DICTAMEN RELATIVO AL CONVENIO DE COLABORACIÓN ENTRE LA ADMINISTRACIÓN GENERAL DE LA CAPV Y GOOGLE COMMERCE LTD. PARA LA UTILIZACIÓN DE LOS SERVICIOS "GOOGLE WORKSPACE FOR EDUCATION" EN LOS CENTROS DOCENTES DEL DEPARTAMENTO DE EDUCACIÓN
EXP.: IL21-010
DICTAMEN: D21-018
DICTAMEN RELATIVO AL CONVENIO DE COLABORACIÓN ENTRE LA
ADMINISTRACIÓN GENERAL DE LA CAPV Y GOOGLE COMMERCE LTD. PARA LA UTILIZACIÓN DE LOS SERVICIOS "GOOGLE WORKSPACE FOR EDUCATION" EN LOS CENTROS DOCENTES DEL DEPARTAMENTO DE EDUCACIÓN
ANTECEDENTES
Primero. Con fecha 5 de julio de 2021 tiene entrada en esta Agencia un escrito de la Dirección de Régimen Jurídico y servicios del Departamento de Educación, en el que solicita informe relativo al "Convenio de colaboración entre Google Ireland Limited y el Gobierno Xxxxx para el uso de los servicios Workspace for Education por parte de los centros docentes y de apoyo de la Comunidad Autónoma del País Xxxxx"
Segundo. A dicha solicitud de informe se acompañan los documentos siguientes:
• Memoria explicativa del Convenio de Colaboración entre Google Ireland Limited y el Gobierno Xxxxx para el uso de los servicios "Workspace for Education" por parte de los centros docentes y de apoyo de la Comunidad Autónoma del País Xxxxx
• Informe n° 1744 del Convenio de Colaboración "Google Workspace for Education", de la Dirección de Tecnologías de la Información y la Comunicación
• Informe emitido por la Dirección de Régimen Jurídico y Servicios del Departamento de Educación, relativo al proyecto de Convenio de Colaboración entre la Administración General de la Comunidad Autónoma del País Xxxxx (Departamento de Educación) y la empresa Google Ireland Limited para la utilización del producto informático "Workspace for Education".
• Texto del Convenio de Colaboración entre la Administración General de la CAPV y Google Commerce Ltd. para la utilización de los servicios "Google Workspace for Education" en los centros docentes el Departamento de Educación, y sus anexos:
o Anexo 1 - Términos del Servicio de Workspace for Education
o Anexo 2 - Adenda de tratamiento de datos, y sus apéndices:
▪ Apéndice 1 – Objeto y detalles del tratamiento de datos
▪ Apéndice 2 – Medidas de seguridad
• Memoria relativa a la propuesta de modificación del Convenio entre la Administración General de la CAPV y Google Commerce Limited para la utilización de los servicios
Google Workspace for Education en los centros docentes del Departamento de Educación.
Tercero. El artículo 17 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, atribuye a la Agencia Vasca de Protección de Datos, entre otras, las siguientes funciones:
“(…) n) Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo
2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del dictamen en respuesta a la consulta formulada.
I – NATURALEZA DE LA RELACIÓN ENTRE LA ADMINISTRACIÓN GENERAL DE LA CAPV Y GOOGLE COMMERCE LTD.
El Departamento de Educación, según se declara en la memoria explicativa, pretende facilitar a los centros docentes y de apoyo de la CAPV el acceso a servicios y herramientas adecuadas para poder impartir clases de forma total o parcialmente telemática, tanto para docentes como para el alumnado. Para ello, acude a una plataforma ya consolidada en el mercado, como es "Google Workspace" (antes conocido como "G Suite", y anteriormente "Google Apps"), basada en almacenamiento y computación "en la nube".
Desde el punto de vista de la protección de datos personales, nos encontramos, en primer lugar, con un tratamiento concreto de los datos personales de los "usuarios finales" ("personas a las que el cliente permite utilizar los servicios y que se rigen por lo que establece un Administrador", según se define en el punto 15.9 del Anexo 1 del Convenio), a través de los servicios tales como, entre otros, la consola de administración, las cuentas de usuario final y las cuentas de correo electrónico.
