Sanción por el uso de Google Workspace for Education a un centro educativo

Informes22 de abril de 2026
La Agencia Española de Protección de Datos (AEPD) ha sancionado a un centro educativo por diversas infracciones de la normativa de protección de datos derivadas del uso de la herramienta Google Workspace for Education en el entorno escolar, por un total de 20.000€.

1. Cuestiones principales sobre el incidente

El procedimiento tiene su origen en una reclamación presentada ante la AEPD en abril de 2024 contra un centro educativo privado por el uso de la herramienta Google Workspace for Education (GWE) en el desarrollo de actividades educativas.


Los alumnos accedían a GWE a través de cuentas creadas por el propio centro educativo y utilizando dispositivos Chromebook facilitados por el colegio. A través de estas cuentas, los estudiantes podían utilizar diversas aplicaciones digitales para el desarrollo de actividades educativas.


Durante la investigación, el centro indicó que la herramienta estaba implantada desde el curso 2021-2022 y que era utilizada por 531 alumnos, de los cuales 395 eran menores de 14 años.


El colegio manifestó que el uso de la plataforma se limitaba a fines educativos y que se habían adoptado determinadas medidas técnicas destinadas a restringir el acceso a determinados servicios y supervisar el uso de los dispositivos por parte de los alumnos.


La AEPD analizó diversos aspectos relativos al tratamiento de datos personales derivado del uso de diferentes aplicaciones de esta herramienta y la creación de cuentas de GWE y los dispositivos Chromebook, con respecto al cumplimiento del deber de información, la base jurídica del tratamiento, las medidas de protección adoptadas por el centro, la realización de evaluaciones de impacto y las posibles transferencias internacionales de datos derivadas del uso de los servicios de Google.

 

2. Infracciones del RGPD

Partiendo de los hechos descritos y las investigaciones que se llevaron a cabo, la AEPD consideró que el centro educativo había incumplido diversas obligaciones establecidas en el Reglamento General de Protección de Datos (RGPD).


1. Licitud del tratamiento (artículo 6 RGPD)

El colegio sostenía que el tratamiento estaba legitimado por el cumplimiento de obligaciones legales en materia educativa o por el ejercicio de funciones realizadas en interés público, en virtud de la disposición adicional vigésima tercera de la Ley Orgánica de Educación (LOE), que permite el tratamiento de datos personales necesario para el ejercicio de la función educativa.


No obstante, la AEPD insiste, nuevamente, en que dicha habilitación legal se limita exclusivamente a los tratamientos necesarios para el desarrollo de la actividad educativa y la gestión del proceso de enseñanza-aprendizaje. Por ello, aquellos tratamientos de datos personales que se realicen con finalidades distintas o que excedan de dicha función educativa deben contar con una base jurídica independiente que legitime el tratamiento.


En el caso analizado, la AEPD concluyó que el centro no había acreditado suficientemente que todos los tratamientos derivados del uso de la plataforma tecnológica se encontraran efectivamente amparados por dicha habilitación normativa, ya que se puso de manifiesto en las investigaciones que incluso los servicios principales de GWE se empleaban para finalidades que exceden la finalidad educativa.


2. Principio de lealtad y transparencia (artículo 5.1.a RGPD)

En relación con la información facilitada a los interesados sobre el tratamiento de sus datos personales, la AEPD concluyó que el centro no había proporcionado de forma adecuada a los progenitores de los alumnos la información exigida por la normativa en relación con el uso de la plataforma tecnológica ni sobre las características del tratamiento de datos personales asociado a su utilización, ya que no se informó sobre la totalidad de categorías de datos personales sometidos a tratamiento, así como no constaba información acerca de las transferencias internacionales.


Por otro lado, el centro no fue capaz de demostrar que se transmitió la información a los interesados, debido a que la plataforma no guardaba traza de que dicha acción se había producido.


La AEPD considera que la falta de una información clara, completa y accesible sobre estos tratamientos supone una vulneración del principio de lealtad y transparencia, que exige que los interesados conozcan de forma efectiva cómo se tratan sus datos personales, así como pone de manifiesto, nuevamente, la necesidad de cumplir con el principio de responsabilidad proactiva, según el cual los responsables del tratamiento no sólo tienen que cumplir con las obligaciones establecidas en la normativa, sino que además deben ser capaces de demostrar dicho cumplimiento.

 

3. Evaluación de impacto relativa a la protección de datos (artículo 35 RGPD)

El centro educativo aportó una evaluación de impacto relativa a la protección de datos (EIPD) realizada con anterioridad a la implantación de la herramienta. No obstante, la AEPD consideró que dicha evaluación resultaba insuficiente.


En este sentido, la AEPD destaca que no se tuvieron en cuenta la totalidad de los elementos esenciales del tratamiento (de nuevo, en lo que se refiere a las categorías de datos tratados y las transferencias internacionales), por lo que no se analizan la totalidad de los riesgos existentes; no se incluye un análisis acerca de la proporcionalidad del tratamiento, así como; no existen pruebas de que se hubieran llevado a cabo los procedimientos y medidas que el propio centro había señalado como recomendaciones de mejora.

 

3. Conclusiones

Esta resolución pone de manifiesto la creciente atención de las autoridades de protección de datos sobre el uso de herramientas digitales y plataformas tecnológicas en el ámbito educativo, especialmente cuando implican el tratamiento de datos personales de menores.


La AEPD recuerda que, si bien los centros educativos cuentan con una habilitación legal específica para tratar datos personales en el ejercicio de su función educativa, dicha habilitación no ampara cualquier tratamiento de datos personales realizado en el entorno escolar.


En consecuencia, cuando el uso de herramientas tecnológicas implique tratamientos que excedan de la estricta finalidad educativa o introduzcan nuevos riesgos para los derechos y libertades de los interesados, los centros deben identificar adecuadamente la base jurídica aplicable, informar de un modo transparente y accesible y, finalmente, evaluar los riesgos asociados – a través de la oportuna evaluación de impacto– con el objetivo de adoptar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la normativa de protección de datos.


Nota informativa del área de Protección de Datos de ECIJA Madrid.

Una vista aérea de una multitud de personas caminando por una acera sobre un pavimento de adoquines.

Socios relacionados

ACTUALIDAD #ECIJA