“Es una buena decisión usar una plataforma educativa propia y alternativa a Google en la escuela vasca”

Unai Aberasturi fue nombrado director Autoridad Vasca de Protección de Datos hace año y medio. Doctor universitario, es una persona independiente y profesional, con una trayectoria académica estrecha e intensamente vinculada a la investigación, el estudio y la docencia del régimen jurídico de la protección de datos personales. Los datos, el ‘oro negro’ por el que se pelean las grandes corporaciones tecnológicas y cuyo tratamiento tiene numerosas sombras.

¿Es una exageración si decimos que los datos es uno de los productos más cotizados por empresas e instituciones de todo el mundo?

No, no es una exageración. Expresiones como que los datos son el petróleo de la actualidad tienen sentido, porque en una sociedad tan digitalizada como la que vivimos, el consumo de los datos y la compraventa de los datos es una práctica cotidiana. De hecho, tanto los datos como las tecnologías dirigidas a tratar los datos tienen mayor peso en los PIB de los países.

La Autoridad Vasca de Protección de Datos cumplió en 2024 20 años, dos con usted frente. ¿Qué balance hace de su mandato?

De momento positivo. Llevo un año y medio de presidencia, somos una administración independiente que tenemos como objetivo proteger a las personas. Cumplimos 20 años, en los que hemos acompañado a las administraciones públicas vascas en su proceso de digitalización. Se han hecho muchas cosas, pero quiero destacar la función de prevención.

¿Por qué esa?

Porque siempre se nos ha relacionado con una administración sancionadora, que tiene una actividad de control y fiscalizadora, pero es muy importante que se ponga el acento en que una de nuestras principales funciones es la prevención, la sensibilización y la concienciación tanto de la ciudadanía como del sector público sobre la importancia que tienen la privacidad y el derecho a la protección de datos de carácter personal.

¿La gente sabe qué es la AVPD?

La sociedad y las administraciones saben que existimos, aunque menos de lo que nos gustaría, de hecho solo en el 12% de la ciudadanía vasca conoce nuestra página web, por ejemplo.

Bueno, aproveche.

Nuestra función es controlar al sector público vasco y sensibilizar a la sociedad vasca sobre la importancia de la protección de datos. Para eso tenemos diferentes herramientas y desarrollamos diferentes funciones, desde la potestad sancionadora cuando hay un incumplimiento de la normativa de protección de datos hasta campañas de comunicación, sensibilización y formación. A lo largo de mi mandato estamos impulsando mucho la acción exterior potenciando las relaciones interinstitucionales con otras autoridades de control, como pueden ser la Agencia Española de Protección de Datos, la Autoridad catalana o la andaluza, pero también con otras instituciones en el ámbito europeo, incluso en el ámbito iberoamericano. Hacemos muchas cosas, primero para entender la normativa de protección de datos, que es una normativa muy compleja, y después para garantizar que su aplicación en el ámbito vasco sea correcta.

Unai Aberasturi Oskar Gonzalez

¿Por qué es tan importante la protección de los datos personales?

Nos hemos acostumbrado a vivir en una sociedad en la que consumimos datos, tratamos datos y, sobre todo, regalamos datos. Y debemos ser conscientes de que es algo fundamental nuestro derecho a la privacidad. Tenemos que ser conscientes de que para desarrollarnos como personas, para desarrollar nuestra identidad de una manera libre, es fundamental tener el control sobre lo que sucede con nuestros datos. En el día a día regalamos o damos nuestros datos a entes privados, pensemos cuando navegamos en Google cuántos datos podemos estar aportando, tanto al buscador como a las empresas que prestan servicios a través de ese buscador. También damos datos al sector público, a Hacienda, a las policías, a Osakidetza, etc. Es muy importante que sepamos a quién le damos los datos, qué va a hacer con esos datos, a quién le puede dar esos datos y cuánto tiempo va a tener esos datos para que podamos desarrollarlos como personas.

Es complejo porque si no cedemos los datos prescindimos de esos servicios o incumpliríamos nuestras obligaciones fiscales, por ejemplo.

Vivimos en un contexto relativamente complejo en el que debemos saber que la privacidad es un derecho fundamental por tres motivos. Primero, por el hecho de que el uso de las tecnologías se ha normalizado por completo, sobre todo cada vez a edades más tempranas. En segundo lugar, porque cada vez se están aplicando más y con mayor normalidad tecnologías disruptivas que plantean nuevos retos, como puede ser la inteligencia artificial. Y en tercer lugar, porque se está configurando un marco sociopolítico un tanto complejo en determinados países, estoy pensando en Estados Unidos por ejemplo, en los que se pueden desarrollar políticas poco respetuosas con el derecho a la protección de datos. Todo esto nos tiene que poner en alerta y tenemos que hacer un llamamiento a la responsabilidad.

