Il garante della privacy austriaco ha accertato la violazione del GDPR (Regolamento generale sulla protezione dei dati) da parte dell’azienda di Redmond. La decisione arriva in seguito alla denuncia presentata l’anno scorso da noyb, organizzazione non-profit guidata dal noto avvocato Max Schrems, in merito alla raccolta dei dati degli studenti che hanno usato la suite Microsoft 365 Education.
Tracciamento illegale e accesso negato
L’organizzazione aveva presentato due denunce per conto di due clienti all’inizio di giugno 2024. Il garante della privacy austriaco ha pubblicato la decisione su una delle due, confermando quando ipotizzato da noyb. Microsoft 365 Education è la suite utilizzata nelle scuole. Invece di rispondere alle richieste di accesso ai dati, l’azienda di Redmond ha comunicato che gli utenti devono rivolgersi agli istituti scolastici che, ovviamente, non possono fornire le informazioni conservate sui server di Microsoft.
Un avvocato di noyb ha evidenziato che l’azienda di Redmond scarica le responsabilità alla scuole e alle autorità nazionali. Il garante della privacy austriaco ha accertato tre violazioni del GDPR. Microsoft 365 Education ha utilizzato cookie di tracciamento senza consenso, quindi in maniera illegale. Microsoft deve ora cancellare i dati personali in questione.
Microsoft ha inoltre violato il diritto di accesso ai sensi dell’articolo 15 del GDPR, pertanto dovrà ora fornire tale accesso. Infine, l’azienda di Redmond dovrà spiegare in termini chiari cosa significa che utilizza i dati per la “modellazione aziendale” o l'”efficienza energetica” e se ha inviato dati personali a LinkedIn, OpenAI o alla società di tracciamento Xandr.
Durante il procedimento, Microsoft ha evidenziato che il garante della privacy competente è quelli irlandese. Il garante austriaco ha respinto tale argomentazione perché è la sede statunitense di Microsoft che prende decisioni, non quella irlandese. L’organizzazione noyb ha sottolineato che le Big Tech cercano di usare questo stratagemma perché la DPC (Data Protection Commission) dell’Irlanda “è nota per non applicare quasi mai la legge europea” (recentemente è stata nominata commissario una ex dipendente di Meta).
La decisione del garante austriaco potrebbe avere conseguenze anche sulle altre versioni di Microsoft 365. Il garante tedesco ha già dichiarato a fine 2022 che la suite non rispetta il GDPR. Un portavoce di Microsoft ha dichiarato che rispetta tutti i requisiti della legge.
Ti potrebbe interessare
11 ott 2025