Seguridad

Microsoft podría recibir la primera gran multa por el GDPR

El gobierno holandés afirma que Microsoft estaría recopilando información del comportamiento de ciudadanos europeos en Office ProPlus, en secreto y enviando dicha información a servidores en Estados Unidos. Ambos son extremos prohibidos explícitamente por el GDPR.

Desde la entrada en vigor del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), toda la industria digital ha estado a la espera de ver quién era la primera gran compañía en recibir una sanción al respecto. Prácticamente todos los nombres destacados del sector recibieron denuncias por su incumplimiento, incluso el mismo día 25 de mayo cuando empezó a tener validez esta norma, por lo que esta particular y nada deseable competición era de lo más incierta.

El analista de Penteo Alejandro Arias afirmaba en una reciente entrevista que “antes de que acabe 2018 ya veremos alguna sanción importante” y parece que sus previsiones podrían cumplirse, con el riesgo de que la empresa afectada tenga que pagar una sanción que puede alcanzar los 20 millones de euros o el 4% de los ingresos mundiales, lo que mayor sea. Y el nombre de dicha compañía podría no ser otro que el de Microsoft.

Al menos así se desprende de la investigación llevada a cabo por el gobierno holandés, quien en un duro documento expone cómo el gigante de Redmond habría estado recopilando en secreto datos del uso de Office ProPlus por parte de los ciudadanos europeos y enviando dicha información a servidores en Estados Unidos. Ambos son extremos explícitamente prohibidos en el GDPR.

Cómo Google está obteniendo más datos de los europeos, incluso pese al GDPR

El gobierno holandés es, además parte afectada de esta supuesta infracción. No en vano, todo el caso viene después de que esta Administración detectara estas acciones en sus propios trabajadores, alrededor de 330.000 personas. Después de estudiar a fondo el tema, los investigadores concluyeron que la mayor parte de lo que Microsoft recopila son datos de diagnóstico, y la mayoría de esos datos residen en servidores en la UE. Sin embargo, la compañía también recopiló información como traducciones o revisiones ortográficas, y algunos datos no se mantuvieron en el territorio de la UE.

“Microsoft recopila sistemáticamente datos a gran escala sobre el uso individual de Word, Excel, PowerPoint y Outlook (…) Microsoft no ofrece ninguna opción con respecto a la cantidad de datos, o la posibilidad de desactivar la recopilación, o la capacidad de ver qué datos se recopilan, porque el flujo de datos está codificado“, reza el informe. “Microsoft no debe almacenar estos datos funcionales transitorios, a menos que la retención sea estrictamente necesaria, por ejemplo, por motivos de seguridad”.

Pero el informe también incluye ejemplos concretos de cómo la compañía de Satya Nadella estaría vulnerando el GDPR. Así pues, cuando un usuario pulsa la tecla de retroceso varias veces para corregir una palabra, Office entiende que no está seguro de lo que está escribiendo y procede automáticamente a almacenar tanto la oración anterior como la siguiente. En total, continúa el informe, Microsoft rastrea hasta 25.000 tipos distintos de eventos y tiene alrededor de 30 profesionales examinándolos en todo momento. 

Consultadas por TICbeat, fuentes de Microsoft explican que “estamos comprometidos con la privacidad de nuestros clientes, poniéndolos en control de sus datos y asegurándonos de que Office ProPlus y otros productos y servicios de Microsoft cumplan con el GDPR y otras leyes aplicables. Agradecemos la oportunidad de discutir nuestras prácticas de gestión de datos de diagnóstico en Office ProPlus con el Ministerio de Justicia de los Países Bajos y esperamos una resolución exitosa de cualquier inquietud“.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.