Il Garante della protezione dei dati austriaco sta conducendo un’indagine approfondita su Microsoft 365 Education, piattaforma cloud ampiamente impiegata per la didattica digitale via cloud, a seguito di segnalazioni relative alla raccolta e al trattamento dei dati personali di studenti dell’Unione Europea, inclusi i minori. Microsoft sostiene che la responsabilità della gestione e della tutela di queste informazioni ricada sulle singole scuole, tuttavia l’Autorità austriaca ha chiarito che, in quanto fornitrice del servizio, l’azienda è tenuta a garantire piena trasparenza sulle informazioni trattate, a indicare le basi giuridiche del trattamento e a specificare in modo dettagliato come vengono utilizzati i dati raccolti.
Secondo il Datenschutz Behörde (DSB), Microsoft non ha fornito informazioni sufficientemente chiare riguardo ai cookie utilizzati, né sui dati specifici trattati in relazione ad essi, un’omissione che configura una probabile violazione del Regolamento generale sulla protezione dei dati (GDPR). L’impresa non avrebbe inoltre fornito tutti i dettagli specifici sui dati personali trattati in relazione all’uso del servizio, ovvero non avrebbe condiviso documenti, log o dettagli tecnici utili a valutare l’effettiva portata del trattamento dei dati. Una carenza di trasparenza che, a ben vedere, non rappresenta un episodio isolato.
Già nel 2022, il Garante della privacy tedesco aveva sollevato dubbi sulla compatibilità di Microsoft 365 Education con le normative europee, evidenziando in particolare la scarsa chiarezza nella gestione dei dati personali. All’epoca, si era cercato di intavolare una discussione con Microsoft al fine di risolvere i punti più spinosi della faccenda, tuttavia l’Autorità ha ritenuto che le modifiche contrattuali apportate in seguito al confronto siano state minime e insufficienti, scarsamente accompagnate da azioni concrete. A seguito di tali criticità, il Land del Baden-Württemberg aveva deciso di sospendere l’uso di Microsoft 365 nelle scuole pubbliche fino a quando il servizio non fosse stato reso pienamente conforme al GDPR.
La superficialità dimostrata delle istituzioni, pubbliche e private, nei confronti di piattaforme come Microsoft 365 Education è in parte riconducibile al contesto emergenziale della pandemia del 2020. Con la didattica in presenza sospesa, molte scuole si erano affidate in tempi rapidi ai grandi fornitori di servizi cloud, accettando condizioni contrattuali poco trasparenti pur di garantire la continuità dell’insegnamento. Microsoft si era di fatto scrollata di dosso gli oneri derivanti la gestione dei dati, subappaltando il compito ai singoli istituti. Un patto faustiano che ha trasferito alle scuole responsabilità spesso superiori alle loro capacità tecniche e organizzative.
Considerando che in Italia circa il 90% degli edifici scolastici non possiede tutte le certificazioni di sicurezza obbligatorie, è facile infatti intuire come molti istituti – compresi quelli austriaci – non fossero attrezzati per gestire in modo pienamente conforme questioni complesse di protezione dei dati. Per avere un metro di paragone del compito che viene chiesto alle scuole, basti pensare che, in passato, neppure le istituzioni europee sono riuscite a soddisfare simili requisiti. Nel 2024 il Garante europeo della protezione dei dati (EDPS) ha infatti contestato alla Commissione Europea violazioni del GDPR nell’uso dei servizi cloud Microsoft 365, imponendo alla classe politica delle misure correttive per riportare l’utilizzo del servizio entro i limiti di legge.
L’indagine austriaca mira ora a chiarire la destinazione e l’uso dei dati raccolti tramite Microsoft 365 Education, un aspetto su cui le scuole non dispongono di elementi sufficienti e su cui l’azienda ha finora evitato di fornire risposte dettagliate. In tal senso, l’Autorità ha imposto alla Big Tech di fornire le informazioni richieste entro quattro settimane, così da definire meglio i fini commerciali che si sono sviluppati attorno alla vicenda.
La decisione del Garante austriaco è stata accolta con favore da noyb, l’organizzazione non governativa fondata da Max Schrems, che aveva presentato i reclami iniziali. Il gruppo ha sottolineato come l’azione del DSB rappresenti un passo importante verso una più equa distribuzione delle responsabilità nella catena digitale, contrastando l’idea che il peso della conformità ricada sempre sugli attori più deboli, come, per esempio, le scuole. È inoltre significativo che l’indagine sia portata avanti da un’autorità diversa da quella irlandese, storicamente competente per molte Big Tech statunitensi. La crescente insoddisfazione verso il Data Protection Commission irlandese (DPC), accusato di lentezza e scarso rigore, sta infatti spingendo altri garanti europei ad assumere un ruolo più attivo nei procedimenti transfrontalieri.
