En la actualidad, cada vez son más los centros educativos que recurren a los últimos avances en la tecnología como herramienta de enseñanza y aprendizaje. Entre las herramientas más utilizadas, destaca Google Workspace for Education (anteriormente conocida como G Suite), por lo que conviene conocer qué consecuencias tiene la utilización de esta herramienta sobre el derecho a la protección de datos de los usuarios.
En primer lugar, de conformidad con el Reglamento General de Protección de Datos (RGPD), concretamente, el art. 32 RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo; asimismo, de acuerdo al art. 28.1 RGPD, el responsable del tratamiento, esto es, el centro educativo (o Consejería en el caso del sector público), deberá verificar que el proveedor del servicio objeto de contratación ofrece garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento de datos a través del servicio que se pretende contratar garantice y proteja el derecho a la protección de datos de los usuarios. Concretamente, la Disposición adicional vigésimotercera de la Ley Orgánica 2/2006, de 3 de mayo, de Educación recuerda que en el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad y confidencialidad. El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo.
A continuación, el tratamiento de datos personales entre las partes se regirá por la firma de un contrato u otro acto jurídico conforme al Derecho de la Unión o la legislación de los Estados miembros, incluyendo el contenido mínimo requerido por el apartado 3 del art. 28 RGPD, a saber: el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y la categoría de interesados, y las obligaciones y derechos del responsable; así como lo establecido en las letras a) a h) del art. 28.3 RGPD. Así, de acuerdo con el art. 29 RGPD, el encargado de la herramienta (proveedor) solo podrá tratar los datos personales siguiendo las instrucciones del responsable a partir de lo establecido en el contrato de protección de datos, o a no ser que estuviera obligado a ello en virtud del Derecho de la Unión o de los Estados miembros.
Por otro lado, conviene remarcar que habrá de limitarse el tratamiento de datos a la finalidad concreta objeto del contrato de prestación de servicios entre el centro educativo (responsable del tratamiento) y el proveedor de la herramienta (encargado del tratamiento), a efectos de concretar posibles finalidades ulteriores a partir del mismo tratamiento de datos, para lo cual deberá informarse previamente al usuario, en caso de una cesión de datos no sujeta al contrato de prestación de servicio entre las partes, la obtención de la correspondiente autorización de los usuarios cuyos datos serán tratados para una finalidad ulterior distinta a la inicial y no amparada en el contrato interpartes, en la línea de lo expresado por la propia Agencia Española de Protección de Datos en una reciente resolución Nº EXP202102527. A este respecto, cabe recordar que la herramienta Google Workspace for Education incluye una versión básica y gratuita denominada Google for Education Fundamentals, que consiste en un paquete de herramientas de aprendizaje que no incluye servicios adicionales a lo establecido por contrato.
Ahora bien, antes de implementar la herramienta en el aula, conviene recordar que el tratamiento de datos personales que tenga lugar con motivo de la misma deberá respetar los principios relativos al tratamiento a tenor de lo establecido en el art. 5 RGPD, a saber:
- Los datos personales serán tratados de manera lícita, leal y transparente: lo que implica el cumplimiento de los requisitos establecidos en la Norma, entre los que destaca proporcionar toda la información al usuario al respecto del tratamiento de sus datos.
- Limitación de la finalidad: los datos personales objeto de tratamiento se recogen con un fin determinado a través de la herramienta, con un fin determinado y legítimo, no pudiendo ser tratados para una finalidad ulterior distinta a la inicial (oferta de servicios a través de una promoción publicitaria sin la autorización del interesado, por ejemplo).
- Los datos personales serán los adecuados, pertinentes y estrictamente necesarios para cumplir con la finalidad inicial para los que son tratados, esto es, no podrán ser objeto de tratamiento cualquier otra tipología de datos que los necesarios para los fines educativos objeto de tratamiento tal y como se ha acordado en el contrato de protección de datos.
- Los datos serán exactos y, en su caso, debidamente actualizados, a efectos de completar, junto el principio de minimización, el principio de calidad de los datos, por el que se garantiza que se utilizan los datos exactos para cumplir con la finalidad inicial.