Asimismo, podrán llegar a darse otros tratamientos de datos, por iniciativa del Departamento de Educación, que utilicen esta plataforma, pero que en este momento no se han hecho explícitos y sobre los cuales no podremos determinar sus circunstancias, como, por ejemplo, si se tratarán datos de las categorías especiales, o cuáles serían las bases de legitimación para cada uno de los tratamientos. También pueden llegar a darse tratamientos de datos inespecíficos, puesto que los servicios que se facilitarán a los usuarios finales a través de la plataforma elegida (gestión de contactos, calendarios y tareas, grupos y listas de distribución, tratamiento de documentos, hojas de cálculo y presentaciones, almacenamiento "en la nube", tanto personal como compartido, comunicación mediante texto, voz o video, tanto interpersonal como en grupo, etc. etc.), por el hecho de ser herramientas, pueden dar lugar a otros tratamientos de datos personales por parte de dichos usuarios finales, cuyo alcance no es posible determinar y que dependerá de los concretos usos que se les den a las herramientas mencionadas.
En consecuencia, abordaremos el análisis de la protección de los datos personales desde el punto de vista de los primeros tratamientos concretos mencionados (datos de los usuarios finales, tratados por el Departamento de Educación), aunque sin perder de vista la posibilidad de otros tratamientos inespecíficos o no concretados.
En cualquier caso, el rol que, desde el punto de vista de la protección de datos, corresponde al Departamento de Educación, éste es el de Responsable del Tratamiento, puesto que, respecto de los usuarios finales, es quien "determina los fines y medios del tratamiento", según definición dada en el artículo 4.7 del RGPD.
En cuanto a Google Commerce Limited (también referido a lo largo de la documentación facilitada como "Google Ireland Limited"), el rol que le corresponde es el de Encargado del Tratamiento, puesto que se trata de quien "trata datos personales por cuenta del responsable del tratamiento", según la definición dada en el artículo 4.8 RGPD.
Entre los requisitos que el RGPD establece respecto del Encargado del Tratamiento, el artículo 28.3 RGPD establece que:
" 3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable (…)"
En este sentido, el Convenio que se somete a informe constituye un acto jurídico vinculante, a los efectos de lo previsto en el artículo 28.3 RGPD, independientemente del carácter gratuito, o no, del convenio.
Asimismo, de acuerdo con los términos de convenio, "Google podrá almacenar y tratar los datos del cliente en cualquier lugar en el que Google o sus subencargados tengan instalaciones" (Anexo 2, punto 10.1). Dado que Google dispone de centros de datos, además de en la UE, en los EEUU, Chile, Taiwán y Singapur, el almacenamiento de los datos del cliente fuera del Espacio Económico Europeo constituye una transferencia de datos personales a terceros países, en los términos del artículo 44 y siguientes del RGPD, que se examinarán a continuación.
II – BASES LEGALES PARA LAS TRANSFERENCIAS A TERCEROS PAÍSES
Conviene distinguir, en primer lugar, los tratamientos transfronterizos de las transferencias internacionales. Mientras que los primeros involucran a tratamientos efectuados en más de un estado miembro de la UE, ya sea debido a la diversidad de establecimientos de responsable, encargado o interesados, las segundas se refieren a tratamientos que conllevan comunicación de datos personales a destinatarios establecidos en terceros países (es decir, fuera del Espacio Económico Europeo) u Organizaciones Internacionales. En el primer caso, tratamientos transfronterizos, no hay ninguna diferencia con los tratamientos efectuados dentro de cualquiera de los estados miembros (salvo la determinación de la Autoridad de control competente).
En cuanto a las transferencias a terceros países y organizaciones internacionales, vienen reguladas en el capítulo V, artículos 44 a 50 del RGPD.
