GDPR Resolution: School Used Health Data Without Consent

1/63 Expediente N.º: EXP202406420 RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR RECONOCIMIENTODE RESPONSABILIDAD Y PAGO VOLUNTARIODel procedimiento instruido por la Agencia Española de Protección de Datos y en basea los siguientesANTECEDENTESPRIMERO: Con fecha 21 de enero de 2026, la Presidencia de la Agencia Española deProtección de Datos acordó iniciar procedimiento sancionador a HOLY MARY CATHOLIC SCHOOL, S.L. (en adelante, el COLEGIO), mediante el acuerdo que se transcribe:<< Expediente N.º: EXP202406420ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADORDe las actuaciones practicadas por la Agencia Española de Protección de Datos y en base a los siguientesHECHOSPRIMERO: Con fecha 24 de abril de 2024 se interpuso reclamación ante la AgenciaEspañola de Protección de Datos por una posible infracción imputable a HOLY MARYCATHOLIC SCHOOL, S.L. con NIF B85476182 (en adelante, el COLEGIO). La reclamación refiere la utilización por parte del COLEGIO de la herramienta “Google Workspace for Education” (en adelante GWE). Según la reclamación, a través de dicha plataforma sus hijos, estudiantes de educación primaria, accederían acontenidos no relacionados con los estudios, como la página web de YouTube yvideojuegos. Habiendo consultado al centro educativo, su director confirmaría lautilización de la herramienta en diferentes clases y que disponen de cuentas de correoelectrónico de Gmail para acceder a la aplicación Chrome. La reclamante afirma queno recibió información sobre la utilización de dicha herramienta.A su reclamación adjunta copia de correos electrónicos remitidos por el centro deeducativo en los que hace referencia al uso de la citada herramienta en el centroescolar y documentación de matriculación y solicitudes de consentimiento facilitados ala reclamante. Aporta hoja de matriculación del centro escolar de (…) de la parte reclamante, firmadapor ambos progenitores con fecha 17/05/2022. Dicho documento contiene los datosrelativos identificativos de (…) y datos de contacto entre otros. Adjunto al documento

2/63hay un apartado relativo a protección de datos, en el que se indican las siguientesbases de legitimación para diferentes tratamientos y finalidades: - Legitimación “Relación contractual con el Centro”, con la finalidad “Gestiónescolar”.- “Interés legítimo del Centro”, con las finalidades “Comunicaciones por correoelectrónico u otros medios”, “Gestión administrativa” y “Gestión de datos desalud del alumno”.- “Obligación legal”, con la finalidad “Formación académica y mantenimiento delhistorial académico”.- “Consentimiento del Interesado”, con las finalidades “Servicios externos desalud, orientación psicopedagógica, etc.”, “Relación con ex-alumnos”,“Actividades extra escolares”, “Envío de comunicaciones no relacionadas conla actividad del Responsable” y “Tratamientos de imágenes y vídeos”.Consta asimismo una política de privacidad y de protección de datos del centro escolarfirmada por la reclamante, donde figura lo siguiente:“(…)La presente política está dirigida a vosotros como padres o tutores de alumnosde Holy Mary Catholic School (en lo sucesivo HMCS).Este documento detalla el tipo de información limitada que se les puedesolicitar durante su relación con HMCS y el uso que se le dará a la misma.HMCS, valora y respeta la privacidad de todos los padres, tutores, yestudiantes y desea que sean totalmente conscientes de los motivos por losque precisamos sus datos, con el fin de proporcionar la mejor educación yservicios.HMCS, solo solicitará los datos estrictamente necesarios para proporcionardichos servicios: datos del estudiante, incluidos fotografías, datos académicosy generales (edad, lugar y fecha de nacimiento, DNI, nombre, nacionalidad ydatos de contacto) a los siguientes efectos:1. Con fines sociales limitados relacionados con el centro (excursionesescolares, eventos deportivos y actividades extraescolares).2. Actualización de a base de datos de HMCS de cara a su uso en actividadesde marketing (ej: página web, boletín informativo para uso interno y dossierinformativo del centro).Además de la información antedicha, se podrán hacer también fotografías yvideos de los estudiantes en nuestro centro o mientras participan enactividades relacionadas con el centro fuera del mismo. Podremos hacertambién grabaciones de video de actos tales como conciertos, jornadasdeportivas, actuaciones u otros eventos educativos. Dichos contenidos podránser utilizado para fines promocionales, de marketing y publicitarios en nuestrarevista / newsletter o en otras publicaciones impresas que produzcamos.(…)Toda esta información adicional constituye, conforme a la Ley de Protección deDatos, también información de carácter personal que se recogerá, tratará ytransmitirá únicamente son su previo consentimiento.(…)”

