El uso de herramientas tecnológicas en el ámbito educativo es ya habitual en colegios e institutos, pero desde hace unos meses también forma parte del debate sobre los posibles efectos negativos que tiene el uso de la tecnología entre los menores. La digitalización en la educación, como en tantas otras áreas, genera grandes ventajas y oportunidades. Pero al mismo tiempo, desgraciadamente, abre la puerta a posibles abusos de los grandes gigantes de internet, que fundamentan su negocio en el uso de datos, en este caso de una población vulnerable como son los menores de edad.
Algunos grupos de padres están siendo especialmente activos en la denuncia de posibles abusos, como el colectivo Adolescencia Libre de Móviles. Pero no se trata simplemente de una cuestión de activismo social. La Agencia Española de Protección de Datos (AEPD), el organismo oficial encargado de velar por la privacidad y la proyección de los datos de los ciudadanos, ha emitido recomendaciones muy claras sobre, en concreto, Google Workspace for Education, una de las plataformas tecnológicas para la educación más generalizadas.
En febrero de 2024, el Gabinete Jurídico de la AEPD respondió a una consulta planteada por el Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) sobre la implementación en las aulas de Google Workspace for Education.
La conclusión a la que llegó la AEPD fue categórica. El uso de esta plataforma no es recomendable, por, entre otras, estas razones:
Los términos de contratación no son claros. Google Workspace for Education define algunos de sus servicios como principales y otros adicionales, como por ejemplo, las búsquedas en Google, el uso de Google Maps o YouTube. Pero una herramienta educativa basada en el ecosistema de Google donde no se pudiera hacer uso, por ejemplo, de las búsquedas de Google no tendría mucho sentido.
Datos demasiado compartidos. La AEPD resalta que, según la política de privacidad, Google podría compartir nombres de usuario, direcciones de correo electrónico y contraseñas; direcciones de correo electrónico secundarias; número de teléfono, fotos de perfil y cualquier información que el usuario añada a su cuenta e información sobre cookies, donde se almacenan ajustes como el idioma de uso. Cabe destacar que estos datos se compartirían con el administrador del servicio, y también con afiliados y otros proveedores externos de Google, así como en cualquier país en el que Google o sus sub-encargados del tratamiento tengan instalaciones.
Opacidad con el tratamiento de los datos. La AEPD insiste en la poca claridad con la que se trata la finalidad del tratamiento de datos personales en las condiciones de contratación, y en que hay finalidades que no sirven al propósito del “responsable” del tratamiento (el centro educativo), sino únicamente al “encargado” (Google). Además, están definidas en términos ambiguos e inconcretos (mejorar servicios, dar apoyo, etc.).
Consentimiento y responsabilidad. La plataforma hace recaer sobre el usuario la obligación de que, a la hora de implementar Google Workspace for Education, se haya otorgado el consentimiento tanto del cliente (que sería el Centro Educativo) como de los usuarios (que sería cualquier miembro de la comunidad educativa que fuera destinatario de la solución tecnológica, como el administrador, así como el profesorado y el alumnado).
Y, como señala la AEPD, ese consentimiento no sería “libre e informado”. Si un alumno o alumna no aceptase dichos términos quedaría en condición de desigualdad al no poder hacer uso del servicio, por lo que no se puede hablar de libertad en el consentimiento.
Del mismo modo, las familias podrían no tener suficiente información para valorar la implicación de dicho consentimiento. En ocasiones, incluso, se verían comprometidos los datos de los demás miembros de la familia que utilicen dispositivos y la misma conexión que el menor usuario de una cuenta de Google Workspace.
Modificaciones unilaterales y poco justificadas. La AEPD informa de que, según los Términos del Servicio, Google podría hacer cambios “comercialmente razonables cuando lo estime oportuno”, por lo que se deduce que, unilateralmente, podría modificar elementos que tienen incidencia en el tratamiento de datos personales.
Además, Google establece que, en caso de contratar un nuevo subencargado de los datos durante la vigencia del contrato, avisaría a los usuarios con un margen de 30 días antes de que empiece a prestar servicios. Los usuarios, por su parte, dispondrían de 90 días para rescindir el contrato ante esta nueva circunstancia. Esto supone que podría darse el caso en que la rescisión se produjera cuando ese subencargado ya dispone de la información personal de los usuarios.
Cabe destacar que la rescisión del contrato por parte del Centro Educativo no supone una posibilidad real de negativa, sino una alternativa forzada por Google.
Normativa no europea. En la Adenda sobre tratamiento de datos, Google establece que una Regulación de Protección de Datos No Europea también puede aplicarse al tratamiento de los Datos personales de los Clientes, y que esta Adenda prevalecería independientemente de si la Regulación Europea de Protección de Datos […] se aplica al tratamiento de los Datos personales de los Clientes.
La AEPD señala que esto no debería ser posible, en tanto que la Reglamentación de la UE sobre protección de datos es de obligado cumplimiento.
Comunicación de incidencias. La AEPD destaca que, en sus términos, no existe un compromiso por parte de Google de notificar al responsable del tratamiento el incidente en menos de 72 horas, como establece la normativa de la UE para violaciones de seguridad.
La conclusión del dictamen de la AEPD es que lograr competencias digitales forma parte del derecho fundamental a la educación recogido en la Constitución, pero la necesidad de contratar servicios que se presentan como adicionales para alcanzar ese objetivo amenaza la privacidad de los menores. La AEPD destaca que la recogida invasiva de información personal, la posibilidad de usarla para elaborar perfiles y el hecho de que esta información pueda transferirse a terceros son un riesgo innecesario. Se trataría de una recogida masiva de datos, que implica un gran número de afectados, muchos de ellos menores de edad.