A modo de resumen, el RGPD establece las siguientes modalidades y condiciones respecto de las transferencias a terceros países y organizaciones internacionales:
• Transferencias basadas en una decisión de adecuación
• Transferencias mediante garantías adecuadas
• Transferencia en base a excepciones para situaciones específicas
Transferencias basadas en una decisión de adecuación
Las transferencias de datos personales a terceros países basadas en una decisión de adecuación de la Comisión Europea vienen reguladas en el artículo 45 RGPD:
“Artículo 45 - Transferencias basadas en una decisión de adecuación
1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
(…)"
Respecto de este primer supuesto, transferencias basadas en una decisión de adecuación, las declaraciones de nivel adecuado de protección adoptadas hasta ahora por la Comisión Europea comprenden a los siguientes países, por orden de antigüedad:
• Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Xxxxx Xxxxx, Andorra, Israel, Uruguay y Nueva Zelanda, con anterioridad al RGPD
• Japón y Xxxxx Unido, con posterioridad al RGPD.
Todas ellas mantienen su vigencia tras la plena aplicación del RGPD, de acuerdo con su artículo 45.9.
A destacar el caso xxx Xxxxx Unido, el cual, tras el Brexit, atravesó una situación transitoria hasta que recientemente, el pasado 28 xx xxxxx de 2021, la Comisión Europea adoptó la correspondiente Decisión de Adecuación.
En consecuencia, las transferencias internacionales de datos a estos países pueden efectuarse en las mismas condiciones que al Espacio Económico Europeo, sin necesidad de ninguna autorización previa ni notificación a las Autoridades de Control.
Transferencias mediante garantías adecuadas – Cláusulas tipo
Las transferencias de datos personales a terceros países basadas en la existencia de
garantías adecuadas vienen reguladas en el artículo 46 RGPD:
"Artículo 46 - Transferencias mediante garantías adecuadas
1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a) un instrumento jurídicamente vinculante (…);
b) normas corporativas vinculantes (…);
c) cláusulas tipo (…) adoptadas por la Comisión (…);
d) cláusulas tipo (…) adoptadas por una autoridad de control y aprobadas por la Comisión (…);
e) un código de conducta (…)
f) un mecanismo de certificación (…).
3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas (…) podrán igualmente ser aportadas (…) mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario (…) en el tercer país u organización internacional, o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos (…)
(…)."
De todas las garantías enumeradas, las que resultan relevantes para el caso que nos ocupa son las garantías adecuadas basadas en cláusulas tipo adoptadas, o aprobadas, por la Comisión Europea.
Por "Cláusulas Tipo" o "Cláusulas Contractuales Tipo" (CCT) se entiende un conjunto de cláusulas contractuales estandarizadas que deben incorporarse tal cual, sin modificación alguna, a los contratos suscritos entre responsables y encargados de tratamiento, cuando éstos están establecidos en terceros países.
La Comisión Europea aprobó inicialmente una Decisión (Decisión 2001/497/CE, actualizada por la Decisión 2004/915/CE), aplicables a transferencias entre responsables, así como una segunda (Decisión 2010/87/CE), aplicable a transferencias entre responsables y encargados, y que es la que más se ha venido utilizando. Las transferencias amparadas en tales decisiones mantuvieron su vigencia tras la plena aplicación del RGPD, de acuerdo con su artículo 46.5.
Más recientemente, el pasado 4 xx xxxxx de 2021, la Comisión ha adoptado una nueva Decisión (Decisión de Ejecución (UE) 2021/914, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países)1 que actualiza las dos anteriores de 2001 y 2010, teniendo en cuenta que, desde entonces, se han producido avances de calado en la economía digital: uso generalizado de operaciones de tratamiento nuevas y más complejas en las que a menudo intervienen múltiples importadores y exportadores de datos, cadenas de tratamiento largas y complejas, así como relaciones comerciales cambiantes.
Dicha Decisión de Ejecución (UE) 2021/914 deroga las anteriores Decisiones 2001/497/CE y 2010/87/CE con fecha del próximo 27 de setiembre de 2021, si bien mantiene la vigencia de las transferencias amparadas en ellas hasta el 27 de diciembre de 2022.
