El Consell de Transparència i Protecció de Dades d'Andalusia ha exigit al Govern andalús reforçar les garanties en la gestió de les dades personals de 738.502 alumnes, 43.202 professors i 2.676 centres escolars que actualment administra Google a través de la plataforma Workplace for Education. Durant els últims cinc anys, l'administració autonòmica ha rebut sis sancions per vulnerar el Reglament General de Protecció de Dades europeu (RGPD) en el tractament d'informació d'estudiants i docents.
El Consell de Transparència detecta deficiències i exigeix canvis
El 10 de febrer, el Consell de Transparència va emetre un informe després d'analitzar la cessió de dades a Google. El document conclou que la Conselleria de Desenvolupament Educatiu i Formació Professional ha de corregir aspectes de fons en la protecció de dades. L'informe destaca que l'avaluació d'impacte realitzada és un avenç, però adverteix que resulta insuficient per garantir el rigor necessari en un sistema que afecta més d'un milió d'usuaris, en la seva majoria menors d'edat.
"L'avaluació d'impacte constitueix un avenç significatiu en el compliment de les obligacions derivades del reglament europeu i de les mesures correctives imposades (…) El document constitueix un punt de partida necessari, però no suficient. Requereix ser completat i aprofundit en els aspectes assenyalats per assolir el rigor que correspon a un tractament que afecta més d'un milió d'usuaris potencials, en la seva majoria menors d'edat, en l'àmbit del sistema educatiu públic andalús". - Informe de Protecció de Dades
Sancions i transferències internacionals sota investigació
Entre les sis sancions imposades, dues han estat catalogades com a molt greus. Una d'elles es refereix a la transferència de dades d'alumnes a països com Singapur, El Salvador o Filipines, que no complien amb el RGPD. Actualment, el Consell de Transparència considera que les transferències de dades compleixen la normativa, recolzant-se en un document de Google que assegura que els moviments d'informació cap als Estats Units i tercers països es realitzen sota el Data Privacy Framework.
"Com que les dades de caràcter personal pertanyen a la Conselleria, aquestes són absolutament il·legibles per a Google i els patrons dels comptes estan absolutament anonimitzats". - Portaveu, Conselleria de Desenvolupament Educatiu i Formació Professional
Nou conveni i debat polític
El Govern andalús prepara un nou conveni amb Google que se signarà al novembre, amb l'objectiu de complir la llei i evitar noves sancions. L'acord inicial va ser signat el 2020 per la consellera Carmen Castillo i una addenda el 2024 preveu la seva actualització abans de final d'any.
L'oposició política ha qualificat el cas d'"escàndol" i ha sol·licitat la rescissió del conveni, una auditoria interna i l'assumpció de responsabilitats polítiques per part de la consellera.
Preocupació entre experts i professorat
Rafael Rodríguez, catedràtic de Filosofia del Dret a la Universitat Pablo de Olavide, adverteix sobre els riscos de confiar en la protecció de dades en un context legal canviant entre la Unió Europea i Estats Units.
"En un context legal canviant, en què les relacions transatlàntiques entre la UE i els EUA no es troben en el seu millor moment, crida l'atenció que es corregeixin aquests riscos. No es pot ignorar que hi ha un conflicte entre l'actual administració nord-americana i la UE pel que fa als reglaments europeus sobre internet. De fet, es reconeix un risc molt alt i, tanmateix, es desplega una confiança força commovedora en la bondat de Google". - Rafael Rodríguez, Universitat Pablo de Olavide
Rodríguez també critica la sobrecàrrega de tasques per al professorat, que ha d'assumir competències en protecció de dades a més de les seves funcions habituals. Mario de la Peña, membre de la comissió de menors a l'Associació Professional de Privacitat i Intel·ligència Artificial, assenyala que l'Administració no ha regulat adequadament l'ús de Google i alerta sobre el possible ús de dades desagregades per segmentar els menors per interessos i edats.
Ús de plataformes i advertències sobre privadesa
Almenys un centre andalús ha emmagatzemat actes d'avaluació a Google Drive, encara que la Junta estableix que la plataforma oficial per a aquest fi és Sèneca. La Inspecció educativa provincial no va detectar infracció en aquest cas concret. No obstant això, la Conselleria insisteix que Sèneca és l'única via autoritzada per a la gestió d'actes escolars.
Un professor, que prefereix mantenir l'anonimat, alerta sobre les conseqüències a llarg termini del tractament de dades sensibles dels alumnes.
"Ningú s'adona que aquell alumne que avui no fa gimnàstica perquè té un buf en el cor, d'aquí a 10 anys voldrà treure's una assegurança i no podrà perquè l'asseguradora sabrà que el seu cor no funciona bé". - Professor anònim
La Conselleria defensa la protecció i la formació
La consellera d'Educació, Carmen Castillo, ha defensat al Parlament autonòmic que mai s'ha produït una bretxa en la protecció de dades personals de l'alumnat i professorat andalús. Segons Castillo, el Consell de Transparència només ha sol·licitat que s'informi i formi famílies i docents per evitar riscos, i que les garanties actuals són suficients.
"Mai no hi ha hagut una bretxa en la protecció de dades personals de l'alumnat i del professorat andalús (…) L'únic que ens ha demanat el Consell de Transparència és que informem i formem les famílies i el professorat per evitar riscos. El que va detectar el Consell suposava una infracció perquè no semblàvem tenir garanties suficients per protegir les dades, no que hi hagués una bretxa. I el 10 de febrer ens ha dit que tenim aquestes garanties i les nostres dades estan protegides". - Carmen Castillo, consellera d'Educació
La Unió Europea ha imposat a Google tres multes per abús de posició dominant per un total de 8.257 milions d'euros. El debat sobre la protecció de dades en l'àmbit educatiu andalús continua obert, a l'espera de la signatura del nou conveni i de la resposta a les demandes polítiques i socials.