El Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) consultó a la Agencia Española de Protección de Datos (AEPD), si la implementación en sus aulas de la solución “Google for Education” cumpliría con la normativa de protección de datos y, el pasado 19 de febrero de 2024, la Agencia Española de Protección de Datos publicó un informé jurídico con la respuesta a dicha consulta que puede consultarse en este enlace https://www.aepd.es/documento/2023-0050.pdf
En conclusión, la AEPD informa desfavorablemente sobre la implementación de dicha tecnología.
El informe puede ser interesante también para otras organizaciones que utilizan WorkSpace y no específicamente la versión “For Education”, en otras cuestiones, en relación a la configuración de las aplicaciones incluidas en los servicios principales y adicionales.
INTEF plantea varias cuestiones a la AEPD para que se pronuncie en relación a las mismas, en concreto las siguientes:
- El régimen jurídico que aplica al acuerdo.
- El objeto del acuerdo, teniendo en cuenta que las categorías de datos que se van a ver involucradas en un tratamiento consistente en “un paquete de herramientas diseñado para permitir que los educadores y los alumnos innoven y aprendan juntos”.
- Y, en ese contexto, el tipo de datos que pueden tratarse abarcan desde datos identificativos hasta datos académicos, adaptaciones en aula en función de distintas discapacidades, o datos relativos a menús que, indirectamente, pueden revelar creencias religiosas.
- El hecho de que no se puedan determinar las finalidades concretas y las bases legitimadoras de las mismas, ni tampoco categorías de datos en la documentación legal de Google.
- Preguntar sobre el instrumento jurídico que prevé el convenio de Google para contratar los servicios.
- INTEF entiende, y pregunta por ello a la AEPD, que el tratamiento mediante Google for Education de datos no supera el juicio de proporcionalidad, porque hay herramientas alternativas que sirven a las mismas finalidades que WorkSpace.
- El hecho de que existan diferentes servicios en el marco de la tecnología WorkSpace: lo que Google llama servicios “ordinarios” y lo que llama “servicios adicionales”, y que quede claro si les resultan aplicables las cláusulas del convenio con Google a todos los servicios o sólo a los “ordinarios”.
- Sobre los plazos previstos por Google para comunicar incidentes de seguridad, porque pueden ser superiores a 72 horas.
- Sobre las transferencias internacionales contempladas en el acuerdo, que evidencian que se pueden realizar a cualquier país en el que Google tenga instalaciones.
- Sobre el hecho de que, en algunos países europeos, haya sido prohibido el uso de Google WorkSpace.
No vamos a entrar al resumir todas las cuestiones analizadas mencionadas en los puntos anteriores, pero sí que vamos a resumir algunas de ellas a continuación:
1. En relación al régimen jurídico
La AEPD hace una análisis del marco jurídico al que debe ajustarse el uso de la solución Google WorkSpace (GW).
En concreto, analiza la base legal que justifica la necesidad de que los centros educativos deban tratar datos personales de los miembros de la comunidad educativa. Para ello, analiza las necesidades, recogidas en la LOE, relativas a la promoción del uso de la tecnologías de la información como medio didáctico en las aulas.
Dado ese contexto, es decir, la necesidad de que los centros implementen soluciones tecnológicas para promover el uso de tecnologías de la información con fines didácticos, la licitud del tratamiento por parte de los centros está habilitada por el RPGD en su artículo 6.1c), en tanto que el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al centro.
Y, también, podría basarse en el 6.1.e) del RGPD, en tanto que el tratamiento se realiza en cumplimiento del interés público, como es el derecho fundamental a la educación.
No obstante, aclara la Agencia, que exista una base legal para la implementación de tecnologías en el entorno educativo, no implica que el tratamiento pueda hacerse mediante cualquier tecnología que no cumpla los requisitos y garantías de privacidad en favor de los titulares de los datos, teniendo en cuenta, además, la cantidad de datos de carácter personal que se van a tratar, en concreto, con Google WorkSpace.
