Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Transparencia sanciona al Gobierno andaluz por ceder a Microsoft los datos de medio millón de alumnos menores

La consejera de Desarrollo Educativo y Formación Profesional en funciones, María del Carmen Castillo, de visita en un instituto de Granada

Sara Rojas

7 de julio de 2026 19:30 h

0

El Gobierno de Juan Manuel Moreno ha vulnerado durante los últimos seis años la normativa de protección de datos al facilitar información personal de más de 525.000 alumnos —la mayoría menores de edad— y alrededor de 74.000 docentes al gigante tecnológico Microsoft, en el marco del convenio suscrito con la Junta en 2020 para el uso de herramientas digitales en el sistema educativo público andaluz.

Así lo concluye el expediente sancionador del Consejo de Transparencia y Protección de Datos de Andalucía, adelantado por El País y consultado por este periódico, en el que se atribuyen a la Consejería de Desarrollo Educativo y Formación Profesional seis infracciones de la normativa: dos muy graves, tres graves y una leve.

El organismo de control ha dado de plazo hasta el 31 de julio para que la Junta implante un plan de acción que subsane las deficiencias detectadas en el convenio y reduzca el “elevado riesgo” que, a su juicio, supone el tratamiento de datos personales de alumnado y profesorado mediante los servicios en la nube de Microsoft, entre ellos Outlook, Word, Excel, PowerPoint, OneDrive o Teams.

Fuentes de la Consejería sostienen que “en ningún momento ha habido una brecha de datos, ni se ha vulnerado la privacidad o el derecho a la intimidad de los estudiantes ni del profesorado andaluz” y garantizan que “no ha existido vulneración de la protección de los datos de los miembros de la comunidad educativa de Andalucía”.

Un nuevo expediente tras el caso Google

La resolución se conoce apenas dos años después de que el mismo organismo apercibiera a la Junta por un convenio similar suscrito con Google. En aquel caso, la administración andaluza también fue sancionada por vulnerar la normativa de protección de datos en el tratamiento de la información de 738.502 alumnos, 43.202 docentes y 2.676 centros educativos públicos.

Igual que en el convenio de Microsoft, el Consejo de Transparencia también identificó varias infracciones graves y muy graves relacionadas con el uso de Google Workspace for Education (antes G Suite), entre ellas no informar adecuadamente al alumnado, a sus familias y al profesorado sobre el tratamiento de sus datos personales.

Entonces, el Consejo ordenó igualmente la implantación de un plan de acción y de medidas correctoras antes del 31 de julio de 2025. Tras analizar la documentación remitida por la Consejería para acreditar su cumplimiento, el organismo elaboró en 2026 tres informes de seguimiento en los que da por cumplidas algunas de las exigencias, mientras que otras deberán seguir siendo objeto de supervisión al considerar que la administración educativa aún debe introducir “ajustes” en la Evaluación de Impacto en Protección de Datos (EIPD) y mejorar la “coherencia documental” para alcanzar “el nivel de rigor exigido” por la normativa, según el expediente al que ha tenido acceso este periódico.

Sin consentimiento previo

El origen del procedimiento se remonta a la denuncia presentada por un docente, que alertó de varias irregularidades en el convenio firmado en noviembre de 2020 entre Microsoft y la entonces denominada Consejería de Educación y Deporte, dirigida por el ya fallecido Javier Imbroda.

Según expuso el denunciante, el alta del alumnado y del profesorado en la plataforma se realizaba de forma automática a partir de los usuarios del sistema Séneca, sin solicitar previamente el consentimiento de los interesados o, en el caso de menores de 14 años, de sus representantes legales. De este modo, la administración facilitaba a Microsoft datos como las credenciales IdEA (Identificador Educativo Andaluz), nombre y apellidos, rol de alumno o docente y el código del centro educativo, “sin consentimiento previo”.

El denunciante también advertía de que, en el caso del profesorado, esas credenciales estaban vinculadas al acceso a sistemas con abundante información laboral y administrativa e incluso a datos especialmente protegidos relacionados con el alumnado, lo que, a su juicio, entrañaba “un riesgo muy elevado” dadas las capacidades tecnológicas de la multinacional estadounidense.

