La Agencia Española de Protección de Datos (AEPD) sanciona a un colegio tras la denuncia de un progenitor que alertó sobre el uso de Google Workspace for Education en su versión gratuita “Fundamentals” y mediante cuentas nominativas para el alumnado, sin la debida información a las familias y con posibles riesgos para los menores.
¿Qué ocurrió?
La sanción se debe a varias irregularidades en el tratamiento de datos personales del alumnado menores de edad. En concreto, la AEPD identificó tres incumplimientos del RGPD (Reglamento General de Protección de Datos):
1. Falta de base legal
El centro alegaba que el uso de la plataforma respondía a su función educativa. Sin embargo, la AEPD concluyó que el tratamiento iba más allá: Google recoge datos para fines adicionales (como la mejora de servicios o la generación de recomendaciones). La Agencia considera que esos tratamientos no resultan necesarios para cumplir la función educativa invocada por el centro.
2. Falta de transparencia
La información proporcionada a familias y alumnado era incompleta.
No se detallaba adecuadamente qué datos se recopilaban (como IP, dispositivo, cookies...), ni se informaba sobre las transferencias internacionales de datos que estaban ocurriendo. Además, el centro no pudo demostrar que dicha información se hubiera comunicado correctamente. Tampoco se explicaba de forma suficiente el ciclo completo del tratamiento ni las finalidades atribuidas al proveedor.
3. Evaluación de impacto deficiente
La EIPD (Evaluación de Impacto en Protección de Datos) realizada era insuficiente, pues partía de que solo se trataban datos identificativos, no analizaba riesgos clave (como las transferencias internacionales) y no evaluaba alternativas menos intrusivas.
En resumen, no reflejaba adecuadamente la realidad técnica del tratamiento, ni el hecho de que el centro no podía elegir la ubicación de los datos en la versión gratuita utilizada.
¿Cuál fue la sanción?
La multa finalmente se redujo a 12.000 euros tras el reconocimiento de responsabilidad y el pago anticipado.
La clave
La resolución deja una idea clara: no basta con implementar soluciones digitales en el entorno educativo. No se puede asumir que una herramienta ampliamente utilizada es, por ese solo hecho, conforme a la normativa. Es imprescindible informar de forma completa y transparente a las familias y analizar adecuadamente los riesgos, especialmente cuando se trata de datos de menores, pues su protección exige un nivel reforzado de diligencia, control y justificación por parte de los responsables del tratamiento.
Redactado por Julia, a fecha 04 de mayo de 2026.