A dichas cuestiones debe añadirse la necesidad de que se apliquen para el tratamiento medidas técnicas y organizativas apropiadas, y que el tratamiento sea proporcionado teniendo en cuenta, además, las categorías especiales de datos que pueden tratarse en el contexto de uso de estas plataformas tecnológicas.
También la AEPD concluye que, en tanto que Google WorkSpace decide finalidades de tratamiento concretas, no sólo en calidad de Encargado del Tratamiento, sino también en calidad de Responsable (se analiza esta cuestión en el apartado, más adelante), y que son finalidades que exceden del ámbito educativo y que sirven únicamente para finalidades de GW, no cabe entender que el tratamiento pueda estar amparado en la existencia de una ley o el interés público. Debe tenerse en cuenta que la AEPD no discrimina si se tratan de aplicaciones “principales” o “adicionales” para llegar a esta conclusión.
2. Sobre el objeto del acuerdo
Los servicios de Google WorkSpace objeto del contrato se concretan en servicios llamados “principales” y servicios llamados “adicionales”.
Sin embargo, dice la AEPD, dichos servicios no están concretados en el propio convenio de Google for Education sino que hay que acudir a otras páginas web de Google en las que se amplía información sobre los servicios de Google.
Los servicios “adicionales” son servicios que no forman parte de GW pero que pueden utilizarse si el centro obtiene el consentimiento de los menores. Y aún así, dichos servicios “adicionales” recogen datos de los servicios “principales” para la interoperabilidad de ambos. Sin embargo, no se concreta en qué consisten y es una cuestión que el centro Responsable del Tratamiento debe saber para poder valorar si son o no necesarios para el uso óptimo del GW.
Y, por tanto, aunque los servicios “adicionales” sean necesarios, aparecen como “opcionales” en el convenio y, por ese motivo, están sometidos a las condiciones generales de cualquier usuario cuando contrata los servicios de Google. Teniendo en cuenta, dice la AEPD, que estamos ante el tratamiento de datos de personas menores de edad y tratamientos de datos de especial sensibilidad.
Esta falta de información afecta al principio de lealtad (art.51.a)) del RGPD, en tanto que el centro Responsable del Tratamiento no cuenta con toda la información del tratamiento que llevará a cabo Google como Encargado del Tratamiento, para poder valorar su injerencia en la privacidad de los titulares de los datos y trasladarles dicha información.
3. Sobre el tipo de datos que se van a tratar con la herramienta
Para ver qué tipo de datos se van a tratar, la AEPD acude a la información contractual que se ha aportado en la consulta por INTEF. Y, en dicha documentación, la única referencia que se realiza a datos o categorías de datos que se van a tratar es:
“Datos relativos a personas proporcionados a Google a través de los Servicios, por (o bajo la dirección de) el Cliente o los Usuarios finales.
La organización debe saber qué datos van a ser objeto del tratamiento y, sin embargo, dice la AEPD, esa información no puede extraerse de la documentación contractual del GW sino que hay que acudir a elementos externos:
Dice la AEPD que los datos que se recaban, incluidas las comunicaciones a terceros, son un aspecto fundamental a la hora de que la organización pueda cumplir con el principio de Responsabilidad Proactiva, transparencia y de información, en su calidad de Responsable del Tratamiento y, sin embargo, dicha información no se ofrece claramente por Google en su información contractual.
4. Sobre las finalidades concretas del tratamiento y bases legitimadoras de las mismas
Debe tenerse en cuenta que todo tratamiento debe ser necesario para la finalidad que persigue, de lo contrario, dicho tratamiento no puede llevarse a cabo.
La finalidad del tratamiento descrita en la documentación legal aportada por el consultante es la siguiente:
“Naturaleza y finalidad del tratamiento Google tratará los Datos personales del cliente con el fin de proporcionar los Servicios y TSS al Cliente de conformidad con la Adenda de Tratamiento de Datos.”
