Critican a la Junta de Andalucía por una presunta cesión de datos de los escolares a Google

Los grupos parlamentarios del PSOE y Por Andalucía han criticado la “negligente” gestión de la Junta de Andalucía después de producirse una presunta cesión de los datos personales de cientos de miles de estudiantes a la empresa Google.

El Consejo de Transparencia y Protección de Datos, un organismo adscrito a la Junta de Andalucía, ha amonestado a la Consejería de Educación con seis sanciones, dos de ellas de carácter muy grave, aunque no le ha impuesto una sanción económica por esa presunta filtración de datos personales que contraviene el Reglamento General de Protección de Datos de la Unión Europea.

En virtud de dicho convenio, firmado por la Junta de Andalucía y la empresa tecnológica en 2020 y que está vigente hoy, los datos privados de más de 738.000 estudiantes y 43.200 profesores de 2.676 centros educativos andaluces se han cedido a la multinacional a cambio de poder disponer de la plataforma educativa virtual.

La secretaria de Educación del PSOE-A, Patricia Alba, reprocha la “gestión negligente” del Gobierno andaluz y le exige “explicaciones claras y detalladas” por la “cesión de datos de alumnos” y, en concreto, sobre “cómo se autorizó un convenio que ha permitido que los datos de los menores hayan acabado en servidores fuera de la Unión Europea, sin evaluaciones de impacto ni consentimiento informado de las familias, tal y como exige la normativa europea”.

El grupo Por Andalucía va a registrar en el Parlamento andaluz una “batería de iniciativas” para pedir “explicaciones” a la Junta acerca de la “cesión de los datos” de “miles de alumnos” que desde la coalición de izquierdas consideran que es un asunto “de extrema gravedad”. Así lo anunció el coordinador federal de Izquierda Unida y candidato de la coalición Por Andalucía a la presidencia de la Junta, Antonio Maíllo, en una declaración en la que se apunta que durante los últimos cinco años se ha podido vulnerar la protección de datos centenares de miles de alumnos por el convenio sellado con la citada empresa para disponer de su plataforma educativa a cambio de la cesión de sus datos, según el dictamen del Consejo de Transparencia y Protección de Datos.

La Consejería de Educación rechaza sin embargo que se hayan cedido los datos del alumnado y del profesorado a Google y que el Consejo se ha limitado a señalar la necesidad de establecer medidas más claras a la hora de informar a los usuarios y de formación docente sobre la creación de estas cuentas. Es por ello que la Consejería haya elaborado un plan de acción con las medidas que se han puesto en marcha para responder a los requerimientos del Consejo de Transparencia y Protección de Datos.

La Junta ha detallado en una respuesta recogida por Europa Press que el Consejo de Transparencia y Protección de Datos de Andalucía "consideró la necesidad de establecer medidas más claras sobre formación del profesorado e información a los usuarios sobre la creación de las cuentas y la explicación del tratamiento de sus datos, como así ha ocurrido a través del Plan de Acción puesto en marcha para dar respuesta a las propuestas" de dicho Consejo.

Las familias denuncian irregularidades

El Consejo de Transparencia y Protección de Datos de Andalucía dictó en 2024 una resolución de calado en materia de privacidad y derechos digitales después de concluir que la Consejería de Educación incumplió de forma reiterada el Reglamento General de Protección de Datos en la implantación y uso de la plataforma Google Workspace for Education en los centros educativos públicos andaluces.

La resolución, identificada como RPS-2024/074 y consultada por este periódico, pone fin a un procedimiento sancionador iniciado después de que el organismo adscrito a la Junta de Andalucía recibiera varias reclamaciones presentadas entre 2022 y 2023 por docentes y familias. Todas ellas denunciaban irregularidades en el convenio suscrito entre la Junta de Andalucía y Google Ireland Limited para la creación de cuentas del alumnado y el profesorado, así como por la falta de garantías suficientes en el tratamiento y la posible transferencia internacional de datos personales.

Según recoge el Consejo de Transparencia, la activación del servicio se realizó de forma generalizada y automática a partir de los datos alojados en el sistema corporativo Séneca, sin que se facilitara previamente a las personas afectadas la información exigida por la normativa ni se evaluaran adecuadamente los riesgos asociados al tratamiento. El Consejo de Transparencia subraya que esta práctica afectó a una población especialmente sensible, los menores de edad, además del profesorado y el personal de administración y servicios.

La resolución considera acreditadas infracciones de varios preceptos esenciales de la normativa europea, entre ellos los principios de licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; y responsabilidad proactiva. El Consejo de Transparencia aprecia igualmente deficiencias relevantes en el cumplimiento del deber de información, en la definición de la base jurídica del tratamiento y en la adopción de medidas de protección desde el diseño y por defecto.

Uno de los aspectos más críticos señalados por el órgano garante es la ausencia de una evaluación de impacto en protección de datos previa a la firma del convenio, pese a tratarse de un tratamiento masivo, sistemático y que implicaba a menores. La Consejería reconoció durante la instrucción del expediente que dicho análisis no se realizó antes de la puesta en marcha del servicio y que solo se encontraba en fase de elaboración con posterioridad a las reclamaciones.

El Consejo de Transparencia andaluz analiza también el riesgo de tratamiento de categorías especiales de datos personales -como información sobre salud, religión u orientación educativa- que, aunque formalmente prohibido en el convenio, podía producirse de facto a través del uso ordinario de las herramientas digitales por parte del profesorado. En este punto, la resolución concluye que la Administración no estableció protocolos claros ni mecanismos efectivos de control para evitar estos tratamientos indebidos.

Otro elemento central del expediente es la posible transferencia internacional de datos. El Consejo advierte de la falta de concreción sobre la ubicación de los servidores y los países destinatarios, así como de la utilización de cláusulas contractuales desactualizadas durante parte de la vigencia del convenio. Esta indefinición, señala el Consejo, impidió garantizar que los datos personales del alumnado andaluz se trataran conforme a los estándares exigidos por la normativa europea.

Como resultado de todo ello, el Consejo declara la comisión de varias infracciones administrativas y acuerda la imposición de medidas correctoras, entre ellas la obligación de adecuar el tratamiento a la normativa vigente, reforzar la información a las personas afectadas, completar la evaluación de impacto y revisar el contenido del convenio y sus anexos en materia de protección de datos.

El caso reabre el debate sobre la digitalización de la educación y el papel de las grandes plataformas tecnológicas en los servicios públicos, recordando que la innovación no puede avanzar al margen de los derechos fundamentales ni de las garantías legales, especialmente cuando están en juego los datos personales de menores de edad.