USO DE CHROMEBOOK Y APLICATIVOS CON ACCESO A DATOS EN CENTROS ESCOLARES. SANCIÓN DE LA AEPD.

Cada vez es más común que en los centros escolares se utilicen dispositivos electrónicos como Chromebook o plataformas como “Google For Education” para facilitar tanto el aprendizaje de los alumnos como el trabajo de los profesores, este hecho va de la mano con el avance tecnológico que vive nuestra sociedad hace años. El hecho de utilizar estos dispositivos y/o aplicativos como regla general no queda exento de la realización de un tratamiento de datos de carácter personal, motivo por el cual el centro ha de estar atento al cumplimiento de la normativa de referencia:

• Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En primer lugar, el artículo 4 del RGPD define los datos de carácter personal como cualquier información relacionada con una persona física identificada o identificable. Por lo tanto, toda información recabada por el centro para introducir en los sistemas que identificar a una persona será considerada un dato de carácter personal.

En segundo lugar, en aras de cumplir con el principio de responsabilidad proactiva (Art. 5.2. RGPD), tratándose de la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con lo estipulado en el RPGD.

En tercer lugar, deberemos de tener en cuenta el principio de limitación de finalidad del tratamiento, siendo los datos de carácter personal que se recaben utilizados solamente para la finalidad que ha motivado la recogida, siendo en este caso gestionar la relación del alumno/a y sus familiares con el Centro, así como la realización de todos los procedimientos necesarios para el mantenimiento, control y gestión de la relación académica con el centro, además del cumplimiento de lo estipulado en la Ley Orgánica de Educación en vigor.

En cuarto lugar, otro de los principios básicos e ineludibles dentro de la normativa en materia de protección de datos es el principio de información (Arts.13 y 14 RGPD), en base al cual, se ha de informar de diferentes extremos en materia de protección de datos al usuario sobre el que estamos tratando datos, en este caso alumnos o familiares de alumnos.

En quinto y último lugar, en estos casos los centros cuentan con un prestador de servicios que se encarga de gestionar las plataformas como “Google Workspace for Education” del encargado del tratamiento, caso en el que como regla general deberemos de firmar el contrato de acceso a datos por cuenta de terceros, cumpliendo con el Art.28 RGPD.

Una vez sentadas las bases normativas en el presente artículo, nos centraremos en analizar la primera sanción de la Agencia Española de Protección de Datos (AEPD) a un centro escolar por incumplimiento de la normativa en materia de protección de datos en lo relativo al uso de dispositivos electrónicos y plataformas digitales que impliquen tratamiento de datos, PS-00504-2023;

Se recibe en la autoridad de control, AEPD, una reclamación por parte de un progenitor de un alumno del centro escolar reclamado, en esta se indica que su hijo, menor de edad, se encuentra matriculado en el centro reclamado y que, al iniciar el curso, se establece la utilización de un dispositivo Chromebook que ha de ser adquirido por los padres, para ser utilizado en el aula y la aplicación de control parental IRIS. Señala que tanto el dispositivo como la licencia son adquiridos por los padres de los menores, por lo que son de su propiedad, si bien manifiesta que no han recibido información alguna sobre la recogida y tratamiento de datos en el Chromebook con motivo del enrolamiento de dicho dispositivo en el dominio del Colegio y que tampoco han firmado ninguna autorización. Asimismo, destaca que permanecen activos, tanto el permiso de envío de datos opcionales a GOOGLE, como otros permisos asociados a aplicaciones preconfiguradas por el Centro (uso de la cámara, ubicación, micrófono, almacenamiento) sin poder revocar ninguno de esos permisos por los padres o tutores de los alumnos, como responsables del dispositivo.

Al ser consciente de lo indicado, el reclamante solicita información al respecto del tratamiento de datos de los aplicativos tanto a la tutora, la cual le indica “que no hay otro modo de hacerlo”, como al Delegado de Protección de datos del centro, del cual no recibe respuesta.

Por lo anterior, el reclamante decide presentar el caso ante la AEPD, adjuntando varias capturas de pantalla en las que se muestra lo siguiente;

• Configuración del sistema operativo: Está activado el permiso denominado “Ayudar a mejorar las funciones y el rendimiento de ChromeOS” con la siguiente descripción “Automáticamente envía informes sobre fallos, así como datos de diagnóstico y uso a Google”.
• Permisos concedidos a la aplicación “Grupo Anaya”: ubicación, cámara, micrófono, contactos y almacenamiento, sin posibilidad de ser desactivados, al estar sombreados.
• Permisos concedidos a la aplicación “Kahoot” (cámara y almacenamiento), sin posibilidad de ser desactivados, al estar sombreados.

La AEPD da traslado al centro reclamado instándole a que en el plazo de un mes especifique de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, realizando el centro las siguientes alegaciones:

• En relación con el dispositivo tipo Chromebook, los padres de los alumnos compran dichos dispositivos a Edelvives, habilitando personalmente tanto el dispositivo como la licencia del sistema operativo. El centro escolar tiene contratado con Google, para el uso de sus alumnos, Google Workspace for Education, en la versión denominada Google Workspace for Education Fundamentals, que proporciona herramientas y servicios de Google que facilitan la enseñanza y el aprendizaje, tales como Classroom, Google Meet, Documentos de Google, Formularios de Google y Google Chat. El centro actúa en calidad de responsable del tratamiento y Google como encargado del tratamiento.

