La autoridad de control ha impuesto una sanción de 20.000 euros a un colegio (la sanción se ha reducido por cuanto el colegio ha hecho uso de las reducciones previstas, reconociendo, en consecuencia, su responsabilidad) por el uso de la plataforma Google Workspace for Education sin facilitar la información exigida por el artículo 13 del RGPD a los padres y tutores de los alumnos menores.
El procedimiento se inició tras la reclamación de una madre que denunció que sus hijos, alumnos de educación primaria, utilizaban cuentas de Gmail y dispositivos Chromebook proporcionados por el centro para acceder a herramientas de Google, sin haber recibido información clara sobre el tratamiento de sus datos personales. Adicionalmente, se ponía de manifiesto que los menores podían tener acceso a contenidos ajenos a la actividad educativa, como YouTube o videojuegos.
Durante la investigación, la autoridad de control constató que el colegio utilizaba esta plataforma desde el curso 2021/2022 para 531 alumnos (siendo 395 de ellos menores de 14 años), empleándose distintas cuentas de dominio institucional para acceder a aplicaciones como Classroom, Drive, Gmail, Calendar y Docs. El centro alegó que el uso de esta plataforma se desarrollaba en un “entorno seguro y controlado”, con medidas técnicas adecuadas (como, por ejemplo, la desactivación de determinados servicios adicionales de Google, la implementación de limitaciones en el envío de correos externos, el bloqueo del acceso desde dispositivos gestionados por el centro o la monitorización mediante herramientas de supervisión, estando las políticas TIC disponibles para las familias en la plataforma educativa del centro), habiéndose informado a las familias durante las reuniones, a través de las citadas políticas TICS o al facilitar la documentación de la matrícula. Adicionalmente se indicaba que sí se había llevado a cabo una evaluación de la herramienta y sobre la privacidad de esta, siendo la más adecuada para las finalidades perseguidas.
En este sentido, se puso de manifiesto por el colegio que la herramienta únicamente se utilizaba con fines pedagógicos, sin habilitar servicios adicionales de Google ni aplicaciones externas.
Entre otras cuestiones, la AEPD ha considerado que el colegio no ha podido acreditar que los padres recibieran la información exigida por el artículo 13 del RGPD, ni que el contenido de dicha información permitiese conocer el tratamiento de datos que se llevaba a cabo con ocasión del uso de la plataforma, así como las finalidades del mismo, las categorías de datos tratadas, los destinatarios o las transferencias internacionales que se podrían llevar a cabo. De este modo, la AEPD apreció que dicha información era insuficiente desde la perspectiva del deber de transparencia exigido por el RGPD.
Así, en casos como el analizado no es suficiente con ofrecer información genérica sobre el tratamiento de datos de menores o remitir a políticas internas de difícil acceso. Cuando se utilizan plataformas digitales de terceros, el responsable debe garantizar que se facilita información específica, fácilmente accesible y comprensible a los afectados. De este modo, la autoridad de control se centra no tanto en la utilización de herramientas tecnológicas en el aula, sino en la necesidad de acreditar el cumplimiento del principio de transparencia y del deber de información cuando se tratan datos de menores.
Adicionalmente, se pone de manifiesto por la AEPD que el Registro de Actividades del Tratamiento y la Evaluación de Impacto facilitadas eran incorrectas, por cuanto se indicaba que solo se trataban datos identificativos, lo que no era conforme a la realidad de la situación. Es por ello por lo que se llega a la conclusión de que la evaluación no analizaba de forma realista los riesgos existentes, la posibilidad de realizar transferencias internacionales, la necesidad de la herramienta o la existencia de alternativas menos intrusivas.