3/63Consta asimismo una “CLAUSULA MATRÍCULA ESCOLAR” firmada por la reclamantecon la siguiente información:“[…]HOLY MARY CATHOLIC SCHOOL, S.L., como Responsable del tratamiento, leinforma que los datos personales, familiares y académicos del alumno serántratados de conformidad con lo dispuesto en el Reglamento (UE) 2016/679, de27 de abril, (RGPD) y en la L.O. 3/2018, de 5 de diciembre, de protección dedatos y garantía de los derechos digitales (LOPDGDD).Legitimación y fines del tratamiento: Legitimación FinesRelación contractual con el centro Gestión escolarInterés legítimo del centro Comunicaciones por correoelectrónico u otros mediosGestión administrativaGestión de datos de salud delalumnoObligación legal Formación académica ymantenimiento del historialacadémicoConsentimiento del interesado Servicios externos de salud,orientación psicopedagógicaRelación con exalumnosActividades extraescolaresEnvío de comunicaciones norelacionadas con la actividad delresponsableTratamiento de imágenes y vídeos[…] Estas imágenes no serán utilizadas para ningún otro fin ni cedidas aterceros no autorizados.Datos de categorías especiales: Se pueden recoger datos de salud alproporcionarnos información del alumno relativo a alergias, intoleranciasalimentarias, tratamientos médicos prescritos y/o evaluacionespsicopedagógicas, que requerirán el consentimiento expreso del alumno mayorde 14 años o el de sus padres, salvo en caso de urgente necesidad en el queoperará el interés vital del menor.Criterios de conservación de los datos: se conservarán durante el tiemponecesario para alcanzar los fines del tratamiento, bien sea por obligación legal,por la relación contractual con el Centro o por Interés legítimo y cuando ya nosea necesario para tales fines se suprimirán con medidas de seguridadadecuadas para garantizar la seudonimización de los datos o la destruccióntotal de los mismos.Derechos que asisten al Interesado:Derecho a retirar el consentimiento en cualquier momento.Derecho de acceso, rectificación, portabilidad y supresión de sus datos y a lalimitación u oposición a su tratamiento.

4/63Derecho a presentar una reclamación ante la Autoridad de control(www.aepd.es) si considera que el tratamiento no se ajusta a la normativavigente.Datos de contacto del Delegado de protección de datos para ejercer susderechos:Datos de contacto del DPO: - dpo@hmschool.es[…]”SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 dediciembre, de Protección de Datos Personales y garantía de los derechos digitales (enadelante LOPDGDD), se dio traslado de dicha reclamación al COLEGIO, para queprocediese a su análisis e informase a esta Agencia en el plazo de un mes, de lasacciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa deprotección de datos.La notificación del traslado de la reclamación, que se practicó conforme a las normasestablecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento AdministrativoComún de las Administraciones Públicas (en adelante, LPACAP), fue realizada enfecha 25/04/2024 como consta en el acuse de recibo que obra en el expediente.Con fecha 23/05/2024 se recibe en esta Agencia escrito de respuesta del COLEGIO,en el que se refiere a diferentes aspectos de la reclamación y de la utilización de laplataforma.En relación con la información sobre el uso de la herramienta GWE a la reclamante,manifiesta lo siguiente:“Al comienzo del curso escolar, se realiza una reunión informativa con lospadres donde se les traslada diversa información sobre el desarrollo del cursodonde, entre otras cuestiones, se les explica el uso de las herramientasdigitales, Chromebook y que tienen a su disposición las políticas TIC en laaplicación ISAMS cuyo acceso es individual por cada padre.Se adjunta como Documento 1 el email enviado con fecha 29 de agostocomunicando los padres el calendario de las reuniones informativasorganizadas en las distintas etapas”.Afirma haber tenido además varias comunicaciones directas y reuniones con lareclamante para aclarar sus inquietudes en relación con el uso de la plataforma, asícomo sobre otras cuestiones relativas a la escolarización y adjunta correoselectrónicos intercambiados con la reclamante.Aporta el documento “Política ICT dirigida al alumnado de Nursery 1 hasta Year 6", junto con acreditación de que se encuentra en la aplicación iSAMS, a la que tienenacceso individualizado los padres de los alumnos y el documento "Books and Resources", que afirma que se encuentra entre los documentos facilitados a las familias al comienzo del curso escolar.Refiere asimismo la celebración el 16/04/2024 de una reunión sobre la postura delcentro en relación con el papel de la tecnología en la educación, para tratar, entreotras cuestiones, el uso de dispositivos Chromebook en las etapas de Year 1 y Year 2,

