El Gobierno de Andalucía cede a Google los datos de 738.502 alumnos menores

El Gobierno andaluz (PP) ha vulnerado durante los últimos cinco años la protección de datos de 738.502 alumnos menores de edad, 43.202 profesores y 2.676 centros escolares por el convenio que firmó con el gigante tecnológico Google para disponer de su plataforma educativa virtual Workplace for Education a cambio de la cesión de sus datos, según el Consejo de Transparencia y Protección de Datos de esa comunidad. La descomunal brecha de datos personales en la que ha incurrido el Ejecutivo autonómico ―y que mantiene hoy― ha incumplido varios artículos del Reglamento General de Protección de Datos europeo (RGPD). Por esta razón, el Consejo le ha impuesto seis sanciones: dos muy graves, tres graves y una leve, aunque sin multa económica.

El caso irrumpe en pleno debate sobre la prohibición de las redes sociales a los niños menores de 16 años y con el Gobierno enfrentado a parte de las grandes tecnológicas. La sanción a Andalucía, con la mayor comunidad educativa del país, tiene especial relevancia al haberse quebrado la privacidad y el derecho a la intimidad de miles de estudiantes ―casi la mitad de los 1,7 millones de alumnos de educación primaria y secundaria―. Y porque Google mantiene acuerdos gratuitos para su plataforma educativa con la Comunidad de Madrid, Cataluña, País Vasco, Navarra, Extremadura, Murcia, Baleares y Canarias, según confirma la multinacional. Es decir, unos cuatro millones de estudiantes no universitarios, la mitad del total en España, usan este servicio sancionado por los expertos.

Llueve sobre mojado porque la Agencia de Protección de Datos emitió en 2024 un duro informe para el Ministerio de Educación en el que aclaraba que la plataforma de Google viola el Reglamento europeo, y así lo compartió el verano siguiente el Gobierno con las autonomías, muchas de las cuales han hecho oídos sordos y otras confían en que sus contratos atan a la empresa a respetar la ley. “No cabe duda de que estamos ante una recogida invasiva de información personal para simplemente recibir parte de la educación a través de un entorno digital y adquirir competencias digitales”, concluía el informe oficial. En paralelo, la Agencia sancionó a comunidades como Canarias por infringir la protección de datos de sus 170.000 estudiantes en 900 centros educativos.

Tras varias denuncias interpuestas por ciudadanos andaluces ante el Consejo, este emitió su dictamen hace un año, aunque ha trascendido ahora. La institución es tajante en su resolución sobre cómo la Junta ha permitido que Google maneje los datos según su criterio, como empresa mercantil, y estos hayan acabado en países fuera de la Unión Europea. La institución da un listado de 18 países sin garantías similares a la ley europea con centros de procesos de datos de la compañía como Singapur, El Salvador o Filipinas, pero desconoce dónde pueden haber acabado los datos de los alumnos andaluces por falta de información precisa.

En paralelo, el organismo censura que no haya minimizado el riesgo para que los alumnos incluyan en el sistema “imágenes y material inapropiado”. Es decir, que existan barreras claras para que los menores no suban fotos o vídeos íntimos o violentos y estas acaben en servidores en el extranjero. “No podemos controlar las fotos que los alumnos suben a su espacio privado en Google Drive”, confirma Joaquín Delhom, coordinador de transformación digital educativa del instituto Jacarandá en Brenes (Sevilla), uno de los 2.676 centros andaluces que usa la plataforma para entregar y corregir tareas, editar textos y presentaciones, así como almacenar fotos y vídeos.

Por último, el Consejo censura al Ejecutivo por no haber realizado una evaluación del impacto relativa al tratamiento de datos, del que tampoco se informó a los niños, adolescentes y profesores, dado el alto riesgo para sus derechos y libertades, tal y como establece el Reglamento europeo infringido en repetidas ocasiones. “Ha quedado acreditado que la Consejería no ha adoptado medidas técnicas ni organizativas adecuadas para limitar el elevado riesgo que puede suponer que los usuarios del sistema introduzcan en la plataforma Google Workspace for Education categorías especiales de datos”, reza la resolución. Y abunda: “La entidad no ha informado adecuadamente al alumnado, a los miembros de su familia y al profesorado sobre el tratamiento de sus datos personales (…) Ha quedado acreditado que se llevan a cabo transferencias internacionales de datos a terceros países”.

El punto 10 del convenio de Andalucía con Google sobre la transferencia de datos aclara: “Google podrá almacenar y tratar los datos en cualquier lugar en el que Google o sus subencargados tengan instalaciones”.

La brecha masiva de datos continúa porque, de momento, la Consejería andaluza de Desarrollo Educativo y Formación Profesional mantiene el convenio firmado con Google Ireland Limited y no ha dado marcha atrás. Se ha limitado a mandar unas rectificaciones ―una evaluación de impacto― al Consejo, porque considera que solventa los problemas de seguridad surgidos. Ahora el organismo regional de protección de datos analiza si esas medidas corrigen las numerosas deficiencias halladas en el convenio de 2020 y la posterior adenda firmada en 2024 entre la Junta y Google, que lo prorrogó hasta finales de este año. Dicha adenda se firmó el 19 de noviembre de 2024, un día antes de la propuesta de resolución del Consejo de Transparencia.

