Multada la Conselleria d'Educació d'Andalusia per infraccions derivades de l'ús de Google Workspace

1. Finalitat del procediment

El novembre de 2020, la DGIFP de la Comunitat Autònoma d'Andalusia va signar el primer acord amb Google Ireland Limited per a la implementació de G Suite, ara conegut com a Google Workspace for Education (en endavant «GWE»), a les escoles públiques andaluses.

Aquest acord ha estat objecte de diverses queixes durant els darrers anys, que el Consell Andalús per a la Transparència i la Protecció de Dades (CTPDA) ha resolt col·lectivament en una decisió (RPS-2024/074), en la qual s'al·legava, en resum:

• La creació automàtica de comptes tant per a l'alumnat com per al professorat sense consentiment previ.
• El tractament de categories especials de dades sense la justificació requerida.
• Manca d'informació específica proporcionada als interessats sobre el tractament.
• L'ús de serveis beta o serveis en desenvolupament que impliquen el tractament de dades amb finalitats de big data o l'anàlisi d'indicadors d'aprenentatge.
• Incumpliment del principi de minimització de dades en relació amb la recollida de material audiovisual, com ara vídeos o imatges, i el seu ús i emmagatzematge a Google Cloud.
• La realització de transferències internacionals com a resultat de l'àmplia cadena de subprocessadors de Google i la manca de transparència respecte als països tercers als quals s'exporten les dades.

2. Qüestions analitzades

Després d'haver dut a terme la investigació pertinent, mitjançant la presentació de sol·licituds d'informació al ministeri regional competent, la CTPDA analitza les qüestions següents en relació amb les infraccions comeses[1]:

1. Sobre la licitud del tractament

Pel que fa al tractament estrictament necessari per a la prestació de serveis educatius i d'orientació, la CTPDA considera que la creació de comptes i el tractament de les dades dels estudiants i del personal poden justificar-se en la realització d'una tasca d'interès públic o en l'exercici de poders públics en relació amb el marc regulador educatiu, principalment la Disposició Addicional 23 de la Llei Orgànica 2/2006, de 3 de maig, d'Educació (en endavant «LOE»), sense necessitat d'obtenir el consentiment, quan la finalitat del tractament estigui relacionada amb finalitats educatives.

No obstant això, la CTPDA assenyala que això no impedeix l'exercici dels drets, i, més concretament, el dret d'oposició a què fan referència els subjectes de dades en l'article 21.1 del RGPD. En aquest cas, si l'interessat o el seu representant legal, per motius vinculats a la seva situació particular, s'oposa a l'obertura o al manteniment del compte, el responsable del tractament ha de cessar el tractament de les dades personals i procedir a tancar el compte, tret que pugui demostrar motius legítims imperiosos que prevaleixin sobre els interessos, els drets i les llibertats de l'interessat. En el cas que, com a resultat de l'exercici del dret d'oposició d'acord amb els requisits establerts, el compte es tanqui en virtut de l'Acord, s'espera que l'autoritat educativa i l'escola adoptin les mesures tècniques i organitzatives adequades per garantir que l'alumne no pateixi discriminació ni un desavantatge comparatiu en el gaudi dels serveis educatius i d'orientació.

En qualsevol cas, cal assenyalar que el tractament de dades no relacionat amb finalitats educatives difícilment es pot justificar en virtut d'aquest interès públic i, per tant, pot requerir el consentiment o una altra base jurídica, tal com s'estableix a l'article 6 del RGPD.

2. Pel tractament de categories especials de dades

Pel que fa a la possible inclusió a la plataforma de dades personals relatives a la salut, la religió o altres categories especials de dades, el CTPDA examina si el disseny i l'ús del sistema incorporaven garanties suficients per minimitzar aquest risc.

Tot i que l'Acord estableix expressament que aquestes categories de dades no estan subjectes a tractament en l'àmbit de GWE, la Junta considera poc probable que aquest tractament no es produeixi i assenyala que l'Administració hauria d'haver adoptat mesures tècniques i organitzatives adequades per disseny i de manera predeterminada per prevenir o reduir la possible inclusió d'aquest tipus de dades especialment protegides per part dels usuaris.

En aquest sentit, conclou que hi va haver deficiències en l'aplicació efectiva del principi de privacitat des del disseny i per defecte, i, per tant, que es va produir una infracció de l'article 25 del RGPD, ja que no s'havien implementat mecanismes específics per limitar aquest risc estructural en una plataforma d'ús generalitzat en el sector educatiu.

3. Sobre el compliment del deure d'informació

La CTPDA conclou que l'Administració no va complir l'obligació d'informar prevista a l'article 13 del RGPD, ja que no va demostrar que els estudiants, les famílies i el professorat haguessin rebut, en el moment de la creació o l'ús dels comptes, la informació completa que exigeixen les normatives sobre el tractament de les seves dades personals.

Assenyala que la mera publicació de l'Acord o la informació general en un lloc web institucional no es considera suficient per complir el nivell de transparència exigit pel RGPD; en conseqüència, la Junta considera que hi ha una infracció per vulneració del principi de transparència i de l'article 13 del RGPD.

4. Pel tractament de fotografies i contingut audiovisual

Un cop més, la CTPDA assenyala que quan la captació i l'ús d'imatges i contingut audiovisual s'integren directament en les activitats educatives i d'orientació, poden estar coberts per l'interès públic de l'organisme responsable, sense necessitat d'obtenir el consentiment dels interessats, sempre que el tractament sigui adequat, pertinent i limitat al necessari d'acord amb el principi de minimització de dades.