5/63de la que aporta convocatoria e informe de conclusiones remitido por correoelectrónico. En dicho correo se habla del uso de pizarras electrónicas no más de 30min al día y Chromebook no más de 2,5 horas a la semana. Se menciona quedependiendo de la edad los alumnos se podrán llevar el Chromebook a casa enmomentos puntuales y que se crearán cuentas a los alumnos, así como otrascuestiones relativas a inteligencia artificial, recomendaciones sobre uso de móviles ysobre la importancia de limitar el uso de pantallas.En relación con el documento “POLÍTICA ICT DIRIGIDA AL ALUMNADO DENURSERY 1 HASTA YEAR 6”, consta, entre otros aspectos, información sobre el usode dispositivos Chromebook, la creación de cuentas para los alumnos para acceder alos Chromebook, se menciona que las aplicaciones de GWE (principales y adicionales)están deshabilitadas para dichos cursos, así como los permisos de acceso amicrófono, cámara y localización. Se indica que el único uso de los Chromebook enesos cursos es para acceder a las clases de ICT, en el que trabajarán fuera delespacio de GWE, y para realizar búsquedas de información. Se mencionan asimismomedidas de seguridad como el filtrado de contenidos y páginas web y que losprofesores monitorizan lo que hace cada alumno en el Chromebook a través delprograma GoGuardian. Se comparten enlaces al contrato de encargo del tratamiento yla adenda de protección de datos de GWE, así como al Aviso de privacidad de GWE.No se aportan sin embargo evidencias de que este documento se le haya facilitado ala reclamante o al resto de progenitores ni consta en el documento la informaciónprevista por el artículo 13 RGPD.En cuanto al documento "Books & Resources YEAR 2", en el que se informa delacceso del alumno a un dispositivo Chromebook que usarán para las clases de ICT yaplicaciones que usarán los alumnos e información descriptiva de para qué sirven. Noconsta sin embargo en este documento la información relativa al artículo 13 RGPD.Aporta encuesta dirigida a padres de alumnos sobre sus ideas y expectativas enrelación al uso de la inteligencia artificial y otras tecnologías en el centro escolar.Se aportan capturas de pantalla de la consola de administración de GWE dondeconsta la siguiente información relevante:- Para todos los estudiantes, la aplicación Google Chat, Google Meet, está desactivada. - Las aplicaciones Classroom, Drive&Docs y Calendar están desactivada paraprimaria. - Consta también que al menos 8 de los servicios adicionales de Google estándesactivados para primaria.- No se permite la instalación a primaria de aplicaciones provenientes del GoogleWorkspace Marketplace. - Están bloqueadas todas las aplicaciones del Chrome Web Store en primaria, conexcepción de algunas que puedan haberse permitido. No constan las permitidas. - Para todos los estudiantes, se bloquean únicamente las urls **URL.1 y **URL.2. - El acceso al micrófono y a la cámara por parte de sitios web y apps estádeshabilitado en primaria

