Photo by Etienne Girardet on Unsplash

La Autoridad de Protección de Datos danesa pone freno a Google Workspace.

Los líderes escolares daneses han pedido al gobierno danés que elabore un plan nacional de Google tras la prohibición de los Chromebooks en el municipio de Helsingør.

Así empieza la noticia que leíamos esta mañana en el periódico nacional danés. O, más bien, fue Steen quien la leyó y acto seguido me la contó porque sabe mi preocupación del uso de la tecnología de gigantes tecnológicos en los colegios, y la consiguiente recopilación de datos de nuestros menores sin saber sus consecuencias.

¿Cómo empieza todo?

En septiembre de 2021, la Autoridad Danesa de Protección de Datos Datatilsynet, emitió un requerimiento al Ayuntamiento de Helsingør para que las operaciones de tratamiento de los datos de los alumnos con Chromebooks se ajusten al RGPD de conformidad con el artículo 58, apartado 2, letra d), del RGPD. su primera decisión sobre una denuncia por violación de la seguridad de los datos personales en relación con el uso de Google Workspace en las escuelas primarias del municipio de Helsingør.

Además de las medidas correctoras, la Datatilsynet critica duramente que el tratamiento de datos personales por parte del Ayuntamiento de Helsingøre no se haya ajustado al Reglamento de Protección de Datos. Concretamente se refiere a los siguientes artículos:

a. Artículo 5.1 c) y f), y Artículo 5.2 RGPD relativos al tratamiento de los datos personales de los alumnos.

Es decir, infracción del Principio de Minimización de Datos, Principio de Integridad y Confidencialidad, y Principio de Responsabilidad Proactiva.

b. Artículo 5.1 a) en relación con el artículo 6.1 RGPD.

O lo que es lo mismo, Principios de Licitud, Lealtad y Transparencia y, en referencia al Principio de Licitud del Tratamiento, que son otra cosa que las bases legítimas necesarias para permitir al encargado del tratamiento tratar dichos datos personales.

c. Artículos 32.1, 33.1 y 35.1 RGPD.

Artículo 32.1 RGPD que hace referencia a las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, o lo que es lo mismo las medidas de seguridad del tratamiento de los datos para preservar los derechos y libertades de las personas.

Artículo 33.1 RGPD, que hace referencia a la notificación de una violación de la seguridad de los datos personales a la autoridad de control.

Y el Artículo 35.1 RGPD, que hace referencia a la Evaluación de impacto relativa a la protección de datos.

La Agencia de Protección de Datos danesa criticó al ayuntamiento por haber utilizado el programa informático sin haber realizado previamente una serie de análisis de riesgos para aclarar si los datos personales de los alumnos podían ser utilizados de forma indebida.

Cuando finalmente el ayuntamiento lo investigó, descubrió que había algunos riesgos, pero siguió utilizándolos de todos modos.

La crítica de la Datatilsynet se extendió también a que los centros escolares del municipio no desconectasen los denominados servicios adicionales, como son Youtube, Maps, Search, entre otros, que hacían que los alumnos crearan automáticamente cuentas en YouTube, por ejemplo, con su nombre completo, su colegio y su clase. También hubo casos en los que se mostraron los nombres completos de alumnos con datos protegidos.

Hubo quejas de los padres, algunos de los Chromebooks proporcionados también tenían los datos de acceso de los alumnos, por lo que no había ninguna seguridad contra el acceso no autorizado a las cuentas de los alumnos.

En julio de 2022, la Autoridad de Protección de Datos danesa emitió una decisión de seguimiento, criticando de nuevo duramente el tratamiento de datos personales por parte del Ayuntamiento de Helsingør.

La Autoridad de Protección de Datos también subrayó que el Ayuntamiento de Helsingør está obligado a garantizar que los datos personales de los alumnos no se transfieran a Estados Unidos (Ups! ¿seguirá el mismo camino que Google Analytics?).

Además, la Autoridad de Protección de Datos emitió una prohibición general del uso de Google Workspace en los colegios, un total de 8.000 dispositivos, hasta que el Ayuntamiento de Helsingør pueda demostrar que el uso cumple con todas las normas de protección de datos en este ámbito.

Fuente: Autoridad de Protección de Datos

La Datatilsynet, señaló que la prohibición sólo afectaba al municipio de Helsingør. Pero el supervisor animó a otros municipios con «circunstancias similares» a revisar si había riesgos asociados a la entrega de los datos de sus alumnos a Google.

¿Qué es lo que se está exigiendo aquí y qué ha derivado esta prohibición? La Asociación de Directores de Colegios y la Asociación de Autoridades Locales exigen que la Asociación Nacional de Municipios (kommunernes landsorganisation) y el gobierno ayuden a presionar a Google para conseguir un acuerdo nacional, de modo que no sea el municipio, de manera individual, el que tenga que llegar a acuerdos y negociar con Google.

O dicho de otra manera, que haya un acuerdo nacional y que los límites de ese acuerdo sean los mismos para todo el país y que respete el RGPD porque, entre otras cosas, las escuelas no están lo suficientemente preparadas para concluir acuerdos técnicos con grandes proveedores como Google por falta del conocimiento técnico adecuado.

Para (no) sorpresa de todo, la Ministra de Educación, y otros tres Ministerios más implicados en los acuerdos, no se han pronunciado aún, y es que, este hecho es ianudito porque es una exigencia, incluso presión, proveniente de las escuelas, por lo que está colocado entre la espada y la pared, no sólo a los Ministerios, sino al gobierno danés que, como el resto de países europeos han firmado acuerdos con Google sin contemplar las consecuencias de sus propios ciudadanos.

De hecho, la Asociación Nacional de Municipios (kommunernes landsorganisation), ha creado un grupo de trabajo para estudiar cómo resolver el problema y elaborar unas directrices, pues los acuerdos tienen contenidos y especificaciones técnicas difíciles de entender por parte de las escuelas.

Como muchos de ustedes saben para mí este es un tema muy importante en el que he estado, y sigo estando, involucrada de manera personal. Fue en la Comunidad Valenciana, y gracias a muchas personas que ahí trabajan, o trabajaban, que descubrí la tecnología Open Source y la protección de los datos de los alumnos, junto a su dignidad, autonomía y libertad que al final resultó ser el mayor bluff de la historia provocado por intereses personales.

Pero las cosas cambian, y las personas se dan cuenta de cómo funciona la maquinaria de captación masiva de datos y, en este caso, los padres se están dando cuenta de cómo funciona la captación masiva de los datos de sus hijos, pero no saben sus consecuencias porque son sistemas opacos y empiezan a reaccionar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *