Sanción a la Consejería de Educación de Andalucía por incumplimientos derivados del uso de Google Workspace

1. Objeto del procedimiento

La DGIFP de la Comunidad Autónoma de Andalucía suscribió, en noviembre de 2020, el primer Convenio con Google Ireland Limited para la implantación de G Suite, actualmente Google Workspace for Education, (en adelante, GWE) en centros docentes públicos andaluces.

Dicho Convenio ha sido objeto de varias reclamaciones durante los pasados años, que el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) resuelve acumuladamente en una resolución (la RPS-2024/074), en la que se denunciaba, en síntesis:

• La creación de cuentas tanto para el alumnado como para el profesorado de manera automática, sin consentimiento previo.
• Tratamiento de categorías especiales de datos sin la justificación correspondiente.
• Falta de información específica a los interesados sobre el tratamiento.
• Uso de servicios Beta o servicios en desarrollo que implica el tratamiento de datos para fines de big data o análisis de indicadores para el aprendizaje.
• Incumplimiento del principio de minimización de datos en relación con la captación de material audiovisual, como vídeos o imágenes, y su uso y almacenamiento en la nube de Google.
• La realización de transferencias internacionales como consecuencia de la gran cadena de subencargados de Google y la falta de transparencia en relación con los terceros países a los que se exportan los datos.

2. Cuestiones analizadas

Tras llevar a cabo la labor de investigación pertinente, a través de la formulación de requerimientos de información a la consejería correspondiente, el CTPDA analiza las siguientes cuestiones, en relación con las infracciones cometidas[1]:

1. Sobre la licitud del tratamiento

En relación con el tratamiento estrictamente necesario para la prestación del servicio educativo y de orientación, el CTPDA entiende que la apertura de cuentas y el tratamiento de datos del alumnado y profesorado puede fundamentarse en una misión realizada en interés público o en el ejercicio de poderes públicos en conexión con el marco normativo educativo, fundamentalmente la disposición adicional 23ª Ley Orgánica 2/2006, de 3 de mayo, de Educación (en adelante, “LOE”), sin necesidad de recabar el consentimiento, cuando la finalidad del tratamiento esté relacionada con la finalidad educativa.

No obstante, señala el CTPDA que ello no impide el ejercicio de derechos, y, más específicamente, el derecho de oposición del artículo 21.1 RGPD que ostentan los interesados. En tal caso, si el interesado o su representante legal, por motivos vinculados a su situación particular, se opusieran a la apertura/mantenimiento de la cuenta, el órgano responsable debería cesar el tratamiento de datos personales y proceder al cierre de la cuenta, salvo que acreditase motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado. En el caso de que, como consecuencia del ejercicio del derecho de oposición con los requisitos manifestados, se obtuviera el cierre de la cuenta en el marco del Convenio, es de esperar que la administración educativa y el centro adoptaran las medidas técnicas y organizativas oportunas para que el alumno no sufriera situaciones de discriminación o agravio comparativo en el disfrute de los servicios educativos y de orientación.

En cualquier caso, debe destacarse que aquellos tratamientos de datos desvinculados de la finalidad educativa difícilmente pueden encontrar la legitimación en dicho interés público, por lo que podrían requerir del consentimiento u otra base de legitimación de las previstas en el artículo 6 RGPD.

2. Sobre el tratamiento de categorías especiales de datos

En relación con la posible inclusión en la plataforma de datos personales relativos a la salud, religión u otras categorías especiales de datos, el CTPDA analiza si el diseño y uso del sistema incorporaban garantías suficientes para minimizar dicho riesgo.

Si bien en el Convenio se dice expresamente que dichas categorías de datos no son objeto de tratamiento en el ámbito de GWE, el Consejo considera que es poco probable que no se produzca dicho tratamiento y señala que la Administración debía haber adoptado medidas técnicas y organizativas adecuadas desde el diseño y por defecto para evitar o reducir la posible incorporación de este tipo de datos especialmente protegidos por parte de los usuarios. 

En este sentido, concluye que existían deficiencias en la aplicación efectiva del principio de privacidad desde el diseño y por defecto, y por tanto, la concurrencia de la infracción del artículo 25 RGPD, al no haberse implementado mecanismos específicos que limitaran ese riesgo estructural en una plataforma de uso masivo en el ámbito educativo.

3. Sobre el cumplimiento del deber de información

El CTPDA concluye que la Administración incumplió el deber de información del artículo 13 RGPD, al no haber acreditado que alumnado, familias y profesorado recibieran, en el momento de la creación o uso de las cuentas, la información completa y exigida por la normativa sobre el tratamiento de sus datos personales.

Recuerda que la mera publicación del Convenio o de información general en una página web institucional no se considera suficiente para satisfacer el estándar de transparencia exigido por el RGPD, por lo que el Consejo aprecia infracción por vulneración del principio de transparencia y del artículo 13 RGPD.

4. Sobre el tratamiento de fotografías y contenido audiovisual

Nuevamente, el CTPDA señala que cuando la captación y utilización de imágenes y contenido audiovisual se integra directamente en la actividad educativa y orientadora, puede quedar amparada por el interés público del organismo responsable, sin necesidad de recabar el consentimiento de los interesados, siempre que el tratamiento sea adecuado, pertinente y limitado a lo necesario conforme al principio de minimización.