Transferencia en base a excepciones para situaciones específicas
Finalmente, el artículo 49 RGPD contempla determinadas excepciones para situaciones específicas que podrían amparar transferencias de datos a terceros países:
"Artículo 49 - Excepciones para situaciones específicas
1. En ausencia de una decisión de adecuación (…) o de garantías adecuadas (…), una transferencia (…) únicamente se realizará si se cumple alguna de las condiciones siguientes:
a) el interesado haya dado explícitamente su consentimiento a la transferencia (…);
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento (…);
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de
reclamaciones;
1 Disponible en xxxxx://xxx.xxx.xx/xxxx/0000/000/X00000-00000.xxx
f) la transferencia sea necesaria para proteger los intereses vitales (…);"
Situaciones sobre las que no nos extenderemos en este informe.
III - TRANSFERENCIAS DE DATOS PERSONALES A LOS EEUU
Los Estados Unidos de América no tienen la consideración de “estado que proporcione un nivel adecuado de protección”, de acuerdo con las exigencias de la legislación de protección de datos europea.
“Artículo 45 - Transferencias basadas en una decisión de adecuación
(…) 2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:
a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, (…);
b )la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país (…), y
c)los compromisos internacionales asumidos por el tercer país (…).
(…)"
Con anterioridad, mientras estuvo vigente la Directiva 95/46/CE, la Comisión Europea adoptó, en el año 2000, la Decisión 2000/520/CE, conocida comúnmente como “acuerdo Safe Harbor o de Puerto Seguro”, mediante la cual se aceptaba la existencia de tal nivel adecuado de protección para aquellas entidades establecidas en los Estados Unidos de América que se acogiesen al sistema de auto-certificación previsto en dichos acuerdos de puerto seguro.
Sin embargo, los acuerdos de puerto seguro adolecían de insuficiencias y deficiencias que, a juicio de las Autoridades de Protección de Datos europeas, aconsejaban su revisión y reforzamiento. Especialmente, a partir de 2013, una vez se tuvo público conocimiento sobre la escala y el alcance de determinados programas de inteligencia de EEUU.
Como consecuencia, el Tribunal de Justicia de la Unión Europea declaró inválida la Decisión 2000/520/CE en su sentencia de 6 de octubre de 2015, en el asunto C-362/14, conocido como "Xxxxxxx-I", al considerar que la Comisión no había manifestado en dicha Decisión que los Estados Unidos garantizaran “efectivamente” un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.
La Comisión Europea inició, nuevamente, conversaciones en 2015 con las autoridades estadounidenses a fin de adoptar una nueva decisión de adecuación que cumpliera “efectivamente” con lo dispuesto en el artículo 25 de la Directiva 95/46/CE. Como resultado, la Comisión Europea adoptó un nuevo acuerdo, la Decisión de Ejecución (UE) 2016/1250 de la Comisión Europea, conocido como “Escudo de Privacidad (Privacy Shield)”.
Pero, también en esta ocasión, el TJUE entendió que, a pesar de las garantías contractuales ofrecidas por el importador de datos en los EEUU y de las garantías de verificación contenidas en el esquema del "Escudo de Privacidad", "en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado".
"164 La Decisión EP precisa también, en el punto I.5 de su anexo II, titulado «Principios del marco del Escudo de la privacidad UE-EE. UU.», que la adhesión a estos principios puede verse limitada, en particular, por «exigencias de seguridad nacional, interés público y cumplimiento de la Ley». Así pues, dicha Decisión reconoce (…) la primacía de las referidas exigencias sobre los antedichos principios, primacía en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas sin limitación a dejar de aplicar esos principios cuando estos entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles con ellas
165 (…) Más concretamente, y tal como se ha constatado en la Decisión EP, las referidas injerencias pueden producirse como consecuencia del acceso a los datos personales transferidos desde la Unión a los Estados Unidos y de la utilización de esos datos por las autoridades públicas estadounidenses, en el marco de los programas de vigilancia PRISM y Upstream basados en el artículo 702 de la FISA y en la E.O. 12333"
En consecuencia, la Decisión de Ejecución (UE) 2016/1250 fue declarada inválida por el TJUE en julio de 2020, con motivo de la sentencia del caso C-311/182, conocido como "Xxxxxxx-II", y las transferencias a los EEUU basadas en la decisión sobre "Escudo de Privacidad" tuvieron que ser suspendidas con carácter inmediato, salvo que estableciesen una nueva base de legitimación para las transferencias.
