Cargando. Por favor, espere

Google Workspace: ¿por qué en algunos colegios no lo van a implantar?

Google Workspace: ¿por qué en algunos colegios no lo van a implantar?

  • 14-1-2025 | Ilier Navarro
  • El Gobierno rechazó implantar esta herramienta en colegios de Ceuta y Melilla tras un informe desfavorable de la AEPD, pero seis comunidades mantienen sus acuerdos.
Portada

La polémica saltó hace solo unas semanas: el Gobierno decidió no utilizar la aplicación Google Workspace (donde se incluye la herramienta Google Classroom) en los colegios de Ceuta y Melilla, donde tiene competencias. Pero otras comunidades autónomas confirmaron que sí mantendrían esta herramienta (Comunidad de Madrid, Andalucía, Extremadura, Canarias, Murcia y La Rioja), generándose una suerte de “pulso” entre las distintas administraciones. ¿Qué hay detrás de este conflicto? La decisión del Ministerio de Educación se basa en un informe desfavorable de la Agencia Española de Protección de Datos (AEPD). En él se cuestiona, entre otras cosas, la falta de concreción sobre los servicios que son obligatorios y adicionales, la poca claridad sobre los tratamientos de datos personales de menores de edad, la recopilación masiva de datos de los menores y la posibilidad de reformular los acuerdos de forma unilateral.

La consulta la planteó el Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) sobre el contrato que pretendía suscribir con Google Cloud EMEA Limited para el uso de la solución tecnológica Workspace for Education. La agencia analizó el Convenio, el Anexo I Términos del Servicio, y el Anexo II relativo a la Adenda de Protección de Datos y señala que hay aspectos contractuales básicos y fundamentales para la prestación del servicio que se expresan de manera ambigua y sin concreción.

Pero las condiciones son poco claras. Según el informe de la AEPD, en numerosos casos, para conocer el detalle de los servicios que presta el gigante tecnológico, hay que buscar en los distintos apartados de su web, ya que no se detallan de forma explícita. “El responsable del tratamiento no está en condiciones de conocer a priori y sin ambages las finalidades que perseguiría la implementación de Google Workspace, ni a partir de la información que se ofrece en los documentos contractuales, ni tampoco a partir de las fuentes de información externas”, indica.

No es baladí: en juego está el tratamiento de datos personales de menores de edad, un colectivo considerado vulnerable por el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) y la Ley de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (LOPDGDD).

También alerta de cláusulas confusas respecto de la posible modificación de la aplicación del RGPD al tratamiento de datos, y rechaza que esto se pueda pactar por voluntad de las partes. “El RGPD es una norma que no admite disposición o inaplicación en este contexto, sino que es de obligado cumplimiento”, advierte. Y añade que esta cláusula no es aceptable por lo que recomienda eliminarlas.

Base jurídica para el tratamiento de datos de los menores

De acuerdo con el informe de la AEPD, de 64 páginas, la base jurídica para llevar a cabo el tratamiento de los datos personales de los miembros de la comunidad educativa está en el artículo 6.1 c) del RGPD (LA LEY 6637/2016) porque el tratamiento es necesario para cumplir una obligación legal aplicable al responsable del tratamiento. También de acuerdo con el apartado e) porque se necesita para cumplir con una misión de interés público, la educación.

Sin embargo, el hecho de que exista esta legitimación no significa que esto pueda llevarse a cabo de cualquier modo. La AEPD recuerda que, en el contexto de herramientas digitales para la función educativa, se pueden tratar datos personales a gran escala de colectivos especialmente vulnerables. Además, esos tratamientos pueden incluir categorías especiales de datos. Por todo ello, concluye que “se identifican multitud de elementos que hacen obligatoria la evaluación de impacto”.

Asimismo, destaca que el responsable y el encargado del tratamiento deben adoptar medidas específicas cuando hay un tratamiento de datos personales de menores, o cuando este sea masivo, o bien si se tratan datos de categorías especiales o que puedan generar situaciones de discriminación, o si estos son transferidos a otros Estados que no cuentan con un nivel adecuado de protección.

La redacción del convenio, en entredicho

El gabinete jurídico de la AEPD pone de manifiesto algunas carencias en la redacción del acuerdo y subraya que no consta información que considera “esencial” tanto para formarse una opinión adecuada como “para el propio consultante a la hora de obligarse por medio del convenio, y en especial a la hora de cumplir sus obligaciones como responsable del tratamiento”. Un ejemplo de ello es que no especifica cuáles son los productos denominados principales y adicionales. De hecho, la AEPD tuvo que acudir a la web de Google para conocer cuáles son estos servicios y allí encontró una breve descripción.

Lo que pone de relieve el dictamen es que no se concreta en qué consisten esos servicios adicionales, a pesar de que se pueden utilizar si se obtiene el consentimiento de los menores de edad y de que en la web se indica que recogen datos personales “según sea necesario” para que sean interoperables con los servicios principales. “El responsable del tratamiento debe conocer si estos productos adicionales son o no fundamentales para explotar de manera óptima la solución tecnológica” porque si no es así, en realidad serían servicios obligatorios “con las consecuencias que ello conlleva para la protección de datos de los usuarios”. Y recalca: “No podemos olvidar que estamos ante menores de edad y que la información personal que se usa es de muy diversa índole y de especial sensibilidad, pudiendo incluir, por ejemplo, categorías especiales de datos”.

