A través del producto Microsoft Office ProPlus para empresas, la compañía ha estado recopilando datos a gran escala sobre el comportamiento de los sujetos.
La gravedad de los hechos radica en el tipo de información que Microsoft está recogiendo, que se realiza además en flujo codificado, lo que agrava la completa falta de información sobre dicha práctica y priva a los usuarios de toda posibilidad de elección o configuración. Los datos afectados incluyen, entre otros, cualquier aspecto relativo al sistema de telemetría incorporado en el programa, como las teclas pulsadas y la frecuencia, además de información sobre los servicios conectados, como el de traducción.
La evaluación de impacto promovida por la autoridad de control de Holanda subraya, además de la falta de transparencia, la violación por parte de Microsoft de los principios del RGPD sobre limitación a la finalidad y licitud del tratamiento. Debe destacarse también el uso dado a dichos datos, pues gran parte de ellos son enviados a servidores de Estados Unidos sin contar con ninguna de las garantías exigidas en el RGPD para ello. En las políticas de privacidad disponibles de Microsoft existe además una confusión entre los términos y roles de Responsable-Encargado, y se establece un tiempo indefinido para el almacenamiento de datos de diagnóstico. Esta falta de cumplimiento es más remarcada por el hecho de que la misma autoridad de control ya apuntó a Microsoft el incorrecto tratamiento que estaba realizando con respecto de algunos datos personales en 2017.
Como respuesta, Microsoft afirma que ya está trabajando en mitigar los riegos y solucionar los elementos que han conducido a ello, como el desarrollo de políticas de información adecuadas y la implementación de una herramienta de visor de datos. Si bien, y hasta que tales alternativas se incorporen de manera efectiva, los riesgos persisten y deberán ser los propios usuarios los que apliquen medidas adicionales para proteger su privacidad.