Apercibimiento al Gobierno vasco por su acuerdo con Google que expone los datos de 400.000 estudiantes
La Agencia Vasca de Protección de Datos ha apercibido al Departamento de Educación por incumplir la normativa de protección de datos a menores al no haber evaluado el impacto que tendría en esta protección su acuerdo con Google para usar el servicio Workspace for Education en los centros docentes. En concreto, Protección de Datos realiza tres apercibimientos a Educación -es decir, un aviso y pedida de rectificación, aunque sin sanción económica- tras constatar tres infracciones de la normativa de protección de datos, todas ellas relacionadas con la falta de un estudio sobre las consecuencias del acuerdo con Google en el tratamiento de datos personales de los alumnos y la falta de transparencia.
El expediente de la Agencia Vasca de Protección de Datos se abrió en el mes julio de 2023 tras una reclamación de la Fundación Eticas Data Society, que consideró que el tratamiento de los datos de carácter personal de docentes y menores de edad por parte de Google en el marco del citado convenio suponían el “incumplimiento de la normativa de protección de datos al llevarse a cabo transferencias internacionales de datos a Estados Unidos sin que se cumpla lo establecido en la normativa vigente de protección de datos” en el marco europeo. Esta fundación, con sede en A Coruña, y que define su objeto estatutario “en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales”, señalaba en su reclamación que “el riesgo de un uso indebido de los datos personales es elevado ya que se involucran datos de carácter personal de personas menores de edad, que, como es sabido, requieren de una especial protección”.
Además, señalan que “varias agencias de protección de datos de países europeos han concluido que el paquete Google Workspace —un conjunto de herramientas digitales diseñado para permitir que los educadores y los alumnos trabajen juntos en la nube— no cumple el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y han prohibido su uso en las escuelas”, señalan, y ponen como ejemplo la Autoridad Danesa de Protección de Datos.
Entre otras cosas, alertan de que, aunque el convenio suscrito —que no supone coste alguno para el Departamento de Educación— señala que no se incluirá publicidad en los servicios de Workspace for Education, sin embargo podrá incluirla en otros productos del mismo grupo empresarial, como el buscador o YouTube, “que serán la opción habitual a la que se orientará si se trabaja en el entorno de Google Workspace for Education (GWE)”. “Teniendo en cuenta que la mayoría de las personas afectadas por el convenio está en la edad escolar, esta parte considera que no debe recaer sobre menores de edad la responsabilidad de tener que evitar las intromisiones publicitarias descritas”, se indica.
En la resolución firmada por el presidente de la Autoridad Vasca de Protección de Datos, Unai Aberasturi, se constata que el Gobierno vasco, a través del Departamento de Educación, entonces dirigido por Jokin Bildarratz, suscribió con Google un convenio para la utilización de los servicios Google Workspace For Education en los centros docentes, que se aprobó en el Consejo de Gobierno vasco del 22 de febrero de 2022, y que para su implementación la Administración vasca no realizó una evaluación de impacto relativa a la protección de datos, pese a que “los datos personales de los usuarios finales de la plataforma (docentes y alumnado) pueden ser tratados por Google para el uso de servicios adicionales que no son objeto del Convenio”. Recuerda en este sentido que los afectados pueden ser unas 400.000 personas, y “que el alumnado es menor de edad, y parte relevante, menor de 14 años”.
Esto supone una infracción del artículo 35 del Reglamento General de la Protección de Datos, que establece que “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”, se debe realizar una “evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”. El Reglamento deja en manos de la autoridad de control (en este caso la Agencia Vasca de Protección de Datos) los tipos de operaciones de tratamiento que requieran una evaluación de impacto y que se fijan en “tratamientos que impliquen el uso de datos a gran escala; tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia; y tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas”.
Teniendo en cuenta estos supuestos la Agencia Vasca de Protección de Datos concluye que “la implementación de la plataforma educativa adoptada por la Administración reclamada y regulada en el citado convenio abarcaría, al menos, los tres tipos de tratamiento citados, al tratar datos personales a gran escala de colectivos especialmente vulnerables, como es el alumnado, menores de edad, y parte de ellos, menores de catorce años, tratamientos que implican la utilización de nuevas tecnologías como son las herramientas digitales”.
En sus alegaciones la Administración vasca reconoció que no se realizó una evaluación de impacto relativa a la protección de datos en la tramitación de dicho convenio. Aunque sí realizó una consulta previa con la Agencia Vasca de Protección de Datos en 2021, obteniendo un informe favorable, no realizó la evaluación de impacto obligatoria. Tampoco figura en el Registro de Actividades de Tratamiento (RAT) del departamento de Educación un tratamiento que contemple la utilización específica de la plataforma educativa Google Workspace for Education (GWS), ya que considera Educación que “no se tratarán nuevos datos con respecto a los que ya se estaban tratando previamente y que están catalogados en el Registro de Actividades de Tratamiento del Departamento”. Si embargo, Protección de Datos considera que el uso de la plataforma educativa de Google tiene “suficiente envergadura como para que se registre en el RAT del Departamento de Educación del Gobierno vasco”.
Por todo ello, apercibe al Departamento de Educación por infringir varios artículos de Reglamento de Protección de Datos en lo que se refiere a la necesidad de realizar una evaluación de impacto y de llevar a cabo un registro de actividades y por haber infringido el principio de lealtad y transparencia, a la no haber consultado las opiniones de las personas afectadas o de sus representantes. Por último, requiere al responsable del tratamiento para que “adopte las medidas organizativas necesarias para dar cumplimiento a los principios de lealtad y transparencia, así como a la obligación de hacer público el inventario de actividades de tratamiento y que se notifiquen a la Agencia de Protección de Datos dichas medidas. En su día este acuerdo ya suscitó quejas de EH Bildu y de Elkarrekin Podemos-IU y llevaron a la Cámara vasca iniciativas para promover el uso de plataformas de educación digital integral, formadas por soluciones de software libre.
2