Microsoft 365 Education Acusada de Rastreamento Ilegal de Alunos

Um grupo de privacidade digital obteve uma vitória significativa contra a Microsoft, após a autoridade de proteção de dados da Áustria declarar que a gigante do software rastreou ‘ilegalmente’ alunos através de sua plataforma 365 Education e utilizou seus dados sem consentimento adequado. Esta decisão histórica poderá ter amplas repercussões para a forma como a empresa e outras gigantes tecnológicas gerenciam a privacidade dos usuários em toda a Europa, especialmente no contexto educacional.

Decisão Marco na Proteção de Dados na Áustria

A autoridade de proteção de dados austríaca confirmou o rastreamento ‘ilegal’ de estudantes pela Microsoft através de sua plataforma 365 Education. A decisão reforça a importância da privacidade dos dados no ambiente educacional.

O grupo de privacidade responsável pela queixa comemorou o resultado, que estabelece um precedente importante. A decisão também revelou que a Microsoft tentou transferir a responsabilidade pelas solicitações de acesso a dados para as escolas locais.

A gigante tecnológica foi, portanto, intimada a explicar detalhadamente como utilizou os dados dos usuários.

Implicações Amplas para a Privacidade na Europa

Esta determinação pode ter efeitos de longo alcance para a Microsoft em toda a Europa, especialmente em relação às suas obrigações de informar os usuários do Microsoft 365. A empresa deverá esclarecer como lida com os dados pessoais de seus milhões de usuários, incluindo estudantes.

A questão central remonta à pandemia de COVID-19, período em que escolas em todo o continente migraram rapidamente para o aprendizado online. Plataformas como o 365 Education tornaram-se ferramentas essenciais, levantando preocupações sobre a segurança e privacidade dos dados de estudantes.

A Batalha pela Transparência e Responsabilidade

O grupo de privacidade criticou a postura da empresa, afirmando que a Microsoft delegava toda a responsabilidade de conformidade com as leis de privacidade a escolas e autoridades nacionais. Estas instituições, muitas vezes, possuíam pouco ou nenhum controle efetivo sobre o uso dos dados dos alunos.

Quando uma solicitação de acesso foi apresentada para verificar as informações processadas, a situação gerou um impasse. A Microsoft simplesmente redirecionou o solicitante para a escola local, que não possuía acesso completo aos dados mantidos pela gigante tecnológica.

A impossibilidade de escolas e autoridades educacionais fornecerem informações completas tornou inviável o cumprimento dos direitos garantidos pelo GDPR. Essa falha motivou a queixa formal contra a escola, autoridades e a própria Microsoft.

As Exigências da Autoridade de Proteção de Dados

O veredito determinou que a Microsoft, como controladora de dados, violou o direito de acesso do solicitante (Art. 15 do GDPR). A empresa falhou em fornecer informações completas sobre os dados processados durante o uso do Microsoft 365 Education.

A Microsoft foi formalmente ordenada a fornecer informações detalhadas sobre os dados transmitidos. Além disso, deverá esclarecer termos como ‘relatórios internos’, ‘modelagem de negócios’ e ‘melhoria da funcionalidade principal’.

A empresa também terá que revelar se as informações foram transferidas para terceiros. A autoridade considerou que a escola e as autoridades educacionais federais também falharam e devem fornecer informações sobre o processamento de dados em dez semanas.

Desafios Jurídicos e a Posição da Microsoft

A Microsoft tentou argumentar que sua subsidiária na Irlanda era responsável pelo 365 Education, sugerindo que a jurisdição pertenceria à Irlanda. No entanto, a autoridade rejeitou esse argumento.

A decisão estabeleceu que a Microsoft nos EUA era a responsável pelas decisões operacionais. Um porta-voz da empresa declarou que ‘o Microsoft 365 para Educação atende a todos os padrões de proteção de dados exigidos’.

A empresa afirmou que as instituições de ensino podem continuar a usá-lo em conformidade com o GDPR. A Microsoft também indicou que revisará a decisão da autoridade austríaca para definir os próximos passos.

Perspectivas Futuras para a Proteção de Dados

Especialistas em proteção de dados ressaltam que grandes provedores de tecnologia buscam todo o poder, mas transferem as responsabilidades para clientes comerciais europeus. Alertam que, se a Microsoft não alterar fundamentalmente a configuração de seus produtos, os clientes comerciais europeus não conseguirão cumprir suas obrigações.

A decisão austríaca serve como um lembrete crítico de que a conformidade com as leis de privacidade é uma responsabilidade compartilhada e intransferível. A expectativa é que este veredito force uma revisão das práticas de tratamento de dados em larga escala.