En julio de 2022, la Agencia de Protección de Datos de Dinamarca (Datatilsynet) prohibió efectivamente que los productos de Google procesen datos personales en las escuelas, con posibles sanciones penales por violaciones.

El caso se originó en 2019, cuando un padre en el Municipio de Helsingor presentó una queja después de que su hijo creara sin saberlo una cuenta de YouTube a través de un Chromebook proporcionado por la escuela, lo que resultó en que el nombre del niño se publicara públicamente en YouTube.

Un resultado predecible

La decisión de la DPA se basó en varios hallazgos clave:

Los municipios son responsables de garantizar que el procesamiento de datos personales cumpla con los estándares de legalidad, equidad y transparencia. El historial de Google en procesamiento transparente de datos ha sido cuestionable en el mejor de los casos.
Los Chromebooks sirven como puertas de entrada al ecosistema más amplio de Google, que recopila información con fines de marketing dirigido. Google sigue siendo, en esencia, una empresa de publicidad.
La DPA clasificó a Google como responsable del tratamiento, lo que significa que no existe un mecanismo legal válido para que los municipios transfieran datos personales a Google para su procesamiento.
Google puede estar violando sus propios compromisos contractuales al usar datos personales con fines de marketing u otros fines no autorizados, y no se establecieron acuerdos adecuados de procesamiento de datos con el municipio. Numerosas demandas relacionadas con el rastreo de datos de menores por parte de Google respaldan esta preocupación.
El municipio puede estar procesando inadvertidamente datos de categorías especiales a través de las plataformas de Google.
Las transferencias de datos a los Estados Unidos siguen siendo problemáticas tras la sentencia Schrems II, que invalidó el Escudo de Privacidad UE-EE.UU. Actualmente no existe un mecanismo legal adecuado para transferir datos personales de la UE a servidores de EE.UU. sin medidas complementarias, como se describe en las recomendaciones del EDPB.

¿Qué sucede después?

La DPA danesa determinó que los servicios de Google no satisfacen los requisitos del RGPD. Como resultado, el Municipio de Helsingor debe cesar inmediatamente todas las transferencias de datos personales a los Estados Unidos. Google Workspace ha sido prohibido directamente. Esta resolución se extiende más allá de un solo municipio: la DPA espera que todos los municipios daneses cumplan con estos hallazgos.

Cualquier transferencia continua de datos personales a servidores con sede en EE.UU. ha sido suspendida hasta que se pueda demostrar el pleno cumplimiento del Capítulo V del RGPD. Dado el panorama legal actual, lograr dicho cumplimiento a través de los servicios de Google parece altamente impracticable.

Sanciones por incumplimiento

Según la Ley danesa de Protección de Datos, Sección 41, subsección 2, n.o 4, violar una prohibición emitida por la DPA conlleva sanciones de multas o prisión de hasta 6 meses.

Por qué las escuelas necesitan alejarse de Google

Existen muchas alternativas de código abierto para la tecnología educativa. Plataformas como Moodle ofrecen soluciones viables de aprendizaje en línea que pueden alojarse dentro de la UE. La pregunta sigue siendo: ¿por qué las escuelas y los gobiernos siguen gravitando hacia servicios gestionados por empresas de publicidad?

Independientemente de tu posición sobre el RGPD y las regulaciones de la UE, responsabilizar a las escuelas por las herramientas a las que exponen a los niños es esencial. Una empresa de publicidad con un historial documentado de violaciones de privacidad no debería tener información sobre las actividades en línea de los niños.

La privacidad digital no puede seguir siendo una característica "agradable de tener". Debe ser tratada como un derecho fundamental, particularmente para los niños que no tienen voz ni voto en qué herramientas les exigen usar sus escuelas.