O tipo educacional de seu pacote de produtividade em nuvem da Microsoft, Microsoft 365 Education, está enfrentando investigação na União Europeia, onde organizações sem fins lucrativos de direitos de privacidade noite acaba de apresentar duas queixas à autoridade austríaca para a protecção de dados.
As reclamações visam o uso do software em nuvem da Microsoft pelas escolas. O primeiro centra-se em questões de transparência e base jurídica. noyb diz estar preocupado que os dados de menores estejam sendo processados ilegalmente – e seu Comunicado de imprensa ataca o que chama de informação “consistentemente vaga” fornecida pela gigante da tecnologia sobre como as informações das crianças são usadas.
O Regulamento Geral de Proteção de Dados (GDPR) do bloco estabelece uma grande expectativa de proteção dos dados das crianças, enfatizando que a transparência e a responsabilização devem ser pilares sempre que as informações de menores são processadas. Uma base legal também é necessária. As violações confirmadas do regime podem gerar multas de até 4% do volume de negócios anual global – o que poderia chegar a milhares de milhões de dólares no caso da Microsoft.
A denúncia do grupo de direitos de privacidade acusa a Microsoft de tentar fugir às suas responsabilidades legais como controladora de dados de informações infantis, usando os contratos que exige que as escolas assinem para acessar seu software para tentar transferir a conformidade para elas. noyb argumenta que as escolas não estão em condições de cumprir os requisitos de transparência da legislação da UE ou os direitos de acesso a dados, pois não podem saber o que a Microsoft está a fazer com os dados das crianças.
O preço do Microsoft 365 Education varia, mas o pacote de software pode ser oferecido gratuitamente para escolas que atendam a determinados critérios de elegibilidade.
“A Microsoft fornece informações tão vagas que mesmo um advogado qualificado não consegue entender completamente como a empresa processa dados pessoais no Microsoft 365 Education. É quase impossível para as crianças ou seus pais descobrirem a extensão da coleta de dados da Microsoft”, disse Maartje de Graaf, advogado de proteção de dados da noyb, em comunicado.
“Essa abordagem de pegar ou largar por parte de fornecedores de software como a Microsoft está transferindo todas as responsabilidades do GDPR para as escolas. A Microsoft detém todas as informações importantes sobre o processamento de dados em seu software, mas aponta o dedo às escolas quando se trata de exercício de direitos. As escolas não têm como cumprir as obrigações de transparência e informação”, acrescentou.
“Sob o sistema actual que a Microsoft está a impor às escolas, a sua escola teria de auditar a Microsoft ou dar-lhes instruções sobre como processar os dados dos alunos. Todos sabemos que tais acordos contratuais estão fora de sintonia com a realidade. Isto nada mais é do que uma tentativa de transferir a responsabilidade pelos dados das crianças para o mais longe possível da Microsoft.”
Uma segunda reclamação apresentada por noyb na terça-feira também acusa a Microsoft de rastrear crianças secretamente, pois afirma ter descoberto que cookies de rastreamento foram instalados pelo Microsoft 365 Education, apesar do reclamante não ter consentido no rastreamento. De acordo com a documentação da Microsoft, esses cookies analisam o comportamento do usuário, coletam dados do navegador e são usados para publicidade, acrescentou.
“Esse rastreamento, que é comumente usado para perfis altamente invasivos, é aparentemente realizado sem que a escola do reclamante saiba”, escreveu noyb. “Como o Microsoft 365 Education é amplamente utilizado, é provável que a empresa rastreie todos os menores que usam seus produtos educacionais. A empresa não tem base legal válida para este processamento.”
Mais uma vez, o GDPR estabelece um padrão elevado para o uso legal de dados de crianças para fins de marketing – exigindo que os controladores de dados tomem cuidado especial para proteger as informações de menores e garantir que qualquer uso de informações de menores seja justo, legal e transmitido de forma clara.
noyb afirma que os contratos, T&Cs e fluxos de dados da Microsoft não atendem a esse padrão.
“Nossa análise dos fluxos de dados é muito preocupante”, disse Felix Mikolasch, outro advogado de proteção de dados da noyb, em comunicado.. “O Microsoft 365 Education parece rastrear usuários independentemente de sua idade. Esta prática poderá afetar centenas de milhares de alunos e estudantes na UE e no EEE [European Economic Area]. As autoridades devem finalmente intensificar e fazer cumprir eficazmente os direitos dos menores.”
noyb está pedindo à DPA austríaca que investigue as reclamações e determine quais dados estão sendo processados pelo Microsoft 365 Education. Também insta a autoridade a impor uma multa se confirmar que o GDPR foi violado.
A Microsoft foi contatada para comentar a reclamação de Noyb, mas não respondeu até o momento.
Embora a gigante da tecnologia tenha uma base regional na Irlanda, o que normalmente significa que as reclamações transfronteiriças do GDPR acabariam sendo encaminhadas de volta à Comissão Irlandesa de Proteção de Dados para análise, um porta-voz da noyb enfatizou a natureza “localmente relevante” dos dois Microsoft. 365 Reclamações sobre educação — dizendo acreditar que a DPA austríaca é competente para investigar.
“As reclamações podem realmente permanecer na Áustria”, disse o porta-voz ao TechCrunch. “O caso é muito relevante a nível local porque diz respeito às escolas austríacas e aos alunos austríacos, por isso esperamos que o [Austrian DPA] resolverá o problema com suas próprias mãos. Além disso, apresentamos queixas contra a entidade da Microsoft nos EUA, em vez da filial da UE.”
Isto é importante porque pode levar a uma tomada de decisão mais rápida – e a uma potencial aplicação – das queixas contra a Microsoft.
As reclamações do GDPR focadas em dados de crianças levaram a algumas das maiores penalidades até o momento, como a multa de 405 milhões de euros imposta pela Irlanda à Meta, no outono de 2022, por pequenas falhas de proteção relacionadas ao Instagram. No ano passado, a rede social de partilha de vídeos TikTok também foi considerada violadora dos requisitos legais para manter os dados das crianças seguros – recebendo uma multa de 345 milhões de euros.
Enquanto isso, o pacote de produtividade em nuvem da Microsoft permanece sob uma nuvem legal mais ampla na UE. Em março, o uso do 365 pelo próprio bloco foi considerado uma violação do GDPR pela Autoridade Europeia para a Proteção de Dados – que impôs medidas corretivas, dando às instituições da UE até o início de dezembro para corrigir os problemas de conformidade identificados.
Uma longa investigação do Microsoft 365 pelas autoridades alemãs de proteção de dados também identificou uma série de problemas no outono de 2022 – com o grupo de trabalho concluindo na época que não havia maneira de usar o pacote de software em conformidade com o GDPR.
