Las cookies de seguimiento estaban un poco envenenadas.
El caso comenzó con una denuncia presentada por la organización noyb en 2024. Las autoridades austriacas determinaron que Microsoft 365 Education utiliza cookies de seguimiento sin el consentimiento de los usuarios, lo que viola la normativa GDPR. Lo que resulta especialmente preocupante es que tanto la escuela como el Ministerio de Educación de Austria afirmaron durante el procedimiento que desconocían la existencia de estas cookies.
Microsoft se ha visto obligado a eliminar todos los datos personales recopilados de esta forma. Además, la empresa violó el derecho de acceso a los datos previsto en el artículo 15 del RGPD al no facilitar información completa sobre los datos objeto de tratamiento.
Se constató que Microsoft, como responsable del tratamiento, violó el derecho de acceso del denunciante (artículo 15 del RGPD) al no proporcionar información completa sobre los datos procesados al utilizar Microsoft Education 365.
Microsoft intentó traspasar la responsabilidad
El regulador austriaco lo rechazó Los intentos de Microsoft de traspasar la responsabilidad a las escuelas e instituciones educativas. Durante la pandemia de COVID-19, muchas escuelas pasaron rápidamente a soluciones en la nube, pero Microsoft ha transferido toda la responsabilidad del cumplimiento de la privacidad a las instalaciones locales.
Cuando el estudiante intentó acceder a su información personal, Microsoft lo dirigió a la escuela, que a su vez no pudo proporcionar información completa porque no tiene acceso a los datos en poder de Microsoft.
Microsoft llamó a la junta directiva
Microsoft ahora debe explicar en detalle lo que significa utilizar los datos de los estudiantes para fines como «modelado de negocios» y «eficiencia energética».. La empresa también está obligada a revelar si ha proporcionado datos personales a LinkedIn, OpenAI o la empresa de publicidad Xandr.
El regulador austriaco también rechazó el argumento de Microsoft de que su filial irlandesa es responsable de los productos Microsoft 365 en Europa. Las autoridades concluyeron que las decisiones clave las toma la estadounidense Microsoft.
Microsoft anunció que revisaría la decisión y determinaría los próximos pasos, al tiempo que enfatizó que Microsoft 365 para Educación cumple con todos los estándares de protección de datos requeridos.
Microsoft 365 para Educación cumple con todos los estándares de protección de datos requeridos y las instituciones del sector educativo pueden seguir usándolo de acuerdo con GDPR. Revisaremos la decisión de la autoridad austriaca de protección de datos y decidiremos los próximos pasos a su debido tiempo.
