Vulnerabilidad de privacidad en Microsoft 365 Education: Austria declara ilegal el tracking con cookies a un menor

Una autoridad europea de protección de datos ha puesto el foco en una vulnerabilidad de privacidad en Microsoft 365 Education: la DSB de Austria concluye que Microsoft instaló cookies de tracking en los dispositivos de un alumno menor de edad sin un consentimiento válido mientras utilizaba Microsoft 365 Education. La resolución ordena a la compañía cesar ese seguimiento sobre el denunciante en un plazo de cuatro semanas, en un caso impulsado por el grupo de privacidad noyb.

El regulador austriaco considera que el uso de cookies con fines de análisis de comportamiento y publicidad, tal y como describe documentación del propio proveedor, no cumplía las exigencias aplicables de transparencia y base legal cuando el usuario es un menor en un contexto educativo. Además, el expediente subraya que ni el centro educativo ni el Ministerio de Educación austríaco afirmaron conocer la presencia de estas cookies hasta que se presentaron las quejas.

Qué implica la resolución sobre la vulnerabilidad de privacidad en Microsoft 365 Education

La DSB ordena a Microsoft detener el tracking asociado a las cookies en el caso del menor afectado y cumplir en un periodo de cuatro semanas. La investigación se enmarca en una serie de actuaciones iniciadas tras las denuncias de noyb sobre Microsoft 365 Education, centradas en cómo se informa (o no) del tratamiento de datos y en cómo se gestionan los derechos de acceso, especialmente en entornos escolares donde la relación responsable/encargado y la atribución de obligaciones puede volverse opaca.

El caso se apoya en que la propia documentación del proveedor describe cookies destinadas a analizar el comportamiento del usuario, recopilar datos del navegador y su uso con fines publicitarios. En términos regulatorios, esto tensiona la compatibilidad entre un servicio de productividad para educación y mecanismos típicos del ecosistema AdTech, más aún cuando el titular de los datos es un menor.

Contexto: educación remota y plataformas cloud

La queja se remonta al periodo de la pandemia, cuando muchos centros migraron rápidamente a plataformas cloud de aprendizaje y colaboración, incluyendo suites como Microsoft 365 Education y alternativas como Google Workspace for Education. Esta adopción acelerada elevó la dependencia de servicios SaaS y multiplicó el volumen de telemetría, identificadores y cookies que pueden entrar en juego en el uso diario.

En una decisión previa vinculada al mismo frente legal, la DSB ya había cuestionado el seguimiento de alumnos y el intento de trasladar a los centros educativos responsabilidades relacionadas con solicitudes de acceso a datos. En esa línea, el regulador pidió información completa sobre datos transmitidos y claridad en conceptos utilizados en la documentación, como “internal reporting”, “business modeling” y “improvement of core functionality”.

Impacto para la industria: compliance, AdTech y menores

Más allá del caso individual, la vulnerabilidad de privacidad en Microsoft 365 Education tiene implicaciones directas para el mercado edtech y para cualquier despliegue de suites de productividad en administraciones públicas: obliga a revisar si existen identificadores de seguimiento que puedan interpretarse como no esenciales para la prestación del servicio, cómo se documentan, y qué controles reales tienen escuelas y organismos sobre su activación. También presiona a los proveedores a separar con más nitidez la telemetría operativa del tracking con finalidad publicitaria.

Microsoft no ha aportado aún una respuesta pública en el marco del artículo original. Mientras tanto, el caso refuerza el papel de las autoridades europeas en la auditoría práctica de servicios SaaS masivos cuando el usuario final es un menor y el entorno de uso es obligatorio o altamente condicionado (como ocurre en la escuela).

Fuentes y enlaces de referencia

• Comunicado de noyb sobre la decisión y el cese del tracking
• Página oficial de Microsoft 365 Education (fabricante)
• Cobertura original del caso por The Register

Con esta resolución, la DSB eleva el listón de exigencia sobre cómo se operacionaliza la privacidad en entornos educativos y vuelve a colocar en el centro del debate una vulnerabilidad de privacidad en Microsoft 365 Education: el uso de cookies de tracking y finalidades publicitarias en dispositivos de menores dentro de plataformas de colaboración escolar.