Altro colpo per Microsoft sul terreno della protezione dei dati. L’associazione per i diritti digitali noyb porta a casa un nuovo successo legale contro il gruppo statunitense: l’Autorità austriaca per la privacy (DSB) ha accertato l’uso illecito di cookie di tracciamento all’interno di Microsoft 365 Education, installati sui dispositivi di uno studente senza alcuna base di consenso. L’istruttoria ha chiarito che non si trattava di semplici cookie tecnici. I sistemi attivati dalla piattaforma scolastica, secondo gli stessi documenti prodotti da Microsoft, erano in grado di monitorare il comportamento degli utenti, raccogliere dati sul browser e alimentare meccanismi legati alla pubblicità.
Un utilizzo ritenuto incompatibile con la normativa europea, aggravato dal fatto che coinvolgeva utenti minorenni.
Scatta l'ultimatum: quattro settimane per adeguarsi
Con il provvedimento adottato, il DSB ha imposto a Microsoft di interrompere il tracciamento contestato entro quattro settimane. Una decisione che potrebbe fare da apripista ad altre verifiche e sanzioni a livello UE, soprattutto nel settore dell’istruzione digitale. Il caso affonda le radici in due segnalazioni presentate da noyb nel giugno 2024 sull’impiego di Microsoft 365 Education nelle scuole austriache. La prima si era già conclusa con una condanna, arrivata nell’ottobre 2025, per violazione del diritto di accesso ai dati personali previsto dall’articolo 15 del GDPR.
Il secondo procedimento, definito ora, riguarda invece l’uso non autorizzato di cookie di tracciamento. Un dettaglio non secondario: né la scuola interessata né il Ministero dell’Istruzione austriaco erano stati informati della presenza di questi strumenti di monitoraggio prima dell’intervento legale di noyb.
Noyb all'attacco: "I minori non sono un target"
“Monitorare i minori è l’esatto contrario del rispetto della privacy”, ha commentato così il legale di noyb esperto in protezione dei dati. “Microsoft sembra prendere sul serio questi temi solo quando si tratta di comunicazione e campagne di immagine”. Nel tentativo di limitare le proprie responsabilità, Microsoft ha sostenuto che la gestione di Microsoft 365 in Europa spetti alla controllata irlandese.
Ma l’autorità austriaca ha respinto la tesi, individuando nella casa madre statunitense il centro decisionale effettivo. Una scelta che pesa, perché molte big tech americane invocano la competenza irlandese, spesso percepita come più indulgente nell’applicazione del GDPR.
Effetti a catena per chi usa Microsft 365
Le conseguenze della decisione potrebbero estendersi ben oltre i confini austriaci. Microsoft 365 Education è uno strumento diffuso in milioni di aule europee, mentre la versione standard della suite è largamente utilizzata da imprese e pubbliche amministrazioni. Il tracciamento degli utenti in assenza di consenso viola il diritto europeo e rischia di mettere in difficoltà tutti gli enti che adottano questi servizi.
Un campanello d’allarme già suonato in altri Paesi: in Germania, ad esempio, le autorità per la protezione dei dati hanno più volte messo in discussione la compatibilità di Microsoft 365 con il GDPR.