La Junta niega que la información haya traspasado fronteras con fines lucrativos: “La Consejería garantiza que no ha existido vulneración de la protección de los datos de los miembros de la comunidad educativa de Andalucía. Todas las cuentas se crean con datos anónimos y Google nunca ha tenido acceso a contraseñas ni ha podido usar los datos para fines comerciales. Las cuentas se controlan desde una consola en la Consejería, lo que garantiza su gestión y el uso exclusivo para fines educativos”, defiende por escrito un portavoz.

La compañía tecnológica, que no ha sido sancionada por el Consejo andaluz, se alinea con el Ejecutivo autonómico y subraya que ni procesa los datos ni muestra anuncios a los alumnos: “Los productos de Google Workspace for Education cumplen con los más estrictos estándares educativos en materia de privacidad y seguridad, incluyendo el Reglamento europeo. Google no es propietario de los datos de los estudiantes; las organizaciones educativas son quienes tienen el control total de los mismos (…) La privacidad de los estudiantes es fundamental para nuestros servicios”.

El Consejo andaluz aclara en su resolución que evita imponer una sanción económica y solo apercibe a la Junta porque su objetivo es salvaguardar el derecho a la educación de los menores y busca “minimizar las posibles alteraciones” en el sistema educativo. Eso sí, le pone serios deberes: “Medidas técnicas y organizativas, por ejemplo, medidas de carácter marcadamente visual e intuitivo, para que fuera absolutamente transparente para los usuarios, menores de edad, cuando están abandonando el ámbito de responsabilidad de la Consejería (…) para entrar en el ámbito de responsabilidad de Google Ireland Limited, con los fines empresariales propios de esta”. La responsable andaluza del convenio con el gigante tecnológico es Carmen Castillo, hoy consejera de Educación y en 2020 viceconsejera y firmante del acuerdo.

A nivel nacional, tras varias resoluciones contrarias por denuncias de particulares y el rechazo de la Agencia de Protección de Datos en 2024, Google ha remitido ahora al Gobierno central un nuevo convenio para lograr implantarse en Ceuta y Melilla ―cuya educación depende del Ministerio―. El Ejecutivo está ahora a la espera de la valoración de la Agencia de Protección de Datos sobre los cambios introducidos, para decidir si cierra un nuevo acuerdo con la empresa tras el portazo de hace dos años. Mientras, países como Francia y Dinamarca han prohibido el uso de la solución tecnológica educativa que ofrece Google.

La UE ha impuesto a la compañía por abuso de posición dominante tres multas por un total de 8.257 millones. Sobre la posibilidad de que la sociedad norteamericana ignore los contratos firmados y las leyes europeas, Rafael Rodríguez, catedrático de Filosofía del Derecho de la Universidad Pablo de Olavide de Sevilla, censuraba en un interesante artículo publicado en 2023: “Las acusaciones de abuso de posición dominante realizadas en los últimos años debieran producir inquietud en lo referido a su observancia de la legislación vigente”.

El experto cuestionaba que las autonomías proporcionen a sus colegios e institutos estas plataformas de manera gratuita a cambio de los datos de sus estudiantes: “No es baladí cuestionarse la razón de que entidades con ánimo de lucro que operan desde el extranjero, con una infraestructura que se encuentra repartida por el mundo, no se encuentren sujetas a unas garantías más exigentes o bien se les venda, aunque sea de forma cautelar, el acceso a estos datos. Tal y como sucede en el caso de redes sociales y menores, las empresas sitúan el negocio sobre cualquier otro tipo de prioridad, como, por otra parte, es lógico en compañías con ánimo de lucro que responden ante sus accionistas”.

María Alcolea, directora general de la Asociación Profesional de Privacidad e Inteligencia Artificial (Apep), destaca la ausencia de brechas precedentes que afectaran a tantos niños: “El número de menores que habrían sido afectados en este caso es relevante, máxime si se tiene en cuenta que estaría afectando a un número elevado de los menores en Andalucía. No hay información disponible sobre casos previos que hayan afectado a un número similar de menores en nuestro país”.

Samuel Parra, abogado especializado en protección de datos, critica: “Google quiere usuarios para maximizar beneficios y se acerca a las Administraciones con miles y miles de potenciales clientes. Firma convenios gratis hasta que te cobra. La paradoja es que a quien castiga el Consejo andaluz es a la víctima, pero Google comercializará esos datos, por incompetencia o ignorancia de la Administración andaluza”.

Como conclusión, Rodríguez pide reflexionar “sobre qué Internet queremos y el papel del software libre”, y es tajante respecto a la posibilidad de que las autonomías sigan firmando con la compañía estadounidense: “Las comunidades actúan de manera ingenua y la educación es algo muy serio, una relación entre el profesor y el estudiante que no tiene que estar participada por un tercero ajeno. Simple y llanamente, no se debería firmar ningún convenio nuevo con Google en base al principio de prevención. Lo lógico sería reunir a las Administraciones y debatir; debe haber un debate colectivo para resolver el problema de manera estructural, no parcial”.

Si tiene más información, puede escribir a jmartina@elpais.es