Buonasera Stefano,
dalla decisione (peraltro pubblicata da NOYB sul proprio sito web e non dall'autorità di protezione dati austriaca, cfr.
https://noyb.eu/sites/default/files/2025-10/Microsoft_Education_365_Bescheid_bk.pdf) emerge che il reclamo è stato presentato nei confronti di Microsoft Corporation (oltre che nei confronti dell'istituto scolastico, della direzione distrettuale scolastica e del Ministero dell'istruzione austriaco).
L'autorità di controllo austriaca ha considerato Microsoft Corporation titolare del trattamento in quanto la società statunitense sviluppa e lancia i prodotti Microsoft nell'area SEE.
Nel caso di specie, dunque, non trova affatto applicazione l'art. 56, par. 2, del GDPR da te citato, che è norma derogatoria, in ipotesi eccezionali, del meccanismo del one-stop-shop, bensì l'art. 3, par. 2, lett. a), del GDPR che determina la sussistenza della giurisdizione europea sulla base del principio del targeting, segnatamente la giurisdizione è ancorata all'offerta di un prodotto o di un servizio ad interessati che si trovano nell'Unione da parte di un titolare non stabilito nella UE.
In tale ipotesi, la competenza a decidere, ai sensi dell'art. 58 del GDPR, non è ravvisabile in capo all'autorità di controllo capofila (che sarebbe stata la Data Protection Commission irlandese se il titolare fosse stato individuato in Microsoft Ireland Operations Ltd., stabilimento europeo di Microsoft Corporation) bensì in capo a ciascuna autorità di controllo nazionale (nella fattispecie in esame, la DSB austriaca).
Il caso è interessante non per i soprariportati profili procedurali (per nulla innovativi) ma semmai per la parte relativa alla individuazione della titolarità del trattamento in capo alla US-based company invece che nella società stabilità in Irlanda (invero, una parte non particolarmente motivata).
Un caro saluto a tutt*,
Monica