El Consejo de Transparencia y Protección de Datos de Andalucía ha impuesto seis sanciones, dos de ellas muy graves, a la Consejería de Educación por la presunta cesión de datos personales de estudiantes y profesores a Google en el marco del convenio educativo firmado en 2020 y aún vigente. Más de 738.000 estudiantes y 43.200 profesores de 2.676 centros educativos andaluces se han visto afectados por el uso de la plataforma Google Workspace for Education.
Incumplimientos reiterados en la protección de datos
La resolución RPS-2024/074 del Consejo de Transparencia concluye que la Consejería de Educación incumplió de forma reiterada el Reglamento General de Protección de Datos en la implantación y uso de la plataforma digital. El Consejo recibió varias reclamaciones entre 2022 y 2023, tanto de docentes como de familias, que alertaban sobre irregularidades en el convenio con Google Ireland Limited.
Según el organismo, la activación del servicio se realizó de manera generalizada y automática a partir de los datos almacenados en el sistema Séneca, sin informar previamente a los afectados ni evaluar los riesgos asociados. El Consejo considera acreditadas infracciones de los principios de licitud, lealtad y transparencia, así como de limitación de la finalidad, minimización de datos y responsabilidad proactiva.
Deficiencias en la gestión y riesgos para datos sensibles
El análisis del Consejo detecta deficiencias en el cumplimiento del deber de información, en la definición de la base jurídica del tratamiento y en la adopción de medidas de protección desde el diseño y por defecto. Se destaca la ausencia de una evaluación de impacto en protección de datos previa a la firma del convenio, a pesar de tratarse de un tratamiento masivo y sistemático que implicaba a menores.
La Consejería de Educación reconoció que la evaluación de impacto no se realizó antes de la puesta en marcha del servicio, y que solo se encontraba en fase de elaboración tras las primeras reclamaciones. El Consejo advierte del riesgo de tratamiento de categorías especiales de datos personales, como información sobre salud, religión u orientación educativa, que podía producirse a través del uso ordinario de las herramientas digitales por parte del profesorado.
Además, el Consejo señala la falta de protocolos claros y mecanismos efectivos de control para evitar tratamientos indebidos de datos especiales. También se advierte de la falta de concreción sobre la ubicación de los servidores y los países destinatarios de los datos, así como del uso de cláusulas contractuales desactualizadas durante parte de la vigencia del convenio.
Medidas correctoras y exigencia de explicaciones políticas
El Consejo de Transparencia no ha impuesto sanción económica, pero declara la comisión de varias infracciones administrativas y acuerda la imposición de medidas correctoras. Entre ellas, adecuar el tratamiento a la normativa, reforzar la información a los afectados, completar la evaluación de impacto y revisar el contenido del convenio y sus anexos.
"Explicaciones claras y detalladas por la cesión de datos de alumnos" - Patricia Alba, secretaria de Educación del PSOE-A
Patricia Alba, secretaria de Educación del PSOE-A, ha exigido explicaciones sobre cómo se autorizó un convenio que ha permitido que los datos de menores hayan acabado en servidores fuera de la Unión Europea, sin evaluaciones de impacto ni consentimiento informado de las familias, tal y como exige la normativa europea.
"Batería de iniciativas para pedir explicaciones a la Junta acerca de la cesión de los datos de miles de alumnos" - Antonio Maíllo, coordinador federal de Izquierda Unida y candidato de Por Andalucía
Por su parte, Antonio Maíllo, coordinador federal de Izquierda Unida y candidato de Por Andalucía, ha anunciado el registro de iniciativas parlamentarias para pedir explicaciones a la Junta sobre la gestión de los datos personales de los estudiantes.
Respuesta de la Consejería y plan de acción
La Consejería de Educación rechaza que se hayan cedido los datos del alumnado y profesorado a Google y sostiene que el Consejo solo ha señalado la necesidad de establecer medidas más claras de información y formación docente. La Junta de Andalucía ha elaborado un plan de acción para responder a los requerimientos del Consejo de Transparencia y Protección de Datos.
Según la Junta, el Consejo consideró necesario establecer medidas más claras sobre formación del profesorado e información a los usuarios sobre la creación de las cuentas y la explicación del tratamiento de sus datos, cuestión que se ha abordado a través del Plan de Acción en marcha.