft ha anche cercato di sostenere che la sua filiale europea in Irlanda è responsabile dei prodotti Microsoft 365 in Europa. Il DSB ha respinto questa argomentazione e ha ritenuto che, in realtà, sia Microsoft US a prendere le decisioni pertinenti. Le grandi aziende tecnologiche statunitensi sostengono regolarmente di rientrare nella giurisdizione irlandese, perché la Commissione irlandese per la protezione dei dati è nota per non applicare quasi mai la legge dell'UE.
Probabili conseguenze di vasta portata per Microsoft 365. Microsoft 365 Education è utilizzato da milioni di studenti e insegnanti in tutta Europa. Milioni di altre persone utilizzano la versione standard di "Microsoft 365" presso aziende e autorità in Europa. Il tracciamento degli utenti senza consenso non è conforme alla legge dell'UE, il che costituisce un problema per tutte le organizzazioni che utilizzano Microsoft 365. Le autorità tedesche per la protezione dei dati hanno già considerato Microsoft 365 non conforme ai requisiti del GDPR.
Max Schrems: "Le aziende e le autorità dell'UE devono utilizzare software conformi. Ancora una volta Microsoft non ha rispettato la legge"