El Consejo admitió a trámite la reclamación en diciembre de 2023 y un año después inició el procedimiento sancionador contra la Dirección General de Innovación y Formación del Profesorado de la Consejería de Desarrollo Educativo, tras acreditar la comisión de varias infracciones.

Seis incumplimientos acreditados

La resolución considera acreditadas seis infracciones de la normativa europea de protección de datos. Entre las más graves figura “la omisión del deber de informar adecuadamente” al alumnado, a sus familias y al profesorado sobre el tratamiento de sus datos personales, así como la realización de transferencias internacionales de datos a terceros sin acreditar el cumplimiento de las garantías, requisitos o excepciones previstos en el Reglamento General de Protección de Datos.

El Consejo también concluye que la Consejería no adoptó medidas técnicas y organizativas suficientes para “limitar el elevado riesgo” de que los usuarios incorporaran “categorías especiales de datos” a los servicios educativos en la nube. Asimismo, reprocha a la administración autonómica la ausencia de protocolos claros sobre qué fotografías y contenidos audiovisuales podían almacenarse en estas plataformas y cuáles debían quedar excluidos.

La resolución acredita además que la administración educativa inició el tratamiento masivo de datos sin realizar previamente la obligatoria Evaluación de Impacto en Protección de Datos (EIPD), pese a afectar 525.743 miembros del alumnado y 73.937 del profesorado y empleados, pertenecientes a 1.048 centros educativos, según los datos recogidos en el expediente.

Frente a estas conclusiones, la Consejería de Desarrollo Educativo sostiene que “tanto Google como Microsoft nunca han tenido acceso a las contraseñas ni han podido utilizar los datos para fines comerciales”. En un comunicado, el departamento que dirige Carmen Castillo insiste en que “en ningún momento ha habido brecha de datos, ni se ha roto la privacidad o el derecho a la intimidad de los estudiantes ni del profesorado andaluz”.

Sin multa para no perjudicar el sistema educativo

Respecto al expediente sancionador, desde la Consejería de Desarrollo Educativo se explica que el Consejo de Transparencia ha considerado “la necesidad de establecer medidas más claras sobre la formación del profesorado y la información a los usuarios sobre la creación de las cuentas y del tratamiento de sus datos”. En ese sentido, el departamento asegura que ya ha elaborado un plan de acción que incorpora medidas técnicas y organizativas para “minimizar el riesgo” de que los usuarios introduzcan categorías especiales de datos en los servicios educativos en la nube.

En las alegaciones incorporadas al expediente, la Junta reconoce que no realizó la preceptiva Evaluación de Impacto antes de la firma del convenio con Microsoft en 2020, aunque sostiene que esa carencia ya está siendo subsanada y que dicho informe será el “paso previo e indispensable” para la redacción del nuevo convenio. Sobre el resto de medidas recogidas en el plan de acción, la Consejería señala que serán presentadas antes del 31 de enero de 2027.

La Consejería también defiende que actualmente no dispone de una alternativa tecnológica propia con prestaciones equiparables a las ofrecidas por Microsoft, cuyos servicios —que incluyen Outlook, Word, Excel, PowerPoint, OneDrive o Teams— utilizan más de medio millón de alumnos y decenas de miles de docentes. A su juicio, una interrupción inmediata del servicio provocaría “graves distorsiones y perjuicios” en el funcionamiento del sistema educativo.

Precisamente ese argumento ha pesado en la decisión del Consejo de Transparencia de no suspender los servicios de Microsoft hasta valorar las medidas adoptadas, pues la suspensión podría afectar negativamente al derecho a la educación y al interés superior del menor, por lo que ha optado por apercibir a la Consejería y exigir la adopción de medidas correctoras.

La administración autonómica deberá remitir antes del 31 de julio el plan de acción exigido por el Consejo, que incluirá las actuaciones necesarias para corregir los incumplimientos detectados y, entre otras cuestiones, acreditar que las transferencias internacionales de datos cumplen las garantías previstas por normativa o, en caso contrario, se suspenderá el flujo de datos. La resolución concluye advirtiendo de que el incumplimiento de las medidas impuestas podría constituir una nueva infracción muy grave de la Ley Orgánica de Protección de Datos y dar lugar a la apertura de otro procedimiento sancionador contra la Junta.

Etiquetas
stats