La nota organizzazione noyb, guidata dall’avvocato Max Schrems, ha presentato due denunce contro Microsoft al garante della privacy austriaco per la violazione del GDPR (Regolamento generale sulla protezione dei dati). La suite di produttività Microsoft 365 Education raccoglierebbe dati che possono essere usati per tracciare le attività degli studenti. L’azienda di Redmond afferma che le richieste correlate devono essere indirizzate alle scuole.
Microsoft ignora il GDPR
L’organizzazione scrive nelle denunce che, durante la pandemia COVID-19, molte scuole hanno incrementato l’uso dei servizi digitali. Uno di essi è Microsoft 365 Education. L’azienda di Redmond, come altre Big Tech, stabilisce i termini e le condizioni dei contratti che gli utenti devono accettare per poter usare i suoi prodotti.
Secondo Microsoft, gli utenti devono rivolgersi agli istituti scolastici per esercitare i loro diritti in base al GDPR. Le due denunce sono state presentate da noyb al garante della privacy austriaco per conto dei genitori di due studenti che hanno utilizzato Microsoft 365 Education.
Nel primo caso sono state chieste a Microsoft informazioni sulla raccolta dei dati personali attraverso il software. L’azienda di Redmond ha risposto che tale richiesta deve essere indirizzata alla scuola. Quest’ultima ha dichiarato che l’unico dato personale elaborato è l’indirizzo email dell’account usato per l’accesso.
Secondo noyb, Microsoft ignora il GDPR perché trasferisce la responsabilità legale alle scuole. C’è inoltre una mancanza di trasparenza, in quanto la documentazione sulla privacy non è chiara. Nemmeno un avvocato qualificato riesce a capire come avviene l’elaborazione dei dati.
Nel secondo caso sono stati individuati diversi cookie sul dispositivo (installati durante l’uso del software) e l’invio di alcuni dati ai server di Microsoft (telemetria). Questi cookie permettono il tracciamento delle attività e la profilazione degli studenti. Ciò avviene senza consenso e senza una base legale valida.
L’organizzazione ha quindi chiesto al garante della privacy austriaco di avviare un’indagine, obbligare Microsoft a rispondere alle richieste e imporre una sanzione (considerato che i dati raccolti appartengono a minorenni).