Microsoft se află din nou în centrul unei controverse majore privind protecția datelor, după ce autoritatea națională pentru supravegherea datelor a decis că gigantul american a instalat ilegal cookie-uri de urmărire pe dispozitivele unui elev care utiliza Microsoft 365 Education.

Cazul evidențiază vulnerabilitățile existente în utilizarea platformelor educaționale de mari dimensiuni, mai ales în cazul minorilor.

Decizia a fost emisă în urma unei plângeri formulate de organizația austriacă pentru drepturi digitale None of Your Business (noyb), care a semnalat lipsa consimțământului și lipsa transparenței în colectarea și procesarea datelor elevilor, conform publicației The Register.

Autoritățile au stabilit că Microsoft a acționat în mod contrar legislației europene de protecție a datelor, în special prevederilor GDPR aplicabile minorilor.

Ce a constatat autoritatea austriacă și de ce este cazul deosebit de grav

Potrivit deciziei emise de autoritatea pentru protecția datelor din Austria (DSB), Microsoft a plasat cookie-uri de urmărire pe dispozitivele unui minor utilizator al platformei Microsoft 365 Education, fără a obține consimțământul cerut. Documentația internă a companiei indică faptul că aceste cookie-uri sunt utilizate pentru analiza comportamentului utilizatorilor, colectarea datelor despre browser și, în anumite situații, pentru scopuri publicitare.

Autoritatea a dispus ca Microsoft să înceteze orice tip de urmărire a elevului vizat în termen de patru săptămâni și să se conformeze legislației în vigoare. Identitatea minorului nu a fost făcută publică.

De asemenea, atât școala implicată, cât și Ministerul Educației din Austria au afirmat că nu aveau cunoștință despre existența acestor mecanisme de urmărire înainte ca organizația noyb să depună plângere legală.

Avocatul specializat în protecția datelor, Felix Mikolasch, reprezentant al none of Your Business (noyb), a criticat în mod sever practicile Microsoft, subliniind că urmărirea minorilor este incompatibilă cu principiile fundamentale ale protecției vieții private.

El a acuzat compania că tratează confidențialitatea mai degrabă ca pe o simplă strategie de imagine decât ca o obligație reală față de utilizatori.

Un incident apărut în timpul pandemiei, cu impact asupra întregii educații digitale în UE

Investigația își are originile în perioada pandemiei de COVID-19, când multe sisteme educaționale europene au trecut rapid la predarea online.

Platforme precum Microsoft 365 Education sau Google Workspace for Education au devenit soluții uzuale, frecvent adoptate fără o evaluare amănunțită a impactului asupra protecției datelor elevilor.

Încă din 2024, organizația a solicitat autorităților austriece să analizeze dacă Microsoft 365 Education respectă noile cerințe de transparență prevăzute de GDPR.

Organizația a menționat că Microsoft transferă în mod incorect responsabilitatea privind protecția datelor către școli și nu furnizează utilizatorilor informații clare despre tipurile de date colectate și utilizarea lor.

Anterior, autoritatea austriacă a concluzionat că Microsoft a urmărit ilegal elevi prin intermediul platformei sale educaționale și a încercat să transfere responsabilitatea pentru solicitările de acces la date către instituțiile de învățământ.

Compania a fost obligată să ofere explicații detaliate despre categorii de date transmise și despre semnificația unor termeni vagi precum „raportare internă”, „modelare de afaceri” sau „îmbunătățirea funcționalității de bază”.

Microsoft a transmis ulterior că analizează decizia autorității austriece și susține că platforma Microsoft 365 pentru Educație respectă standardele de protecție a datelor și poate fi utilizată în conformitate cu GDPR.

Total, cazul ridică întrebări serioase privind modul în care marile companii tech gestionează datele minorilor și responsabilitatea reală a statelor și instituțiilor publice în protejarea acestora.