La irrupción de Google en la escuela pública canaria alarma a expertos en privacidad de datos
Es seguro y es gratuito. Bajo esas dos premisas defendió la Consejería de Educación del Gobierno de Canarias la firma, a principio de curso, del convenio con Google para la implantación en los centros escolares públicos de las Islas del paquete de herramientas que ofrece el gigante tecnológico para la enseñanza virtual, la plataforma G-Suite for Education. El plazo de vigencia es de cuatro años, aunque en cualquier momento ambas partes pueden acordar su prórroga. Según una de las cláusulas del convenio, publicado en el Boletín Oficial de Canarias (BOC) el 2 de octubre, la empresa proveerá durante ese periodo sus productos sin contraprestación económica, pero el acuerdo deja abierta la puerta a futuros pagos. Además, Google se compromete a no usar los datos almacenados con fines publicitarios.
El convenio ha pasado prácticamente de puntillas entre la comunidad educativa. Desde las asociaciones de madres y padres del alumnado y los sindicatos de docentes admiten que las dudas que ha suscitado entre las familias y los profesores este acuerdo han sido contadas.
La suspensión de la actividad lectiva presencial durante la primera ola de la pandemia de COVID-19 obligó a la Consejería a buscar soluciones para impulsar definitivamente la enseñanza virtual y Google fue la elegida para la reanudación de las clases. Desde ese momento, expertos en protección, privacidad y ética de los datos alertaron de los riesgos que entrañaba esa decisión. “Es ilegal e inmoral”, afirma tajante el abogado Luis Fajardo, profesor de Derecho Civil de la Universidad de La Laguna (ULL). Sostiene que se produce una confusión entre seguridad y privacidad. La Consejería de Educación se escuda en un certificado del Centro Criptológico Nacional que determina que la plataforma de Google para educación virtual cumple las exigencias del Esquema Nacional de Seguridad. “Eso es cierto. Es una empresa que tiene mucha tecnología, sabe utilizarla y cifra, aunque no al 100%. Pero el problema es que Google, como otras empresas, se nutre económicamente de los datos, hace negocios con ellos”, explica el especialista. Y los datos “son control sobre la gente, capacidad de influencia, de manipulación, de conformar sociedades con mayor capacidad para ello que los estados democráticos”.
El especialista explica que los certificados de seguridad garantizan que no va a haber una brecha, que nadie externo va a acceder a los datos sensibles del alumnado, pero alerta de que esa información va a estar en manos “de una empresa que la va a utilizar para darle servicios en un futuro”. Google defiende que no la usará con fines publicitarios y que la borrará al finalizar el periodo de vigencia del convenio. “Que no vaya a hacer publicidad no quiere decir que no vaya a usar los datos para decisiones posteriores. No le interesa poner anuncios a los niños, lo que le interesa es tener sus datos, tener sus perfiles desde muy pronto, para poder usarlos para productos futuros. Y eso se le está dando”.
La abogada Manuela Battaglini, directora ejecutiva de la consultora de ética digital Transparent Internet, redunda en esta idea. “Cuando un niño escribe y desarrolla sus actividades en los productos de Google, se genera una información de la que se podría inferir, por ejemplo, que tiene un cuadro de ansiedad, que es disléxico, que sus padres tienen algún problema en casa, dónde vive, su nivel económico, qué religión profesa, si hay un problema de aprendizaje.... A partir de ahí, se pueden realizar perfiles de los alumnos, un perfil perfecto de su personalidad durante tantos años en la escuela usando sus productos, y esto puede marcar de una forma totalmente negativa el futuro de estas personas”.
Fajardo remarca que toda la información que recopila Google y los otros “grandes señores de los datos”, como los definió el anterior director de la Agencia Española de Protección de Datos (AEPD), va a ser usada por unos algoritmos “para que otras empresas decidan si te dan un crédito o no, si te contratan o no, si te pueden dar un seguro o no”. “No es la señal de una nueva economía, es la alarma de que estamos ante un escenario distópico”, asegura.