De nuevo, la AEPD indica que un aspecto tan relevante como es la finalidad del tratamiento, apenas tiene mención en la documentación contractual de GW por lo que el centro, como Responsable del Tratamiento, carece de toda la información necesaria para saber el tratamiento que va a llevar GW por cuenta del centro.
Y, de nuevo, en este caso, hay que acudir a fuentes externas distintas del acuerdo de GW, en otras páginas en las que se definen las finalidades para los servicios “principales” de GW pero también las siguientes finalidades adicionales:
“mejorar los servicios; hacer recomendaciones para optimizar el uso de los servicios; proporcionar y mejorar otros servicios que solicite; dar apoyo; proteger a nuestros usuarios, clientes, el público y Google.“
Destaca la AEPD que, entre las finalidades de los productos adicionales se encuentran las siguientes:
“brindar servicios personalizados, medida de rendimiento, y la muestra de anuncios en función de factores generales como las búsquedas realizadas, la hora del día o el contenido de una página que esté siendo visualizada, así como la combinación de la información personal de un servicio con la que se recoja de otro. “
Es decir, son finalidades que no sirven a las que necesita el centro como Responsable del Tratamiento, sino exclusivamente a Google que, además, están definidos en términos no concretos y de las que se infiere que se elaboran perfiles.
Y, en definitiva, el centro no puede conocer, desde el inicio y de forma transparente, qué finalidades perseguiría la implantación de GW, ni con la documentación del acuerdo, ni con las fuentes de las páginas externas de Google.
5. Instrumento jurídico que prevé el convenio para contratar los servicios
La forma de obtener el consentimiento para el perfeccionamiento del contrato se articula en dos etapas:
- La persona, representante de la organización/centro, que realiza el alta otorga el consentimiento en nombre de la institución, es decir, del centro educativo, y asume el compromiso frente a Google de recabar el consentimiento de los alumnos que van a utilizar GW para que Google trate sus datos. En definitiva, la persona que registra al centro en GW somete al centro a obligarse a las condiciones de GW.
- La segunda etapa es que el centro solicite a los progenitores o a los alumnos (si tienen edad para otorgar el consentimiento en su propio nombre) el consentimiento para el uso de GW. Advierte la AEPD que Google pretende articular el consentimiento como base legal cuando ya hemos visto que el uso de entornos digitales por parte de la administración educativa se encuentra amparado por obligación legal (en el 6.1c del RGPD) y el interés público (6.1e) del RGPD)
La AEPD llega a la conclusión e interpreta que Google propone el consentimiento como base jurídica del tratamiento y, por ese motivo, pasa a analizar los requisitos del consentimiento en su consulta y sus requisitos.
Sabemos que el consentimiento debe ser libre y sólo puede ser válido si el interesado tiene control y capacidad real de elección para aceptar o rechazar las condiciones ofrecidas sin sufrir ningún perjuicio.
Y la conclusión es que el consentimiento no puede ser libre, en el contexto de la implementación de GW para el organismo que formula la consulta, porque, en caso de no existir una alternativa a GW, quedaría disminuido el nivel de enseñanza que se le da al alumno que no dé el consentimiento o que lo revoque con posterioridad.
Igualmente, debe tenerse en cuenta que existiría un desequilibrio de poder entre el centro y el alumno si el centro no dispusiera de otras herramientas similares a GW para aquellos alumnos que no dieran el consentimiento con el fin de que, los alumnos que no consienten, no sufran perjuicios frente a los alumnos que sí consienten el uso de GW.
Lo mismo sucede en el caso de los docentes a los que se les pueda crear una cuenta GW donde, de nuevo, al existir una relación de desequilibrio entre centro, como empleador, y la persona trabajadora, como empleada, no cabría entender que el consentimiento sea libre.
Tampoco cabría entender el tratamiento habilitado por la relación contractual (6.1b) del RGPD entre centro y persona trabajadora, porque el contexto de “necesario para la ejecución de un contrato” de dicho artículo 6.1b, debe ser interpretado de manera estricta y, en este caso, no encaja el principio de necesidad.
