Microsoft sancionada pro cookies: lecciones de cumplimiento RGPD para pymes

Sanjiv Sharma
En esta página

Una reciente decisión de la Autoridad Austriaca de Protección de Datos (DSB) ha vuelto a demostrar lo estrictamente que se aplican las normas del RGPD respecto al uso de cookies de seguimiento, incluso en entornos educativos, confirmando además una tendencia europea hacia controles más activos sobre servicios digitales utilizados por menores y centros escolares.

La reclamación fue presentada por una estudiante, representada por NOYB – European Center for Digital Rights, contra Microsoft Corporation, por el uso de cookies de seguimiento en Microsoft 365 Education, generando un debate relevante sobre la responsabilidad de grandes proveedores tecnológicos en entornos académicos.

A continuación, el caso explicado de forma sencilla, junto con lecciones prácticas para pymes y propietarios de sitios web, que pueden aplicar estos aprendizajes para mejorar su cumplimiento normativo y reducir riesgos legales futuros.

¿Qué ocurrió?

Una estudiante que utilizaba Microsoft 365 Education a través de su escuela descubrió que se instalaban cookies de seguimiento sin su consentimiento en su dispositivo.

Entre las cookies identificadas se encontraban:

  • MC1
  • FPC
  • MSFPC
  • MicrosoftApplicationsTelemetryDeviceId
  • ai-session

Estas cookies se utilizaban para:

  • análisis,
  • telemetría,
  • publicidad,
  • optimización del servicio,

y no para funciones estrictamente necesarias.

¿Qué decidió la autoridad?

La autoridad concluyó que:

✅ Microsoft procesó datos personales sin una base legal válida.
✅ Las cookies utilizadas no eran técnicamente necesarias.
✅ No existía consentimiento válido del usuario.
✅ Microsoft actúa como responsable del tratamiento, no solo como encargado.

Sin embargo:

❌ Se rechazó la reclamación sobre incumplimiento del contrato de encargado del tratamiento.

Orden impuesta a Microsoft

Microsoft fue obligada a:

• Dejar de instalar cookies no esenciales sin consentimiento
• Corregir el mecanismo de consentimiento en un plazo de cuatro semanas

Microsoft puede recurrir la decisión ante el Tribunal Administrativo Federal de Austria.

¿Por qué es importante esta decisión?

La autoridad confirmó que:

  • Los identificadores de cookies son datos personales.
  • El consentimiento debe ser previo, informado y libre.
  • Las cookies de análisis y telemetría no son esenciales automáticamente.
  • Incluso el software empresarial o educativo debe cumplir el RGPD.

El contexto educativo no exime del cumplimiento del RGPD.

Lecciones para pymes y propietarios de webs

Este caso es muy relevante para pymes, startups, clínicas, despachos profesionales, escuelas y proveedores SaaS.

1. Las cookies analíticas requieren consentimiento

Google Analytics, píxeles publicitarios, telemetría o seguimiento de sesiones normalmente requieren consentimiento previo.

2. “Mejora del servicio” no significa esencial

Las cookies usadas para optimización o mejora no son técnicamente necesarias.

3. El consentimiento debe darse antes

Las cookies no pueden instalarse antes de obtener consentimiento.

4. Las herramientas de terceros generan responsabilidad

Aunque el software provenga de un proveedor externo, la responsabilidad puede recaer en tu organización.

5. Escuelas y pymes no están exentas

Ni el sector educativo ni las pequeñas empresas quedan fuera de la normativa.

Otros puntos importantes que suelen ignorarse

Un banner de cookies debe incluir:

  • Botones de aceptar y rechazar
  • Ninguna casilla preseleccionada
  • Opciones visibles en igualdad de condiciones
  • Posibilidad de modificar el consentimiento posteriormente

Telemetría e identificadores de dispositivos son datos personales

Muchas empresas asumen erróneamente que son datos anónimos.

Las herramientas SaaS necesitan auditoría

CRM, sistemas de reservas, chats web, analítica, plugins y otros servicios deben revisarse para cumplir la normativa.

Conclusión práctica para pymes

Si tu web o software utiliza:

  • analítica,
  • píxeles publicitarios,
  • grabación de sesiones,
  • telemetría,
  • plugins externos,

probablemente necesites:

✅ Gestión adecuada del consentimiento
✅ Auditoría de cookies
✅ Revisión de proveedores y tratamiento de datos
✅ Política de privacidad alineada

Muchas pymes incumplen estas normas sin saberlo.

Conclusión final

Esta decisión confirma una realidad sencilla:

El cumplimiento cookies RGPD sigue siendo uno de los mayores fallos en Europa, especialmente entre pymes y sitios web que desconocen sus obligaciones legales.

Y las autoridades están aumentando las acciones de control, por lo que revisar ahora el cumplimiento puede evitar sanciones y riesgos reputacionales en el futuro.

Artículos relacionados
RRHH en pymes: cuando el empleado comete el error… paga la empresa Clínicas pequeñas y centros médicos: accesos internos mal controlados WhatsApp y email en pymes: dos errores cotidianos que acaban en sanción GDPR Videovigilancia en pymes: dos errores comunes que acaban en sanción AEPD Jurisprudencia RGPD: Lecciones de los Tribunales en la Práctica – Julio 2025