A día de hoy, son muchos los centros escolares que optan por herramientas tecnológicas como GoogleWorkspace for Education (en adelante GWS), para la enseñanza y aprendizaje en las aulas proporcionando servicios tales como Classroom, Google Meet, Documentos de Google, Formularios de Google y Google Chat entre otros.
Pues bien, siguiendo el hilo de la entrada anterior en nuestro Blog donde se ha sancionado por primera vez a un centro escolar entre otras cuestiones por no tener firmado los correspondientes contrato de encargo con los proveedores de este tipo de plataformas conforme establece el actual artículo 28.3 RGPD, nuestra autoridad de control ha emitido un nuevo informe 0050/23 a raíz de una consulta sobre adecuación a la normativa de protección de datos del Acuerdo-Convenio del Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) con la entidad Google Cloud EMEA Limited para que por parte de la Administración Educativa se implemente en las aulas el uso de la“Solución tecnológica Workspace for Education. Si bien, ya contábamos con un precedente en la que la AEPD sancionó con apercibimiento a la Consejería de educación de Canarias por no hacer un análisis de riegos sobre GWS.
A continuación, por su interés pasamos a desgranar los puntos clave de este informe en la medida en que el tratamiento de datos personales que se deriva de la implementación de GWS en los Centros Educativos se ha de someter en todo caso a los principios contenidos en el artículo 5.1 del RGPD y conocer así cuál es el grado de cumplimento de este acuerdo.
Licitud del tratamiento
El principio de licitud es aquel que determina en qué supuestos o en qué condiciones un tratamiento de datos personales debe considerarse lícito. Lo primero que debemos identificar es cuál sería la base de legitimación en virtud del artículo 6 del RGPD, para llevar a cabo la implementación de aquellas soluciones tecnológicas que, implicando el tratamiento de datos personales en un entorno digital, contribuyan al ejercicio la función educativa. Para ello hay que acudir al régimen jurídico que regula la educación, teniendo en cuenta que es un derecho fundamental previsto en el artículo 27 de la Constitución Española (CE) y en especial habrá que abordar la regulación del uso de las Tecnologías de la información y comunicación y las plataformas digitales.
La Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE en lo sucesivo), establece en su artículo 2.1 l) que:
El sistema educativo español se orientará a la consecución de los siguientes fines:
l) La capacitación para garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente, con el respeto y la garantía de la intimidad individual y colectiva.
Asimismo, en cuanto al uso de las Tecnologías de la Información y Comunicación, el artículo 111 bis LOE indica lo siguiente:
2. (…) los entornos de aprendizaje disponibles en los centros docentes en los que estudien se llevarán con pleno respeto a lo dispuesto en la normativa aplicable en materia de propiedad intelectual, privacidad y protección de datos personales.
5. (…) Las Administraciones educativas y los equipos directivos de los centros promoverán el uso de las tecnologías de la información y la comunicación (TIC) en el aula como medio didáctico valioso para llevar a cabo las tareas de enseñanza y aprendizaje.
Teniendo en cuenta los preceptos que se acaban de citar, se puede afirmar que, con carácter general, la base jurídica para llevar a cabo el tratamiento de los datos personales de los miembros de la comunidad educativa que se vean afectados por la implementación de soluciones tecnológicas y plataformas digitales se encontraría en el artículo 6.1 c) RGPD, en cumplimiento de una obligación legal o en el artículo 6.1 e) en cumplimiento de una misión de interés público en el ejercicio de poderes públicos conferidos al responsable, por cuanto la educación es de un indudable interés público, descansa en un derecho fundamental ex artículo 27 de la CE y corresponde a los poderes públicos competentes su garantía y promoción. Ahora bien, que exista base jurídica de legitimación para que los centros docentes traten datos de carácter personal de la comunidad educativa en, o a través de, entornos y plataformas digitales no significa que pueda llevarse a cabo de cualquier modo, sino que deben cumplirse una serie de garantías frente a la posible injerencia que dichos tratamientos de datos suponen en el derecho a la protección de datos y en la privacidad de las personas.
¿Pero qué tipo de información se recoge por parte de GWS for Education? ¿Son todos los datos recabados necesarios para el ejercicio de la función docente y educativa objeto del encargo?
La Disposición adicional vigésima tercera de la LOE bajo la denominación “Datos personales de los alumnos” establece un mandato dirigido expresamente a los centros docentes:
1. (…) Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos.
