Nel giugno 2024, noyb aveva presentato due reclami riguardanti Microsoft 365 Education nelle scuole presso il DSB austriaco. Il primo reclamo è stato deciso nell'ottobre 2025. All'epoca, il DSB aveva stabilito che Microsoft aveva violato il diritto di accesso ai sensi dell'articolo 15 del GDPR. Il secondo reclamo, ora deciso, riguardava l'uso di cookie di tracciamento illeciti in Microsoft 365 Education. Nella sua decisione più recente, il DSB ha nuovamente accertato che Microsoft ha agito illecitamente. Nello specifico, l'azienda ha installato cookie di tracciamento sui dispositivi di un minore che utilizzava Microsoft 365 Education. Secondo la documentazione di Microsoft, questi cookie analizzano il comportamento dell'utente, raccolgono dati del browser e vengono utilizzati per scopi pubblicitari. Il DSB ha inoltre ordinato a Microsoft di cessare il tracciamento del denunciante entro quattro settimane. Sia la scuola che il Ministero dell'Istruzione austriaco hanno affermato di non essere a conoscenza di tali cookie di tracciamento prima dei reclami di noyb. Felix Mikolasch, avvocato specializzato in protezione dei dati presso noyb : "Tracciare i minori è chiaramente contrario alla privacy. Sembra che a Microsoft non importi molto della privacy, a meno che non sia per le sue dichiarazioni di marketing e pubbliche relazioni". Fonte in inglese qui

Come gradualmente trapelato negli ultimi giorni da vari organi di informazione, la Commissione UE ha segretamente messo in moto una riforma potenzialmente massiccia del GDPR. Se le bozze interne diventassero realtà, ciò avrebbe un impatto significativo sul diritto fondamentale delle persone alla privacy e alla protezione dei dati. La riforma farebbe parte del cosiddetto "Digital Omnibus", che avrebbe dovuto apportare solo adeguamenti mirati per semplificare la conformità per le imprese. Ora la Commissione propone di modificare elementi fondamentali come la definizione di "dati personali" e tutti i diritti degli interessati previsti dal GDPR. La bozza trapelata suggerisce anche di dare alle aziende di IA (come Google, Meta o OpenAI) un assegno in bianco per risucchiare i dati personali degli europei. Inoltre, la protezione speciale dei dati sensibili, come quelli relativi alla salute, alle opinioni politiche o all'orientamento sessuale, verrebbe significativamente ridotta. Verrebbe inoltre consentito l'accesso remoto ai dati personali su PC o smartphone senza il consenso dell'utente. Molti elementi della riforma prevista ribalterebbero la giurisprudenza della CGUE, violerebbero le convenzioni europee e la Carta europea dei diritti fondamentali. Se questa bozza estrema diventerà la posizione ufficiale della Commissione europea, sarà chiaro solo il 19 novembre, quando il "Digital Omnibus" sarà presentato ufficialmente. Schrems: "Si tratterebbe di un massiccio declassamento della privacy degli europei, dieci anni dopo l'adozione del GDPR."