Pero es prácticamente inevitable ceder ‘voluntariamente’ nuestros datos cuando aceptamos las famosas cookies o damos nuestra autorización consentida, pero sin leer las condiciones, para poder disfrutar de servicios, normalmente gratuitos, como el Whatsapp, Telegram, Intagram, Tik Tok. ¿A qué nos enfrentamos con estos automatismo?

El uso principal que motiva esos tratamientos de datos puede ser el publicitario. En última instancia, el tener información sobre las personas implica poder perfilarlas y poder ofrecerle publicidad personalizada. La famosa segmentación, campañas de marketing dirigidas de forma individualizada, teniendo en cuenta cuáles son los gustos de las personas. Y más allá de la publicidad puede haber otros intereses, como la posibilidad de desinformar a las personas o informarlas de una determinada manera, incluso manipularlas políticamente.

En 2024 crecieron los ciberataques un 40% y se recibieron alrededor de 50.000 amenazas. Fueron hackeadas grandes empresas como Iberdrola, el Banco Santander; Instituciones como el Parlamento Vasco, los ayuntamientos de Gasteiz y Bilbao, el Puerto de Bilbao. Y, según la Ciberzaintza las pequeñas empresas han entrado en el punto de mira de los hackers. Nadie está a salvo.

Sí. Es uno de los principales problemas que se plantean a nivel global. Te cuento una anécdota personal: la semana pasada, después de hacer un viaje al extranjero, me llamaron de Kutxabank diciéndome que se habían notado movimientos raros en mi cuenta corriente de intentos de compra de joyas en Estados Unidos. Automáticamente, bloquear la tarjeta y hacerme una tarjeta nueva.

En casa de herrero...

Eso es. Nadie está a salvo de la ciberdelincuencia. No ya las personas, sino también las grandes corporaciones o incluso las administraciones, que se supone que tienen los medios para evitar este tipo de ataques.

¿Y qué se puede hacer?

Frente a ello, dos acciones. Uno, mucha prevención. Saber qué tenemos que hacer para evitar este tipo de delitos, con quién compartimos la información, qué tipo de llamadas cogemos, qué tipo de e-mails o SMS abrimos, qué tipo de aplicaciones nos descargamos. Ser conscientes de que lo desconocido siempre supone un riesgo. Y en segundo lugar, si somos objeto de un ciberataque, actuar. Denunciar a las autoridades, sean policiales, la Ciberzaintza o la Autoridad Vasca de Protección de Datos. Hay que ponerlo en conocimiento de la sociedad para que otras personas también estén alerta.

Unai aberasturi Oskar Gonzalez

¿Qué hace la AVPD frente a las brechas de seguridad por ciberataques o falta de diligencia?

Desde la Autoridad Vasca de Protección de Datos haremos todo lo posible por resolver el problema para que en el futuro ese no vuelva a suceder.

La AVPD es un órgano independiente con capacidad para la vigilancia, control y supervisión de las administraciones públicas vascas. Está facultada para investigar, tanto de oficio como a instancia de parte, cualquier irregularidad. ¿Qué tal protegen nuestros datos las instituciones?

En términos generales, bien. El sector público vasco es consciente de la importancia del derecho a la protección de datos. Desde mi perspectiva, después de 20 años trabajando en esto en la universidad y ahora en la Autoridad, el salto es impresionante. Hace 20 años no se tenía noción de lo que era la protección de datos prácticamente. Ahora las instituciones vascas conocen ese derecho, conocen la normativa e intentan aplicar la normativa de protección de datos de la mejor manera posible. Es cierto que en los últimos meses estamos recibiendo más reclamaciones, pero no porque haya más malas praxis, sino porque hay una mayor concienciación social. Yo creo que las instituciones, en general, protegen los datos, pero sí es verdad que tenemos que avanzar en algunos aspectos. Es que muchas veces nos llegan denuncias sobre aplicaciones que ya están instaladas y que se están utilizando en el sector público vasco.

¿Cómo por ejemplo?

Por ejemplo, el famoso caso de Google Workspace Education, nos llegó una consulta sobre una aplicación sobre normalización lingüística que promovió Cultura, el caso del wifi del Ayuntamiento de Bilbao, el uso de datos biométricos, las cámaras de seguridad… Muchas veces nos vemos con el problema de que cuando las Administraciones tienen y han comprado esas herramientas, te hacen la consulta o te llega una denuncia. Seguramente lo más oportuno y lo más eficaz sería hacerlo de la mano de la Autoridad. Conocer nuestra opinión con antelación y poder colaborar.

