#DretDAccés

Una recent decisió de l’autoritat austríaca de protecció de dades (DSB) ha tornat a posar Microsoft al centre del debat sobre la privacitat digital, especialment quan es tracta de menors. Arran d’una denúncia presentada per l’organització Noyb, la DSB ha conclòs que Microsoft va instal·lar cookies de rastreig en el dispositiu d’un alumne que utilitzava Microsoft 365 Education sense haver obtingut el seu consentiment. Segons la pròpia política de privacitat de l’empresa, aquestes cookies serveixen per analitzar el comportament de l’usuari, recopilar dades del navegador i utilitzar-les amb finalitats publicitàries. L’autoritat ha donat a Microsoft un termini de quatre setmanes per posar fi a aquest rastreig i adaptar-se a la normativa europea.

Aquest cas no és un fet aïllat. El juny de 2024, Noyb ja havia presentat dues reclamacions davant l’autoritat austríaca relacionades amb l’ús de Microsoft 365 Education a les escoles. La primera es va resoldre a l’octubre de 2025, quan l’autoritat va considerar que Microsoft havia vulnerat el dret d’accés reconegut a l’article 15 del Reglament general de protecció de dades (RGPD). En aquell moment, l’organització denunciava que Microsoft vulnerava la privacitat dels infants mentre traslladava la responsabilitat legal a les escoles i a les autoritats educatives locals.

Un dels problemes de fons que destaca Noyb és el desequilibri de poder entre les grans empreses tecnològiques i les escoles o administracions públiques. Proveïdors com Microsoft tenen una posició de mercat tan dominant que poden imposar contractes i condicions d’ús sota una lògica de “o ho acceptes o te’n quedes fora”. En aquest context, les escoles no tenen cap capacitat real de negociar com es tracten les dades dels alumnes, ni d’influir en les decisions tècniques que pren la companyia. Tot i això, Microsoft acostuma a presentar-se com un simple “encarregat del tractament”, mentre que trasllada la major part de la responsabilitat legal a les escoles, que formalment actuen com a “responsables del tractament”.

A la pràctica, aquest repartiment de rols no reflecteix la realitat. Les escoles no decideixen ni els mitjans ni les finalitats reals del tractament de dades, tal com exigeix el RGPD per ser considerades responsables efectives. Malgrat això, són elles les que acaben assumint els riscos legals.

Les conseqüències d’aquest sistema són especialment greus per a les persones afectades, en aquest cas els estudiants. Quan intenten exercir els seus drets de protecció de dades, com ara el dret d’accés, sovint es troben que Microsoft no respon a les sol·licituds, mentre que les escoles no poden donar-hi resposta perquè no disposen de tota la informació ni del control efectiu sobre les dades. Això crea una situació de “compliment formal”, però buida de contingut real, que acaba negant drets bàsics reconeguts pel RGPD.

A tot això s’hi afegeix una notable manca de transparència. Determinar quines polítiques de privacitat, contractes o documents s’apliquen realment a l’ús de Microsoft 365 Education és una tasca complexa fins i tot per a professionals del dret. La informació es troba dispersa en múltiples documents, sovint amb continguts vagues o contradictoris, i sense explicar clarament què passa amb les dades dels menors. Tal com assenyala Maartje de Graaf, advocada especialitzada en protecció de dades a Noyb, la informació facilitada per Microsoft és tan imprecisa que “ni tan sols un advocat qualificat pot entendre completament com es tracten les dades personals a Microsoft 365 Education”.

La segona denúncia resolta recentment fa encara més evident la gravetat de la situació. L’autoritat austríaca ha confirmat que Microsoft va instal·lar cookies de seguiment en el dispositiu d’un menor sense el seu consentiment, i que aquestes cookies s’utilitzen amb finalitats publicitàries. Tant l’escola com el Ministeri d’Educació austríac van afirmar que desconeixien completament l’existència d’aquest rastreig. Això planteja un escenari preocupant: milions de menors a Europa podrien estar sent rastrejats sense base legal ni coneixement de les institucions educatives que utilitzen aquests serveis.

Les possibles conseqüències d’aquesta decisió van molt més enllà del cas concret. Milions d’estudiants i docents a tota Europa utilitzen Microsoft 365 Education, i milions més fan servir Microsoft 365 en empreses i administracions públiques. El rastreig d’usuaris sense consentiment vulnera clarament la normativa europea de protecció de dades i posa en risc la conformitat legal de totes les organitzacions que utilitzen aquestes eines. De fet, algunes autoritats de protecció de dades, com les alemanyes, ja havien expressat dubtes seriosos sobre la compatibilitat de Microsoft 365 amb el RGPD.

