Sanção à Consejería de Educación de Andalucía por incumprimento derivado da utilização do Google Workspace

1. Objetivo do procedimento

A DGIFP da Comunidade Autónoma da Andaluzia assinou, em novembro de 2020, o primeiro Acordo com a Google Ireland Limited para a implementação do G Suite, atualmente Google Workspace for Education, (doravante, GWE) nos centros educativos públicos andaluzes.

Este Acordo foi objeto de várias queixas ao longo dos últimos anos, que o Conselho Andaluz de Transparência e Proteção de Dados (CTPDA) resolveu cumulativamente numa resolução (o RPS-2024/074), na qual foi denunciado, em resumo:

• A criação de contas para alunos e professores de forma automática, sem consentimento prévio.
• Tratamento de categorias especiais de dados sem a correspondente justificação.
• Falta de informação específica aos titulares dos dados sobre o tratamento.
• Utilização de serviços Beta ou de serviços em desenvolvimento que impliquem o tratamento de dados para efeitos de big data ou de análise de indicadores para a aprendizagem.
• Não cumprimento do princípio de minimização de dados em relação à captura de material audiovisual, como vídeos ou imagens, e sua utilização e armazenamento na nuvem do Google.
• A realização de transferências internacionais como consequência da grande cadeia de subprocessadores da Google e da falta de transparência em relação aos países terceiros para os quais os dados são exportados.

2. Questões analisadas

Após a realização dos trabalhos de investigação pertinentes, através da formulação de pedidos de informação ao serviço competente, o CTPDA analisa as seguintes questões, em relação às infracções cometidas[1]:

1. Sobre a legalidade do tratamento

Relativamente ao tratamento estritamente necessário à prestação de serviços de educação e orientação, a CTPDA entende que a abertura de contas e o tratamento de dados de alunos e professores pode ter por base uma missão de interesse público ou de exercício de poderes públicos no âmbito do quadro regulamentar da educação, fundamentalmente a 23ª disposição adicional da Lei Orgânica 2/2006, de 3 de maio, da Educação (doravante, "LOE"), sem necessidade de solicitar o consentimento, quando a finalidade do tratamento esteja relacionada com a finalidade educativa.

No entanto, o CTPDA salienta que tal não impede o exercício dos direitos e, mais concretamente, o direito de oposição previsto no artigo 21.º, n.º 1, do RGPD, de que os titulares dos dados são titulares. Neste caso, se o titular dos dados ou o seu representante legal, por motivos relacionados com a sua situação particular, se opuser à abertura/manutenção da conta, a entidade responsável deverá cessar o tratamento dos dados pessoais e proceder ao encerramento da conta, exceto se conseguir demonstrar razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados. No caso de, como consequência do exercício do direito de oposição com os requisitos acima referidos, se obter o encerramento da conta no âmbito do Acordo, é de esperar que a administração educativa e o centro adoptem as medidas técnicas e organizativas adequadas para que o aluno não sofra situações de discriminação ou agravamento comparativo no usufruto dos serviços educativos e de orientação.

Em todo o caso, importa sublinhar que um tratamento de dados não associado à finalidade educativa dificilmente poderá ser legitimado pelo referido interesse público, pelo que poderá exigir o consentimento ou outro fundamento de legitimação dos previstos no artigo 6.º do RGPD.

2. Sobre o tratamento de categorias especiais de dados

Relativamente à eventual inclusão na plataforma de dados pessoais relativos à saúde, religião ou outras categorias especiais de dados, o CTPDA analisa se a conceção e utilização do sistema incorporou garantias suficientes para minimizar esse risco.

Embora a Convenção indique expressamente que estas categorias de dados não são tratadas no âmbito da GWE, o Conselho considera improvável que tal tratamento não ocorra e observa que a administração deveria ter tomado medidas técnicas e organizativas adequadas, por conceção e por defeito, para evitar ou reduzir a possível incorporação deste tipo de dados especialmente protegidos pelos utilizadores.

A este respeito, conclui que houve deficiências na aplicação efectiva do princípio da privacidade desde a conceção e por defeito e, por conseguinte, a concordância com a violação do artigo 25.º do RGPD, uma vez que não foram implementados mecanismos específicos para limitar este risco estrutural numa plataforma de utilização em massa no domínio da educação.

3. Sobre o cumprimento do dever de informação

O CTPDA conclui que a Administração não cumpriu o dever de informação previsto no artigo 13.º do RGPD, uma vez que não acreditou que os alunos, famílias e professores recebessem, no momento da criação ou utilização das contas, a informação completa exigida pelo regulamento sobre o tratamento dos seus dados pessoais.

Recorda que a simples publicação do Acordo ou de informações gerais num sítio Web institucional não é considerada suficiente para satisfazer o padrão de transparência exigido pelo RGPD, pelo que o Conselho considera que a infração constitui uma violação do princípio da transparência e do artigo 13.

4. Relativamente ao tratamento de fotografias e de conteúdos audiovisuais

Mais uma vez, o CTPDA salienta que, quando a captação e utilização de imagens e conteúdos audiovisuais está diretamente integrada na atividade educativa e de orientação, pode ser abrangida pelo interesse público do organismo responsável, sem necessidade de obter o consentimento das pessoas em causa, desde que o tratamento seja adequado, pertinente e limitado ao necessário, em conformidade com o princípio da minimização.

