La Datenschutzbehörde (DSB), autoridad de Austria para la protección de datos, resolvió que Microsoft violó las normas de privacidad del Reglamento General de Protección de Datos (GDPR) al rastrear y procesar información de estudiantes que utilizan el paquete Microsoft 365 Education.
Según la investigación, la compañía recolectó datos personales sin autorización y negó el acceso completo a esa información a un menor que presentó la denuncia, representado por el Centro Europeo de Derechos Digitales, una organización de defensa de la privacidad conocida como noyb.
Acceso denegado y rastreo sin consentimiento
El caso comenzó cuando un estudiante pidió a Microsoft conocer qué datos almacenaba sobre él en su cuenta educativa. En lugar de responder directamente, la empresa lo remitió a su escuela, que solo pudo ofrecer información parcial, ya que no tiene acceso a todos los datos que Microsoft recopila. Ante esa situación, el estudiante, asistido por noyb, presentó una denuncia formal ante la DSB contra la escuela, la junta educativa local, el Ministerio de Educación y la propia empresa tecnológica.
Tras analizar el caso, la DSB concluyó que Microsoft usó cookies de rastreo en su software educativo sin el consentimiento de los usuarios, lo que constituye una infracción directa del GDPR. Tanto la escuela como el Ministerio de Educación aseguraron desconocer la existencia de esas cookies antes de la denuncia. La autoridad ordenó a la empresa eliminar toda la información personal recolectada mediante ese sistema.
Además, el organismo austríaco determinó que Microsoft incumplió el artículo 15 del GDPR, que garantiza el derecho de acceso a los datos personales. La compañía deberá ahora proporcionar al denunciante acceso completo a su información y explicar de manera clara con qué fines comerciales utiliza esos datos.
“La decisión de la DSB deja en evidencia la falta de transparencia en Microsoft 365 Education. Las escuelas, los padres y los alumnos no pueden saber realmente qué ocurre con la información que se genera en esas plataformas,” señaló Felix Mikolasch, abogado especializado en protección de datos de noyb.
El caso Microsoft, con consecuencias para toda Europa
Si bien la resolución se refiere a un solo caso, la organización noyb considera que la decisión marca un precedente que puede afectar a miles de instituciones y empresas europeas que usan los servicios de Microsoft. El presidente de la entidad, Max Schrems, advirtió que “las grandes tecnológicas intentan concentrar el poder y trasladar toda la responsabilidad legal a los clientes comerciales europeos”.
De acuerdo con Schrems, si Microsoft no modifica de manera profunda la estructura de sus productos, las instituciones que los utilizan no podrán cumplir con las obligaciones que impone la ley europea de protección de datos. En otras palabras, las escuelas que dependen del sistema Microsoft 365 Education estarían, sin saberlo, en riesgo de incumplir la normativa.
El fallo austríaco se suma a una serie de cuestionamientos en Europa sobre la forma en que las grandes empresas tecnológicas manejan la información personal. En los últimos años, varias agencias nacionales advirtieron sobre la falta de control de las plataformas educativas digitales que recopilan datos de menores de edad.
Un modelo educativo bajo sospecha
Microsoft 365 Education es utilizado por millones de estudiantes en todo el continente. El sistema permite acceder a servicios como Word, Excel, Teams y OneDrive mediante cuentas institucionales. En teoría, estos entornos están diseñados para fines educativos, pero el caso austríaco reveló que la compañía también utiliza parte de esos datos con fines comerciales y de desarrollo de productos, lo que podría violar las normas europeas sobre privacidad infantil.
Expertos en ciberseguridad explican que las cookies de rastreo y los identificadores digitales permiten conocer hábitos de uso, ubicación, y patrones de comportamiento de los usuarios. En el caso de los menores, estos datos tienen una protección especial en el marco del GDPR.
Según la resolución, Microsoft deberá eliminar los datos obtenidos de forma irregular y presentar un informe detallado sobre los mecanismos de seguimiento integrados en su software educativo. La DSB también podría imponer sanciones económicas si la empresa no cumple las órdenes.
En la actualidad, el paquete educativo de Microsoft representa una parte importante de su negocio institucional en Europa. Aunque la compañía no publicó una cifra oficial, especialistas del sector estiman que la modificación de sus sistemas de privacidad podría implicar un costo operativo de EUR 25 millones en ajustes técnicos y auditorías internas.
La respuesta pendiente de Microsoft
Hasta el momento, la empresa no emitió un comunicado público sobre la resolución de la DSB. Sin embargo, fuentes cercanas a su sede europea aseguran que Microsoft analiza presentar una apelación, argumentando que la gestión de datos se realiza bajo contratos firmados con las instituciones educativas, que son las responsables de administrar las cuentas.
La DSB, por su parte, sostiene que esta interpretación no es válida, ya que la empresa mantiene control directo sobre los servidores, las herramientas de recopilación de datos y los fines de su uso comercial. De confirmarse la sanción, el fallo podría influir en la revisión de contratos educativos en otros países de la Unión Europea.
El caso también pone sobre la mesa una cuestión más amplia: la dependencia de las escuelas europeas de plataformas privadas. Cada vez más instituciones delegan el manejo de sus sistemas digitales a empresas estadounidenses, lo que dificulta el control sobre el uso de la información.
Con esta decisión, Austria se posiciona como uno de los países más estrictos en la aplicación del GDPR en entornos educativos. La medida podría servir como referencia para otras autoridades de protección de datos en el continente.
“La educación digital no puede construirse a costa de la privacidad de los estudiantes,” concluyó Mikolasch. La frase resume el eje del debate: la tecnología puede mejorar el aprendizaje, pero su avance debe ir acompañado de transparencia, límites claros y respeto por los derechos de los usuarios más vulnerables.
Hacé tu comentario