Tras la pandemia, las escuelas de la Unión Europea han empezado a implantar cada vez más servicios digitales para el aprendizaje en línea. Aunque estos esfuerzos de modernización son un avance bienvenido, un pequeño número de grandes empresas tecnológicas intentaron inmediatamente dominar el espacio, a menudo con la intención de acostumbrar a los niños a sus sistemas y crear una nueva generación de futuros clientes "fieles". Una de ellas es Microsoft, cuyos servicios 365 Educación vulneran los derechos de protección de datos de los niños. Cuando los alumnos quieren ejercer sus derechos en virtud del GDPR, Microsoft dice que las escuelas son las "responsables del tratamiento" de sus datos. Sin embargo, las escuelas no tienen ningún control sobre los sistemas.
- Primera denuncia contra Microsoft (DE)
- Primera reclamación contra Microsoft (EN auto-translation)
- Segunda reclamación contra Microsoft (DE)
- Segunda queja contra Microsoft (EN auto-translation)
Desplazamiento de la responsabilidad entre las grandes tecnológicas y las escuelas locales. Los proveedores de software como Microsoft tienen un enorme poder de mercado, lo que les permite dictar las condiciones de los contratos con cualquiera que quiera utilizar sus productos. Al mismo tiempo, estos proveedores de software intentan eludir la responsabilidad insistiendo en que casi toda recae en las autoridades locales o en las escuelas. En realidad, ninguno de ellos tiene poder para influir en la forma en que Microsoft procesa realmente los datos de los usuarios. En su lugar, se enfrentan a una situación de "lo tomas o lo dejas" en la que todo el poder de decisión y los beneficios recaen en Microsoft, mientras que se espera que las escuelas asuman la mayor parte de los riesgos. Las escuelas no tienen forma realista de negociar o cambiar los términos.
Se ignoran los derechos del GDPR. En la práctica, esto conduce a una situación en la que Microsoft está tratando de descargar contractualmente la mayor parte de sus responsabilidades legales bajo el GDPR en las escuelas que proporcionan servicios de Microsoft 365 Education a sus alumnos o estudiantes. Esto significa, por ejemplo, que las solicitudes de acceso a Microsoft quedan sin respuesta, mientras que las escuelas no tienen una forma realista de cumplir con dichas solicitudes porque no tienen los datos necesarios.
Maartje de Graaf, abogada especializada en protección de datos de noyb: "Este enfoque de 'lo tomas o lo dejas' por parte de proveedores de software como Microsoft está trasladando todas las responsabilidades del GDPR a las escuelas. Microsoft tiene toda la información clave sobre el tratamiento de datos en su software, pero está señalando con el dedo a las escuelas cuando se trata de ejercer los derechos. Las escuelas no tienen forma de cumplir con las obligaciones de transparencia e información"
Alejados de la realidad. En Austria, donde noyb ha presentado sus dos denuncias, los directores locales tienen supuestamente la tarea de determinar los "fines y medios" con arreglo al artículo 4, apartado 7, del RGPD y de garantizar el cumplimiento frente a proveedores internacionales de software como Microsoft. Esto da lugar a un régimen de cumplimiento que está completamente desvinculado de la realidad del tratamiento de datos.
Maartje de Graaf, abogada de protección de datos de noyb: "Con el sistema actual que Microsoft impone a los colegios, éstos tendrían que auditar a Microsoft o darles instrucciones sobre cómo tratar los datos de los alumnos. Todo el mundo sabe que este tipo de acuerdos contractuales no se ajustan a la realidad. Esto no es más que un intento de trasladar la responsabilidad de los datos de los niños lo más lejos posible de Microsoft"
Un laberinto de documentación sobre privacidad. Tratar de averiguar exactamente qué políticas o documentos de privacidad se aplican al uso de Microsoft 365 Educación es una expedición en sí misma. Hay una grave falta de transparencia, lo que obliga a los usuarios y las escuelas a navegar por un laberinto de políticas de privacidad, documentos, términos y contratos que todos parecen aplicar. La información proporcionada en estos documentos es siempre ligeramente diferente, pero siempre imprecisa sobre lo que ocurre realmente con los datos de los niños cuando utilizan los servicios de Microsoft 365 Educación.
Maartje de Graaf, abogada de protección de datos de noyb: "Microsoft proporciona una información tan vaga que incluso un abogado cualificado no puede entender completamente cómo la empresa procesa los datos personales en Microsoft 365 Educación. Es casi imposible que los niños o sus padres descubran el alcance de la recopilación de datos de Microsoft."
Rastreando en secreto a los niños. Pero este no es el único problema que se plantea. Aunque el denunciante no consintió el rastreo, Microsoft 365 Educación seguía instalando cookies que, según la propia documentación de Microsoft, analizan el comportamiento del usuario, recopilan datos del navegador y se utilizan para publicidad. Este rastreo, que se utiliza habitualmente para la elaboración de perfiles muy invasivos, se lleva a cabo al parecer sin que la escuela del denunciante lo sepa siquiera. Dado que el uso de Microsoft 365 Education está muy extendido, es probable que la empresa rastree a todos los menores que utilizan sus productos educativos. La empresa carece de base jurídica válida para este tratamiento.
Felix Mikolasch, abogado de protección de datos de noyb: "Nuestro análisis de los flujos de datos es muy preocupante. Microsoft 365 Educación parece rastrear a los usuarios independientemente de su edad. Es probable que esta práctica afecte a cientos de miles de alumnos y estudiantes en la UE y el EEE. Las autoridades deberían dar un paso al frente de una vez y hacer cumplir de forma efectiva los derechos de los menores."
Son incontables los niños afectados. noyb pide a la autoridad austriaca de protección de datos (DSB) que investigue y analice objetivamente qué datos está tratando Microsoft 365 Educación. Ni la documentación de privacidad de Microsoft, ni las solicitudes de acceso, ni la propia investigación de noybpudieron aclarar completamente esto, lo que viola las disposiciones de transparencia del GDPR. Además, la empresa incumplió el derecho de acceso. Dado que los términos y condiciones y la documentación de privacidad de Microsoft 365 Education son uniformes para la UE/EEE, todos los niños que viven en estos países están expuestos a las mismas violaciones de sus derechos GDPR. Por lo tanto, noyb también sugiere que la autoridad imponga una multa a Microsoft.