Con respecto al tratamiento de los datos personales y al compromiso de borrado, ambos expertos recuerdan las “evidencias” de las sanciones impuestas al gigante tecnológico en los últimos años por sus incumplimientos en protección de datos y sus “violaciones constantes de la privacidad”. Una de ellas, en septiembre de 2019, por recoger información de menores a través de Youtube sin autorización paterna. Además, Fajardo remarca que no están sometidos a las reglas del convenio aquellos productos que, sin estar incluidos en el paquete G-Suite, como Youtube, Google Maps o el propio buscador, sí que se pueden usar desde las mismas cuentas y, por lo tanto, sí que pueden conservar esos datos.
Battaglini añade que hay “pruebas palpables” de que Google lee a través de sus sistemas de inteligencia artificial la información colgada en sus productos en la nube. La abogada cita casos de académicos que han denunciado que sus cuentas han sido cerradas por incluir en sus tesis o trabajos almacenados en Google Drive contenido que, según la compañía, va “en contra de sus normas”.
Sin evaluación de impacto de riesgos
En el propio expediente del convenio hay otras advertencias. Una de ellas se formula desde los servicios jurídicos en relación con la posibilidad de transferencia internacional de los datos almacenados y procesados en G-Suite (la empresa podrá tratar los datos en cualquier lugar en el que tenga instalaciones, aunque si lo hace en países de fuera de la Unión Europea deberá garantizar una protección adecuada bajo los parámetros de la ley comunitaria). “La seguridad no es lo mismo que la protección de datos”, sostiene el informe de un letrado que apunta que el riesgo reside en el tratamiento de la información. “Razonablemente se puede pensar que puede afectar a perfiles psicológicos, académicos y culturales, gustos y preferencias, uso de herramientas y servicios adicionales y redes sociales”, destaca.
También un inspector de Educación señala en otro documento incorporado al expediente que, si bien es cierto que, “desde el punto de vista teórico”, es prácticamente imposible que la información proporcionada por el alumnado y el profesorado pueda estar expuesta a filtraciones o mal uso, desde la perspectiva de “un conjunto más amplío de responsabilidades” es necesario “analizar los riesgos y explicar cuál es la finalidad de recogida de datos”, así como fijar un límite temporal para su conservación y eliminación.
Luis Fajardo sostiene que la Consejería de Educación no ha cumplido los protocolos de protección de datos para elegir al proveedor de estos servicios. El profesor de la ULL señala que no ha habido ninguna valoración en términos docentes, ni una evaluación de impacto sobre los riesgos, ni se ha contado con un delegado de Protección de Datos. El Gobierno regional admite que no ha realizado una evaluación de impacto sobre G-Suite, pero se escuda en un análisis de riesgos de todos sus tratamientos de datos personales en 2019. También reconoce que el convenio comenzó a tramitarse antes de que fueran designados los delegados de Protección de Datos. “No obstante, sí se consultó con el grupo de trabajo de protección de datos del departamento”, sostiene.
La Consejería de Educación ha pedido el consentimiento de los padres y madres del alumnado para usar los productos de G-Suite. “Es necesario para ejercer la función educativa”, justifican desde la administración autonómica. Fajardo señala, no obstante, que hay una legitimación para el uso de los datos personales para ciertos servicios públicos que no requiere la aceptación del usuario. Menciona, a modo de ejemplo, las identificaciones policiales o las investigaciones judiciales. Para el experto en Protección de Datos, el hecho de que el Gobierno canario haya pedido la autorización de las familias es una manera de tratar de “cubrirse las espaldas”. Esta situación genera otro problema. “Si los padres se oponen a su uso, ¿qué ocurre? Que discriminan a sus hijos, porque toda la información se sube a la nube de Google. Es una manera de presionar a los padres para que cedan. Lo que no saben los profesores es que están haciendo un flaco favor a los niños porque no entienden qué pasa con la privacidad”, subraya Manuela Battaglini.
