El uso de la tecnología en los centros educativos siempre ha sido el punto flaco de la protección de datos personales. Ya hemos hablado en este espacio sobre la importancia de la elección de estos proveedores en los colegios, Ahora la Agencia Vasca de Protección de Datos (AVPD) ha emitido una resolución significativa respecto al uso de Google Workspace for Education por parte del Departamento de Educación del Gobierno Vasco. El convenio con Google Cloud Emea Limited se firmó el 22 de febrero de 2022, y su publicación en el Boletín Oficial del País Vasco tuvo lugar el 21 de abril de 2022. Aunque inicialmente, en septiembre de 2021, la AVPD había emitido un informe favorable sobre el convenio, una reclamación presentada en julio de 2023 llevó a una reevaluación y posterior sanción.
El 11 de julio de 2023, la AVPD recibió una reclamación que cuestionaba la legalidad del convenio firmado entre el Departamento de Educación del Gobierno Vasco y Google Cloud Emea Limited. Este convenio permite el uso de Google Workspace for Education en centros docentes. La denuncia se centraba en la posible transferencia internacional de datos personales a Estados Unidos, lo cual podría incumplir la normativa vigente de protección de datos, especialmente al involucrar datos de menores de edad sin realizar una adecuada Evaluación de Impacto en la Protección de Datos (EIPD).
Investigación y Respuesta del Gobierno Vasco
En respuesta a la reclamación, el Departamento de Educación argumentó que había realizado una consulta previa con la AVPD en 2021, obteniendo un informe favorable. Asimismo, defendió la necesidad de un entorno digital seguro para la educación y afirmó que Google Workspace for Education es una opción segura y legal para este propósito. Se destacó que las transferencias internacionales de datos se realizaban bajo el marco del EU-U.S. Data Privacy Framework.
La AVPD identificó varias infracciones en la implementación del convenio:
- Falta de Evaluación de Impacto (EIPD): No se realizó una EIPD adecuada antes de la implementación del convenio, lo cual es obligatorio según el artículo 35 del Reglamento General de Protección de Datos (RGPD).
- Transparencia y Registro de Actividades: Se encontraron deficiencias en la transparencia del tratamiento de datos y en la actualización del Registro de Actividades de Tratamiento (RAT) del Departamento de Educación.
Aspectos Clave sobre la EIPD
La resolución de la AVPD enfatiza varios aspectos críticos relacionados con la EIPD que no se cumplieron adecuadamente:
- Consulta Previa Insuficiente: Aunque se realizó una consulta previa con la AVPD, esta no sustituyó la obligación de realizar una EIPD completa. La consulta previa del artículo 36.1 del RGPD requiere la realización previa de una EIPD, lo cual no se cumplió.
- Falta de Opinión de los Interesados: La EIPD presentada posteriormente no consideró la opinión de las personas interesadas o de sus representantes, un aspecto requerido para evaluar completamente los riesgos y medidas de mitigación.
- Deficiencias en la Documentación: La AVPD encontró que la EIPD no incluía una descripción sistemática de las operaciones de tratamiento, los fines del tratamiento ni las bases jurídicas que amparan el tratamiento, aspectos fundamentales según el artículo 35 del RGPD.
- Evaluación de Riesgos Incompleta: La evaluación de riesgos presentada no fue suficiente, ya que no incluyó todas las amenazas potenciales, especialmente en relación con los datos de menores de edad, un grupo especialmente vulnerable.
Decisiones y Requerimientos de la AVPD
La resolución de la AVPD incluyó las siguientes acciones:
- Apercibimiento: Se apercibió al Departamento de Educación por no realizar la EIPD obligatoria, faltar a los principios de lealtad y transparencia, y no actualizar el RAT conforme a la normativa.
- Requerimientos: Se solicitó al Departamento de Educación que adoptara medidas organizativas necesarias para cumplir con los principios de lealtad y transparencia y que actualizara el inventario de actividades de tratamiento de acuerdo con el artículo 30 del RGPD y la LOPDGDD.
Impacto y Relevancia
Esta resolución subraya la importancia de realizar evaluaciones de impacto antes de implementar tratamientos de datos personales que impliquen altos riesgos, especialmente en entornos educativos que involucran a menores de edad. Además, destaca la necesidad de mantener la transparencia y actualizar los registros de actividades de tratamiento para cumplir con la normativa de protección de datos.
En resumen, el caso del Gobierno Vasco y Google Workspace for Education pone de relieve la necesidad de una gestión rigurosa y transparente de los datos personales en el ámbito educativo, asegurando que se cumplan todas las normativas para proteger los derechos y libertades de los individuos.