Partiendo de los servicios en que se concreta dicha solución debe indicarse que de la lectura de la documentación aportada a la consulta se deduce que existen productos o servicios denominados principales y productos o servicios denominados adicionales (como YouTube, Google Maps y Blogger) que recaban la siguiente información:
Información que recopilamos a medida que utiliza los servicios principales:
La información de su cuenta, que incluye elementos como el nombre y la dirección de correo electrónico. Su actividad mientras usa los servicios principales, que incluye cosas como ver e interactuar con contenido, personas con las que se comunica o comparte contenido y otros detalles sobre su uso de los servicios. Su configuración, aplicaciones, navegadores y dispositivos. El tipo de dispositivo y navegador etc…
Información que recopilamos a medida que utiliza los servicios adicionales:
Su actividad mientras usa servicios adicionales, que incluye cosas como los términos que busca, los videos que ve, el contenido y los anuncios que ve y con los que interactúa, información de voz y audio cuando usa funciones de audio, actividad de compra y actividad en sitios de terceros y aplicaciones que utilizan nuestros servicios.
Se trata de servicios que, si bien no forman parte del Google Workspace, pero que, en principio se pueden utilizar siempre y cuando se obtenga el consentimiento de los menores de 18 años por parte del centro docente (el administrador) y que recogen datos personales de los servicios principales “según sea necesario” para la interoperabilidad de ambos, es decir, para la interoperabilidad de los servicios principales y los servicios adicionales. Esto resulta fundamental desde la óptica del derecho a la protección de datos, y desde el respeto al principio de lealtad (art. 5.1.a) RGPD), por cuanto el responsable del tratamiento debe tener toda la información posible del tratamiento que realizará su encargado para valorar la injerencia que supone el tratamiento en la privacidad de los afectados cuyos datos están siendo tratados por su cuenta, y así poder trasladar la información necesaria a los titulares de los datos personales que van a ser objeto del tratamiento.
Falta de transparencia en la determinación de las finalidades: finalidades que no sirven al propósito del tratamiento, que es el derecho a la educación.
En cuanto a la finalidad que perseguirían los tratamientos derivados de la implementación del GWS, su análisis va a resultar relevante por cuanto cualquier tratamiento de datos tiene que ser “necesario” para cumplir la finalidad que persigue, ya que de otro modo el tratamiento de datos no debe llevarse a cabo. Así nos lo recuerda el Considerando 39 del RGPD al indicar que: Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.
En el apartado relativo a los servicios principales consta lo siguiente: Los datos de servicio se usan principalmente para brindar los servicios que usan las escuelas y los estudiantes, pero también se usan para mantener y mejorar los servicios; hacer recomendaciones para optimizar el uso de los servicios; proporcionar y mejorar otros servicios que solicite; dar apoyo; proteger a nuestros usuarios, clientes, el público y Google; y cumplir con las obligaciones legales.
En el apartado relativo a los servicios adicionales consta lo siguiente: Los datos que recopilamos en los servicios adicionales se utilizan en todos nuestros servicios para brindar, mantener y mejorar nuestros servicios; desarrollar nuevos servicios; brindar servicios personalizados; medida de rendimiento; comunicarse contigo; y proteger a Google, a nuestros usuarios y al público. Algunos servicios adicionales muestran anuncios.
En definitiva, como puede observarse, hay finalidades que no sirven al propósito del responsable del tratamiento (el centro educativo), sino únicamente al “encargado”. Si Google, a través de Google Workspace, realiza tratamientos de datos personales para finalidades propias que nada tienen que ver con el derecho a la educación, ya no puede legitimar su tratamiento en el artículo 6.1 c) porque tratamientos con finalidades como mejorar servicios, o mostrar anuncios en función de factores generales, y tampoco tendrían cabida en el artículo 6.1 e) del RGPD por cuanto un hipotético interés público se vería supeditado o condicionado al interés privado y particular del supuesto encargado del tratamiento, situación que debe rechazarse por completo. En conclusión, se mezclan finalidades propias del responsable (satisfacer el derecho a la educación en entornos digitales) con las propias del supuesto encargado del tratamiento, y en otras ocasiones claramente sirven a los propósitos del encargado del tratamiento, no es posible legitimar dichos tratamientos en los apartados c) y e) del artículo 6.1 del RGPD.
Consentimiento como base de legitimación para la implantación de soluciones tecnológicas y el uso de entornos digitales por parte de la administración educativa
Una vez analizado el objeto del convenio, los datos que se recaban, la finalidad que persigue y cómo se informa acerca de ella, es preciso analizar el instrumento jurídico que prevé el propio Convenio para mostrar la aquiescencia del uso de los servicios que ofrece la herramienta de Google por parte de los centros educativos. INTEF, se compromete, con la firma del convenio, a recabar los consentimientos y a realizar los avisos necesarios para poder usar GWS y, en consecuencia, para poder someter a tratamiento por parte de Google aquella información que contiene datos personales de los alumnos y de los docentes.
Durante el proceso de alta del servicio por parte de un centro educativo, en el que bajo la denominación “Consentimiento del centro para el uso de GWS para Centros Educativos” figura lo siguiente: Para que los alumnos puedan utilizar los Servicios Principales de Google Workspace para Centros Educativos («Servicios Principales»), es requisito imprescindible que los centros den su consentimiento.
La manera de articular esa obtención de los consentimientos se produciría a través de varias etapas o estadios:
1.- la persona que realiza el alta da el consentimiento en nombre de la institución, es decir, del Centro Educativo, para la utilización del servicio GWS y para su puesta en marcha, el centro asume frente a Google el compromiso de recabar el consentimiento de los titulares de los datos.
2.-Dicho lo anterior, la segunda fase o paso a seguir es que el Centro Educativo solicite de los padres, y en su caso, de los alumnos, el consentimiento para el uso de GWS. Ahora bien, la base jurídica para el tratamiento de datos personales derivado de la implantación de soluciones tecnológicas y el uso de entornos digitales por parte de la administración educativa la encontramos en el artículo 6.1 e) del RGPD, y en ocasiones también en el apartado c) de dicho artículo, y no en el consentimiento. Estamos ante distintos tratamientos que exceden de la función educativa y que sirven en buena medida a Google para sus propios intereses (es decir al supuesto encargado del tratamiento, lo que le convierte pues en responsable del tratamiento), por eso no puede situarse como base jurídica lo indicado en el artículo 6.1 c) y e) del RGPD.
Falta de consentimiento libre y desequilibrio de poder
En general, el consentimiento solo puede ser una base jurídica adecuada si se ofrece al interesado control y una capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin sufrir perjuicio alguno.
(…) 13. El término «libre» implica elección y control reales por parte de los interesados. Como norma general, el RGPD establece que, si el sujeto para elegir se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido.
Teniendo en cuenta lo indicado en las Directrices 5/2020 del CEPD, en el presente caso, no podemos entender que un hipotético consentimiento que se prestara por los padres de los alumnos, o incluso por éstos, si fueran mayores de catorce años ((Art. 7 LOPDGDDD), se otorgaría con plena libertad. La razón resulta obvia: si el Centro Educativo va a utilizar las herramientas de GWS como apoyo de las asignaturas curriculares y para la adquisición de competencias digitales, el alumno respecto del que no se haya obtenido el consentimiento quedaría automáticamente fuera de esta parte de la enseñanza, es decir, los contenidos y actividades que se impartieran utilizando las herramientas de GWS no se le ofrecerían a dicho alumno, y se excluiría al alumno de las dinámicas de trabajo, sufriendo un agravio comparativo traducido en un incuestionable perjuicio.
En este caso, si no existe otra alternativa a GWS disminuiría el nivel de enseñanza que se le otorga al alumno que no diera o retirara el consentimiento.
Otro elemento que se analiza a la hora de valorar la libertad del consentimiento es el desequilibrio de poder. Nos dice las Directrices 5/2020 del CEPD que: 13 (…) Queda también claro en la mayoría de los casos que el interesado no dispondrá de alternativas realistas para aceptar el tratamiento (las condiciones de tratamiento) de dicho responsable. El CEPD considera que hay otras bases jurídicas que son, en principio, más adecuadas para el tratamiento de datos por las autoridades públicas.
En el presente caso, el consentimiento se daría en un contexto de desequilibrio entre el responsable del tratamiento y el interesado, es decir, el centro docente por un lado y el alumno por otro, siendo el primero el responsable y frente al que se presta el consentimiento. El responsable del tratamiento, para obtener un consentimiento libre, debería dar una alternativa equivalente al alumno que no otorgue su consentimiento para usar GWS. Es decir, tendría que disponer de otras herramientas digitales similares, en el sentido de que el alumno que se decantara por esta opción no sufriría un agravio comparativo ni perjuicio de ninguna clase. En efecto, estamos ante el tratamiento de datos en una plataforma digital en la que los principales usuarios (al margen del profesorado) son menores de edad (y, per se, son un colectivo especialmente vulnerable). Además, por las características de los servicios que se ofrecen tanto los ordinarios como los denominados adicionales, permiten un escenario de interacción y comunicación, en algunos casos similar a las redes sociales y en otros, como la plataforma YouTube, que son en sí mismos una red social. No cabe duda de que estamos ante una recogida invasiva de información personal para simplemente recibir parte de la educación a través de un entorno digital y adquirir competencias digitales.
En conclusión, se informa desfavorablemente la firma del Convenio y Anexos planteados por parte de la consultante, en la que GWS no respeta el principio de minimización del artículo 5.1 RGPD, actuando más como responsable que como encargado por cuanto asume una posición de toma de decisiones sin contar con la otra parte y que se imponen contractualmente con incuestionables consecuencias en el tratamiento de datos personales. Son estos motivos que se han ido poniendo de manifiesto en el análisis del presente informe los que han llevado a que varios países de nuestro entorno europeo como Francia y Dinamarca hayan prohibido el uso de la solución tecnológica que ofrece Google en los centros educativos. Solo nos queda preguntarnos si será está la línea que se siga en España.