¿Qué tratamiento se da a los datos de los alumnos que utilizan la aplicación Chromebooks en las aulas? Esta es la pregunta que dirigió un padre valenciano al centro escolar de su hijo y de la que aún no ha obtenido una respuesta clara, motivo por el que trasladó una reclamación ante la Agencia Española de Protección de Datos (AEPD).
En concreto, según la resolución a la que ha tenido acceso elDiario.es, el reclamante expone que el 16 de abril del pasado año solicitó a la entidad educativa reclamada “el acceso a los datos personales de su hijo que fueran objeto de tratamiento en relación con el uso de Google Chromebooks, incluyendo todo tratamiento de datos personales a través de software preinstalado en este dispositivo, así como cuentas en línea que se utilizan en el contexto escolar (Google Education etc.)”.
Seis días después recibió una contestación en la que el colegio se limita a afirmar que sus cuentas “no vulneran la Ley de Protección de datos, ya que no contienen ningún tipo de información sobre el alumnado ni sobre las familias del alumnado”, una respuesta que no se ajusta a lo que preguntaba el padre, puesto que su petición no se refería solo a la cuenta del menor, dada de alta para el uso de Chromebook, sino “a todos los datos personales del menor tratados a partir del uso del citado dispositivo electrónico, lo que puso de manifiesto al centro, en aras de obtener una contestación más detallada, sin haber obtenido nueva contestación”, motivo por el que plantea la reclamación ante la AEPD.
El organismo dio traslado a la Conselleria de Educación, que respondió parcialmente y reconoció fallos en el cumplimiento de la normativa sobre protección de datos y seguridad: “En el presente caso, esta subsecretaria es del parecer que, aunque no consta que se hayan tratado datos especialmente sensibles del alumnado ni se conocen consecuencias negativas para el menor y su familia de una posible mala praxis, sí que se han incumplido de forma palmaria la normativa de ámbito autonómico y las instrucciones de obligado cumplimiento en materia de seguridad de la información y protección de datos, haciendo inútiles en gran medida los esfuerzos de la Generalitat para reforzar la innovación tecnológica en materia educativa, ya que únicamente se permite desde la Conselleria la utilización de servicios y aplicaciones desarrolladas por la misma o de aquellas externas que se han considerado útiles y adecuadas desde el punto de vista educativo y que han sido verificadas desde el ámbito de seguridad de la información y de protección de datos, con la suscripción de los correspondientes encargos de tratamiento”, dice la respuesta.
Asimismo, añaden desde Educación que “la utilización de equipos no suministrados por la Conselleria, con la agravante de que su adquisición ha tenido que ser costeada por las familias del alumnado, conlleva un riesgo adicional para la seguridad de los datos, además de un incumplimiento de la prohibición de conectar a las redes de la Generalitat dispositivos externos sin que medie una previa autorización”.
En tercer lugar, consideran que procede adoptar “aquellas medidas generales necesarias en el ámbito formativo del personal y en el de información a los centros que puedan estimarse convenientes y adecuadas para evitar que en el futuro se vuelvan a producir actuaciones similares por parte de centros educativos titularidad de la Generalitat Valenciana” y que resultaría necesaria, “de forma específica, la impartición de formación especializada en materia de protección de datos y seguridad de la información al personal” del centro escolar reclamado, “cuestión que debería ser estudiada y acordada, sin mayor dilación, por parte de la Secretaría Autonómica de Educación”.
De todo esto, la AEPD concluye que no se puede dar como válida la respuesta dada por el colegio al padre del alumno en el sentido de que sus cuentas “no vulneran la Ley de Protección de datos, ya que no contienen ningún tipo de información sobre el alumnado ni sobre las familias del alumnado” y recuerda que la Conselleria de Educación “como encargada del tratamiento está obligada a facilitar a la parte reclamante los datos personales de su hijo que son objeto de tratamiento en relación con el uso del Chromebook, así como sobre las cuentas en línea que se utilizan en el contexto escolar, y todos los datos personales del menor tratados a partir del uso del citado dispositivo, etc”.
Por este motivo, la AEPD estima la reclamación formulada por el padre del estudiante “al considerar que se ha infringido lo dispuesto en el Artículo 15 del Reglamento General de Protección de Datos” e insta a la Conselleria de Educación “para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución”.
Al respecto, fuentes de la Conselleria que dirige José Antonio Rovira han informado a preguntas de elDiario.es que han enviado a la Agencia Española de Protección de Datos “las alegaciones correspondientes” de las que se extrae que “el centro educativo actuó por iniciativa propia y procedió a la contratación del servicio Google Workspace for Education sin autorización de Conselleria”.