IV - SITUACIÓN DE LAS TRANSFERENCIAS A LOS EEUU TRAS LA SENTENCIA "XXXXXXX-II"
Las Cláusulas Tipo, previstas en el artículo 46.2 del RGPD, constituyen garantías adecuadas para la transferencia de datos personales a terceros países. En el momento de pronunciarse el TJUE, las cláusulas tipo vigentes eran la adoptadas por la ya mencionada Decisión 2010/87/UE.
El TJUE, con motivo de la precitada sentencia "Xxxxxxx-II", examinó la validez de las Cláusulas Contractuales Tipo establecidas en la Decisión 2010/87/UE, y la consideró válida, por lo que aquellas entidades de los EEUU que, actuando como Encargados de Tratamiento, asumiesen las Cláusulas Contractuales Tipo y las incluyesen en los contratos con sus clientes, responsables de tratamiento de la Unión Europea, podían continuar con la prestación de sus servicios.
El Comité Europeo de Protección de Datos (CEPD) analizó las consecuencias de la sentencia "Xxxxxxx-II" y publicó un documento aclaratorio3, "Preguntas frecuentes sobre la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18", en el cual precisaba, respecto de las Cláusulas Contractuales Tipo:
" 5) Utilizo CCT con un importador de datos en los EE.UU. ¿Qué debo hacer?
El Tribunal consideró que el Derecho estadounidense (es decir, el artículo 702 de la FISA y la OE 12333) no garantiza un nivel de protección sustancialmente equivalente. La posibilidad de transferir datos personales sobre la base de CCT dependerá del resultado de su evaluación,
2 Sentencia "Xxxxxxx-II" disponible en:
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXX:00000XX0000&xxxxxxx
3 Documento "Preguntas Frecuentes…" disponible en: xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxx_xxxxxxx_xx_000000_xxxxxxx_xx.xxx
teniendo en cuenta las circunstancias de las transferencias y las medidas complementarias que haya podido aplicar.
Las medidas complementarias, junto con las CCT, tras un análisis caso por caso de las circunstancias de la transferencia, tendrían que garantizar que la legislación estadounidense no afecte al nivel de protección adecuado que garantizan.
Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y las posibles medidas complementarias, no se aplicarían las garantías adecuadas, se le exige suspender o poner fin a la transferencia de datos personales. No obstante, si desea seguir transfiriendo datos a pesar de esta conclusión, deberá notificarlo a su AC competente"
Es decir, el CEPD, en aplicación del principio de "Responsabilidad Proactiva" consagrado en el artículo 5.2 RGPD, traslada al responsable del tratamiento la necesidad de evaluar las CCT y establecer si, de acuerdo con las concretas circunstancias de la transferencia de que se trate, existen mecanismos que permitan garantizar en la práctica que el nivel de protección es adecuado, pudiendo acordar con el encargado de tratamiento medidas complementarias que contribuyan a garantizar tal nivel de protección.
Como ya se ha comentado anteriormente, el pasado 4 xx xxxxx de 2021 la Comisión ha adoptado una nueva Decisión de Ejecución (UE) 2021/914), que contempla unas nuevas CCT, pero cuya aplicación es, a día xx xxx, escasa, puesto que, en la práctica, empezarán a ser estrictamente exigibles a partir del 27 de diciembre de 2022, fecha que perderán su validez las CCT adoptadas con anterioridad.
V – CUMPLIMIENTO POR PARTE DE GOOGLE DE LAS GARANTÍAS ADECUADAS PARA LAS TRANSFERENCIAS A EEUU
En el convenio se incluyen los dos anexos siguientes:
• "Anexo 1 - Términos del Servicio de Workspace for Education",
• "Anexo 2 - Adenda de tratamiento de datos"
Esta "Adenda de tratamiento de datos" remite, a su vez, a las "Cláusulas Contractuales Tipo", que no se incluyen entre los documentos que acompañan al convenio, pero que están disponibles en línea (en inglés, referidas como "Model Contract Clauses" o como "Standard Contractual Clauses").