6/63- En Year 11 consta una restricción al envío de emails que, según manifiesta la parte reclamada, consiste en que todos los alumnos excepto Year 12 y Year 13, solo pueden enviar emails a los dominios del COLEGIO.TERCERO: Con fecha 24 de julio de 2024, de conformidad con el artículo 65 de laLOPDGDD, se admitió a trámite la reclamación. CUARTO: La Subdirección General de Inspección de Datos procedió a la realizaciónde actuaciones previas de investigación para el esclarecimiento de los hechos encuestión, en virtud de las funciones asignadas a las autoridades de control en elartículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y deconformidad con lo establecido en el Título VIII, de la LOPDGDD.En el marco de las actuaciones de investigación realizadas se han realizado dosrequerimientos de información al COLEGIO que fueron contestados por el DPD de laentidad con fechas 16/11/2024 y 24/04/2025 y se ha recabado diferente información,entre la que destaca la siguiente: 1. Cuestiones generales:El COLEGIO es un centro educativo privado que sigue el sistema educativo británico.En dicho sistema los cursos que se mencionan en este procedimiento tendrían lasiguiente correspondencia con el sistema educativo español: “Year 1” correspondería a3º de educación infantil, “Year 2” a primer curso de educación primaria y asísucesivamente hasta “Year 13”, que se correspondería con el segundo curso deBachillerato.En su escrito de 16/11/2024, COLEGIO manifiesta que utiliza la herramienta GWE ensu versión “Fundamentals” desde el curso escolar 2021/2022 y que la herramienta esutilizada por 531 alumnos con una cuenta nominativa, de los cuales 395 son menoresde 14 años y 136 mayores de esa edad. El acceso a la herramienta se realiza a travésde dispositivos “Chromebook” facilitados por el centro a los alumnos. En concreto seseñala:“A continuación, facilitamos la información relativa al número de alumnos,según etapa educativa, que están dados de alta en la herramienta GWE concuenta nominativa:● Year02 – 54 Alumnos● Year03 – 54 Alumnos● Year04 – 53 Alumnos● Year05 – 43 Alumnos● Year06 – 50 Alumnos● Year07 – 50 Alumnos● Year08 - 41 Alumnos● Year09 - 47 Alumnos (de los cuales 1 tiene 14 años)● Year10 - 50 Alumno (de los cuales 3 tienen menos de 14 años)● Year11 - 39 Alumnos (de los cuales uno es menor de 14 años)● Year12 - 24 Alumnos● Year13 - 26 Alumnos

7/63Por tanto, el número total de alumnos dados de alta en GWE, con cuentanominativa, son 531 alumnos, de los cuales:● Alumnos menores de 14 años - 395● Alumnos Mayores de 14 años - 136Respecto a la etapa educativa correspondiente a Year 01, informamos que lascuentas incluidas en la consola de administración, estructurada por Unidadesorganizativas, son cuentas genéricas para alumnos creadas con el dominio@student.hmschool.es (ejemplo: student01@student.hmschool.es;student02@student.hschool.es) con la finalidad de acceder a los Chromebooksque utilizan en clase de ICT, tal como se indica en nuestra política informativa.[…]”“Fundamentals” es una de las versiones de la herramienta GWE. En cuanto a ladecisión de utilizar esa versión manifiesta lo siguiente:“[…]La decisión de optar por esta versión básica se basó en que cumplía connuestras necesidades educativas, ya que las diferencias con otras versiones selimitan principalmente al espacio de almacenamiento y a algunas aplicacionesadicionales. En nuestro caso, lo que nos resultaba más relevante era laaplicación Classroom, así como brindar a los alumnos la oportunidad de tomarcontacto con plataformas de aprendizaje de gran envergadura, como son lasque ofrece Google, pero garantizando que esta interacción se lleva a cabodentro de un entorno seguro y controlado por la institución educativa.[…]”2. Uso realizado de GWE:Manifiesta que en el entorno de GWE utilizan las aplicaciones principales Classroom,Drive, Gmail, Calendar, Docs, aportando capturas de pantalla de los perfiles de varios alumnos. Manifiesta, asimismo, que no usan ningún servicio adicional, ni de GoogleWorkspace Marketplace ni ninguna aplicación externa al entorno GWE. En su escritode 24/04/2025 describe el uso de cada una de las aplicaciones.En fecha 24/04/2025 el DPD de la parte reclamada, como respuesta al requerimientode que se describa detalladamente el uso que realizan de GWE apoyándose encapturas de pantalla y ejemplos concretos, aporta la siguiente información ymanifestaciones:9. Manifiesta cómo usan las aplicaciones: Classroom. “Google Classroom es utilizado como entorno digital de aula, especialmente para la publicación de materiales de apoyo, tareas yenlaces relevantes. Los docentes organizan sus clases por materias yniveles, y asignan actividades a través de la plataforma. No obstante, lacorrección y evaluación de dichas actividades no se realiza a través deClassroom, sino de forma presencial o por otros medios, ya que elalumnado realiza sus tareas en papel físico como parte habitual delmétodo pedagógico.”

