Protección o abandono: no podemos dejar a nuestros menores en manos de plataformas

La voz de las autoridades de protección de datos españolas no es un susurro, es un claxon que advierte ante un peligro tangible: las plataformas digitales de gestión escolar —Google Classroom, Microsoft Educación, Moodle y otras— no son meras utilidades neutras; son entornos complejos que tratan información sensible de quienes más merecen amparo, los menores.

La Agencia Española de Protección de Datos, junto a la Autoridad Catalana, la Vasca y el Consejo de Andalucía, han unido criterio y han elaborado un decálogo que obliga a leer con atención. Subrayan dos verdades incómodas: la dimensión del tratamiento es extraordinaria —estas plataformas pueden afectar simultáneamente a millones de menores— y los principales afectados son, en gran medida, personas menores de edad que requieren protección reforzada. Esto no es opinable, es responsabilidad.

No es admisible que la utilización de la plataforma sea presentada como voluntaria cuando, en la práctica, constituye la herramienta institucional facilitada para el ejercicio de la función educativa. ¿Qué valor tiene una protección teórica si la adhesión se produce bajo la coartada de la necesidad educativa? El interés superior del menor exige escrutinio reforzado de cualquier tratamiento que les afecte.

El riesgo no se agota en calificaciones o trabajos: hay una doble naturaleza de datos en juego. Por un lado, los datos generados por el uso educativo —documentos, notas, comunicaciones—; por otro, los datos técnicos que la propia plataforma registra automáticamente —direcciones IP, identificadores de dispositivo, registros de actividad, cookies, metadatos—. Y es precisamente este segundo grupo el que, advierten las autoridades, puede escapar al control efectivo del responsable.

Peor aún, las plataformas ofrecen servicios adicionales —buscadores, vídeo, herramientas de inteligencia artificial— que pueden no guardar relación directa con la función educativa y que, en ocasiones, tienen condiciones contractuales distintas. Esas piezas anexas pueden quedar fuera del encargo institucional y el proveedor puede actuar sobre ellas como responsable para fines propios. ¿Permitiríamos que en las aulas se mezclaran sin control intereses ajenos a la educación? La respuesta del decálogo es clara: no.

Las conclusiones prácticas del documento obligan a actuar: las comunidades autónomas y los centros deben asumir su condición de responsables del tratamiento de forma proactiva y sin delegar esa responsabilidad. Toda finalidad exige una base jurídica válida; la legítima es el interés público educativo, y cualquier tratamiento que exceda esa finalidad necesita justificación propia. En concreto, los servicios no educativos no deben activarse en un entorno institucional dirigido a menores.

La plataforma, en su configuración institucional, debe limitarse a lo estrictamente necesario para la finalidad educativa y dejar desactivados por defecto los servicios ajenos a ella. Además, responsables y encargados han de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Nada de esto es optativo: es exigencia jurídica y moral.

No podemos permitir que la circunstancia de que una plataforma se ofrezca gratuitamente a las administraciones educativas se traduzca, directa o indirectamente, en una merma de la protección de los datos del alumnado, sus familias o el profesorado. Lo recordaron con hechos las resoluciones y sanciones recientes de la AEPD contra centros y administraciones: las reglas existen y se aplican.

La exigencia es sencilla y rotunda: prudencia, control y responsabilidad. Realizar evaluaciones de impacto, configurar adecuadamente las plataformas, desactivar por defecto los servicios no educativos y garantizar medidas de seguridad no son sugerencias: son mandatos para proteger a los nuestros. En la era digital, dejar desprotegida a una generación es un lujo que ninguna sociedad con sentido de futuro puede permitirse.