La Autoridad austriaca concluye que Microsoft 365 infringió el RGPD al rastrear datos de estudiantes sin base legal

La Autoridad de Protección de Datos de Austria (DSB) ha resuelto que Microsoft infringió el Reglamento General de Protección de Datos (RGPD) al recopilar y utilizar datos personales de estudiantes mediante cookies de seguimiento no esenciales en su plataforma Microsoft 365 Education, sin obtener el consentimiento previo de los usuarios ni contar con una base jurídica válida.

La decisión del DSB se origina en una denuncia presentada en 2024 por la asociación noyb (asociación austriaca por la defensa de la privacidad) en representación de una menor, tras negarse reiteradamente el ejercicio de su derecho de acceso a los datos personales tratados.

Durante la investigación, la DSB comprobó que Microsoft, el Ministerio Federal de Educación de Austria y el centro escolar actuaban como corresponsables del tratamiento, sin definir claramente sus respectivas obligaciones.

El organismo determinó que Microsoft intentó trasladar la responsabilidad a las instituciones educativas, pese a ser la entidad estadounidense (Microsoft Corporation) quien tomaba las decisiones clave sobre el tratamiento y el uso de los datos, por lo que fue considerada responsable principal.

La Autoridad constató la instalación deinstalaciónde cookies de seguimiento no necesarias para la prestación técnica del servicio y el uso de datos con fines opacos como “modelización empresarial”, “eficiencia energética” o “prevención del fraude”, sin información clara ni transparente a los usuarios.

Asimismo, el DSB ordenó a Microsoft proporcionar al denunciante un acceso completo y comprensible a todos sus datos personales, así como explicaciones detalladas sobre cada finalidad de tratamiento, aclarar si se comparten con terceros como LinkedIn, OpenAI o Xandr, y eliminar cualquier información obtenida mediante rastreo ilícito en un plazo máximo de diez semanas.

La falta de transparencia impidió que las escuelas y el propio Ministerio pudieran cumplir adecuadamente con las obligaciones de información y acceso previstas en los artículos 13 y 15 del RGPD.

Microsoft, por su parte, ha anunciado que revisará la decisión y mantiene que su producto cumple con las normas europeas de protección de datos.

Este caso marca un precedente relevante en materia de corresponsabilidad y transparencia en entornos educativos digitales. La DSB reafirma que los proveedores tecnológicos que determinan finalidades y medios del tratamiento son responsables directos, aunque operen a través de filiales europeas. Además, subraya la obligación de garantizar mecanismosgarantizarmecanismos efectivos de acceso y consentimiento, especialmente al tratar datos de menores. Las instituciones educativas deberán revisar sus acuerdos con proveedores cloud para evitar riesgos de incumplimiento solidario. Finalmente, el pronunciamiento podría abrir la puerta a investigaciones coordinadas a nivel europeo sobre plataformas educativas y su adecuación al RGPD.