8/63No acredita de todas las manifestaciones ya que de las 2 capturas depantalla de Google Classroom aportadas, exclusivamente se muestra elcontenido de la pestaña “Tablón”, no mostrándose el contenido de las otras 3 pestañas (“Trabajo de clase”, “Personas”, “Calificaciones”).  Google Docs. “Google Docs permite la creación y edición colaborativa de documentosentre varios usuarios del mismo dominio. Se utiliza especialmente entrabajos grupales o colaborativos propuestos por el profesorado, comoredacciones, presentaciones o esquemas.Los alumnos trabajan de manera conjunta en un mismo documento, ylos docentes pueden visualizar el progreso, añadir comentarios yrealizar sugerencias. La colaboración se mantiene en el entornocerrado del dominio del colegio, sin posibilidad de compartir fuera delmismo.[…]” Google Drive. “Google Drive se utiliza como espacio de almacenamiento institucionalseguro. Los alumnos lo utilizan para guardar apuntes, entregas,presentaciones y otros trabajos escolares, mientras que los docentesorganizan documentos por asignaturas y comparten materiales con losgrupos correspondientes.El centro ha desactivado la posibilidad de compartir documentos fueradel dominio institucional. Además, el equipo de IT realiza auditoríasinternas periódicas, garantizando así que el uso de Drive por parte delalumnado está restringido a fines educativos.” Google Gmail. “Gmail se encuentra habilitado únicamente con cuentas bajo el dominioinstitucional, configuradas para restringir el envío y recepción decorreos a cuentas externas. Esta medida se aplica de forma general.El correo se utiliza principalmente para:● Consultas puntuales entre el alumno y el docente.● Envío de tareas o confirmación de trabajos.● Coordinación de actividades o tutorías.”3. En relación con las cuentas GWE y a los Chromebook, manifiesta:En cuanto a la creación de cuentas de alumnos, en el escrito de 16/04/2024, afirmaque “las cuentas de GWE se crean a los alumnos a partir de Year 02, en el momento de matriculación en este curso y se mantienen activas mientras elalumno/a permanezca en el centro”. En cuanto al uso de los dispositivos Chromebook, afirma:

9/63“Los Chromebooks están asignados a alumnos fijos a partir de Year 07 y hastaYear 13 (en total 277 alumnos con dispositivos asignados).De Year 01 a Year 06 (en total 299 alumnos) los dispositivos están en un carroen las clases, puestos a disposición de los alumnos para que los recojanaleatoriamente para su uso en clase de ICT, siendo el uso de estos dispositivoscompartidos entre los alumnos de cada clase.La decisión del colegio respecto a la asignación o no de dispositivos se basaen el tiempo que se necesitan utilizar los dispositivos y en el nivel de madurezy responsabilidad, que el centro considera alcanzado a partir de Year 07.Los alumnos de Year 01 (45 alumnos) acceden a estos dispositivos con unacuenta genérica, creada tal como se ha indicado en el punto Tercero de estacontestación. Si bien, a partir de Year 02 los alumnos usan la cuentanominativa que les crea el centro.Los alumnos a partir de esta etapa (Year02) puedan acceder a su cuentadesde cualquier lugar, con usuario y contraseña personalizada, teniendo laslimitaciones configuradas respecto a la cuenta por IT. En cuanto a losdispositivos Chromebooks del colegio, están configurados para que sólo sepueda acceder con una cuenta de GWE de la organización.El grado de control que posee el centro escolar sobre la administración yconfiguración de estos dispositivos es absoluta, estando todos losChromebooks registrados en la consola de administración de GWE, en la quelos administradores del colegio pueden monitorear y gestionar la actividad y lospermisos otorgados.(…)”4. En relación con la información proporcionada a los interesadosEn su escrito de 16/11/2024, afirma lo siguiente:“El centro educativo informa a las familias sobre el tratamiento de sus datos personales en la documentación entregada para la formalizar la matrícula. Endicho documento, se facilita la información incluida en los puntos contempladosen el artículo 13 del RGPD, al obtenerse los datos directamente del interesado.[…]Sobre el uso de herramientas y aplicaciones digitales, el centro informó de supolítica en la reunión informativa realizada con familias al inicio de curso. Dichapolítica está dividida por etapas, por un lado, desde Nursery hasta Year 06 ypor otro, de Year 07 hasta Year 13. En esta reunión, se les indica que dichapolítica ICT está a su disposición en iSams (plataforma de comunicación confamilias y alumnos).[…]La plataforma iSams no guarda trazabilidad de los documentos que las familiashan visto o descargado, por lo que no resulta posible a esta parte probar lavisualización por parte de las familias a dicha información. No obstante, estaparte garantiza el deber de información, aportando como Documento 4 capturade pantalla con el acceso concedido a la parte reclamante a dicha plataforma(acceso que hoy en día ha sido eliminado).Queremos aportar en este momento, como Documento 5, nuestra políticacorrespondiente a la etapa de Year07 a Year13, para que esta Agencia tenga a

10/63su disposición toda la información ofrecida por el colegio. Ambas políticasestán publicadas en su versión más reciente en la nueva aplicación paracomunicación con familias. Adjuntamos captura de Documentos 6 comoevidencia de la publicación en nuestra plataforma de comunicación confamilias.”Aporta captura de pantalla de la actividad de login en una plataforma “ISAMS Parent Portal” donde consta el login más antiguo de la reclamante en fecha 19/09/2022. Aporta el documento “POLITICA DE USO DE HERRAMIENTAS Y APLICACIONES INFORMÁTICAS DURANTE DEL DESARROLLO DE LA ACTIVIDAD EDUCATIVA- Apartir de Year 7”. Del contenido de dicho documento cabe destacar la siguiente información:- Se menciona en cuanto a las “Medidas de seguridad aplicadas a estos dispositivos” lo siguiente: “(…) Los estudiantes no pueden descargaraplicaciones y extensiones adicionales en su Chromebook distintas a lasinstaladas por el centro educativo”. - Se afirma que “El centro educativo se reserva el derecho de monitorear y auditar el uso de estos dispositivos a través del programa “GoGuardian” paragarantizar el cumplimiento de esta política y detectar posibles amenazas deseguridad, sospechas o constancia de comisión de ilícitos. Esto se realizarácumpliendo los debidos requisitos, con estricta confidencialidad por laspersonas intervinientes, y adoptando las medidas de privacidad que protejanlos derechos y libertades de los afectados”. - En el apartado “Política de uso de GWE” consta lo siguiente:“(…) como parte del proyecto educativo, proporcionamos una cuenta acada alumno/a con dominio del colegio creada en el espacio de GWEcontratado por el colegio. A diferencia de las cuentas genéricas queofrece Google, los servicios bajo el dominio del centro son serviciosadministrados por el propio centro educativo, en concreto por nuestroequipo de IT.GWE está compuesto por un paquete de herramientas y complementosque facilita y agiliza la gestión, la comunicación, la colaboración y lacreación de contenidos para el desarrollo de la actividad educativa.Dentro de este espacio, Google ofrece dos tipos de aplicaciones, por unlado, aplicaciones principales y, por otro, servicios adicionales. ElColegio desde la consola de administración tiene habilitadasúnicamente las aplicaciones que se consideran necesarias para eltrabajo adecuado del alumno/a.Para el uso de las aplicaciones principales, el Colegio ha formalizado uncontrato con Google sobre el procesamiento de datos que realizaGoogle como Encargado de tratamiento. Los servicios adicionales delpaquete Google Workspace for Education están deshabilitados, por loque Google en ningún caso podrá utilizar esta cuenta para sus propiosfines.

11/63La base jurídica para llevar a cabo el tratamiento de los datospersonales de los alumnos afectados por el uso de la herramienta GWEse encuentra en el artículo 6.1 c) RGPD, según el cual el tratamiento esnecesario para cumplir una obligación legal aplicable al responsable deltratamiento, de conformidad con la existencia de normas educativasque habilitan a los centros al uso de estas herramientas para elcumplimiento del centro con sus funciones educativas (en concreto laLey Orgánica 2/2006, de Educación y Ley Orgánica 3/2018, deProtección de Datos y Garantías de los Derechos Digitales).(…)¿Qué información personal recoge Google?Al crear una cuenta de alumno/a, el Colegio puede proporcionar aGoogle determinada información personal sobre el alumno/a (enconcreto, el nombre y apellidos, y el curso académico en el que seencuentra).Cuando un alumno/a use los servicios de Google éste también recabarála información basada en el uso de esos servicios, en concreto:● Información de dispositivo como, por ejemplo, el modelo de hardware,la versión de sistema operativo, los identificadores exclusivos deldispositivo y la información de la red móvil, incluido el número deteléfono. Por ello, se recomienda acceder a las cuentas desde elChromebook del colegio, ya que la información entonces que sealmacenará será de este dispositivo que es propiedad del colegio.● Información de registro, incluidos los detalles de cómo ha utilizado elusuario los servicios de Google, los datos de los eventos del dispositivoy la dirección del protocolo de internet del usuario (IP).● Números exclusivos de la aplicación (como el número de la versiónde la aplicación).● Cookies o tecnologías similares que se utilizan para recabar yalmacenar información sobre un navegador o un dispositivo (p. ej., elidioma preferido y otros ajustes).¿Utiliza Google la información personal de los alumnos para losusuarios de centros educativos con el fin de orientar la publicidad?No, los servicios principales de Google Workspace for Education nocontienen publicidad y no usan la información de la que disponen confines publicitarios.¿Divulgará Google la información personal del alumnado?Google se compromete a no divulgar información personal, salvo en lossiguientes casos:a. Se tenga el consentimiento del interesado o su padre, madre o tutor.b. Cuando sea necesario para el procesamiento externo. Google puedeproporcionar información personal a los afiliados o a otras personas oempresas de confianza para que la procesen en nombre de Google,siguiendo nuestras instrucciones de Google y de conformidad con elAviso de Privacidad de Google Workspace para Centros Educativos yotras medidas de seguridad y confidencialidad adecuadas.c. Cuando sea necesario cumplir con una obligación legal. Másinformación en Privacidad y seguridad de Google for Education.

