Según DataGuidance, la Autoridad Austriaca de Protección de Datos (DSB) dictaminó que Microsoft implantó ilegalmente cookies de seguimiento en los dispositivos de estudiantes menores de edad que usaban Microsoft 365 Education Edition sin consentimiento, lo que constituyó una violación de la ley. Esta es otra victoria para el grupo activista de privacidad digital None of Your Business (noyb), con sede en Austria, en un caso relacionado.
Según la documentación oficial de Microsoft, las cookies implicadas tienen como finalidad analizar el comportamiento del usuario, recopilar datos del navegador y, por tanto, ofrecer soporte para publicidad. El OSD ha ordenado a Microsoft que deje de rastrear al estudiante que se quejó en un plazo de cuatro semanas. Vale la pena señalar que tanto la escuela involucrada como el Ministerio de Educación de Austria declararon que no tenían conocimiento de la existencia de estas cookies de seguimiento antes de que Noyb presentara la denuncia.
Este fallo surge de una solicitud de investigación relevante realizada por noyb en 2024. En ese momento, la organización solicitó a la agencia austriaca de protección de datos que verificara si Microsoft 365 Education violaba las disposiciones de transparencia del Reglamento General de Protección de Datos (GDPR). Señaló que Microsoft transfirió las obligaciones de protección de datos a las escuelas que utilizan su sistema y no garantizó el derecho de los interesados a acceder a sus propios datos. Incluso a través de los documentos de privacidad de Microsoft, las solicitudes de acceso y la propia investigación de noyb, no fue posible aclarar completamente qué datos de los niños estaba procesando la versión educativa del software.
De hecho, esta no es la primera vez que Microsoft pierde un caso relacionado. En octubre del año pasado, el DSB dictaminó que Microsoft rastreó "ilegalmente" a los estudiantes a través de la plataforma educativa 365 y trató de eludir la responsabilidad de las solicitudes de acceso a datos a las escuelas locales. También le ordenó que proporcionara información completa sobre la transmisión de datos y explicaciones claras de términos como "informes internos", "modelado de negocios" y "mejoras de funciones básicas".
En respuesta al último fallo, un portavoz de Microsoft dijo que Microsoft 365 Education cumple con todos los estándares de protección de datos necesarios y que las instituciones educativas pueden seguir usándolo de conformidad con GDPR. La empresa está estudiando el fallo y decidirá sobre las medidas de seguimiento a su debido tiempo.
El abogado de protección de datos de Noyb, Felix Mikolasch, destacó en el comunicado que el seguimiento de menores es obviamente incompatible con los principios de protección de la privacidad. Microsoft no parece prestar realmente atención a la protección de la privacidad y las medidas pertinentes tienen más bien fines de marketing y relaciones públicas.