El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la adecuación del Acuerdo-Convenio entre el Instituto Nacional de Tecnologías Innovativas y Formación al Profesorado (INTEF) y Google Cloud EMEA Limited para la implementación de Google Workspace en las aulas de las Ciudades Autónomas de Ceuta y Melilla. El informe se centra en varios aspectos clave relacionados con la protección de datos personales y la normativa vigente.
### Aspectos Analizados
1. **Régimen Jurídico Aplicable**:
– El convenio y sus anexos (Términos del Servicio y Adenda de Protección de Datos) establecen reglas de prelación en caso de conflicto y permiten modificaciones unilaterales por parte de Google, lo cual podría ser contrario al artículo 1256 del Código Civil.
– Se asume la aplicación de regulación no europea, lo cual es problemático dado que el RGPD es de obligado cumplimiento.
2. **Objeto del Convenio**:
– Google Workspace es un paquete de herramientas diseñado para la innovación y el aprendizaje digital.
– Existen servicios principales y adicionales, pero la documentación no define claramente estos servicios, lo que dificulta la interpretación y el cumplimiento de las obligaciones de protección de datos.
3. **Datos Personales**:
– La documentación contractual no especifica claramente qué datos personales se tratarán, lo cual es esencial para que el responsable del tratamiento pueda cumplir con el principio de responsabilidad proactiva y transparencia.
– Se recogen datos como nombres, correos electrónicos, contraseñas, direcciones, números de teléfono, y actividades en la plataforma, lo cual implica una recogida invasiva de información personal.
4. **Finalidad del Tratamiento**:
– La finalidad del tratamiento no está claramente definida en la documentación contractual, lo cual es crucial para determinar la base jurídica de legitimación del tratamiento.
– Existen finalidades que sirven a intereses propios de Google, lo cual convierte a Google en responsable del tratamiento en lugar de encargado.
5. **Consentimiento**:
– El consentimiento debe ser libre, específico, informado y explícito, pero en este caso, los alumnos y padres podrían sentirse obligados a consentir debido a la necesidad de usar la plataforma para la educación.
– La información proporcionada no es suficiente para que los titulares de los datos puedan tomar una decisión informada.
6. **Proporcionalidad**:
– La implementación de Google Workspace no supera el juicio de proporcionalidad debido a la existencia de alternativas como el Sistema Educativo Digital (SED).
– Los riesgos asociados al tratamiento de datos personales de menores de edad son significativos, incluyendo la posibilidad de discriminación, daño a la reputación y pérdida de confidencialidad.
### Conclusión
El informe concluye que la firma del Convenio y sus anexos no es adecuada debido a las múltiples deficiencias en la protección de datos personales y el incumplimiento de los principios del RGPD. Se recomienda no firmar el convenio en su forma actual y revisar las condiciones para asegurar el cumplimiento de la normativa de protección de datos.