Il settore educativo digitale si trova nuovamente al centro di una battaglia legale sulla privacy, con Microsoft sotto accusa per violazioni del GDPR nella sua piattaforma 365 Education. L'autorità austriaca per la protezione dei dati (DSB) ha emesso una seconda sentenza sfavorevole contro il gigante di Redmond, stabilendo l'uso illecito di cookie di tracciamento sui dispositivi di studenti minorenni.
La vicenda prende le mosse da giugno 2024, quando None of Your Business (noyb), organizzazione non profit con sede a Vienna specializzata in diritti digitali, ha presentato due reclami formali contro l'implementazione di Microsoft 365 Education nelle scuole austriache. Il primo esposto, risolto nell'ottobre 2025, aveva già visto la DSB condannare Microsoft per violazione dell'articolo 15 del GDPR, quello che garantisce il diritto di accesso ai propri dati personali. In quell'occasione, l'autorità aveva ordinato al colosso tecnologico di fornire spiegazioni dettagliate sull'uso di termini vaghi come "reportistica interna", "modellazione aziendale" e "miglioramento delle funzionalità principali" nelle sue informative sulla gestione dei dati.
La seconda sentenza, appena pubblicata, affronta invece la questione tecnica più delicata: l'implementazione di cookie di tracciamento sui dispositivi utilizzati dagli studenti attraverso la piattaforma educativa. Secondo la DSB, Microsoft ha agito illegalmente installando questi sistemi di monitoraggio senza rispettare i requisiti del consenso previsti dal regolamento europeo, particolarmente stringenti quando si tratta di minori. "Tracciare i minori chiaramente non è rispettoso della privacy", ha dichiarato Felix Mikolasch, avvocato specializzato in protezione dati presso noyb, aggiungendo che "sembra che a Microsoft non importi molto della privacy, a meno che non si tratti delle loro dichiarazioni di marketing e pubbliche relazioni".
La risposta ufficiale di Microsoft mantiene un tono conciliante ma fermo: un portavoce dell'azienda ha sottolineato che Microsoft 365 for Education rispetta tutti gli standard richiesti in materia di protezione dei dati e che le istituzioni educative possono continuare a utilizzarlo in conformità con il GDPR. L'azienda ha dichiarato di stare esaminando la decisione più recente dell'autorità austriaca e che valuterà i prossimi passi da intraprendere. Resta da vedere se questo significherà un ricorso formale o un adeguamento tecnico della piattaforma per il mercato europeo.
Un aspetto particolarmente imbarazzante della vicenda riguarda la presunta inconsapevolezza delle istituzioni scolastiche: sia la scuola coinvolta nel caso specifico che lo stesso Ministero dell'Istruzione austriaco hanno affermato di non essere a conoscenza dell'uso di cookie di tracciamento sui dispositivi degli studenti fino a quando noyb non ha sollevato la questione. Questa ammissione solleva interrogativi sulla trasparenza della documentazione tecnica fornita da Microsoft agli enti educativi e sulla capacità di questi ultimi di effettuare audit adeguati delle piattaforme cloud prima della loro adozione su larga scala.
Il contesto storico è fondamentale per comprendere la portata della questione: durante l'emergenza COVID-19, scuole e università di tutta Europa hanno accelerato drasticamente la migrazione verso piattaforme cloud come Microsoft 365 Education e Google Workspace for Education, spesso senza il tempo materiale per valutazioni approfondite sulla conformità normativa. Questa transizione forzata ha creato un panorama dove servizi essenziali per la continuità didattica si sono radicati nell'infrastruttura scolastica, rendendo ora complessa qualsiasi eventuale migrazione verso alternative più rispettose della privacy.
La decisione della DSB austriaca si inserisce in un filone giurisprudenziale europeo sempre più critico verso le pratiche di gestione dati delle big tech nel settore educativo. Autorità di Francia, Paesi Bassi e Germania hanno già espresso perplessità simili nei confronti di piattaforme cloud per l'istruzione, segnalando la necessità di soluzioni specificamente progettate per contesti dove la protezione dei minori deve rappresentare una priorità assoluta, non un compromesso accettabile. Microsoft ha ora quattro settimane per implementare modifiche tecniche che eliminino i cookie di tracciamento contestati, una deadline che potrebbe rivelarsi tecnicamente complessa se questi sistemi sono integrati in profondità nell'architettura della piattaforma per finalità di telemetria e diagnostica.