Las Standard Contractual Clauses (SCC) se encuentran disponibles en la URL de Google:
• xxxxx://xxxxxxxxx.xxxxxx.xxx/xxxxx/xxx_xxxxx.xxxx
y se corresponden con el texto de las SCC Anexo de la Decisión 2010/87/UE, disponible en:
• xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000X0000 4
Los Anexos citados ("Anexo 1", los "Términos del Servicio de Workspace for Education", y como "Anexo 2", una "Adenda de tratamiento de datos") fueron examinados en 2016, a propuesta de la Autoridad de Protección de Datos xx Xxxxxxx, por el Grupo de Trabajo de
4 También disponible en español en:
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000X0000
Autoridades de Protección de Datos previsto en el artículo 29 de la Directiva 95/46/CE ("Grupo del Artículo 29"), el cual dictaminó5, el 30 de diciembre de 2016, que sí cumplían con los requisitos de la Decisión 2010/87/UE:
"The DPA have concluded that the above documents (i) and (ii) are in line with Standard Contractual Clauses 2010/87/EU and should therefore not be considered 'ad hoc' c1auses. In practice this will reduce the number of national authorizations required to allow the international transfer of data (depending on the national legislation)."
Asimismo, ambos anexos fueron sometidos en 2017 al examen de la Agencia Española de Protección de Datos, la cual, en su resolución TI/153/20176, se remitió al dictamen previamente elaborado por el "Grupo del Artículo 29" al que se ha hecho referencia:
"(…) De acuerdo al procedimiento establecido en el citado documento de trabajo 226, los documentos “Términos y Condiciones de Seguridad y Tratamiento de Datos” y “Contrato de la Adenda de Tratamiento de Datos” fueron analizados por el Grupo de Trabajo de autoridades de protección de datos creados por el artículo 29 de la Directiva 95/46/CE, bajo el liderazgo de la Autoridad de Protección de Datos xx Xxxxxxx (“DATA PROTECTION COMMISSIONER”) y conforme al procedimiento coordinado establecido en el mencionado documento de trabajo 226 del dicho Grupo.
Finalizado el procedimiento coordinado, con fecha 30 de diciembre de 2016, el Grupo del artículo 29 consideró que los documentos “Términos y Condiciones de Seguridad y Tratamiento de Datos” y “Contrato de la Adenda de Tratamiento de Datos” cumplían con los requisitos de la Decisión de la Comisión Europea sobre cláusulas contractuales tipo para la transferencia internacional de datos 2010/87/UE, de 5 de febrero de 2010 y, en consecuencia, no deberían ser consideradas como cláusulas “ad hoc”."
Por otro lado, la AEPD amplió su examen respecto del ya mencionado "Anexo 2 - Adenda de tratamiento de datos", el cual incluye, a su vez, dos "Apéndices", cuyo contenido no había sido analizado por el "Grupo del Artículo 29":
• "Apéndice 1 – Objeto y detalles del tratamiento de datos"
• "Apéndice 2 – Medidas de seguridad".
La AEPD consideró que ambos apéndices respondían a su finalidad y podían considerarse adecuados:
"(…) El apéndice dedicado a la descripción de las transferencias, además de las referencias al exportador e importador de los datos, recoge el marco tanto de los colectivos y categorías de datos que se pueden ver afectados y describe las operaciones de tratamientos a los que se verán sometidos como consecuencia de las transferencias.
