De acordo com o DataGuidance, a Autoridade Austríaca de Proteção de Dados (DSB) decidiu que a Microsoft implantou ilegalmente cookies de rastreamento nos dispositivos de estudantes menores de idade que usavam o Microsoft 365 Education Edition sem consentimento, o que constituiu uma violação da lei. Esta é mais uma vitória do grupo ativista de privacidade digital com sede na Áustria, None of Your Business (noyb), num caso relacionado.
De acordo com a documentação oficial da Microsoft, as finalidades dos cookies envolvidos incluem analisar o comportamento do usuário, coletar dados do navegador e, assim, fornecer suporte para publicidade. O DSB ordenou que a Microsoft pare de rastrear o aluno que reclamou dentro de quatro semanas. É importante notar que tanto a escola envolvida como o Ministério da Educação austríaco afirmaram que não tinham conhecimento da existência destes cookies de rastreio antes de a noyb apresentar a queixa.
Esta decisão decorre de um pedido de investigação relevante feito pela noyb em 2024. Nessa altura, a organização pediu à agência austríaca de protecção de dados que verificasse se o Microsoft 365 Education violava as disposições de transparência do Regulamento Geral de Protecção de Dados (GDPR). Salientou que a Microsoft transferiu obrigações de proteção de dados para as escolas que utilizam o seu sistema e não garantiu o direito dos titulares dos dados de acederem aos seus próprios dados. Mesmo através dos documentos de privacidade da Microsoft, dos pedidos de acesso e da própria investigação do Noyb, não foi possível esclarecer totalmente quais os dados das crianças que a versão educativa do software estava a processar.
Na verdade, esta não é a primeira vez que a Microsoft perde um caso relacionado. Em outubro do ano passado, o DSB decidiu que a Microsoft rastreava alunos “ilegalmente” por meio da plataforma educacional 365 e tentava se esquivar da responsabilidade pelas solicitações de acesso a dados às escolas locais. Ele também ordenou que fornecesse informações completas sobre transmissão de dados e explicasse claramente termos como "relatórios internos", "modelagem de negócios" e "melhorias de funções principais".
Em resposta à última decisão, um porta-voz da Microsoft disse que o Microsoft 365 Education atende a todos os padrões de proteção de dados necessários e que as instituições educacionais podem continuar a usá-lo em conformidade com o GDPR. A empresa está estudando a decisão e decidirá sobre medidas de acompanhamento oportunamente.
O advogado de proteção de dados da Noyb, Felix Mikolasch, enfatizou na declaração que rastrear menores é obviamente inconsistente com os princípios de proteção da privacidade. A Microsoft não parece estar realmente prestando atenção à proteção da privacidade, e as medidas relevantes são mais para fins de marketing e relações públicas.