Per contra, quan la gravació o difusió d'imatges no serveix estrictament aquesta finalitat educativa — per exemple, en el cas d'usos promocionals, difusió ampla o finalitats auxiliars — caldrà una autorització específica i diferenciada, que normalment implicarà el consentiment informat dels interessats o dels seus representants legals, juntament amb una informació clara sobre el propòsit i l'abast específics de la difusió perquè aquest consentiment es consideri vàlid.

Segons la CTDPA, la Convenció imposa al responsable del tractament l'obligació d'avaluar si les imatges i el contingut audiovisual «serveixen l'objectiu» i són «adients, pertinents i limitades al necessari», la qual cosa requereix traduir aquesta avaluació en normes operatives per al funcionament diari de les escoles.

En aquest sentit, la CTPDA atorga una importància particular a la necessitat d'implementar protocols clars sobre l'ús d'imatges (què es pot emmagatzemar, amb quina finalitat, qui hi té accés, durant quant de temps i en quines circumstàncies s'ha d'obtenir el consentiment), de manera que el sistema funcioni «per defecte» dins dels límits de la finalitat educativa i redueixi el risc d'un ús inadequat o excessiu. Aquesta manca d'integració efectiva de les garanties preventives constitueix, segons el CTPDA, un altre incompliment de l'article 25 del RGPD (el principi de protecció de dades des del disseny i per defecte).

5. Sobre les transferències internacionals realitzades per Google

La CTPDA analitza el règim establert en l'Acord pel que fa a l'emmagatzematge i el tractament de dades en la infraestructura global del proveïdor, incloent-hi la possibilitat que les dades es puguin tractar en països fora de l'Espai Econòmic Europeu. En aquest sentit, assenyala que qualsevol transferència internacional ha de complir estrictament els requisits establerts als articles 44 a 49 del RGPD, ja sigui basant-se en una decisió d'adequació o mitjançant l'existència de garanties adequades (com ara clàusules contractuals estàndard) aplicables al cas concret.

La Junta conclou que no es va demostrar degudament en l'expedient que les transferències internacionals derivades de l'ús de la plataforma complissin plenament els requisits del RGPD, ni que les garanties aplicables s'haguessin documentat adequadament en relació amb totes les destinacions possibles de les dades. En conseqüència, considera que hi ha una infracció per vulneració de l'article 44 del RGPD, qualificada com a molt greu d'acord amb la LOPDGDD.

6. Pel que fa a la manca d'un registre d'activitats de tractament i a l'absència d'una avaluació d'impacte en la protecció de dades

La CTPDA considera, d'ofici, que s'ha infringit l'article 30 del RGPD, en haver establert que el Registre d'Activitats de Tractament (RAT) no incorporava completament la informació relativa a les transferències internacionals de dades, i per tant no complia els requisits de transparència i documentació inherents al principi de responsabilitat proactiva. Aquesta deficiència es classifica com una infracció lleu d'acord amb la LOPDGDD.

A més, també d'ofici, la Junta declara una infracció de l'article 35 del RGPD per no haver dut a terme una avaluació d'impacte en la protecció de dades (AIPD) abans de la implementació i l'ús generalitzat de la plataforma, malgrat que existien circumstàncies que feien obligatòria aquesta avaluació —tractament a gran escala, impacte massiu en menors d'edat i ús intensiu de tecnologies digitals— i que l'absència d'una avaluació d'impacte en la protecció de dades (AIPD) constitueix una infracció greu del RGPD, ja que impedeix la identificació i l'atenuació precoç dels riscos per als drets i les llibertats dels interessats.

3. Sancions

Com a resultat de les infraccions comeses, s'imposen a la DGIFP les següents sancions:

• Presentar a la Junta, en un termini de tres mesos, un pla d'acció que detalli totes les mesures a adoptar.
• Presentar, tan aviat com sigui possible, la documentació que acrediti l'adopció de mesures tècniques i organitzatives per limitar el risc que els usuaris introdueixin a la plataforma dades de categories especials.
• Presentar una còpia de les instruccions i protocols per a la gestió d'imatges i contingut audiovisual a la plataforma.
• Presenteu proves documentals que demostrin que la informació sobre transferències internacionals de dades s'ha inclòs al RAT.
• Presenteu proves documentals de l'avaluació d'impacte en la protecció de dades realitzada.
• Suspengueu els fluxos de dades als establiments de Google i als seus subencarregats situats en països tercers per als quals no s'ha emès cap decisió d'adequació, excepte per a aquells per als quals s'hagin complert les garanties, els requisits o les excepcions previstes en la normativa i, si escau, proporcioneu-ne la prova documental.

4. Conclusions

L'ús d'eines com ara Google Workspace for Education per part de les institucions educatives exigeix que els responsables del tractament distingeixin entre el tractament de dades personals intrínsecament vinculat a finalitats educatives i de orientació —que, en general, pot estar cobert per l'interès públic— i el tractament que se'n desviï i que, per tant, pugui requerir una base jurídica diferent. En qualsevol cas, han d'assegurar que els interessats puguin exercir legítimament els drets reconeguts per la normativa.

A més, la implementació d'aquests sistemes comporta l'obligació de complir la resta de disposicions de la legislació de protecció de dades, especialment pel que fa a l'avaluació de la necessitat, l'adequació i la proporcionalitat del tractament, la garantia de transparència envers els interessats (inclosa la relativa a les transferències internacionals) i l'adopció de les mesures tècniques i organitzatives necessàries que incorporin la protecció de dades des del disseny i per defecte.

Finalment, les institucions educatives han de tenir en compte que el tractament de les dades dels menors, i, si s'escau, de les dades de categories especials, com ara les dades de salut, eleva el nivell de diligència deguda requerit i pot donar lloc a l'obligació de dur a terme avaluacions d'impacte en la protecció de dades quan es compleixin les condicions establertes al RGPD.