En cuanto a las medidas de seguridad, el apéndice correspondiente realiza una remisión a los “Términos y Condiciones de Seguridad y Tratamiento de Datos” y al “Contrato de la Adenda de Tratamiento de Datos” que incluye una relación de las medidas a implantar por el importador de los datos, (…)"
En consecuencia, la resolución TI/153/2017 de la AEPD resolvió en los siguientes términos:
5 La notificación del dictamen de cumplimiento fue realizada por la Autoridad de Protección de Datos xx Xxxxxxx, mediante un escrito disponible en:
xxxxx://xxxxx.xxxxxx.xxx/xxxxx/0000-00-00_Xxxxxx_Xxxxxxx_xxx_X-Xxxxx.xxx
6 Disponible en:
"Primero.- Considerar adecuadas las garantías establecidas en los modelos de contratos aportados por GOOGLE INC. INC. para la transferencia internacional de datos con destino a dicha entidad, establecida en los Estados Unidos y actuando como encargado del tratamiento. Segundo.- Considerar autorizadas las transferencias internacionales de datos con destino a los Estados Unidos que se realicen al amparo de las cláusulas contractuales mencionadas, siempre que se cumplan las siguientes condiciones:
1. La finalidad de la transferencia será la prestación de los servicios denominados Cloud Platform y G-Suite por parte de GOOGLE INC. establecido en los Estados Unidos, actuando como encargado del tratamiento. (…).
2. La autorización sólo podrá entenderse concedida en caso de que el contrato firmado entre los responsables exportadores de los datos y GOOGLE INC., Inc. incorpore la totalidad de los documentos que se han aportado para la adopción de la presente resolución para cada uno de los servicios a los que la misma se refiere.
(…) "
(Se han omitido los detalles de la resolución que ya no resultan de aplicación (como la notificación al Registro de Protección de Datos, o las referencias al RLOPD) tras la plena aplicación del RGPD)
En concreto y refiriéndonos al presente Convenio de Colaboración entre la Administración General de la CAPV y Google Commerce Ltd., el contenido del Apéndice 1
– Objeto y detalles del tratamiento de datos da cumplimiento estricto a lo exigido en el artículo 28.3 RGPD respecto al Encargado del Tratamiento:
" 3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable (…)"
Siendo el contenido íntegro del Apéndice 1 el que se transcribe:
" Apéndice 1: Objeto y detalles del tratamiento de datos Objeto
La prestación por parte de Google de los Servicios y de los Servicios de Soporte Técnico al Cliente.
Duración del tratamiento
El Periodo de Vigencia más el período desde el vencimiento del Periodo de Vigencia hasta el borrado de todos los Datos Personales del Cliente por parte de Google de acuerdo con la presente Adenda de Tratamiento de Datos.
Naturaleza y propósito del tratamiento
Google tratará los Datos Personales del Cliente con el fin de proporcionar los Servicios y los Servicios de Soporte Técnico al Cliente de conformidad con la Adenda de Tratamiento de Datos.
Categorías de datos
Datos relativos a personas proporcionados a Google a través de los Servicios, por (o bajo la dirección de) el Cliente o los Usuarios Finales.
Interesados
Los interesados incluyen las personas sobre las que el Cliente o los Usuarios Finales (o bajo su dirección) proporcionan datos a Google a través de los Servicios."
VI – CUMPLIMIENTO POR PARTE DE GOOGLE DEL ESQUEMA NACIONAL DE SEGURIDAD
Como se ha mencionado, las medidas de seguridad complementarias son la que figuran en el Apéndice 2 – Medidas de seguridad, que ya fueron consideradas adecuadas por la AEPD en su Resolución TI/153/2017.
Adicionalmente, es necesario tener en cuenta que la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD) establece, en su disposición adicional primera, que las medidas de seguridad exigibles a los responsables de tratamientos del sector público serán las del Esquema Nacional de Seguridad (ENS):
" Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.
1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad."
El desarrollo técnico del ENS se atribuye al Centro Criptológico Nacional (CCN-CERT), a través de sus instrucciones técnicas y de las guías CCN-STIC.
El producto "Google G Suite Services (anterior nombre de Google Workspaces) ha obtenido en 2019 la certificación de conformidad con el ENS, en la categoría ALTA, según puede verificarse en la URL:
• xxxxx://xxx.xxx.xxx.xx/xxxxx.xxx/xx/xxxxxx/xxxxxxxxxx-xxxxxxxx/xxxxxxxxxxxx- ens/124-certificado-de-conformidad-google-g-suite/file
Adicionalmente, el concreto producto "Google Classroom", que forma parte de Google Workspaces, ha sido evaluado en junio de 2020 por parte del CCN-CERT, en el documento "Google Classroom. Seguridad y Cumplimiento Normativo", disponible en:
• xxxxx://xxx.xxx-xxxx.xxx.xx/xxxxxxxx/xxxxxxxxx/0000-xxxxxx-xxxxxxxxx-xxxxxxxxx-x- cumplimiento-normativo/file.html
En su evaluación, el CCN-CERT llega a las siguientes conclusiones:
"Atendiendo a lo dicho, podemos extraer las siguientes conclusiones.
