La Agencia Española de Protección de Datos (AEPD) ha sancionado con 12.000 euros a un centro educativo por el uso de ‘Google Workspace for Education‘ con alumnos menores de edad sin cumplir plenamente las exigencias del Reglamento General de Protección de Datos (RGPD).
La resolución pone el foco en tres aspectos clave: la insuficiente fundamentación de la base jurídica del tratamiento, deficiencias en el deber de información a las familias y carencias en la evaluación de impacto relativa a la protección de datos (EIPD), en un contexto —el de la digitalización educativa— donde el uso de plataformas tecnológicas se ha generalizado sin un encaje siempre claro en la normativa.
La introducción de Google Workspace for Education saltó las alarmas en un colegio de Madrid
Holy Mary Catholic School comenzó a utilizar la plataforma ‘Google Workspace for Education’, en su versión Fundamentals, a partir del curso académico 2021/2022 como herramienta para gestionar comunicaciones, organización académica y apoyo a la actividad docente.
La plataforma se aplicaba a un total de 531 alumnos, de los cuales 395 son menores de 14 años y 136 mayores de esa edad. Entre las aplicaciones empleadas se encontraban ‘Classroom’, ‘Drive’, ‘Gmail’, ‘Calendar’ y ‘Docs’.
Sin embargo, una familia informó a la Agencia de la adopción de esta plataforma porque consideraban que había vulneraciones de ciertos requisitos del RGPD relativos al derecho de información o la legitimación del tratamiento de los datos personales.
En su defensa, el Colegio alegó haber realizado una Evaluación de Impacto Relativa a la Protección de Datos (EIPD), sosteniendo que los datos tratados eran esencialmente identificativos para la creación de una cuenta asociada al alumno, proporcionado y alienado con la función educativa.
Asimismo, afirmó haber analizado otras alternativas existentes, concluyendo que la más adecuada a nivel pedagógico, organizativo y de cumplimiento normativo era ‘Google Workspace for Education – Fundamentals’ y que no había tampoco transmisión de datos.
No obstante, este último aspecto resulta especialmente relevante en la resolución. La AEPD parte de que Google actúa formalmente como encargado del tratamiento, pero advierte que el propio diseño y condiciones del servicio implican tratamientos de datos que no se limitan estrictamente a la prestación del servicio educativo solicitado por el centro.
la AEPD cuestiona que el uso de la plataforma pueda ampararse plenamente en las bases del artículo 6.1 c) y e)
De este modo, la AEPD considera que el centro no justifica de forma suficiente que el tratamiento pueda ampararse en las bases jurídicas del artículo 6.1.c) y e) del RGPD —cumplimiento de una obligación legal y misión realizada en interés público— en los términos exigidos por la normativa.
Estas condiciones son: que el tratamiento sea necesario para el cumplimiento de esa obligación legal (en este caso, la función educativa) o esa misión de interés público (la función educativa), sin que puedan, por tanto, ampararse en esta tratamientos que se separen de esa finalidad concreta.
En particular, la AEPD subrayan que dichas bases requieren vinculación directa, estricta y proporcionada con la función educativa. En este caso, a juicio de la autoridad pública, no solo se centra en la formación académica de los alumnos, sino que, además, se usa para otras cuestiones administrativas del Colegio; lo que impide su encaje automático en las bases jurídicas invocadas.
De este modo, la AEPD introduce una distinción relevante entre lo que resulta “necesario” para el cumplimiento de la función educativa y lo que es meramente “conveniente” desde un punto de vista tecnológico u organizativo.
«Estas nuevas finalidades que transcienden las propias del derecho a la educación y que parece que responderían a los intereses exclusivos del encargado del tratamiento, se realizan, sin embargo, bajo el conocimiento del responsable del tratamiento, esto es, el COLEGIO, que las permite y tolera al seleccionar herramienta que prevé el tratamiento de los datos con estas finalidades», subraya.
Por esto considera la Agencia acreditado que se ha vulnerado el artículo 6.1 c) o e) del RGPD, ascendiendo la multa por su infracción en 10.000 euros.
Falta de transparencia, licitud y lealtad al RGPD
Junto a ello, la AEPD aprecia la vulneración del principio de transparencia, licitud y lealtad (artículo 5 del RGPD), al considerar que la información facilitada a las familias resultó incompleta e insuficientemente clara.
Aunque el centro informó a los padres y tutores de los alumnos de la adopción de la plataforma, elaborando una política de privacidad y protección de datos dirigido a los padres y organizando una reunión informativa, la Agencia concluye que esta no incluía elementos esenciales del tratamiento, como la descripción concreta de las operaciones realizadas o el detalle de las aplicaciones utilizadas.
De este modo, por la vulneración del artículo 5 se castiga al colegio con una multa de 6.000 euros.
Asimismo, no queda acreditado que se hubiera cumplido adecuadamente con el deber de información previsto en el artículo 13 del RGPD.
A estas deficiencias se suman carencias en la propia Evaluación de Impacto, lo que refuerza la apreciación global de incumplimiento del marco normativo. Multando también por esta infracción con 4.000 euros.
La suma de las infracciones ascendía inicialmente a 20.000 euros, si bien la sanción se redujo a 12.000 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte del centro educativo.