Por outro lado, quando o registo ou a divulgação de imagens não se destinar estritamente a esse fim educativo - por exemplo, uso promocional, divulgação alargada ou fins acessórios - é necessária uma autorização específica e distinta, que normalmente exigirá o consentimento informado dos titulares dos dados ou dos seus representantes legais, juntamente com informação clara sobre a finalidade específica e o âmbito da divulgação, para que esse consentimento seja considerado válido.

De acordo com o CTDPA, a Convenção impõe ao responsável pelo tratamento a obrigação de avaliar se as imagens e os conteúdos audiovisuais são "adequados ao objetivo" e "apropriados, pertinentes e limitados ao necessário", o que exige a tradução desta avaliação em regras operacionais para o funcionamento quotidiano dos centros.

A este respeito, o CTPDA atribui especial importância à necessidade de implementar protocolos claros sobre a utilização das imagens (o que pode ser armazenado, com que finalidade, quem tem acesso, durante quanto tempo e em que casos é necessário pedir consentimento), de modo a que o sistema funcione "por defeito" dentro dos limites da finalidade educativa e reduza o risco de utilização inadequada ou excessiva. Esta falta de integração efectiva de garantias preventivas constitui, segundo o CTPDA, uma nova violação do artigo 25.º do RGPD (princípio da proteção de dados desde a conceção e por defeito).

5. Relativamente às transferências internacionais efectuadas pela Google

O CTPDA analisa o regime previsto na Convenção em relação ao armazenamento e tratamento de dados em infra-estruturas globais do fornecedor, incluindo a possibilidade de os dados serem tratados em países fora do Espaço Económico Europeu. A este respeito, recorda que qualquer transferência internacional deve cumprir rigorosamente os requisitos estabelecidos nos artigos 44.º a 49.º do RGPD, quer através do recurso a uma decisão de adequação, quer através da existência de salvaguardas adequadas (tais como cláusulas contratuais-tipo) aplicáveis ao caso específico.

O Conselho conclui que não ficou devidamente comprovado no processo que as transferências internacionais resultantes da utilização da plataforma estavam em plena conformidade com os requisitos do RGPD e que as salvaguardas aplicáveis em relação a todos os possíveis destinos dos dados tinham sido adequadamente documentadas. Consequentemente, foi constatada a infração ao artigo 44.º do RGPD, classificada como muito grave na LOPDGDD.

6. Falta de um registo das actividades de tratamento e ausência de uma avaliação de impacto sobre a proteção de dados.

O CTPDA verificou, oficiosamente, uma infração ao artigo 30.º do RGPD, ao constatar que o Registo de Actividades de Tratamento (RAT) não incluía informação completa sobre as transferências internacionais de dados, violando as exigências de transparência e documentação inerentes ao princípio da responsabilidade proactiva. Esta deficiência é classificada como uma infração menor na LOPDGDD.

Por outro lado, também oficiosamente, o Conselho declarou uma violação do artigo 35.º do RGPD por não ter efectuado uma avaliação de impacto sobre a proteção de dados (APD) antes da implementação e utilização generalizada da plataforma, apesar de existirem circunstâncias que tornavam essa avaliação necessária - tratamento em grande escala, envolvimento maciço de menores e utilização intensiva de tecnologias digitais - e de a ausência de uma APD constituir uma violação grave do RGPD, uma vez que impede a identificação precoce e a mitigação dos riscos para os direitos e liberdades das pessoas em causa.

Sanções

Em consequência das infracções cometidas, são impostas as seguintes sanções à DGIFP

• Apresentar ao Conselho, no prazo de 3 meses, um plano de ação que inclua todas as medidas a adotar.
• Apresentar, logo que possível, documentação que comprove a adoção de medidas técnicas e organizativas para limitar o risco de os utilizadores introduzirem categorias especiais de dados na plataforma.
• Apresentar uma cópia das instruções e protocolos para a gestão de imagens e conteúdos audiovisuais na plataforma.
• Apresente provas documentais de que a informação sobre transferências internacionais de dados foi incluída na ARP.
• Apresente provas documentais do DPI efectuado.
• Suspender os fluxos de dados para os estabelecimentos da Google e dos seus subcontratantes situados em países terceiros para os quais não tenha sido emitida uma decisão de adequação, exceto aqueles para os quais tenham sido cumpridas as garantias, requisitos ou excepções contempladas na regulamentação e, se for caso disso, apresentar prova documental disso.

4. Conclusões

A utilização de ferramentas como o Google Workspace for Education pelos centros educativos exige que os responsáveis pelo tratamento diferenciem entre um tratamento de dados pessoais intrinsecamente relacionado com a finalidade de ensino e orientação - que pode geralmente ser protegido sob o prisma do interesse público - e um tratamento que está muito afastado dessa finalidade e, por conseguinte, pode exigir a aplicação de uma base de legitimação diferente. Em qualquer caso, devem garantir o exercício legítimo dos direitos reconhecidos pelo regulamento por parte das pessoas em causa.

Da mesma forma, a implementação deste tipo de sistemas implica a obrigação de cumprir o resto das disposições contidas nos regulamentos de proteção de dados, especialmente no que diz respeito à análise da necessidade, adequação e proporcionalidade do tratamento, à garantia de transparência em relação aos titulares dos dados (incluindo a relativa às transferências internacionais) e à adoção das medidas técnicas e organizacionais necessárias que integram a proteção de dados desde a conceção e por defeito.

Por último, os estabelecimentos de ensino devem ter em conta que o tratamento de dados de crianças e, se for caso disso, de categorias especiais de dados, como os dados relativos à saúde, eleva o nível de diligência exigido e pode implicar a obrigação de realizar avaliações de impacto sobre a proteção de dados, quando se verifiquem os casos previstos no RGPD.