En definitiva, el informe concluye que la información “no se ofrece con la claridad que se requiere”, a pesar de que esto es fundamental para que el responsable del tratamiento cumpla con sus obligaciones legales.

Y otro tirón de orejas lo da cuando dice que el encargado del tratamiento no debería tener que acudir “a elementos de información externos para realizar una valoración de en qué medida va a ser necesario usar los servicios adicionales que suponen un tratamiento de datos en un entorno menos controlado”. También señala una excesiva ambigüedad a la hora de conocer de antemano qué datos personales se tratarán. “De nuevo hay que acudir a elementos externos de información” para conocer esta información que es “un aspecto esencial a la hora de que un responsable vaya a contratar con un tercero un servicio que conlleve el tratamiento de datos”.

Compartir información

La AEPD pone el acento en otros aspectos que generan dudas, concretamente, relacionados con “información que tampoco se ofrece en los documentos contractuales y que es la referida a la compartición de información”. Esto debería ser conocido tanto por el responsable del tratamiento como por los titulares de los datos “antes de usar Google Workspace” porque estos pueden “ser revelados a terceros ajenos a la comunidad educativa”, señala la agencia. Además, el centro educativo puede acceder en algunos casos a información íntima de los titulares de las cuentas de usuario, por ejemplo, cuando los administradores pueden cambiar las contraseñas.

Pone de relieve también la “escasa mención en la documentación contractual” sobre otros aspectos cruciales en los que se requiere de “información fundamental”, como la finalidad del tratamiento. Y tras revisar las fuentes externas, concluye que hay fines que no sirven al propósito que persigue el encargado del tratamiento, “que es el derecho a la educación”, sino únicamente al encargado, es decir, a Google, y además están definidos “en términos ambiguos e inconcretos”. Avisa además de la posibilidad de que muestre anuncios en función de factores generales, “que conlleva un perfilado para acciones publicitarias”.

De ello, concluye que si Google, a través de su plataforma educativa, “realiza tratamientos de datos personales para finalidades propias que nada tienen que ver con el derecho a la educación”, el tratamiento de datos no estaría legitimado: el interés público mencionado como legitimación se vería supeditado al interés privado del encargado del tratamiento, “situación que debe rechazarse por completo”.

Consentimiento informado

Por otra parte, se detalla que se requiere tanto del consentimiento del centro educativo, que sería un “consentimiento para contratar” y, en una segunda fase, del consentimiento de los padres y, en su caso, de los alumnos mayores de 14 años para el uso de Google Workspace. Cuestiona que esto permita ejercer la libre voluntad de los alumnos porque, si se niegan o si lo revocan, quedarían fuera del sistema y esto le causaría un perjuicio.

“El responsable del tratamiento, para obtener un consentimiento libre, debería dar una alternativa equivalente al alumno que no otorgue su consentimiento para usar Google Workspace. Es decir, tendría que disponer de otras herramientas digitales similares”, señala el dictamen. Además, la información se debe ser accesible y presentarse en lenguaje claro, sencillo. Algo similar ocurriría con el personal docente. Y destaca que siempre debe haber un consentimiento informado, para lo que debe cumplir una serie de requisitos, algo que no parece que se produzca, dada la falta de información en los contratos.

Otros aspectos que destaca es que el consentimiento debe incluir una manifestación de voluntad específica, que se debe prestar mediante una clara acción afirmativa y que, en ocasiones, debe ser un consentimiento explícito, ya que se pueden dar casos de tratamiento de categorías especiales de datos o transferencias internacionales.

Por último, también destaca que existen cláusulas que permiten que Google pueda modificar aspectos esenciales relacionados con datos personales por su propia iniciativa y de forma unilateral o la realización de cambios “comercialmente razonables en los Servicios cuando lo estime oportuno”.

Lo que subraya el documento y en lo que se centra el cuestionamiento de la AEPD es que Google, en los hechos, se presenta más como un responsable del tratamiento en lugar de como un encargado, que es como se presenta formalmente. “Asume una posición de toma de decisiones sin contar con la otra parte” en lo que se refiere a protección de datos, advierte. Y también destaca las limitaciones a la autorización de la contratación de subencargados, dando solo la opción oponerse. “El control sobre el tratamiento es un elemento esencial para definir la figura del responsable del tratamiento”, indica.

Por último, sobre la proporcionalidad, y dados lo comentado con anterioridad, la AEPD recuerda que existen otras soluciones tecnológicas para la comunidad educativa, por lo que la solución de Google no es ni única ni necesaria. Junto con recalcar que los principales usuarios son menores de edad, un colectivo vulnerable, y que se puede dar una recogida masiva de datos sin respetar el principio de minimización, el informe concluye que “los riesgos para los menores de edad en cuanto a la generación de situaciones de discriminación, daño para la reputación, pérdida de confidencialidad, resultan evidentes”. Y por todo ello, el informe es desfavorable.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll