La autoridad de protección de datos de Austria falla contra Microsoft
La Autoridad de Protección de Datos de Austria (DSB) dictaminó que Microsoft violó las leyes de privacidad europeas (GDPR) al rastrear de forma ilegal a estudiantes mediante su plataforma Microsoft 365 Education y al no proporcionar información completa sobre el uso de los datos recolectados.
El fallo responde a una denuncia interpuesta por la organización noyb (None of Your Business), liderada por el abogado y activista de privacidad Max Schrems, quien ha encabezado varios casos relevantes contra grandes tecnológicas en Europa.
El regulador determinó que Microsoft actuó como responsable del tratamiento (controller) y vulneró el artículo 15 del GDPR, al no facilitar al denunciante información completa sobre los datos procesados y su finalidad.
Asimismo, ordenó a la compañía proporcionar explicaciones claras sobre términos como “informes internos”, “modelado de negocio” y “mejora de funcionalidades principales”, además de revelar si los datos fueron compartidos con terceros.
Antecedentes: una queja originada durante la pandemia
La denuncia tiene su origen en la época de la pandemia de COVID-19, cuando miles de escuelas migraron aceleradamente al aprendizaje en línea utilizando plataformas como Microsoft 365 Education.
Según noyb, Microsoft habría trasladado la responsabilidad del cumplimiento del GDPR a las escuelas y autoridades educativas nacionales, que carecen de control real sobre el procesamiento de los datos de los estudiantes.
Cuando un estudiante solicitó acceso a sus datos personales, Microsoft remitió la solicitud al centro educativo, el cual no tenía la capacidad técnica ni legal para acceder a la información almacenada en los sistemas de Microsoft.
Esto provocó una cadena de evasiones de responsabilidad entre las instituciones educativas y la empresa, dejando al usuario sin una respuesta adecuada sobre cómo se utilizaban sus datos personales.
Implicaciones del fallo: responsabilidad directa sobre Microsoft
La decisión del regulador austriaco establece un precedente importante para el ecosistema tecnológico europeo, al confirmar que Microsoft no puede delegar ni transferir sus obligaciones de privacidad a entidades locales sin control sobre el tratamiento de la información.
El fallo también rechazó la defensa de Microsoft, que argumentaba que la jurisdicción debía recaer en su filial irlandesa, determinando que la responsabilidad final corresponde a Microsoft Corporation (EE. UU.).
La resolución obliga a Microsoft a entregar información completa sobre los datos transmitidos y procesados en el entorno educativo, y a aclarar los fines comerciales y técnicos detrás de su uso. Además, tanto la escuela involucrada como las autoridades educativas federales deberán proporcionar información adicional en un plazo máximo de diez semanas, mientras que la queja contra la autoridad provincial fue desestimada.
Reacción de Microsoft y posición del grupo noyb
En respuesta, un portavoz de Microsoft declaró que Microsoft 365 para Educación cumple con los estándares de protección de datos y que las instituciones educativas pueden seguir utilizándolo conforme al GDPR.
La compañía afirmó que revisará la decisión de la autoridad austriaca y definirá sus próximos pasos legales en los próximos días.
Por su parte, Max Schrems, representante de noyb, señaló que “los grandes proveedores tecnológicos buscan concentrar poder mientras trasladan toda la responsabilidad a los clientes europeos”, advirtiendo que si Microsoft no reestructura fundamentalmente sus productos, las organizaciones europeas no podrán cumplir plenamente con sus obligaciones legales en materia de privacidad.
Conclusiones
- El caso refuerza el creciente escrutinio que enfrentan las grandes corporaciones tecnológicas en Europa respecto al tratamiento de datos personales en entornos educativos y de nube.
- La resolución contra Microsoft representa un llamado de atención para el sector EdTech, que debe garantizar transparencia, control y responsabilidad compartida en la gestión de datos de menores y estudiantes.
- El cumplimiento estricto del Reglamento General de Protección de Datos (GDPR) continúa siendo un pilar central en la confianza digital y la protección de la privacidad dentro del espacio europeo.
