El Gobierno andaluz cedió datos de 738.502 alumnos menores a Google: análisis completo, implicaciones legales y lecciones para la administración pública

La reciente resolución del Consejo de Transparencia y Protección de Datos de Andalucía ha revelado una de las mayores vulneraciones de privacidad registradas en el ámbito educativo español. Durante cinco años, la Junta de Andalucía permitió la cesión de datos personales de 738.502 alumnos menores de edad, junto con información de 43.202 docentes y 2.676 centros educativos, a la multinacional Google en el marco del uso de la plataforma Google Workspace for Education.

El organismo autonómico ha concluido que esta transferencia se realizó sin las garantías exigidas por el RGPD, vulnerando la intimidad y los derechos fundamentales de los menores. Aunque la Junta ha recibido una amonestación y no una sanción económica, la gravedad del caso ha generado un intenso debate jurídico, político y social.

1. Qué ocurrió: una cesión masiva de datos sin garantías suficientes

La administración autonómica implantó Google Workspace for Education como herramienta digital para miles de centros educativos. Sin embargo, el convenio firmado con la compañía tecnológica implicó la transferencia de datos personales sin cumplir con los principios de licitud, transparencia y proporcionalidad exigidos por el RGPD.

Los datos cedidos incluían:

• Identificación del alumnado.
• Perfiles digitales completos.
• Información académica y de acceso.
• Datos de docentes y centros educativos.

El Consejo de Transparencia ha determinado que la Junta no garantizó adecuadamente la protección de estos datos, especialmente sensibles por tratarse de menores.

2. Qué datos se cedieron y por qué es especialmente grave

La resolución detalla que la cesión afectó a:

• 738.502 alumnos menores de edad.
• 43.202 docentes.
• 2.676 centros educativos.

El tratamiento de datos de menores exige garantías reforzadas, ya que se consideran un colectivo especialmente vulnerable. La administración, según el organismo autonómico, no realizó:

• Una evaluación de impacto previa.
• Un análisis de riesgos adecuado.
• Un contrato de encargado del tratamiento conforme al artículo 28 del RGPD.
• Una información clara y accesible a las familias.
• Un control efectivo sobre el uso de los datos por parte del proveedor tecnológico.

El resultado ha sido la imposición de seis amonestaciones, dos de ellas calificadas como muy graves.

3. Qué exige el RGPD en el ámbito educativo

El RGPD establece obligaciones estrictas cuando se tratan datos de menores, especialmente en entornos digitales. Entre ellas destacan:

3.1. Licitud del tratamiento

Debe existir una base jurídica clara y adecuada. En educación puede ser el interés público, pero siempre con garantías reforzadas.

3.2. Transparencia

Las familias deben ser informadas de forma clara sobre:

• Qué datos se tratan.
• Con qué finalidad.
• Qué proveedores intervienen.
• Dónde se almacenan los datos.
• Durante cuánto tiempo se conservan.

3.3. Minimización de datos

Solo pueden tratarse los datos estrictamente necesarios para la finalidad educativa.

3.4. Contratos con proveedores

Cualquier plataforma tecnológica debe actuar como encargado del tratamiento, con un contrato que cumpla el artículo 28 del RGPD.

3.5. Evaluación de impacto

Obligatoria cuando se tratan datos de menores a gran escala o se utilizan tecnologías que puedan afectar a sus derechos.

La Junta, según la resolución, no cumplió adecuadamente estos requisitos.

4. Responsabilidades políticas y administrativas

La resolución ha generado reacciones en múltiples ámbitos:

• Sindicatos educativos han denunciado una gestión negligente de los datos personales.
• Grupos parlamentarios han exigido explicaciones y responsabilidades políticas.
• Partidos de la oposición han reclamado transparencia y una revisión completa del convenio con Google.

Aunque no se ha impuesto sanción económica, la amonestación es contundente y sienta un precedente relevante para futuras implantaciones tecnológicas en la educación pública.

5. Qué deben aprender las administraciones públicas

Este caso evidencia la necesidad urgente de reforzar la cultura de protección de datos en el sector público. Las administraciones deben:

• Realizar evaluaciones de impacto antes de implantar plataformas digitales.
• Garantizar contratos adecuados con proveedores tecnológicos.
• Asegurar que los datos de menores se tratan con garantías reforzadas.
• Formar al personal docente y administrativo en protección de datos.
• Revisar periódicamente los sistemas y herramientas digitales utilizadas.
• Evitar la dependencia tecnológica sin supervisión jurídica adecuada.

6. Qué deben hacer ahora los centros educativos

Los centros deben revisar:

• Las herramientas digitales que utilizan.
• Los contratos con proveedores tecnológicos.
• Sus políticas de privacidad.
• Sus procedimientos internos de gestión de datos.
• La información que proporcionan a las familias.

Además, deben exigir a la administración autonómica instrucciones claras y garantías adicionales para evitar que situaciones similares vuelvan a producirse.

7. Cómo afecta esto a las familias

Las familias tienen derecho a:

• Saber qué datos se han cedido.
• Solicitar información a la administración.
• Reclamar ante el Consejo de Transparencia o la AEPD.
• Exigir medidas correctoras y garantías adicionales.

Este caso demuestra la importancia de que los padres conozcan las plataformas que utilizan sus hijos y los tratamientos asociados.

8. Un caso que marcará un antes y un después

La cesión de datos de más de 700.000 menores a Google sin garantías suficientes constituye una de las mayores vulneraciones de privacidad en el ámbito educativo español. La amonestación del Consejo de Transparencia no solo señala responsabilidades, sino que obliga a replantear la digitalización educativa desde una perspectiva de seguridad jurídica, ética y protección de la infancia.

Este caso será, sin duda, un punto de inflexión en la relación entre administraciones públicas y grandes plataformas tecnológicas.