La Agencia Española de Protección de Datos ha dictado su primera sanción individual a un colegio por el uso indebido de la plataforma de gestión escolar de Google. La autoridad de control sostiene que la escuela cometió tres infracciones del Reglamento General de Protección de Datos al consentir que se usara información personal de menores «con finalidades que trascienden las propias del derecho a la educación». También ve probado que no dio toda la información a las familias y no hizo una evaluación de impacto adecuada.
La resolución se enmarca dentro de la controversia que desde hace unos años genera el uso de la tecnología por parte de menores. Familias de toda España se han organizado para retrasar la entrega del móvil a sus hijos y para pedir que se vuelva a los libros de texto en las escuelas. La Ley Antipantallas, que se encuentra en trámite parlamentario, fuerza por primera vez a regular el uso individual de ordenadores portátiles y tabletas en los centros educativos. Regiones como Murcia o la Comunidad de Madrid han restringido su uso y otras autonomías también preparan normativa. A la vez, varios padres han pedido amparo al Defensor del Pueblo o han reclamado a Protección de Datos por la digitalización de las aulas. Este caso es uno de ellos.
Se trata de una madre que en abril de 2024 acudió a la Agencia para denunciar que sus hijos, estudiantes de Primaria, estarían accediendo a contenido no relacionados con los estudios, como YouTube o videojuegos a través del ordenador portátil del colegio con la herramienta Google Workspace for Education, una plataforma de gestión escolar que incluye aplicaciones para publicar apuntes y tareas -la más conocida es Google Classroom-, trabajar en grupo, enviar correos o almacenar presentaciones. Esta madre también aseguró que no recibió información sobre el uso de dicha herramienta.
La Agencia realizó dos requerimientos de información al Holy Mary Catholic School de Madrid, que aportó evidencias de haber tenido varias comunicaciones con la reclamante informando del uso y almacenamiento de los datos, lo que técnicamente se conoce como «el tratamiento». Pero la Agencia «cuestiona los términos en que se realiza la comunicación» y no ha visto acreditado que toda la información llegara a las familias.
Envío de datos a otros países
La resolución indica que se informó de que se guardaba el nombre, apellidos, contraseña y año escolar de los alumnos, pero no se avisó de que «la plataforma recopila datos de uso de los alumnos que quedan asociados a sus perfiles, tales como información de los dispositivos o acceso a contenidos visualizados o cargados por los usuarios», así como la dirección IP. Tampoco informó el colegio, asegura Protección de Datos, de «la existencia de transferencias internacionales de datos». Es decir, que los datos de los menores se envían y almacenan en otros países fuera del Espacio Europeo.
En segundo lugar, la Agencia considera que el colegio realizó una evaluación de impacto que «ni es completa en la identificación de elementos esenciales del tratamiento (tipo de datos y transferencias), ni analiza los riesgos reales, ni incluye un análisis de proporcionalidad acorde con lo exigido en el Reglamento General de Protección de Datos».
En tercer lugar, el colegio entendía que «el uso de herramientas digitales forma parte de la enseñanza actual y que su utilización está amparada tanto por su deber de impartir educación como por el interés público de formar a los alumnos en competencias digitales». Protección de Datos le responde que se usaron los datos «para la prestación del servicio en sí, pero también para otros fines que escapan del ámbito educativo y, por tanto, no pueden tener cabida». Estas funciones son, cita, «formular recomendaciones, optimizar el uso de los servicios para prestar y mejorar otros servicios que solicite, prestar apoyo...». «El tratamiento no se limita a la mera gestión académica o administrativa necesaria para la escolarización del alumnado», recalca la resolución.
«Estas nuevas finalidades que trascienden las propias del derecho a la educación [...] se realizan bajo el conocimiento del responsable del tratamiento, esto es, el colegio, que las permite y tolera al seleccionar la herramienta», concluye Protección de Datos, que aprecia como agravante que los 531 alumnos que tenían la cuenta fueran menores de 18 años.
"Revelan convicciones religiosas"
La resolución de la Agencia Española de Protección de Datos señala que, además de tratarse por parte de Google Workspace for Education datos personales de alumnos menores de edad, como nombre y apellidos, edad, dirección IP, cookies e información de uso y hábitos de consumo, «de manera indirecta» asimismo se «revelan convicciones religiosas», en tanto en cuanto el dominio de las direcciones de correo electrónico habilitado por el colegio privado Holy Mary Catholic School «hace referencia a su nombre y su condición de centro docente religioso católico».
Es uno de los argumentos que ha utilizado este organismo para poner al centro una multa de 20.000 euros, reducibles a 12.000 euros si el colegio realizaba el pago en el periodo voluntario. El centro así lo ha hecho, «lo que implica el reconocimiento de la responsabilidad en relación a los hechos».
La Agencia también ha impuesto al colegio unas medidas para subsanar las infracciones. Si no lo hace en tres meses, podrá abrir un nuevo procedimiento sancionador.
"Seguridad de los alumnos"
Un portavoz del Holy Mary señala a EL MUNDO que el colegio «en todo momento ha actuado con diligencia, responsabilidad y plena colaboración con la Agencia». «Para ello ha aportado amplia documentación técnica y jurídica sobre el uso de Google Workspace for Education». Asegura que «esta herramienta se utiliza dentro de un entorno educativo cerrado y controlado por el propio colegio, configurado exclusivamente para fines docentes. Además, cuenta con limitaciones adaptadas a la edad del alumnado y con los servicios adicionales deshabilitados. En todo momento, el colegio ha garantizado la seguridad de los datos de los alumnos y no ha existido ocultación de información a las familias».