12/63(…)”- Al final del documento consta un espacio de firma para alumnos, padres otutores, con el siguiente texto: “Tanto el alumno/a mayor de 14 años, como sus familias, reconocen haber sido informados sobre la política de creación y usode cuentas de GWE en el centro”. Aporta asimismo captura de pantalla de una aplicación móvil que, según afirma, es suplataforma de comunicación con las familias, en la que consta la publicación de undocumento con título “IMPORTANT INFORMATION ABOUT GWE” cuyo contenidoparecer ser el mismo al de la “POLITICA DE USO DE HERRAMIENTAS Y APLICACIONES INFORMÁTICAS DURANTE DEL DESARROLLO DE LA ACTIVIDADEDUCATIVA- A partir de Year 7”. No consta fecha de publicación. En su escrito de 24/04/2025, en relación con el documento “POLITICA DE USO DE HERRAMIENTAS Y APLICACIONES INFORMÁTICAS DURANTE DELDESARROLLO DE LA ACTIVIDAD EDUCATIVA- A partir de Year 7”, afirma lo “El centro no dispone de versiones firmadas de dicha política en formato papel ni digital con firma electrónica individualizada de los progenitores, dado que elprocedimiento de comunicación e información de las políticas ICT no searticula mediante recogida de firmas, sino a través de la plataforma digitalinstitucional de comunicación con familias.Cabe aclarar que, si bien en un procedimiento anterior se informó que estadocumentación estaba accesible en la plataforma iSAMS, en el curso actual elcentro ha migrado su sistema de comunicación a una nueva plataforma quepermite gestionar, notificar y hacer seguimiento de la visualización dedocumentos por parte de los progenitores.”Aporta un documento Excel con información para varios progenitores, segúnmanifiesta la parte reclamada, con “la trazabilidad completa de visualización de dicha política ICT”. Consta en dicha información aportada, entre otras columnas, una columna de “Date received” con fechas en noviembre 2024 y columnas “Signature”vacías.En relación con la base de legitimación del tratamiento, en su escrito de 16/11/2024afirma lo siguiente:“La base jurídica para llevar a cabo el tratamiento de los datos personales delos alumnos afectados por el uso de las herramientas GWE se encuentra en elartículo 6.1 c) RGPD, según el cual el tratamiento es necesario para cumpliruna obligación legal aplicable al responsable del tratamiento, de conformidadcon la existencia de normas educativas que habilitan a los centros al uso deestas herramientas para el cumplimiento del centro con sus funcioneseducativas (en concreto la Ley Orgánica 2/2006, de Educación y Ley Orgánica3/2018, de Protección de Datos y Garantías de los Derechos Digitales).Asimismo, compartimos el planteamiento de la AEPD en su informe 0050/2023,del cual se deduce que el tratamiento podría entenderse también basado en el