- La solución Google Classroom, es conforme con las exigencias del Esquema Nacional de Seguridad (RD 3/2010, de 8 de enero).
- En relación con la vigente normativa de Protección de Datos, en virtud de lo dispuesto en la Disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos y garantía de los derechos digitales, cuando el responsable de tratamiento sea una entidad de las comprendidas en el art. 77.1 de dicho cuerpo legal, las medidas de seguridad pueden considerarse satisfechas, dada la antedicha conformidad certificada de Google Classroom con el ENS.
- La solución G-Suite que proporciona la funcionalidad al producto Google Classroom y la relación con otros productos que se entienden necesarios para dar soporte académico al alumnado, presenta dos (2) versiones diferenciadas, con capacidades incrementales en seguridad. La versión G-Suite Enterprise for Education es la que ofrece las características de seguridad más adecuada para un alineamiento efectivo con el Esquema Nacional de Seguridad. "
CONCLUSIONES
Primero. El Convenio de Colaboración entre la Administración General de la CAPV y Google Commerce Ltd. para la utilización de los servicios "Google Workspace for Education" constituye un acto jurídico vinculante, a los efectos de lo previsto en el artículo
28.3 RGPD, independientemente del carácter gratuito, o no, del convenio. En virtud del mismo, Google adquiere la consideración de Encargado de Tratamiento.
Segundo. Dado que Google dispone de centros de datos, además de en la UE, en los EEUU, Chile, Taiwán y Singapur, la prestación de sus servicios como Encargado de Tratamiento constituye una transferencia de datos personales a terceros países, en los términos del artículo 44 y siguientes del RGPD.
Tercero. Las transferencias de datos personales a los EEUU no pueden ampararse en la Decisión de Ejecución (UE) 2016/1250 ("Escudo de la privacidad"), puesto que dicha Decisión fue declarada inválida por el TJUE en julio de 2020, con motivo de la sentencia del caso C-311/18, ("Xxxxxxx-II")
Cuarto. Las Cláusulas Contractuales Tipo, previstas en el artículo 46.2 del RGPD, constituyen garantías adecuadas para la transferencia de datos personales a terceros países, cuya validez ha sido confirmada por el TJUE en la citada sentencia "Xxxxxxx-II".
Quinto. El convenio que se informa incluye dos anexos ("Términos del Servicio de Workspace for Education", y "Adenda de tratamiento de datos"), los cuales se remiten y complementan las "Cláusulas Contractuales Tipo", disponibles en línea. Dichos anexos fueron examinados en 2016, a propuesta de la Autoridad de Protección de Datos xx Xxxxxxx,
por el "Grupo del Artículo 29", el cual dictaminó, el 30 de diciembre de 2016, que sí
cumplían con los requisitos de la Decisión 2010/87/UE.
Sexto. Ambos anexos citados fueron sometidos en 2017 al examen de la AEPD, la cual concluyó, en su resolución TI/153/2017 que tanto los citados anexos y sus apéndices "respondían a su finalidad y podían considerarse adecuados".
Séptimo. El Apéndice 1 del Anexo 2 ("Objeto y detalles del tratamiento de datos"), da cumplimiento estricto a lo exigido en el artículo 28.3 RGPD respecto al Encargado del Tratamiento, estableciendo el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados.
Octavo. Las medidas de seguridad correspondientes a la plataforma "Google Workspaces" han sido evaluadas y han obtenido, en 2019, la certificación de conformidad con el ENS, en la categoría ALTA.
Vitoria-Gasteiz, a 16 de setiembre de 2021