Sanció imposada a una institució educativa per utilitzar Google Workspace for Education
1. Qüestions clau relacionades amb l'incident
El procediment es deriva d'una denúncia presentada davant l'AEPD l'abril de 2024 contra un centre educatiu privat pel que fa a l'ús de Google Workspace for Education (GWE) en la prestació d'activitats educatives.
Els alumnes accedien a GWE mitjançant comptes creats per la mateixa escola i utilitzant dispositius Chromebook proporcionats per l'escola. A través d'aquests comptes, els alumnes podien utilitzar diverses aplicacions digitals per a activitats educatives.
Durant la investigació, l'escola va declarar que l'eina s'utilitzava des del curs acadèmic 2021-2022 i que la feien servir 531 alumnes, dels quals 395 eren menors de 14 anys.
L'escola va declarar que l'ús de la plataforma es limitava a finalitats educatives i que s'havien adoptat determinades mesures tècniques per restringir l'accés a certs serveis i supervisar l'ús dels dispositius per part de l'alumnat.
L'AEPD va analitzar diversos aspectes relacionats amb el tractament de dades personals derivats de l'ús de les diferents aplicacions d'aquesta eina i la creació de comptes de GWE i dispositius Chromebook, pel que fa al compliment del deure d'informar, la base jurídica del tractament, les mesures de protecció adoptades per l'escola, la realització d'avaluacions d'impacte i les possibles transferències internacionals de dades derivades de l'ús dels serveis de Google.
2. Incompliments del RGPD
Basant-se en els fets descrits i en les investigacions realitzades, l'AEPD va considerar que el centre escolar havia incomplert diverses obligacions establertes en el Reglament general de protecció de dades (RGPD).
1. Llicitud del tractament (article 6 del RGPD)
L'escola va sostenir que el tractament es justificava pel compliment de les obligacions legals en l'àmbit de l'educació o per l'exercici de tasques realitzades en interès públic, d'acord amb la disposició addicional vint-i-tresena de la Llei Orgànica d'Educació (LOE), que permet el tractament de dades personals necessàries per a l'exercici de les funcions educatives.
No obstant això, l'AEPD reitera que aquesta autorització legal es limita exclusivament al tractament necessari per a l'exercici d'activitats educatives i la gestió del procés d'ensenyament i aprenentatge. En conseqüència, qualsevol tractament de dades personals realitzat amb finalitats diferents o que superi aquesta funció educativa ha de tenir una base jurídica independent que justifiqui el tractament.
En el cas objecte d'anàlisi, l'AEPD va concloure que l'escola no havia demostrat suficientment que totes les operacions de tractament derivades de l'ús de la plataforma tecnològica estiguessin efectivament cobertes per aquesta autorització normativa, ja que les investigacions van revelar que fins i tot els serveis bàsics de GWE s'estaven utilitzant per a finalitats que anaven més enllà de les educatives.
2. Principi de licitud, equitat i transparència (article 5.1.a del RGPD)
Pel que fa a la informació facilitada als interessats sobre el tractament de les seves dades personals, l'AEPD va concloure que l'escola no havia proporcionat adequadament als pares dels alumnes la informació que exigeixen les normatives sobre l'ús de la plataforma tecnològica o les característiques del tractament de dades personals associat al seu ús, ja que no havia informat de totes les categories de dades personals objecte de tractament, ni hi havia cap registre d'informació sobre transferències internacionals.
A més, l'escola no va poder demostrar que la informació s'hagués comunicat als interessats, ja que la plataforma no conservava cap registre que demostrés que aquesta comunicació s'havia produït.
L'AEPD considera que la manca d'informació clara, completa i accessible sobre aquestes operacions de tractament constitueix una infracció del principi de justícia i transparència, que exigeix que els interessats siguin informats de manera efectiva sobre com es tracten les seves dades personals, i destaca un cop més la necessitat de complir el principi de responsabilitat proactiva, segons el qual els responsables del tractament no només han de complir les obligacions establertes a la normativa, sinó que també han de poder demostrar aquest compliment.
3. Avaluació d'impacte en la protecció de dades (article 35 RGPD)
L'institució educativa va proporcionar una avaluació d'impacte en la protecció de dades (AIPD) realitzada abans de la implementació de la eina. No obstant això, l'AEPD va considerar que aquesta avaluació era insuficient.
En aquest sentit, l'AEPD destaca que no es van tenir en compte tots els elements essencials del tractament (novament, pel que fa a les categories de dades tractades i a les transferències internacionals), la qual cosa significa que no es van analitzar tots els riscos existents; no s'hi va incloure cap anàlisi de la proporcionalitat del tractament; i no hi ha proves que els procediments i les mesures que el mateix centre havia identificat com a recomanacions de millora s'haguessin implementat.
3. Conclusions
Aquesta decisió posa de manifest l'atenció creixent que les autoritats de protecció de dades presten a l'ús d'eines digitals i plataformes tecnològiques en el sector educatiu, especialment quan es tracta del tractament de dades personals de menors.
L'AEPD assenyala que, tot i que les institucions educatives tenen autorització legal específica per tractar dades personals en el desenvolupament de les seves activitats educatives, aquesta autorització no cobreix cap tractament de dades personals realitzat dins de l'entorn escolar.
En conseqüència, quan l'ús d'eines tecnològiques implica un tractament que va més enllà de les finalitats estrictament educatives o que introdueix nous riscos per als drets i llibertats dels interessats, les escoles han d'identificar correctament la base jurídica aplicable, proporcionar informació de manera transparent i accessible i, finalment, avaluar els riscos associats —mitjançant una avaluació d'impacte adequada— amb l'objectiu d'adoptar les mesures tècniques i organitzatives necessàries per garantir el compliment de la normativa de protecció de dades.
Nota informativa del Departament de Protecció de Dades d'ECIJA Madrid.