En resum, aquest cas exemplifica un problema estructural: les grans empreses tecnològiques concentren el poder de decisió i els beneficis, però intenten traslladar les obligacions legals als seus clients europeus. Tal com resumeix Max Schrems, fundador de Noyb, si Microsoft no canvia de manera profunda el funcionament i la governança dels seus productes, moltes organitzacions europees simplement no podran complir amb les seves obligacions legals en matèria de protecció de dades. La decisió austríaca és, doncs, un toc d’alerta que va molt més enllà d’un sol cas o d’un sol país.

El passat 12 de setembre de 2025 va entrar en aplicació el Reglament (UE) 2023/2854 del Parlament Europeu i del Consell, de 13 de desembre de 2023, sobre normes harmonitzades per a un accés just a les dades i la seva utilització, i pel qual es modifiquen el Reglament (UE) 2017/2394 i la Directiva (UE) 2020/1828. Aquest text, més comunament conegut com a “Data Act” o “Llei de Dades”, marca un abans i un després en la manera com es regulen les dades generades pels productes connectats o “Internet of things” (IoT),  i els serveis digitals a la Unió Europea. La norma és una de les peces centrals de l’estratègia europea de dades i es presenta com un instrument fonamental per assolir els objectius de la Dècada Digital i impulsar la transformació tecnològica de la Unió Europea.

La gran novetat del Data Act és que deixa enrere la idea de “propietat” de la dada per posar l’accent en el control d’accés. Fins ara, els fabricants i proveïdors eren els principals custodis de la informació que generaven els dispositius IoT. Els usuaris -tant consumidors com empreses- sovint es trobaven en situació de dependència, sense possibilitat real de recuperar o reutilitzar les seves pròpies dades. El nou reglament corregeix aquesta asimetria establint un conjunt de drets clars per als usuaris i d’obligacions concretes per als titulars de les dades, amb l’objectiu de construir un mercat més just, interoperable i competitiu.

Un dels pilars del Data Act és el dret d’accés (art. 4). Quan un usuari utilitza un producte connectat, com ara un vehicle intel·ligent, una màquina industrial o un televisor amb connexió a internet, genera un flux constant d’informació: dades de rendiment, de consum, d’entorn o d’interacció. Fins ara, aquest flux quedava en mans del fabricant. A partir d’ara, els usuaris tindran el dret a obtenir aquestes dades sense cap cost addicional, sense demora i en formats estructurats i llegibles per màquina. La norma estableix que aquestes condicions han de ser sempre justes, transparents i no discriminatòries, i alhora garanteix que es preservin secrets comercials, drets de propietat intel·lectual i dades personals.

El reglament també introdueix un element transformador: la possibilitat que els usuaris comparteixin les seves dades amb tercers de la seva elecció (art.5). Això significa que un agricultor podrà enviar directament la informació de rendiment de la seva maquinària a un proveïdor de serveis d’anàlisi independent, o que un consumidor podrà autoritzar un taller local a rebre les dades del seu vehicle connectat per fer reparacions més eficients. Aquesta obertura pretén fomentar una competència més sana i trencar monopolis encoberts, ampliant les opcions disponibles per a usuaris i empreses.

A més, la norma preveu supòsits especials, com el dret de les administracions públiques a accedir a dades del sector privat en situacions d’emergència (art. 15). En aquests casos, les dades s’hauran de facilitar sense cost, però el titular rebrà un reconeixement públic pel seu paper en la gestió de la crisi. Aquest mecanisme busca equilibrar l’interès general amb la necessitat de mantenir la confiança entre actors públics i privats.

No obstant, el desplegament pràctic del Data Act no serà senzill. Les empreses hauran de coordinar equips tècnics, legals i comercials per garantir el compliment de les obligacions. Caldrà revisar contractes, repensar processos interns i redissenyar productes perquè siguin compatibles amb el principi d’accessibilitat. Però aquesta mateixa complexitat amaga una oportunitat. Les organitzacions que s’hi adaptin amb rapidesa no només compliran amb la llei, sinó que podran posicionar-se al capdavant d’un mercat de dades més dinàmic, divers i obert.

En definitiva, el Data Act no atorga la propietat de les dades als usuaris, però sí que trenca els murs que impedien el seu accés i ús. És una norma que obre portes a noves formes de competència i col·laboració i que, ben aplicada, pot convertir-se en un motor de creixement i innovació per a tot l’ecosistema europeu. Les empreses i institucions que entenguin aquest canvi no com una càrrega, sinó com una oportunitat, tindran molt de guanyat en la cursa cap a la nova economia de la dada.

En tot cas, convé destacar que la nova regulació s’aplica tant a dades personals com a no personals i, per tant, es troba en interacció amb el Reglament General de Protecció de Dades (RGPD). Quan es tractin dades de caràcter personal, el RGPD continua sent la norma de referència i preval sobre la Data Act com a legislació especial. Això implica, en altres paraules, que ambdues normes seran complementàries l’una de l’altra, i hauran d’actuar de manera coordinada.