En la buena dirección, pero pendiente de mejoras. Es el mensaje que el Consejo de Transparencia y Protección de Datos de Andalucía ha transmitido al Gobierno regional (PP) sobre las garantías y salvaguardas que da a los 738.502 alumnos menores de edad, 43.2020 profesores y 2.676 centros escolares cuyos perfiles guarda la multinacional Google a través de su plataforma educativa virtual Workplace for Education. Durante cinco años el Ejecutivo andaluz ha vulnerado la protección de datos de los estudiantes no universitarios y docentes al incumplir el Reglamento General de Protección de Datos europeo (RGPD), por lo que recibió seis sanciones. Ahora prepara el terreno y diseña el nuevo convenio que firmará el próximo noviembre con el gigante tecnológico para evitar más reprimendas y cumplir la ley.
En su resolución emitida hace un año, el Consejo de Transparencia le ponía deberes al Gobierno andaluz y el pasado 10 de febrero, al día siguiente de publicar este medio la cesión de datos a Google, el organismo emitió un informe de cumplimiento para comprobar si el Ejecutivo está siendo obediente y sigue sus recomendaciones. La conclusión es que la Consejería andaluza de Desarrollo Educativo y Formación Profesional está en la buena senda para proteger los perfiles de sus alumnos, pero aún debe corregir aspectos de fondo.
El Gobierno incurrió en una infracción grave por no haber realizado la debida evaluación de impacto relativa a la protección de datos de los estudiantes, “una herramienta fundamental del principio de responsabilidad proactiva”. Se trata de un plan para evaluar los riesgos ante posibles brechas de seguridad que afectarían a miles de personas. “La evaluación de impacto constituye un avance significativo en el cumplimiento de las obligaciones derivadas del reglamento europeo y de las medidas correctivas impuestas (…) El documento constituye un punto de partida necesario, pero no suficiente. Requiere ser completado y profundizado en los aspectos señalados para alcanzar el rigor que corresponde a un tratamiento que afecta a más de un millón de usuarios potenciales, en su mayoría menores de edad, en el ámbito del sistema educativo público andaluz”, señala el informe de Protección de Datos.
Una de las dos sanciones muy graves impuestas al Gobierno fue por la transferencia de datos de los alumnos a países como Singapur, El Salvador o Filipinas, que incumplían el RGPD. Ahora el organismo estima que se cumple la ley. Eso sí, lo hace basándose en un documento remitido por la compañía norteamericana en el que asegura que todas las transferencias de los datos de alumnos andaluces cumplen con el Reglamento europeo. “Las transferencias a EE UU y las transferencias ulteriores de EE UU a terceros países ofrecen como garantía el Data Privacy Framework [un compromiso de adecuación a la norma europea por parte de Google]”, indica el escrito.
Al respecto, la Consejería andaluza ha destacado que es “la responsable del tratamiento de los datos personales” de los alumnos. “Al pertenecer los datos de carácter personal a la Consejería, estos son absolutamente ilegibles por Google y los patrones de las cuentas están absolutamente anonimizados”, defiende un portavoz del Departamento de la consejera Carmen Castillo, firmante del acuerdo con la empresa en 2020 y de una adenda en 2024 que cumple a finales de este año.
El catedrático de Filosofía del Derecho de la Universidad Pablo de Olavide de Sevilla, Rafael Rodríguez, cuestiona que el Ejecutivo tenga previsto prorrogar el convenio gratuito con el gigante tecnológico: “En un contexto legal cambiante, en el que las relaciones transatlánticas entre la UE y EE UU no están en su mejor momento, llama la atención que se corran estos riesgos. No se puede ignorar que hay un conflicto entre la actual administración estadounidense y la UE en lo referido a los reglamentos europeos sobre internet. De hecho, se reconoce un riesgo muy alto y sin embargo, se despliega una confianza bastante enternecedora en la bondad de Google”. La UE ha impuesto a la compañía por abuso de posición dominante tres multas por un total de 8.257 millones.
A Rodríguez le parece “alucinante” que la Junta haga recaer sobre los equipos directivos de los colegios e institutos la responsabilidad de vigilar y contener los contenidos volcados en la plataforma virtual educativa de la empresa. “Es ciertamente curioso hacer que los profesores además de dar las clases, atender a padres y alumnos, y resolver burocracia, se conviertan de pronto en expertos en protección de datos”, critica tras la certificación de 8.004 profesores en 96 jornadas impartidas por la Consejería. El experto recomienda el uso del sistema de código abierto Moodle, “sin descartar otras vías abiertas, colectivas y creativas”.
Porque los riesgos están ahí. Dado que la plataforma Workplace for Education es muy intuitiva y ofrece una atractiva diversidad de herramientas para corregir tareas, compartir documentos y agilizar la burocracia, hay equipos directivos que demuestran fe ciega e ignoran las mínimas salvedades para proteger los datos de sus estudiantes. Este diario ha constatado que al menos un centro andaluz ha guardado en Google Drive las actas de evaluación, pese a que deben estar en Séneca, la plataforma habilitada por la Junta que cuenta con garantías de seguridad. Además, la Inspección educativa provincial indicó al centro que no había vulnerado ninguna norma por volcar las actas en la plataforma virtual de la firma tecnológica.
Estas actas son documentos oficiales donde se registran con nombre y apellidos la evolución de los alumnos y que incluyen sus enfermedades, diagnósticos médicos, problemas socioeconómicos, así como su evolución a lo largo del curso escolar. “Nadie se da cuenta de que ese alumno que hoy no hace gimnasia porque tiene un soplo en el corazón, dentro de 10 años querrá sacarse un seguro y no podrá porque la aseguradora sabrá que su corazón no funciona bien”, censura un profesor que exige anonimato por miedo a represalias. Al respecto, la Consejería se limita a recordar que Séneca es la única plataforma oficial a la que deben subirse las actas de evaluación de los centros escolares.
Los datos de salud están especialmente protegidos en el Reglamento europeo por ser una categoría especial de datos sensibles cuyo mal uso puede atentar contra la intimidad y derechos fundamentales de las personas. “La Administración se salta todo a la torera: firma con Google y no hace evaluación de impacto. Tienes que regularlo todo, no puedes adherirte a sus términos por interés o desconocimiento. Al final la compañía obtendrá datos desagregados para conocer con mapas de calor los intereses y filosofías de los chavales, según sus edades, para explotarlos e identificar segmentos por edades, que tampoco es correcto”, augura Mario de la Peña, miembro de la comisión de menores en la Asociación Profesional de Privacidad e Inteligencia Artificial (Apep).
Este jueves la consejera de Educación, Carmen Castillo, ha sido tajante en su intervención en el Parlamento autonómico: “Nunca ha habido una brecha en la protección de datos personales del alumnado y del profesorado andaluz (…) Lo único que nos ha pedido el Consejo de Transparencia es que informemos y formemos a las familias y al profesorado para evitar riesgos. Lo que detectó el Consejo suponía una infracción porque no parecíamos tener garantías suficientes para proteger los datos, no que hubiera una brecha. Y el 10 de febrero nos ha dicho que tenemos esas garantías y nuestros datos están protegidos”. La oposición política, que ha calificado el caso de “escándalo”, le ha pedido a Castillo que rescinda el convenio con Google, se haga una auditoría interna y asuma responsabilidades políticas.
