Como explicábamos en el post anterior, son muchas las consultas que nos están llegando de los centros educativos que utilizan o pretenden utilizar la plataforma de G Suite, en gran parte, derivadas de informaciones que están apareciendo en diferentes medios de comunicación y que es necesario aclarar.

Continuamos, por tanto, resolviendo las dudas y consultas de forma objetiva y analítica y en formato FAQs para una mejor comprensión de los lectores.

Retomamos la pregunta que dejamos en el aire en el post anterior sobre si es necesario que la familias firmen un documento de consentimiento de uso de las herramientas de G Suite for Education.

Y para responder adecuadamente a la pregunta, subdividimos en cuantas cuestiones sean necesarias.

¿Debe el centro educativo obtener el consentimiento de las familias para tratar los datos personales de los alumnos?

Abordando el fondo del asunto, y resolviendo implícitamente otra pregunta recurrente tras la aplicación del RGPD y la LOPDGDD, la edad para poder otorgar el consentimiento en la utilización de los datos personales en los casos en que el tratamiento de los datos esté legitimado por dicho consentimiento, es 14 años. Para menores de esa edad el otorgamiento lo deberán dar sus padres o tutores según el art. 7 de la LOPDGDD. 

Otra confusión que observamos con frecuencia desde la aparición de la LOPD, es determinar la legitimación de cualquier centro educativo para el tratamiento de los datos personales de los alumnos, es decir, cuándo y en qué circunstancias puede el centro usar esos datos y si siempre necesita el consentimiento de las familias.

Porque, además del consentimiento, existen otras bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular:

  • Cuando una norma con rango de Ley autorice el tratamiento o incluso obligue al responsable a llevarlo a cabo. 
  • Para el desarrollo y ejecución de una relación jurídica, es decir, para el cumplimiento del contrato o pacto de docencia.
  • Y para la satisfacción de un interés legítimo del responsable (el colegio) siempre que dicho interés no prevalezca sobre los derechos y libertades de los afectados, en particular cuando éstos sean niños.

Pues bien, los centros docentes están legitimados por la Ley Orgánica de Educación de 2006 (LOE) para el tratamiento de los datos en el ejercicio de la función educativa sin que, para esta finalidad, sea necesario el consentimiento de padres, madres tutores legales o el propio interesado.

Sin olvidarnos de los otros dos supuestos (contrato e interés legítimo), resulta que el consentimiento sólo se requiere para los tratamientos realizados fuera del ejercicio de la labor educativa. 

Aquí es, por tanto, donde deberemos centrar todo nuestro interés para dar respuesta a la pregunta objeto del post.

¿Es necesario que las familias firmen un documento de consentimiento de uso de las herramientas de G Suite for Education?

No, no es necesario.

Aclaración previa muy importante. Hablamos exclusivamente de la plataforma G Suite, no del resto de servicios y aplicaciones ofrecidos por Google, que pueden ser utilizados o no por los centros educativos y que abordaré más adelante. 

Nadie pone en duda que los tratamientos de datos que multinacionales bancarias españolas realizan con tecnologías Google sean legales, seguros y que, por supuesto, esa información es confidencial. Por lo que vemos, esas dudas sólo surgen cuando esa misma tecnología es traspasada a su uso en el sector educativo.

Debemos afirmar que esta suposición es falsa tanto desde el punto de vista legal como técnico.

Todos y cada uno de los centros educativos públicos, privados y concertados de España utilizan sí o sí una plataforma educativa que almacena y trata datos personales de menores.

Todos.

Incluso los que no tienen equipos informáticos. Una estantería con expedientes académicos en carpetas lo es. Y también debe cumplir con la ley.

El almacenamiento y tratamiento de datos personales en plataformas de gestión educativa no requiere, NUNCA, el consentimiento de las familias. Alexia, Clickedu, Educamos, Raíces, Séneca y un largo etcétera. Da igual que sean de titularidad pública o privada: Linux, MSTF, iOS o G Suite.  

Todas ellas son plataformas de procesamiento de datos donde el responsable único y último de los mismos es el Centro o Administración educativa. La plataforma siempre actúa por cuenta y bajo el mandato del centro a través del correspondiente contrato de encargado de tratamiento.

Pero entonces, ¿QUÉ ES G SUITE?

Pues otra plataforma educativa más, así de sencillo.

 

Por eso se contrata a través de un acuerdo de encargado de tratamiento 

https://cloud.google.com/terms/data-processing-terms?hl=es

Y por eso tanto el G29 de la Comisión Europea como la AEPD así lo han certificado

https://drive.google.com/file/d/0B6i3gxFzl2t5OHBjck0yd1BnRnc/view

Y finalizando con la secuencia lógica, será por tanto el centro escolar el que, amparado en este caso por una Ley Orgánica, deberá tomar la decisión sobre qué plataforma va a utilizar de acuerdo con su proyecto educativo, eso sí, informando adecuadamente a las familias. Otra materia objeto de nuevo post, sería analizar si los centros disponen de los conocimientos y capacidades adecuadas para la toma de decisiones desde el punto de vista de la seguridad y la protección de datos, no ya por las plataformas supervisadas por las autoridades competentes, sino por el resto de servicios y aplicaciones que pueden ser utilizadas en la práctica docente. Conocimientos y capacidades que, por otro lado, requieren de unos medios y recursos adecuados.

¿Es necesario que las familias firmen un documento de consentimiento de uso de las herramientas de Google que no estén incluídas en G Suite for Education?

Sí, es necesario.

Ya no hablamos de plataforma educativa, ni de contrato de encargado de tratamiento ni procesamiento sin trazabilidad, etc. Incluso para su uso con finalidad educativa ya no estaríamos amparados por la LOE + RGPD y debemos obtener el consentimiento informado.

Pero ojo, esto no es sólo aplicable a los servicios que no son de G Suite de Google, sino a todas aquellas aplicaciones de otros operadores que traten datos de los alumnos y, por supuesto, a todos aquellos equipos y soportes donde se almacenen los mismos y en donde también debe aplicarse la ley y el reglamento de forma íntegra. Cuando la ley determina la necesidad de establecer sólidos sistemas de seguridad e integridad de la información, acuerdos SLA y auditorías y normas ISO referidas al esquema nacional de seguridad, no distingue entre sistemas operativos y proveedores de servicios. La norma es igual para todos con independencia de su tamaño y de tecnología a su alcance.

Para terminar este post, nos gustaría realizar una pequeña reflexión paralela sobre el trato que en ocasiones se da al conocimiento que los profesionales de la educación tenemos en el campo de la seguridad y la protección de menores en la Red. A pesar de la conocida falta de medios y de formación, no conocemos ni un solo profesional de este sector que no esté comprometido con la mejora de la convivencia, la seguridad y la protección social de sus alumnos. Y eso incluye la Red. 

Para que un niño navegue seguro y desarrolle su identidad como ciudadano digital, debe actuar desde el conocimiento, de lo contrario navegará por instinto o intuición. Y eso es muy peligroso.

Construyamos conocimiento en Red.

 

El equipo de ieducando,

SUSCRÍBETE AHORA A NUESTRA NEWSLETTER