• En relación con la configuración del sistema operativo por defecto, el Colegio afirma que no puede actuar en este ámbito, al ser parte de la configuración del sistema del propio dispositivo. Además, las altas de los alumnos en la plataforma Google for Education se hacen con una cuenta creada para el alumno por el colegio. El colegio afirma que no recoge datos de la utilización de la plataforma por parte de los alumnos. Junto con el dispositivo y el sistema operativo de Google, los padres de los alumnos adquieren a Edelvives una aplicación de control parental denominada IRIS, la cual pueden utilizar los profesores dentro del aula y los progenitores fuera del centro.

• En cuanto a las aplicaciones educativas, el Colegio informa de que adquiere las licencias digitales (libros) y las distribuye entre las familias de los alumnos, que las abonan al centro educativo. Las aplicaciones de la editorial Edelvives no funcionaban correctamente y no se han utilizado. Los alumnos del colegio se conectan a los libros digitales, licencias digitales, a través de Internet. Las dos licencias de Edelvives las adquirieron los padres de los alumnos junto con el dispositivo y la aplicación IRIS a través de la página web de Edelvives y permiten descargar contenidos y acceder off line. En cuanto a la aplicación Anaya no se utiliza en el curso en el que está el alumno. Además, el centro ha procedido a desactivar Kahoot debido a su escaso uso en el centro.

El reclamado concluye su escrito solicitando el archivo de las actuaciones iniciadas, al entender que no se ha vulnerado la normativa de protección de datos de carácter personal.

La AEPD decide abrir proceso de investigación y del informe previo se destaca lo siguiente;

• El colegio es responsable del tratamiento con motivo de la contratación de Google Workspace for Education y Google es encargado del tratamiento. Los datos tratados son Datos de cliente y Datos de servicio.

• Según manifestaciones del centro escolar y la información publicada por Google en internet, éste último es un encargado del tratamiento en relación con Google Workspace for Education y el centro escolar es responsable del tratamiento.

• Según manifestaciones del centro escolar, (…) manifiesta que los datos son tratados con el objeto de realizar la gestión escolar y el seguimiento académico, sin que se usen para otro tipo de fines en la plataforma educativa.

• Según consta en la documentación que Google mantiene publicada en internet:

a. En Google Workspace existen los “Servicios principales”, los “servicios adicionales” así como “servicios de terceros” aunque solo los principales se rigen por los términos de Google Workspace. En los servicios principales se tratan datos, entre otros, de localización, tipo de navegador y de dispositivo, identificadores únicos, sistema operativo, interacciones con aplicaciones y navegadores, dirección IP, informes de errores, actividad del sistema. En los servicios adicionales se tratan datos, entre otros, dirección IP, GPS, información de cosas cerca del usuario como puntos de acceso Wi-Fi y dispositivos bluetooth, términos de búsqueda, los videos que se visualizan, anuncios que visualiza el usuario y con los que interactúa, tipo de navegador y de dispositivo, identificadores únicos, sistema operativo, interacciones de aplicaciones y navegadores con los servicios de Google informes de errores, actividad del sistema.

b. En los “Servicios principales” no existe ningún tipo de publicidad ni ningún dato personal recogido se utiliza con fines de publicidad.

c. Youtube es un servicio adicional.

d. Según consta en los “Términos del Servicio de Google Workspace for Education”, el cliente es responsable de obtener los consentimientos y de proporcionar los avisos necesarios.

• En cuanto a los Chromebook, el centro escolar no han entrado a valorar, como se le ha requerido, la necesidad de tener la opción de enviar los informes de fallos a ChromeOS activada tal y como consta en la captura de pantalla aportada por el reclamante.

• Respecto a las licencias educativas, el centro escolar adquiere dichas licencias y las distribuye a las familias quienes las abonan al centro. También hay dos licencias de editoriales para los alumnos de cuarto de primaria y una licencia de editorial para inglés para todos los alumnos que son adquiridas online por los progenitores. En cuanto a la información general, esta se facilita principio de curso en charlas informativas y enviada también por correo electrónico a todos ellos.

• En relación con el consentimiento y con la información proporcionada a los alumnos y progenitores en relación con la instalación de la app en los Chromebook de los alumnos, el centro escolar manifiesta que no es responsabilidad del centro escolar proporcionar esta información sino de las entidades que sean responsables de esas apps.

• El centro escolar tiene configurada para los alumnos la instalación forzada de un listado de aplicaciones de terceros de las que no ha acreditado cómo ha proporcionado información sobre protección de datos a los progenitores/alumnos ni cómo ha recogido los consentimientos para su instalación o para el acceso a recursos del dispositivo de esas aplicaciones.