Por el contrario, cuando la grabación o difusión de imágenes no responda estrictamente a esa finalidad educativa —por ejemplo, cuando se trate de usos promocionales, de difusión amplia o de finalidades accesorias—, será preciso contar con una habilitación especifica y diferenciada, que normalmente exigirá el consentimiento informado de los interesados o de sus representantes legales, junto con una información clara sobre la finalidad concreta y el alcance de la difusión para que dicho consentimiento pueda considerarse válido.

Según el CTDPA, el Convenio impone al responsable la obligación de valorar si las imágenes y el contenido audiovisual “responden a la finalidad” y son “adecuados, pertinentes y limitados a lo necesario”, lo que exige convertir esa valoración en reglas operativas para el día a día de los centros. 

En ese sentido, el CTPDA da especial importancia a la necesidad de implantar protocolos claros sobre uso de imágenes (qué se puede almacenar, con qué finalidad, quién accede, durante cuánto tiempo, y en qué supuestos debe recabarse el consentimiento), de modo que el sistema funcione “por defecto” dentro de los límites de la finalidad educativa y reduzca el riesgo de usos inadecuados o excesivos. Esta falta de integración efectiva de garantías preventivas supone, según el CTPDA, una nueva infracción del artículo 25 RGPD (principio de protección de datos desde el diseño y por defecto).

5. Sobre las transferencias internacionales llevadas a cabo por Google

El CTPDA analiza el régimen previsto en el Convenio en relación con el almacenamiento y tratamiento de datos en infraestructuras globales del proveedor, incluyendo la posibilidad de que los datos se procesen en países fuera del Espacio Económico Europeo. A este respecto, recuerda que cualquier transferencia internacional debe cumplir estrictamente los requisitos establecidos en los artículos 44 a 49 RGPD, ya sea acudiendo a una decisión de adecuación o mediante la existencia de garantías adecuadas (como cláusulas contractuales tipo) aplicables al caso concreto.

El Consejo concluye que no quedó debidamente acreditado en el expediente que las transferencias internacionales derivadas del uso de la plataforma se ajustaran plenamente a las exigencias del RGPD ni que se hubieran documentado adecuadamente las garantías aplicables en relación con todos los posibles destinos de los datos. En consecuencia, aprecia infracción por vulneración del artículo 44 RGPD, tipificada como muy grave en la LOPDGDD.

6. Sobre la falta de Registro de Actividades de Tratamiento y ausencia de la evaluación de impacto sobre la protección de datos

El CTPDA aprecia, de oficio, una infracción del artículo 30 RGPD, al constatar que el Registro de Actividades de Tratamiento (RAT) no incorporaba de forma completa la información relativa a las transferencias internacionales de datos, incumpliendo las exigencias de transparencia y documentación propias del principio de responsabilidad proactiva. Esta deficiencia se tipifica como infracción leve en la LOPDGDD.

Por otro lado, también de oficio, el Consejo declara la infracción del artículo 35 RGPD por no haberse realizado una evaluación de impacto relativa a la protección de datos (EIPD) con carácter previo a la implantación y uso generalizado de la plataforma, a pesar de que concurrían circunstancias que hacían exigible dicha evaluación —tratamiento a gran escala, afectación masiva a menores y utilización intensiva de tecnologías digitales— y que la ausencia de EIPD constituye una vulneración grave del RGPD, al impedir la identificación y mitigación anticipada de los riesgos para los derechos y libertades de los interesados.

3. Sanciones

Como consecuencia de las infracciones cometidas, se impone a la DGIFP las siguientes sanciones:

• Remitir al Consejo, en el plazo de 3 meses, un plan de acción que incluya todas las medidas a adoptar.
• Remitir en el plazo más breve posible la documentación acreditativa de la adopción de medidas técnicas y organizativas para limitar el riesgo de que los usuarios introduzcan en la plataforma categorías especiales de datos.
• Remitir copia de las instrucciones y protocolos de gestión de imágenes y contenido audiovisual en la plataforma.
• Remitir acreditación documental de que se ha incluido en el RAT información sobre las transferencias internacionales de datos.
• Remitir acreditación documental de la EIPD llevada a cabo.
• Suspender los flujos de datos hacia establecimientos de Google y sus subencargados situados en terceros países sobre los que no se haya emitido una decisión de adecuación, salvo aquellos para los que se hayan cumplido las garantías, requisitos o excepciones contempladas por la normativa y, en su caso, aportar prueba documental de ello.

4. Conclusiones

El uso de herramientas como Google Workspace for Education por centros educativos supone que los Responsables del tratamiento realicen una diferenciación entre aquellos tratamientos de datos personales relacionados intrínsecamente con la finalidad docente y orientadora – que con carácter general, pueden ampararse bajo el prisma del interés público – respecto de aquellos tratamientos que se alejen de la misma y, por tanto, puedan requerir de la aplicación de una base de legitimación distinta. En todo caso, deben garantizar el ejercicio legítimo de los derechos reconocidos por la normativa por parte de los interesados.

Asimismo, la implementación de este tipo de sistemas implica la obligación de cumplimiento del resto de disposiciones contenidas en la normativa en materia de protección de datos, especialmente en lo que se refiere al análisis de la necesidad, idoneidad y proporcionalidad de los tratamientos, la garantía de transparencia frente a los interesados (incluida la relativa a las transferencias internacionales) y la adopción de medidas técnicas y organizativas necesarias que integren la protección de datos desde el diseño y por defecto.

Por último, los centros educativos deben tener presente que el tratamiento de datos de menores, y en su caso de categorías especiales de datos, como los de salud, eleva el estándar de diligencia exigible y puede determinar la obligación de realizar evaluaciones de impacto en protección de datos, cuando concurran los supuestos previstos en el RGPD.