El responsable de Google for Education en España, Gonzalo Romero, afirma que los servicios que ofrece la compañía “son compatibles con el cumplimiento de los requisitos de seguridad y privacidad” y alude a auditorías de “organizaciones independientes” que aseguran que “las prácticas de protección de datos cumplen con los estándares más exigentes”. Insiste en que la información personal de los alumnos “no se usará para crear perfiles para orientar anuncios”. “Los administradores de la escuela pueden eliminar el dominio completo, suprimir determinadas cuentas o exportar sus datos en cualquier momento. Si un colegio deja de usar Google, todas sus cuentas de usuario y los datos de G-Suite serán eliminados”.
¿Es gratis?
La otra gran duda acerca del convenio radica en su carácter gratuito. “Los colegios están limitados en cuanto a medios y siempre que pueden tiran de herramientas gratuitas, pero habría que analizar si no se está pagando con otras cosas, con datos. Las herramientas de estas compañías mueven ingentes cantidades de dinero y Google ha sido sancionada en todas partes. Ahora, las nuevas multas le hacen más daño, pero antes eran irrisorias, casi las tenían en su presupuesto”, indica José Juan Mendoza, auditor de Protección de Datos que ha elevado una consulta a la compañía ante la preocupación de algunos colegios.
El convenio fija un plazo de vigencia de cuatro años sin contraprestación económica. Transcurrido ese periodo inicial, Google “podrá cobrar servicios” por la versión Premium o por otras funcionalidades o mejoras, siempre con un acuerdo por escrito de por medio. Además, en la adenda de tratamiento de datos se habla de la “renovación automática” al final del plazo de duración, por periodo de doce meses. Por esta razón, un padre ha llevado el convenio al Tribunal Administrativo de Contratos Públicos, al considerar que la Consejería de Educación está enmascarando a través de este fórmula un contrato público sin someterlo a un concurso al que puedan concurrir las empresas que lo deseen.
Más allá de la interpretación de las cláusulas del convenio, Luis Fajardo aprecia en esta actuación una estrategia comercial de Google. “Pone el pie en la puerta, evita el concurso público para colocar un producto, obtiene usuarios futuros y conquista un nicho”. Y ello entronca con otro de los conceptos clave para los expertos en protección y privacidad de datos, la dependencia tecnológica. “Cuando te metes en Google, te crea una dependencia a sus productos que ya no puedes irte a otras plataformas, cuando hay otras herramientas tecnológicas que pueden hacer perfectamente el trabajo de las gigantes a un presupuesto tres y cuatro veces menor”, relata Manuela Battaglini, que pone como ejemplo NextCloud (alojamiento de archivos), Jitsi (videoconferencia y mensajería instantánea) o Big Blue Button (sistema de conferencia web en código abierto).
“Un daño adicional y enorme es pensar que capacitar a los alumnos a utilizar determinadas plataformas es capacitarlos para el uso de la tecnología cuando es justo lo contrario. Les estás cerrando las alternativas que la tecnología ofrece, les estás dando solo el aprendizaje como usuario de ciertas cosas. Eso no es capacitación digital, es empobrecimiento”, señala Fajardo, que junto con otros profesores de la ULL ha impulsado una asociación, Educatic (Tecnología para la Educación y Transparencia Tecnológica), que aboga por “un uso razonable de la tecnología que no sea ceder datos y datos”.
En la memoria justificativa del convenio con Google, la Consejería de Educación apunta que el trabajo colaborativo online (a través de Docs) y las videoconferencias (mediante Meet) “se han vuelto imprescindibles” a raíz de la pandemia y que la administración autonómica “no dispone de alternativas propias” en relación con estos servicios. Además, señala que las 19.000 tabletas digitales adquiridas recientemente para el alumnado utilizan el sistema operativo Android y requieren para su uso una cuenta de Google, lo que hace necesaria “una gestión centralizada”. También apunta la intención de integrar en las aulas de la escuela pública canaria, a través de un proyecto de pilotaje, los ordenadores Chromebook, que requieren igualmente para su acceso una cuenta de usuario de Google.
A pesar de ello, Educación sostiene que no pretende la selección del gigante tecnológico como entidad exclusiva y que valora “otras ofertas similares”.
1