Defensores de los niños contra Microsoft: La UE sospecha que Microsoft 365 Education viola el GDPR

La Unión Europea ha iniciado una investigación sobre Microsoft 365 Education por posibles violaciones de privacidad. La organización de derechos humanos sin fines de lucro NOYS ha presentado dos quejas ante la autoridad austriaca de protección de datos.

La primera investigación se centra en la transparencia y la legalidad del uso de los datos. En NOYS, están preocupados porque los datos de los menores se están procesando ilegalmente. En un comunicado de prensa , la organización señala que la información proporcionada por Microsoft sobre cómo se utilizan los datos de los niños es «vaga».

Las regulaciones generales del GDPR requieren un alto nivel de protección de datos para los niños, así como transparencia y responsabilidad en su procesamiento. También se necesita una base legal para dicho procesamiento. Las violaciones confirmadas pueden ocasionar multas de hasta el 4% del volumen de negocios anual global de la empresa, lo que para Microsoft podría significar miles de millones de dólares.

NOYS acusa a Microsoft de intentar evadir sus obligaciones legales como controlador de datos de niños, transfiriendo la responsabilidad a las escuelas mediante contratos. En NOYS, creen que las escuelas no pueden cumplir con los requisitos de la UE sobre transparencia y derechos de acceso a los datos, ya que no saben qué es exactamente lo que Microsoft hace con los datos de los niños.

El paquete en la nube de Microsoft 365 Education puede ofrecerse gratuitamente a las escuelas que cumplan ciertos criterios. NOYS afirma que la información proporcionada es tan poco clara que incluso un abogado calificado no puede entender completamente cómo la empresa procesa los datos personales.

«El enfoque de 'tómalo o déjalo', utilizado por proveedores de software como Microsoft, transfiere todas las responsabilidades de cumplimiento del GDPR a las escuelas. Microsoft posee toda la información clave sobre el proceso de procesamiento de datos, pero asigna la responsabilidad a las escuelas en la implementación de los derechos», agregó NOYS.

La segunda acusación de NOYS sostiene que Microsoft rastrea secretamente a los niños. Según la organización, Microsoft 365 Education utiliza cookies de seguimiento, a pesar de la falta de consentimiento para ello. Las cookies recopilan datos sobre el comportamiento del usuario en el navegador y también se utilizan para publicidad.

NOYS afirma que tales métodos de seguimiento se llevan a cabo sin el conocimiento de las escuelas y sin una base legal, lo que va en contra de las normas del GDPR para el uso de datos de niños con fines de marketing. Además, como señala NOYS, Microsoft 365 Education rastrea a los usuarios independientemente de su edad, lo que podría afectar a cientos de miles de alumnos y estudiantes en la UE y el EEE.

NOYS solicita que la autoridad de supervisión austriaca (DPA) investigue las quejas y determine qué datos se están procesando en Microsoft 365 Education. La organización también insiste en imponer una multa si se confirman las violaciones del GDPR.

El representante de Microsoft declaró que Microsoft 365 Education cumple con el GDPR y otras leyes de privacidad aplicables, y la compañía está lista para responder cualquier pregunta de las agencias de protección de datos.

Aunque Microsoft tiene una base regional en Irlanda, lo que generalmente conduce a la transferencia de quejas transfronterizas a la Comisión Irlandesa de Protección de Datos, el representante de NOYS enfatizó que las quejas involucran escuelas y estudiantes austriacos, y espera que la DPA austriaca investigue el caso de forma independiente.

Las quejas relacionadas con los datos de los niños ya han llevado a multas significativas, como la multa de 405 millones de euros impuesta a Meta por violaciones en la protección de datos de menores en Instagram en 2022.