L’autorità austriaca per la protezione dei dati ha ordinato a Microsoft di interrompere l’uso di cookie di tracciamento all’interno di Microsoft 365 Education, dopo aver accertato la raccolta di dati personali su studenti minorenni in assenza di un consenso valido. Il provvedimento nasce da un reclamo presentato dall’organizzazione Noyb e riguarda l’installazione di cookie capaci di analizzare il comportamento degli utenti, raccogliere dati del browser e generare informazioni utilizzabili anche per finalità pubblicitarie.
Secondo l’autorità, queste attività di tracciamento risultano incompatibili con il contesto educativo e con la tutela rafforzata dei minori prevista dal Regolamento europeo sulla protezione dei dati. A Microsoft è stato imposto di cessare tali trattamenti entro quattro settimane, qualificando la condotta come illecita rispetto ai principi di liceità, trasparenza e minimizzazione dei dati.
Consenso e trattamento dei dati in ambito scolastico
Nel contesto della scuola digitale, il consenso al trattamento dei dati personali presenta criticità strutturali. Gli studenti minorenni non possono esprimere un consenso valido per trattamenti che esulano dalle finalità strettamente didattiche, mentre le istituzioni scolastiche non possono sostituirsi ai genitori per autorizzare attività di tracciamento o profilazione. A questo si aggiunge il rapporto di dipendenza tra studente e scuola, che rende l’adesione all’uso di una piattaforma digitale difficilmente libera.
La decisione austriaca chiarisce che l’adozione di strumenti digitali per la didattica non giustifica pratiche di raccolta dati ulteriori rispetto a quanto necessario per l’erogazione del servizio. In particolare, l’utilizzo di cookie con funzioni di analisi comportamentale o pubblicitaria viene considerato estraneo alle esigenze educative e quindi privo di una base giuridica adeguata.
Un problema che va oltre il singolo caso
Il provvedimento si inserisce in una serie di rilievi già emersi a livello europeo sull’uso di Microsoft 365 in ambito pubblico. Negli ultimi mesi, le autorità di controllo hanno più volte evidenziato difficoltà di allineamento tra le configurazioni tecniche del servizio, le clausole contrattuali e gli obblighi derivanti dal diritto europeo sulla protezione dei dati. Questo rafforza l’idea di una criticità strutturale, più che di un errore isolato o di una semplice impostazione errata.
Dal punto di vista del modello di responsabilità previsto dal GDPR, la decisione richiama anche il ruolo delle scuole e delle pubbliche amministrazioni che adottano piattaforme digitali. Questi soggetti restano titolari o contitolari del trattamento e sono tenuti a verificare la conformità dei servizi utilizzati, valutare i rischi per i diritti degli interessati e, quando necessario, svolgere una valutazione d’impatto. L’affidamento al fornitore tecnologico, da solo, non è sufficiente a escludere responsabilità.
La pronuncia austriaca rafforza un orientamento sempre più netto: l’educazione digitale non rappresenta una zona di tolleranza rispetto alle regole sulla protezione dei dati. In un contesto in cui l’uso di servizi cloud e soluzioni basate su intelligenza artificiale cresce rapidamente nelle scuole, la conformità normativa diventa un elemento strutturale delle scelte tecnologiche e non un aspetto accessorio da gestire ex post.
Per il settore EdTech e per i fornitori di servizi digitali destinati alla scuola, il messaggio è diretto. La tutela dei minori richiede architetture tecniche e modelli di trattamento coerenti con il diritto europeo, capaci di limitare il tracciamento, ridurre la raccolta dei dati e garantire trasparenza reale. La pressione regolatoria in questo ambito è destinata ad aumentare, con effetti che potrebbero estendersi rapidamente anche ad altri Stati membri.
