#GovernançaDigital

Una reciente decisión de la autoridad austríaca de protección de datos (DSB) ha vuelto a situar a Microsoft en el centro del debate sobre la privacidad digital, especialmente cuando se trata de menores. A raíz de una denuncia presentada por la organización Noyb, la DSB ha concluido que Microsoft instaló cookies de rastreo en el dispositivo de un alumno que utilizaba Microsoft 365 Education sin haber obtenido su consentimiento. Según la propia política de privacidad de la empresa, estas cookies sirven para analizar el comportamiento del usuario, recopilar datos del navegador y utilizarlos con fines publicitarios. La autoridad ha concedido a Microsoft un plazo de cuatro semanas para poner fin a este rastreo y adaptarse a la normativa europea.

Este caso no es un hecho aislado. En junio de 2024, Noyb ya había presentado dos reclamaciones ante la autoridad austríaca relacionadas con el uso de Microsoft 365 Education en las escuelas. La primera se resolvió en octubre de 2025, cuando la autoridad consideró que Microsoft había vulnerado el derecho de acceso reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). En aquel momento, la organización denunciaba que Microsoft vulneraba la privacidad de los menores mientras trasladaba la responsabilidad legal a las escuelas y a las autoridades educativas locales.

Uno de los problemas de fondo que destaca Noyb es el desequilibrio de poder entre las grandes empresas tecnológicas y las escuelas o administraciones públicas. Proveedores como Microsoft tienen una posición de mercado tan dominante que pueden imponer contratos y condiciones de uso bajo una lógica de “o lo aceptas o te quedas fuera”. En este contexto, las escuelas no tienen ninguna capacidad real para negociar cómo se tratan los datos del alumnado ni para influir en las decisiones técnicas que adopta la compañía. A pesar de ello, Microsoft suele presentarse como un simple “encargado del tratamiento”, mientras traslada la mayor parte de la responsabilidad legal a las escuelas, que formalmente actúan como “responsables del tratamiento”.

En la práctica, este reparto de roles no refleja la realidad. Las escuelas no deciden ni los medios ni las finalidades reales del tratamiento de datos, tal y como exige el RGPD para ser consideradas responsables efectivas. Sin embargo, son ellas las que acaban asumiendo los riesgos legales.

Las consecuencias de este sistema son especialmente graves para las personas afectadas, en este caso los estudiantes. Cuando intentan ejercer sus derechos de protección de datos, como el derecho de acceso, a menudo se encuentran con que Microsoft no responde a las solicitudes, mientras que las escuelas no pueden dar respuesta porque no disponen de toda la información ni del control efectivo sobre los datos. Esto crea una situación de “cumplimiento formal”, pero vacía de contenido real, que acaba negando derechos básicos reconocidos por el RGPD.

A todo ello se añade una notable falta de transparencia. Determinar qué políticas de privacidad, contratos o documentos se aplican realmente al uso de Microsoft 365 Education es una tarea compleja incluso para profesionales del derecho. La información se encuentra dispersa en múltiples documentos, a menudo con contenidos vagos o contradictorios, y sin explicar claramente qué ocurre con los datos de los menores. Tal como señala Maartje de Graaf, abogada especializada en protección de datos en Noyb, la información facilitada por Microsoft es tan imprecisa que “ni siquiera un abogado cualificado puede entender completamente cómo se tratan los datos personales en Microsoft 365 Education”.

La segunda denuncia resuelta recientemente hace aún más evidente la gravedad de la situación. La autoridad austríaca ha confirmado que Microsoft instaló cookies de seguimiento en el dispositivo de un menor sin su consentimiento, y que dichas cookies se utilizan con fines publicitarios. Tanto la escuela como el Ministerio de Educación austríaco afirmaron que desconocían completamente la existencia de este rastreo. Esto plantea un escenario preocupante: millones de menores en Europa podrían estar siendo rastreados sin base legal ni conocimiento de las instituciones educativas que utilizan estos servicios.

Las posibles consecuencias de esta decisión van mucho más allá del caso concreto. Millones de estudiantes y docentes en toda Europa utilizan Microsoft 365 Education, y millones más emplean Microsoft 365 en empresas y administraciones públicas. El rastreo de usuarios sin consentimiento vulnera claramente la normativa europea de protección de datos y pone en riesgo la conformidad legal de todas las organizaciones que utilizan estas herramientas. De hecho, algunas autoridades de protección de datos, como las alemanas, ya habían expresado serias dudas sobre la compatibilidad de Microsoft 365 con el RGPD.

En resumen, este caso ejemplifica un problema estructural: las grandes empresas tecnológicas concentran el poder de decisión y los beneficios, pero intentan trasladar las obligaciones legales a sus clientes europeos. Tal como resume Max Schrems, fundador de Noyb, si Microsoft no cambia de manera profunda el funcionamiento y la gobernanza de sus productos, muchas organizaciones europeas simplemente no podrán cumplir con sus obligaciones legales en materia de protección de datos. La decisión austríaca es, por tanto, un toque de atención que va mucho más allá de un solo caso o de un solo país.

El pasado 2 de julio, el Comité Europeo de Protección de Datos (CEPD) adoptó la Declaración de Helsiniki1 que marca un punto de inflexión en el camino hacia una aplicación más armónica y eficaz del Reglamento General de Protección de Datos (RGPD) en la Unión Europea. 

Uno de los principales retos que aborda el CEPD es la fragmentación interpretativa del RGPD. Si bien es cierto que el reglamento tiene por objeto establecer un marco común en toda la UE, la realidad muestra que su aplicación varía entre las distintas autoridades de protección de datos, pudiendo llegar a generar inseguridad jurídica y dificultades prácticas por responsables y encargados del tratamiento, en especial por aquellos que operan en varios Estados miembros. (más…)