Un joven estudiando con su ordenador portátil. Eduardo Parra / Europa Press

A nivel ciudadanía, supongo que la mayoría de las denuncias que tramitan tienen que ver con temas sensibles relacionados con el ámbito de la salud.

Efectivamente, el sector que mayor problemas plantea es el de la sanidad o ha sido el de la sanidad. Es normal, porque todas las personas consideramos que nuestros datos de salud son datos sensibles y estamos muy preocupados sobre cómo se utilizan. En la mayoría de casos tenemos constancia de que alguien ha accedido a nuestra historia clínica y queremos saber quién y por qué ha accedido. La mayoría de casos tienen que ver con ese tipo de supuestos. Hasta hace poco teníamos ciertas dificultades para que Osakidetza colaborara con nosotros en la tramitación de esos expedientes. Muchas veces les pedíamos alegaciones y no nos remitían información. Yo diría que eso está cambiando con la nueva dirección de Osakidetza. Ahora mismo, en la última reunión que tuvimos, nos han garantizado que la colaboración va a ser efectiva. De hecho, ya hay nombrado un nuevo delegado de protección de datos y se está formando un equipo para tratar las cuestiones de protección de datos en Osakidetza con mayor rigor de lo que se estaba haciendo hasta ahora.

Sí, porque al final hay médicos consultan cuando en realidad no deberían hacerlo.

Sí, hay supuestos que son especialmente llamativos. Profesionales sanitarios que han accedido a los datos sanitarios de todo su vecindario y que en una reunión de comunidad les sacaba sus datos de salud para achacarles determinadas cosas que tenían que ver con la gestión de la comunidad. O el uso de datos de contacto de una paciente para contactar con ella para ver si quería tomar un café.

Durante el seminario que ofreció en los cursos de verano de la UPV expresó sus dudas sobre cómo se está llevando adelante la digitalización en la enseñanza. ¿Qué le preocupa en concreto?

Lo que más me preocupa es el hecho de que estamos hablando de un sector muy sensible. Estamos hablando de menores de edad, que son un colectivo menos sensibilizado en la necesidad de proteger su privacidad que otros sectores. Es importante conocer el contexto en el que se utilizan las nuevas tecnologías por los menores de edad antes de plantear el debate sobre cómo se tienen que usar las nuevas tecnologías en el ámbito educativo. Estamos hablando de que prácticamente el 93% de menores entre 10 y 15 años utiliza con cierta asiduidad internet. El 70% tiene un teléfono móvil. Un tercio de este porcentaje lo hace más de 5 horas al día y uno de cada tres lo hace más allá de las 12 de la noche.

Y además no se desconecta en la escuela.

Los problemas a los que se pueden enfrentar son mayores por su condición de personas que se están desarrollando, sobre todo emocionalmente. También hablamos de problemas de salud, de sufrir bullying, de perder el control sobre los datos, de chavales y chavalas que pueden ser objeto de desinformación de manera más fácil, que pueden entender la realidad o determinados aspectos de la realidad de forma un poco confusa o equivocada. Estoy pensando sobre todo en cómo entienden las relaciones sexuales, cuando gran parte de su educación sexual se basa en el porno, y los datos son aterradores. La principal fuente de información para entender las relaciones sexuales es el porno para ellos y ellas, y normalizan esas prácticas y entienden que sus relaciones sexuales pueden verse reflejadas en ese tipo de contenido, lo que está llevando según datos de la fiscalía, a que las agresiones sexuales entre menores vaya en aumento. Teniendo en cuenta este contexto, yo creo que tenemos que reflexionar antes de lanzarnos al proceso de digitalización de los menores.

Estudiantes del colegio San Ignacio utilizando sus ordenadores portátiles durante una clase. DIARIO DE NOTICIAS

¿Y no se ha hecho?

Tenemos que reflexionar sobre qué queremos conseguir con esa digitalización y cómo queremos conseguirlo. Estoy pensando en el uso de los teléfonos móviles, pero también de las plataformas educativas digitales. Lo que más me preocupa es la posible falta de una reflexión crítica sobre este contexto por parte de la administración.

Hay otros países como Suecia que están haciendo el camino inverso. Es decir, han decidido volver al papel. No ven la digitalización como un fin o sinónimo de calidad.

A la Autoridad Básica de Protección de Datos no nos corresponde tomar esa decisión. Pero la Administración sí debe saber muy bien qué queremos conseguir con la digitalización y cómo queremos conseguirlo, a través de una reflexión crítica sobre lo que implica que los menores normalicen el uso de estas nuevas tecnologías.