- Plazos de conservación: los datos personales objeto de tratamiento a través de la herramienta Google se conservarán durante no más tiempo del necesario para los fines del tratamiento.
- Integridad y confidencialidad: los datos serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito o contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
En línea con este último principio de integridad y confidencialidad del tratamiento, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para uno de los fines específicos. Esta obligación se aplica a la cantidad de los datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad, para garantizar, por defecto, que los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. Más concretamente, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos del tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
En otro orden, se habrá de realizar un análisis del riesgo de cumplimiento de la normativa vigente de protección de datos de la herramienta, a partir de lo indicado en el Considerando 83 RGPD “el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. (…) Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse” Así, habrá de realizarse un análisis previo y exhaustivo del tratamiento de datos personales que realiza el proveedor de la herramienta y su conformidad con el Reglamento comunitario.
Asimismo, se debe informar a los usuarios de conformidad con el art. 13 RGPD, esto es, se informará del tratamiento de sus datos personales, incluyendo los posibles destinatarios de sus datos alojados en la herramienta y, especialmente, si existen trasferencias internacionales de sus datos personales a un tercer país (Estado Unidos de América en el caso de Google), así como la existencia de garantías adecuadas para dicha transferencia internacional a tenor de lo establecido en el Capítulo V del Reglamento comunitario, en la línea de lo publicado recientemente en anteriores entradas del blog. En caso de ser necesarias, sólo se realizarán a entidades bajo la habilitación del acuerdo EEUU-Unión Europea Data Privacy Framework a entidades que hayan demostrado que cumplen con el nivel de protección y garantías de acuerdo con los parámetros y exigencias previstas en la normativa vigente en materia de protección de datos. Para el caso que nos ocupa sobre Google LLC, se puede comprobar su participación en el marco de privacidad con la Unión Europea que permite la transferencia internacional de datos.
Entre los requisitos del Reglamento comunitario, se incluye la necesidad de informar al usuario sobre los datos de contacto del Delegado de Protección de Datos y la posibilidad y vía para el ejercicio de derechos relativos a protección de datos, así como el derecho del interesado a presentar una reclamación ante la Agencia Española de Protección de Datos en el supuesto de que considere que no se ha atendido convenientemente el ejercicio de sus derechos. Más concretamente, y con motivo de que el usuario tiene derecho a recibir toda la información en un lenguaje claro y sencillo que permita la comprensión del tratamiento de sus datos (especialmente en el caso de usuario menores de edad) cuando el mismo se base en su consentimiento, la información que debe facilitarse previamente al usuario a efectos de garantizar el cumplimiento del art. 13 RGPD es la siguiente:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
- a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
- b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
- c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
- d) el derecho a presentar una reclamación ante una autoridad de control;
- e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;
- f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22 RGPD, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Por último, a efectos de registro y gestión del perfil del usuario en la plataforma, el centro educativo deberá proporcionar una dirección de correo electrónico corporativo personal de cada usuario y específica para los fines educativos iniciales, resultando no necesario y desproporcionada la utilización de una cuenta de correo electrónico personal del usuario. Asimismo, durante el proceso de registro en el sistema, se deberá ofrecer toda la información al usuario sobre los términos y condiciones de la herramienta, tanto en su utilización por parte del centro educativo como por el propio proveedor del servicio en calidad de encargado del tratamiento, para lo cual resulta preceptivo poner a disposición del usuario el contenido de la política de privacidad tanto del centro educativo (en este caso, se facilitará la información básica del acuerdo interpartes con motivo de la contratación del servicio) como del proveedor del servicio en relación al tratamiento de datos personales para cumplir con la finalidad inicial objeto de contrato. En cualquier caso, todo tratamiento ulterior de datos personales que realice el proveedor del servicio a partir del tratamiento inicial de los mismos para una finalidad ulterior quedará sujeto a los propios términos y condiciones del proveedor, así como la responsabilidad acontecida con motivo del tratamiento de los datos personales para una finalidad ulterior, siendo plenamente responsable del cumplimiento de los requisitos establecidos en el RGPD por parte del proveedor del servicio.