• La única información que consta transmitida a las familias de parte del centro escolar es una carta informativa. En dicha carta se hace referencia a políticas de privacidad exclusivamente mediante un enlace y en la que no constan información de privacidad sobre Google Workspace ni sobre algunas aplicaciones utilizadas por el centro escolar, como Kahoot. En dichas políticas de privacidad consta que recopilan datos personales y en algunos casos dichas políticas de privacidad solo hace referencia a la página web, no a aplicaciones, como en el caso de la política de privacidad de las editoriales. A este respecto Google manifiesta que “cada centro escolar es el más indicado para personalizar la información que comparten con los progenitores basado en el uso real que realiza el centro escolar de los servicios de Google.”

• El centro aporta contratos de encargo del tratamiento (Art. 28 RGPD) con algunas de las plataformas y editoriales.

Atendiendo a lo indicado, la AEPD resuelve en base a los siguientes fundamentos de derecho:

• Artículo 13 RGPD, como ya indicamos al inicio del presente artículo, el responsable del tratamiento (en este caso el centro reclamado) ha de cumplir con el principio de información, lo cual entiende la AEPD no se cumple en este caso, puesto que no consta que el centro haya facilitado información a los progenitores de los alumnos ni de los Chromebook ni de los aplicativos utilizados, y si en algún caso se ha facilitado es insuficiente, puesto que lo único que se ha hecho es facilitar un enlace a la política del aplicativo.

En una valoración inicial, se estima concurrente el agravante del incumplimiento del Art. 13 RGPD, en base al Art. 76.2 f) de la LOPDGDD; Esto se debe a la afectación a los derechos de los menores y la falta de información sobre los datos tratados, a través de Google Workspace for Education y de las distintas aplicaciones educativas, afecta a datos de carácter personal de los alumnos del centro, que en su gran mayoría son menores de edad. El balance de las circunstancias contempladas en el Art. 83.2 del RGPD y el Art. 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 13 del RGPD, permite fijar inicialmente una sanción de 5000,00 € (cinco mil euros).

• Artículo 28 RGPD, igualmente, como ya detallamos en los primeros párrafos de este artículo, siempre que el responsable del tratamiento cuente con la prestación de servicios de proveedores con acceso a datos de carácter personal de su entidad, en este caso centro, ha de formalizarse un contrato de acceso a datos por cuenta de terceros, de encargo del tratamiento en base al artículo 28 RGPD. Entiende la AEPD que el centro incumple este precepto, pues los contratos que ha facilitado en el procedimiento están firmados y fechados con posterioridad al requerimiento de la autoridad de control, cuando estos deberían de haberse firmado al inicio de la relación contractual entre las partes.

En una valoración inicial, se estima concurre el agravante del incumplimiento del Art. 28 RGPD, en base al Art. 76.2 f) de la LOPDGDD por la afectación a los derechos de los menores, teniendo en cuenta que la gran mayoría de los alumnos del centro son menores de edad, dicho Centro Educativo debería haber adoptado todas las medidas necesarias para asegurar que el tratamiento de los datos personales de dichos menores se llevaba a cabo con todas las garantías. En este sentido, eran imprescindibles los correspondientes contratos con los encargados del tratamiento, en los que se contemplaran las obligaciones de estos últimos. Sin embargo, el centro educativo únicamente procedió a la celebración apresurada de dichos contratos con las editoriales que proveen las distintas aplicaciones educativas, tras haber recibido un requerimiento del Inspector solicitando una copia de los mismos. El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 32 del RGPD, permite fijar inicialmente una sanción de 5000,00 € (cinco mil euros).

Finalmente, la AEPD insta al centro a instaurar las siguientes medidas: Informar a los padres de los alumnos del colegio de los tratamientos de datos personales que se están realizando por parte de Google y de las distintas editoriales, recabando el consentimiento de los mismos, en aquellos casos en los que resulte necesario.

Siendo la sanción propuesta por la AEPD de 10.000€, pudiendo acogerse al centro a la reducción por pago voluntario y por reconocimiento de la responsabilidad, quedándose dicha sanción en 6.000€, cantidad que abona el centro por lo cual se cierra el procedimiento sancionador sin posibilidad de recurrir por parte del reclamado.

Para terminar, no queremos hacerlo sin unas recomendaciones para el caso de que tu centro cuente con las casuísticas analizadas:

• Antes de contratar con cualquier proveedor con acceso a datos de los que tu centro sea responsable del tratamiento, asegúrate de que este cumple con la normativa en materia de protección de datos y las medidas de seguridad establecidas en el Art. 32 RGPD.

• Firma el contrato de acceso a datos por cuenta de terceros con el proveedor con acceso a datos del centro en el momento en el que firmes el contrato de prestación de servicios, pues desde ese instante ya hemos de estar cumpliendo con el Art. 28 RGPD.

• Facilita la información necesaria sobre el tratamiento de sus datos de carácter personal a los progenitores de tus alumnos en base al Art. 13 RGPD.

• No olvides solicitar el consentimiento para que con la ayuda de tu Delegado de Protección de Datos el mismo cumpla con todas las garantías, en base al Art. 6 RPGD.