Habla de plataformas en genérico y creo que se refiere, concreto, al Google Workplace for Education cuyo uso fue prohibido por Dinamarca en 2022 porque viola la ley europea sobre privacidad. En febrero de 2024, la Autoridad Española de Protección de Datos emitió un informe desfavorable al uso de esta plataforma educativa por los mismos motivos y un mes después ustedes apercibieron al Departamento de Educación del Gobierno Vasco por lo mismo. Se ha hablado y escrito mucho al respecto, pero por aclararlo de una vez… ¿ Se han puesto en riesgo los datos de las 400.000 personas que componen la comunidad educativa, entre docentes y estudiantes, en su mayoría menores de edad?

La respuesta corta es sí.

¿Sí, por qué?

Sí, porque se ha firmado un convenio con una multinacional que utiliza los datos con múltiples fines sin tener las garantías suficientes de que esos datos van a ser utilizados de acuerdo a lo que exige la normativa europea de protección de datos. De hecho en la resolución en la que apercibimos a Educación, lo hacemos por tres motivos tecnicos. En primer lugar, porque no se hizo una evaluación de impacto que es necesaria, con el rigor suficiente.

¿Qué es una evaluación de impacto?

Una evaluación de impacto implica hacer un estudio sobre los riesgos que implica ese tratamiento de datos, el hecho de que se utilice la plataforma Google Workspace en el ámbito educativo vasco. Segundo motivo, el hecho de que no hubiera un registro de actividades de tratamiento oportuno. ¿Qué es esto? Es un documento en el que de manera transparente tienes que prever qué tratamiento de datos se va a llevar a cabo en educación mediante el uso de esa plataforma, para qué se van a utilizar, quién los va a utilizar, si esos datos van a acabar en terceros países, hasta cuándo se van a utilizar, etc. Ese registro no era ni mucho menos completo. Y en tercer lugar, y seguramente esto sea lo más importante, la vulneración del principio de lealtad.

Que quiere decir…

Que no se tenía claro qué tipo de tratamiento iba a desarrollar Google con los datos que obtenía desde los centros educativos. Y es ahí donde ahora estamos incidiendo. Y quiero subrayar este aspecto. Esta resolución respondía a una denuncia concreta que planteaba determinadas posibles infracciones que en algunos casos se hicieron efectivas y fueron sancionadas.

¿De de quién parte la denuncia?

De una fundación.

Según la consejera de Educación, el Departamento ha trabajado con ustedes para enmendar los aspectos denunciados en su resolución. ¿Esto es así?

Estamos colaborando con Educación para revisar ese convenio, para observar si es posible volver a firmar un convenio con Google. Si es posible, lo haremos de la mano, quiero pensar, con Educación. Y si no es posible, Educación tendrá una alternativa a esta plataforma que está desarrollando ya.

¿Le han avanzado alguna fecha concreta para la resolución de este conflicto abierto? Lo digo porque Google Workplace for Education está ahora en las aulas.

Por lo que nos comentaron desde Educación, 2025 es la fecha en la que se tiene que resolver este asunto porque es la fecha en la que expira el convenio que firmaron con Google. Mientras, se está utilizando la plataforma y es un problema al que nos estamos enfrentando a nivel europeo. En la Autoridad catalana, andaluza, en la Agencia Española y en la Autoridad Vasca tenemos este asunto encima de la mesa en diferentes formatos. O bien porque ha habido denuncias, o bien porque, como es nuestro caso, después de haber resuelto una denuncia, estamos colaborando con Educación para dar una solución a este problema. Pero también en países como Holanda, Dinamarca, Francia, etc., es una cuestión que se está analizando o que ya se ha analizado y resuelto.

¿Cuáles son sus siguientes pasos?

Tenemos prevista una nueva reunión con Educación, se trata de ver qué es lo que se ha hecho, porque me consta que estaban realizando de forma mucho más rigurosa la evaluación de impacto. Y a partir de esa evaluación de impacto, de ver los riesgos que genera el uso de la plataforma, tomarán una decisión, es decir, si se puede volver a firmar un convenio con Google o si no es posible. En caso de que no sea posible, me consta que Educación estaría trabajando sobre una alternativa.

Me he puesto en contacto con Google y niega el uso de los datos con fines comerciales. Señalan que los responsables de los datos no son ellos sino sus clientes, es decir, los centros educativos. ¿Pero los centros y los usuarios son realmente conscientes de las condiciones de contratación de este servicio gratuito, cuando ustedes mismos insisten en la opacidad o poca claridad que Google hace del tratamiento de datos? ¿Qué capacidad de negarte puedes tener si no entiendes las condiciones de uso?

