Recentemente, è emersa una notizia di grande rilevanza riguardante Microsoft e la sua suite educativa, Microsoft 365 Education. Il garante della privacy austriaco ha accertato che l’azienda ha violato il GDPR, il Regolamento generale sulla protezione dei dati, in seguito a una denuncia presentata dall’organizzazione noyb, nota per la sua lotta in difesa della privacy degli utenti.
Questa questione è stata sollevata lo scorso anno da Max Schrems, avvocato di fama internazionale e fondatore di noyb, che ha messo in evidenza la raccolta impropria di dati relativi agli studenti che utilizzano la piattaforma Microsoft 365 Education. Tale denuncia ha portato a un’indagine che ha rivelato delle violazioni significative.
Le denunce e le evidenze emerse
Nel giugno 2024, noyb ha presentato due denunce formali a nome di alcuni utenti, richiedendo chiarimenti sulla gestione dei dati.
La prima decisione del garante austriaco ha confermato le preoccupazioni espresse da noyb, evidenziando che Microsoft non ha rispettato le richieste di accesso ai dati. Invece di fornire informazioni direttamente agli utenti, l’azienda ha indicato che le domande dovessero essere indirizzate agli istituti scolastici, i quali, come è noto, non hanno accesso ai dati memorizzati sui server di Microsoft.
Il diritto di accesso ai dati
Questa situazione ha portato alla conclusione che Microsoft ha infranto il diritto di accesso stabilito dall’articolo 15 del GDPR. Di conseguenza, l’azienda è ora obbligata a garantire l’accesso ai dati personali richiesti. Inoltre, il garante ha chiesto a Microsoft di fornire una spiegazione chiara riguardo all’uso dei dati per scopi come la modellazione aziendale e l’efficienza energetica, nonché di chiarire se i dati personali siano stati condivisi con terze parti come LinkedIn, OpenAI o Xandr.
Il dibattito sulla giurisdizione
Durante il processo, Microsoft ha sostenuto che il garante della privacy competente fosse quello irlandese, in quanto la sua sede europea si trova in Irlanda. Tuttavia, il garante austriaco ha rigettato questa affermazione, sottolineando che le decisioni importanti vengono prese dalla sede centrale statunitense dell’azienda e non da quella irlandese. L’organizzazione noyb ha commentato che le grandi aziende tecnologiche tentano di sfruttare questa confusione giurisdizionale, poiché la Data Protection Commission (DPC) irlandese è frequentemente criticata per la sua scarsa applicazione delle normative europee.
Le conseguenze per Microsoft e il settore
La sentenza del garante austriaco potrebbe avere ripercussioni non solo per Microsoft 365 Education, ma anche per altre versioni della suite Microsoft 365. Infatti, già a fine 2022, il garante tedesco aveva dichiarato che la suite non rispettava gli standard del GDPR.
In risposta a queste accuse, un portavoce di Microsoft ha affermato che l’azienda è in grado di soddisfare tutti i requisiti legali in materia di protezione dei dati.
Prospettive future
La questione sollevata da noyb e la decisione del garante austriaco mettono in luce l’importanza della trasparenza nella gestione dei dati, specialmente quando si tratta di informazioni sensibili come quelle degli studenti. La crescente attenzione alla protezione dei dati personali da parte delle autorità europee potrebbe portare a cambiamenti significativi nelle pratiche aziendali di giganti come Microsoft.
Questo caso rappresenta una tappa cruciale nella lotta per la protezione dei dati in Europa e potrebbe influenzare il modo in cui le aziende gestiscono le informazioni in futuro. La necessità di garantire il rispetto delle normative sulla privacy diventa sempre più imperativa, non solo per la tutela degli utenti, ma anche per il mantenimento della fiducia nel settore tecnologico.
