Educació reconeix fallades en matèria de protecció de les dades dels alumnes que utilitzen Chromebooks en els col·legis

Quin tractament es dona a les dades dels alumnes que utilitzen l’aplicació Chromebooks a les aules? Aquesta és la pregunta que va dirigir un pare valencià al centre escolar del seu fill i de la qual encara no ha obtingut una resposta clara, motiu pel qual va traslladar una reclamació davant l’Agència Espanyola de Protecció de Dades (AEPD).

En concret, segons la resolució a què ha tingut accés elDiario.es, el reclamant exposa que el 16 d’abril de l’any passat va sol·licitar a l’entitat educativa reclamada “l’accés a les dades personals del seu fill que foren objecte de tractament en relació amb l’ús de Google Chromebooks, incloent-hi tot tractament de dades personals a través de programari preinstal·lat en aquest dispositiu, així com comptes en línia que s’utilitzen en el context escolar (Google Education, etc.)”.

Sis dies després va rebre una contestació en què el col·legi es limita a afirmar que els seus comptes “no vulneren la Llei de protecció de dades, ja que no contenen cap mena d’informació sobre l’alumnat ni sobre les famílies de l’alumnat”, una resposta que no s’ajusta al que preguntava el pare de l’alumne, ja que la seua petició no es referia només al compte del menor, donat d’alta per a l’ús de Chromebook, sinó “a totes les dades personals del menor tractades a partir de l’ús del dispositiu electrònic esmentat, cosa que va posar de manifest al centre, amb vista a obtindre una contestació més detallada, sense haver obtingut cap altra contestació”, motiu pel qual planteja la reclamació davant l’AEPD.

L’organisme va donar trasllat a la Conselleria d’Educació, que va respondre parcialment i va reconéixer fallades en el compliment de la normativa sobre protecció de dades i seguretat: “En aquest cas, aquesta subsecretària és del parer que, encara que no consta que s’hagen tractat dades especialment sensibles de l’alumnat ni es coneixen conseqüències negatives per al menor i la seua família d’una possible mala praxi, sí que s’han incomplit de manera palmària la normativa d’àmbit autonòmic i les instruccions de compliment obligat en matèria de seguretat de la informació i protecció de dades, fent inútils en gran manera els esforços de la Generalitat per a reforçar la innovació tecnològica en matèria educativa, ja que únicament es permet des de la Conselleria la utilització de serveis i aplicacions desenvolupades per aquesta o d’aquelles externes que s’han considerat útils i adequades des del punt de vista educatiu i que s’han verificat des de l’àmbit de seguretat de la informació i de protecció de dades, amb la subscripció dels encàrrecs de tractament corresponents”, diu la resposta.

Així mateix, afigen des d’Educació que “la utilització d’equips no subministrats per la Conselleria, amb l’agreujant que la seua adquisició ha hagut de ser costejada per les famílies de l’alumnat, comporta un risc addicional per a la seguretat de les dades, a més d’un incompliment de la prohibició de connectar a les xarxes de la Generalitat dispositius externs sense que mitjance una autorització prèvia”.

En tercer lloc, consideren que s’escau adoptar “les mesures generals necessàries en l’àmbit formatiu del personal i en el d’informació als centres que puguen estimar-se convenients i adequades per a evitar que en el futur es tornen a produir actuacions similars per part de centres educatius de titularitat de la Generalitat Valenciana” i que resultaria necessària, “de manera específica, la impartició de formació especialitzada en matèria de protecció de dades i seguretat de la informació al personal” del centre escolar reclamat, “qüestió que hauria de ser estudiada i acordada, sense més dilació, per part de la Secretaria Autonòmica d’Educació”.

De tot això, l’AEPD conclou que no es pot donar com a vàlida la resposta donada pel col·legi al pare de l’alumne en el sentit que els seus comptes “no vulneren la Llei de protecció de dades, ja que no contenen cap mena d’informació sobre l’alumnat ni sobre les famílies de l’alumnat” i recorda que la Conselleria d’Educació “com a encarregada del tractament està obligada a facilitar a la part reclamant les dades personals del seu fill que són objecte de tractament en relació amb l’ús del Chromebook, així com dels comptes en línia que s’utilitzen en el context escolar, i totes les dades personals del menor tractades a partir de l’ús del dispositiu esmentat, etc.”.

Per aquest motiu, l’AEPD estima la reclamació formulada pel pare de l’estudiant “en considerar que s’ha infringit el que es disposa en l’Article 15 del Reglament General de Protecció de Dades” i insta la Conselleria d’Educació “perquè, en el termini dels deu dies hàbils següents a la notificació d’aquesta resolució, remeta a la part reclamant certificació en què s’atenga el dret sol·licitat o es denegue motivadament indicant les causes per les quals no s’escau atendre la petició, de conformitat amb el que s’estableix en el cos d’aquesta resolució”

Sobre això, fonts de la Conselleria que dirigeix José Antonio Rovira han informat a preguntes d’elDiario.es que ha enviat a l’Agència Espanyola de Protecció de Dades “les al·legacions corresponents”, de les quals s’extrau que “el centre educatiu va actuar per iniciativa pròpia i va contractar el servei Google Workspace for Education sense autorització de Conselleria”.