Por último, para poder dar un consentimiento libre, este debe ser informado, y ya se ha visto en los puntos anteriores que, la información que facilita Google en sus convenios, no la considera la AEPD lo suficientemente transparente como para entender que dicho consentimiento sea informado.
Analiza también la AEPD el concepto de consentimiento “explícito” que debe producirse en situaciones en las que existe un grave riesgo para garantizar un adecuado control de sus datos a los titulares de éstos. Y dichas casuísticas encajan en los tratamientos que se llevan a cabo con GW, según el análisis de la AEPD de la documentación legal de Google, es decir, en casos de:
- Categorías especiales de datos.
- Transferencias internacionales a terceros países que no reúnen garantía adecuadas.
- Toma de decisiones automatizadas, incluida la elaboración de perfiles.
6. Sobre el juicio de proporcionalidad para el tratamiento
En este aspecto, la AEPD analiza hasta qué punto la implementación de la solución GW cumple con los fines del derecho a la educación y si su injerencia en el derecho a la protección de datos personales resulta proporcional desde el punto de vista de la idoneidad, la necesidad y la proporcionalidad en sentido estricto.
– Respecto a la idoneidad y su relación medio-fin, es decir, entre el medio adoptado y el fin propuesto, la AEPD hace el ejercicio de plantear que, dicho análisis, implica que el uso de plataformas educativas por parte de la comunidad educativa puede resultar adecuada para alcanzar las competencias digitales o destrezas en entornos TIC.
En el caso de GW, debe tenerse en cuenta cómo algunos de los servicios que son esenciales en ese contexto (como la visualización de vídeos), sin embargo GW los clasifica entre los “servicios adicionales” y fuera del marco contractual. Por tanto, si bien cabe entender que la herramienta es idónea debe tenerse en cuenta dicha circunstancia.
– Respecto a la necesidad, que consiste en examinar si existen medios alternativos menos gravosos o que lo sean en menor intensidad, es decir, un análisis comparando el medio por el que se ha optado con otros posibles medios alternativos que también puedan existir y que sean menos gravosos para los derechos de los titulares. En el caso concreto de esta consulta, la AEPD hace notar que se han implementado soluciones tecnológicas destinadas a la comunidad educativa que hacen que no se perciba GW como única y necesaria solución. Es decir, que existen alternativas.
– Respecto a la proporcionalidad en sentido estricto, que consiste en la comparación entre el grado de realización (u optimización del fin) y la intensidad de intervención en el derecho, debe valorarse si se dan más beneficios o ventajas para el interés general que perjuicios para los titulares de los datos.
Y hace hincapié la AEPD, en que deben conocerse los perjuicios que el uso de GW podría tener para los menores de edad, teniendo en cuenta los riesgos que asumirán con la implementación.
Y, en ese sentido, debe tenerse en cuenta que el tratamiento de datos que se hará en GW será respecto a personas menores de edad y, por tanto, a un colectivo vulnerable. Y que, por el grado de interacción que permiten los servicios “adicionales” de Google, estamos ante casos de uso que son en sí mismos una red social, como sucede con el caso de Youtube.
Y, por tanto, dice la AEPD, los riesgos para los menores de edad resultan evidentes en cuanto a la generación de situaciones de discriminación, daño para la reputación o pérdida de confidencialidad.
En definitiva, dice la AEPD “no cabe duda de que estamos ante una recogida invasiva de información personal para simplemente recibir parte de la educación a través de un entorno digital y adquirir competencias digitales” que tampoco respeta el principio de minimización de datos dada la cantidad de datos que se recopilan.
En definitiva, la AEPD informa desfavorablemente sobre la firma del convenio y anexos que se planteaban por INTEF en la consulta y, aunque las recomendaciones son para la consulta de INTEF, cabe extrapolar el análisis de la Agencia a los usos de Google for Education en otros centros que deberán llevar a cabo un análisis para verificar si el tratamiento de datos que llevan a cabo con esta herramienta se ajusta a la legalidad, conforme a los requisitos establecidos por la AEPD en este informe.
