El Ministerio de Educación, Formación Profesional y Deportes rechazó firmar un convenio con Google para utilizar sus herramientas educativas en los colegios de Ceuta y Melilla, territorios donde tiene las competencias, después de que la Agencia Española de Protección de Datos (AEPD) emitiera el 19 de febrero un informe negativo, según información adelantada por El Mundo y confirmada por Europa Press.
Por ello, el Ministerio, que remitió el informe de la AEPD a las comunidades autónomas para que lo valoraran y actuaran como considerasen, implantó en Ceuta y Melilla "otras herramientas que garantizan la privacidad de alumnos y profesores y el control de los datos de los usuarios".
El informe de la AEPD desaconsejaba la firma del convenio entre Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) y la entidad Google Cloud EMEA Limited (Google) para implantar en las aulas de Ceuta y Melilla el uso de Google Workspace for Education.
La AEPD explica que, cuando se crea una cuenta de Google Workspace for Education, la escuela proporciona a Google cierta información personal sobre sus estudiantes y educadores que incluye el nombre del usuario, la dirección de correo electrónico y la contraseña.
Las escuelas también pueden optar por compartir cosas como la dirección de correo electrónico secundaria, el número de teléfono y la dirección de un usuario. Y los usuarios, además, pueden agregar información a su cuenta, como un número de teléfono adicional y una foto de perfil.
La Agencia señala que, cuando solicita el consentimiento, los responsables del tratamiento "deben asegurarse de que utilizan un lenguaje claro y sencillo en todos los casos". El mensaje debe ser comprensible para un ciudadano medio y no únicamente para juristas, por lo que los responsables del tratamiento "no pueden utilizar políticas de privacidad muy extensas que sean difíciles de entender o declaraciones llenas de jerga jurídica".
En el caso de audiencias determinadas que incluyen interesados que son menores de edad, "se espera que el responsable del tratamiento se asegure de que el lenguaje sea comprensible para dicho grupo". "Si se pretende el uso del consentimiento para poder utilizar Google Workspace debería ofrecerse información teniendo en cuenta que muchas familias pueden no tener suficientes conocimientos sobre la implicación que tiene el tratamiento de datos de sus hijos (sobre todo el almacenamiento, conservación y difusión)", recoge el informe.
Google dice que los centros son los que poseen los datos
Google ha explicado a Europa Press que sus clientes --en este caso los centros educativos--, y no la compañía tecnológica, "son los que poseen y son responsables de los datos". "Esto significa que nuestros clientes son los principales responsables de decidir cómo se utilizan y comparten los datos de los clientes. Por lo tanto, son quienes controlan el uso de los contenidos y el acceso a los diferentes servicios", ha subrayado.
En este sentido, Google sostiene que no muestra "ningún anuncio" en los servicios de Google Workspace for Education; no utiliza "los datos de los clientes para crear perfiles orientados a la publicidad"; no supervisa ni rastrea "su comportamiento en los servicios; y no comparte los datos de los clientes con servicios de Google como YouTube, Búsqueda o Ads, "para fines comerciales propios".
"No combinamos su cuenta del centro educativo con su cuenta personal de Google, en caso de tener una. No usamos los datos de los clientes para entrenar modelos de inteligencia artificial. No vendemos los datos de los clientes a terceros ni los compartimos con agencias de marketing", ha apostillado.
"No controla ni está en posición de evaluar la información o el lenguaje utilizado por los centros"
Asimismo, ha detallado que dado que los administradores de los centros "pueden determinar qué servicios están disponibles y sus políticas", el uso que cada centro educativo haga de Google Workspace for Education será "diferente". "Creemos que los centros son los más indicados para personalizar la información que comparten con los padres basándose en el uso real que hacen de los servicios de Google", ha destacado, para después añadir que la compañía "no controla ni está en posición de evaluar la información o el lenguaje utilizado por los centros para informar sobre los servicios".
"Dicho esto, Google se ha propuesto ofrecer a los centros educativos la información que necesitan sobre nuestros servicios y nuestras prácticas de privacidad y seguridad, de forma que puedan mantener bien informados a los padres. Algunos ejemplos de dichos recursos son el Centro de Privacidad y Seguridad de Google for Education, la Guía de Implementación de Protección de Datos de Google Workspace for Education, las Preguntas Frecuentes sobre Privacidad y Seguridad de Google for Education o el Centro de Ayuda de Administrador de Google Workspace. También ponemos a disposición recursos para padres y tutores, como Guía para padres o tutores sobre privacidad y seguridad o el folleto 'Proteger la privacidad de tu hijo o hija en Google Workspace for Education'", ha especificado.
Google ha apuntado también que "posee y opera centros de datos en todo el mundo para mantener sus productos en funcionamiento las 24 horas del día, los 7 días de la semana", y ofrece los servicios de Workspace for Education desde estas ubicaciones. "El RGPD contempla varios mecanismos para facilitar la transferencia de datos personales fuera de la UE. Estos mecanismos tienen como objetivo confirmar que el nivel de protección es adecuado o garantizar que se aplican las medidas de seguridad apropiadas al transferir datos personales a terceros países", ha remarcado.
La privacidad, un compromiso para Google
"De conformidad con lo estipulado en nuestros contratos de tratamiento de datos, Google ofrece mecanismos que faciliten las transferencias internacionales de datos conforme a lo dispuesto en el RGPD, como el Marco de Privacidad de Datos UE-EE.UU. o las Cláusulas Contractuales Tipo de la UE, que se crearon específicamente por la Comisión Europea para permitir la transferencia de los datos personales desde Europa", ha asegurado la compañía.
Por otro lado, considera "clave" tener en cuenta que Google se somete periódicamente a varias auditorías de terceros independientes para verificar los controles de seguridad, privacidad y cumplimiento. "Nuestros servicios siguen requisitos de seguridad y privacidad que les permiten cumplir con rigurosos estándares, como el RGPD. Además, nos sometemos a auditorías regulares por parte de terceros", ha apuntado.
"Esto significa que una firma de auditoría independiente ha verificado que nuestras prácticas de privacidad y nuestros compromisos contractuales relativos a Google Workspace for Education cumplen los estrictos estándares en materia de privacidad y seguridad, incluyendo la ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 y el Esquema Nacional de Seguridad (ENS), desarrollado por la Entidad Nacional de Acreditación (ENAC) en estrecha colaboración con el Ministerio de Hacienda y Administraciones Públicas y el Centro Criptológico Nacional (CCN), donde Google Workspace reunió los requisitos necesarios para cumplir con el nivel 'Alto' del ENS", ha zanjado.