Sanção imposta a uma instituição de ensino por utilizar o Google Workspace for Education
1. Questões fundamentais relacionadas com o incidente
O procedimento decorre de uma queixa apresentada à AEPD em abril de 2024 contra um estabelecimento de ensino privado relativa à utilização do Google Workspace for Education (GWE) na realização de actividades educativas.
Os alunos acediam ao GWE através de contas criadas pela própria escola e utilizando dispositivos Chromebook fornecidos pela escola. Através destas contas, os alunos podiam utilizar várias aplicações digitais para actividades educativas.
Durante o inquérito, a escola declarou que a ferramenta estava a ser utilizada desde o ano letivo de 2021-2022 e era utilizada por 531 alunos, dos quais 395 tinham menos de 14 anos.
A escola alegou que a utilização da plataforma estava limitada a fins educativos e que tinham sido adotadas algumas medidas técnicas para restringir o acesso a determinados serviços e monitorizar a utilização dos dispositivos pelos alunos.
A AEPD analisou vários aspectos relacionados com o tratamento de dados pessoais decorrentes da utilização das diferentes aplicações desta ferramenta e da criação de contas GWE e de dispositivos Chromebook, no que respeita ao cumprimento do dever de informação, à base legal para o tratamento, às medidas de proteção adoptadas pela escola, à realização de avaliações de impacto e às eventuais transferências internacionais de dados decorrentes da utilização dos serviços da Google.
2. Incumprimentos do RGPD
Com base nos factos descritos e nas investigações realizadas, a AEPD concluiu que a escola não cumpriu várias obrigações estabelecidas no Regulamento Geral de Proteção de Dados (RGPD).
1. Legitimidade do tratamento (artigo 6.º do RGPD)
A escola argumentou que o tratamento se justificava pelo cumprimento de obrigações legais no domínio da educação ou pela execução de tarefas de interesse público, de acordo com a vigésima terceira disposição adicional da Lei Orgânica da Educação (LOE), que permite o tratamento de dados pessoais necessários ao exercício de funções educativas.
No entanto, a AEPD reitera que esta autorização legal se limita exclusivamente ao tratamento necessário para a realização de actividades educativas e para a gestão do processo de ensino e aprendizagem. Consequentemente, qualquer tratamento de dados pessoais efectuado para fins distintos ou que excedam esta função educativa deve ter um fundamento jurídico autónomo que justifique o tratamento.
No caso em análise, a AEPD concluiu que a escola não tinha demonstrado suficientemente que todas as operações de tratamento decorrentes da utilização da plataforma tecnológica estavam efetivamente abrangidas por esta autorização regulamentar, uma vez que as investigações revelaram que mesmo os serviços básicos do GWE estavam a ser utilizados para fins que ultrapassavam os educativos.
2. Princípio da licitude, lealdade e transparência (artigo 5.1.a do RGPD)
No que diz respeito à informação prestada aos titulares dos dados sobre o tratamento dos seus dados pessoais, a AEPD concluiu que a escola não prestou adequadamente aos pais dos alunos as informações exigidas pela regulamentação relativa à utilização da plataforma tecnológica ou às caraterísticas do tratamento de dados pessoais associado, uma vez que não informou sobre todas as categorias de dados pessoais sujeitos a tratamento, nem existia qualquer registo de informação sobre transferências internacionais.
Por outro lado, a escola não conseguiu demonstrar que a informação foi comunicada aos titulares dos dados, uma vez que a plataforma não conservou qualquer registo que demonstre que tal comunicação ocorreu.
A AEPD considera que a falta de informação clara, completa e acessível sobre estas operações de tratamento constitui uma violação do princípio da equidade e transparência, que exige que os titulares dos dados sejam efetivamente informados sobre a forma como os seus dados pessoais são tratados, e evidencia, uma vez mais, a necessidade de cumprimento do princípio da responsabilidade pró-ativa, segundo o qual os responsáveis pelo tratamento de dados devem não só cumprir as obrigações estabelecidas na regulamentação, mas também ser capazes de demonstrar esse cumprimento.
3. Avaliação do impacto sobre a proteção de dados (artigo 35.º do RGPD)
O estabelecimento de ensino apresentou uma avaliação de impacto sobre a proteção de dados (AIPD) realizada antes da implementação da ferramenta. No entanto, a AEPD considerou que esta avaliação era insuficiente.
A este respeito, a AEPD salienta que não foram tidos em conta todos os elementos essenciais do tratamento (mais uma vez, no que diz respeito às categorias de dados tratados e às transferências internacionais), o que significa que não foram analisados todos os riscos existentes; não foi incluída uma análise da proporcionalidade do tratamento; e não há provas de que os procedimentos e medidas que a instituição tinha identificado como recomendações de melhoria tenham sido implementados.
3. Conclusões
Esta decisão evidencia a atenção crescente que as autoridades de proteção de dados estão a prestar à utilização de ferramentas digitais e plataformas tecnológicas no sector da educação, especialmente quando se trata do tratamento de dados pessoais de menores.
A AEPD recorda que, embora os estabelecimentos de ensino disponham de uma autorização legal específica para o tratamento de dados pessoais no âmbito do desenvolvimento das suas actividades educativas, essa autorização não abrange qualquer tratamento de dados pessoais efectuado dentro do ambiente escolar.
Assim, sempre que a utilização de ferramentas tecnológicas implique um tratamento que ultrapasse as finalidades estritamente educativas ou introduza novos riscos para os direitos e liberdades das pessoas em causa, os estabelecimentos de ensino devem identificar corretamente a base jurídica aplicável, prestar informações de forma transparente e acessível e, por último, avaliar os riscos associados - através de uma avaliação de impacto adequada - com o objetivo de adotar as medidas técnicas e organizativas necessárias para garantir o cumprimento da regulamentação em matéria de proteção de dados.
Nota informativa do Departamento de Proteção de Dados da ECIJA Madrid.