Hay un dato definitivo. Y es que Google te ofrece diferentes opciones, hay una opción gratuita y hay una opción de pago. ¿Y en qué se basa para ser de pago? En una mayor protección de datos, con lo cual ya le están poniendo precio a los datos, que son unos cuantos millones de euros. Eso yo creo que es significativo y definitivo para entender que cuando Google te dice, no, nosotros no utilizamos los datos para hacer marketing, no voy a decir que miente, pero desde luego sí los utiliza. Y no porque lo diga yo, sino porque se ha demostrado en otros países, como en Dinamarca

¿Y para qué los utiliza entonces?

Usa los datos mejorar sus propios servicios, y en ese momento la finalidad ya no es educativa, sino que es un fin propio de la empresa norteamericana. Con lo cual ahí deja de ser una encargada para convertirse en responsable, y en el momento en que es responsable, esos tratamientos de datos salen del posible convenio firmado un Gobierno vasco. Google se convierte directamente en responsable de los tratamientos de datos, desarrollando un sistema de información, tratando datos para una finalidad que no estaba prevista para nada y de la que no tenían noción ni menores, ni padres, ni madres, ni en general la administración educativa.

Ya, pero a estas alturas a nadie se le escapa que nadie regala nada y que esto no es una ONG, es Google.

Sin duda. Es una herramienta súper potente. Efectivamente, subrayabas el problema que supone la opacidad. Y es que muchos de los usos que se realizan a través de esa plataforma no están previstos en el propio convenio, sino que tienes que investigar en la política de privacidad de Google para saber qué se puede hacer con los datos que nuestros chavales y chavalas aportan a través de esta plataforma. Entre esos usos pueden estar transferencias internacionales de datos, sin duda a Estados Unidos, y pensemos en qué contexto sociopolítico se está creando en Estados Unidos, pero también de Estados Unidos a terceros países que no cuentan con una política de protección de datos equiparable a la de la Unión Europea, ni muchísimo menos.

Desde el curso pasado, Educación está desarrollando y pilotando en seis centros Iradi, una plataforma educativa on line basada en software libre, cuyos programas y datos se alojarán en los servidores del Gobierno vasco. ¿Qué le parece este proyecto alternativo a Google?

De partida yo creo que es una buena política y una buena decisión. Comparto personalmente y también a nivel institucional el uso de una plataforma externa de una gran corporación, como puede ser Google, por los beneficios que plantea el uso de una plataforma propia. No ya desde la perspectiva de la protección de datos, que también, sino desde la perspectiva de la propia soberanía sobre los datos. Es decir, el tener mucho más cerca la posibilidad de controlar lo que sucede con tus datos, desde una perspectiva de seguridad. El hecho de que los datos los podamos manejar desde aquí, para fines propios, ya te garantiza una mayor seguridad.

¿Han asesorado al Departamento en la plataforma Iradi?

No hemos sido consultados al respecto, pero sí habrá sido consultada la delegada de protección de datos del Gobierno vasco. En la próxima reunión trataremos esta cuestión, y lo hablaremos con total normalidad y naturalidad. Y nos expondrán cómo han desarrollado este aplicativo y qué implicaciones tiene desde la perspectiva de la protección de datos, sin duda.

Otra de las cuestiones a debate es el uso del móvil las aulas. Como, sabe Euskadi es la única comunidad que ha optado por dejar en manos de los centros la decisión. ¿Prohibición o regulación?

No me voy a mojar porque no me corresponde a mí decidir si es mejor la prohibición o la regulación. Lo que sí llama la atención es que sea la única comunidad autónoma que se haya decantado en un sentido distinto al que se han decantado las demás comunidades autónomas. En todo caso, sea una u otra la fórmula, vuelvo a lo que subrayábamos antes. El uso de los teléfonos móviles en los centros tiene que venir precedido por un debate y por una reflexión crítica sobre para qué y cómo se pueden utilizar los teléfonos móviles en las aulas.

¿Por qué?

Hablaré desde la perspectiva de la protección de datos, dejando a un lado otros posibles problemas que puedan plantear el uso de los teléfonos móviles en las aulas, como puede ser la grabación entre los menores o el hecho de que tengan una capacidad de concentración muchísimo menor. Desde la perspectiva de la protección de datos, se puede tener la tentación de utilizar aplicaciones que no cumplen con las garantías de protección de datos. Muchas veces puede pasar que un profesor o una profesora plantee ejercicios utilizando aplicaciones sin haber hecho una evaluación de impacto y sin que la propia administración educativa conozca que están utilizando ese tipo de aplicaciones. Con lo cual, los riesgos están ahí.