13/63artículo 6.1 e) RGPD, por el que el tratamiento es licito cuando sea necesariopara el cumplimiento de una misión realizada en interés público.[…]”En relación con el Registro de actividades del tratamiento (en adelante, RAT), en suescrito de 16/11/2024 aporta RAT donde consta, entre otra información, que elresponsable del tratamiento es el COLEGIO y el DPD es ***EMPRESA.1. En elapartado de categorías de datos consta exclusivamente:“Datos identificativos: Nombre y apellidos, cuenta de correo electrónico dealumno creada con la inicial y el apellido.Categorías de datos especiales o penales: NoOtro tipo de datos Académicos y seguimiento de tareas escolares.”En relación con la realización de una Evaluación de impacto relativa a la protección dedatos (en adelante, EIPD), a su escrito de 18/11/2024 aporta un documento de EIPDcon fecha de agosto de 2021 y firma del responsable y del DPD.De dicho documento cabe destacar lo siguiente:- En el apartado “Tipo de datos tratados” consta:“Los únicos datos tratados son identificativos. Para la creación de cuenta: inicial de nombre + primer apellido ycontraseña. Para el perfil de usuario datos adicionales como: nombre +dos apellidos + año escolar”- Se indica que no se tratan datos especialmente sensibles.- En el apartado “¿Se comparten datos? Describe qué datos se comparten, el destinatario y la razón” consta lo siguiente: “Google utiliza una red global de centros de datos. Sin embargo, con laslicencias contratadas de GWE en su versión Fundamental no es posiblepara el centro educativo elegir una ubicación específica para elalmacenamiento de datos, por lo que puede almacenarse en países nopertenecientes al Espacio Económico Europeo (EEE), ya que es Googlequien decide dónde alojarlos.Las transferencias internacionales de datos que en su caso se realicen,cumplen con garantías adecuadas al estar reguladas por las StandardContractual Clauses (SCC) las cuales se encuentran disponibles enhttps://workspace.google.com/terms/mcc_terms.html” - En el apartado “2.6 Necesidad y Proporcionalidad del Tratamiento” consta lo “Justificación de la eficacia del tratamiento por el propósito que se busca.

14/63El tratamiento de estos datos está directamente relacionado con elcumplimiento de las responsabilidades educativas del colegio, tanto anivel académico como administrativo.El tratamiento de datos, realizado mediante la creación de cuentas deusuario, resulta apropiado para lograr eficazmente el propósitoperseguido por el centro de facilitar a sus alumnos alcanzar lascompetencias digitales o destrezas en entornos TIC, cumpliendo asícon la obligación de las instituciones educativas de garantizar que susestudiantes tengan acceso a herramientas educativas adecuadas parasu formación.Justificación de la necesidad del tratamiento.El tratamiento de datos personales mediante GWE es necesario paragarantizar el correcto funcionamiento de las actividades educativas,como la gestión de clases, la colaboración en línea, el almacenamientode materiales educativos y la comunicación entre estudiantes ydocentes. La herramienta facilita el acceso a servicios esenciales comoel correo electrónico, el almacenamiento en la nube, el calendario, lacreación de documentos y hojas de cálculo, entre otros, que sonfundamentales para el desarrollo de las funciones académicas yadministrativas en el entorno educativo. Además, GWE ofrece unainfraestructura segura y conforme con el RGPD, permitiendo el controladecuado de los datos personales, su protección y el cumplimiento delos derechos de los usuarios. El tratamiento es, por lo tanto, necesariopara el cumplimiento de la misión educativa y el interés legítimo de lainstitución, sin que ello suponga un riesgo desproporcionado para losderechos y libertades de los interesados.Justificación de que el tratamiento es proporcional.El tratamiento de datos evaluado cumple a nuestro juicio con el principiode proporcionalidad, al ponderar los beneficios aportados por eltratamiento de datos frente al impacto sobre los derechos y libertadesde los interesados.Es proporcional, ya que se limita exclusivamente a los datos necesariospara llevar a cabo las actividades académicas y administrativasesenciales, como la gestión de tareas, el seguimiento de progresoeducativo, la comunicación entre estudiantes y docentes y el acceso arecursos educativos en línea.Los datos recopilados son los mínimos necesarios para garantizar elcorrecto funcionamiento de la plataforma y no se procesan más allá delo que es estrictamente necesario para cumplir con estos fines.Además, la herramienta permite la configuración de medidas deseguridad y control de acceso que limitan la visibilidad y el uso de losdatos, asegurando que solo las personas autorizadas puedan acceder ala información. A través de políticas claras de retención y eliminación dedatos, se asegura que los datos no sean conservados por más tiempodel necesario, lo que refuerza la proporcionalidad del tratamiento enrelación con los objetivos educativos. En todo caso, los recursos ymateriales educativos a los que se les da acceso a los alumnos, tieneen cuenta su etapa educativa, limitando el acceso a las aplicaciones

15/63básicas de Google que se entiendan necesarias. No se considera quela implantación de esta tecnología cause perjuicios sobre los datos delos alumnos considerando que todos los servicios adicionales estándesactivados.”- En el apartado de conclusiones consta lo siguiente:“• El centro contrata el servicio de GWE con Google, que cuenta connormas de aplicaciones internacionales de seguridad y privacidad. Esteproveedor actúa como encargado del tratamiento bajo un Acuerdo deProcesamiento de Datos, limitando su acceso a los datos a loestrictamente necesarios para la prestación del servicio. Google noutiliza datos de alumnos para fines comerciales o publicitarios en lamodalidad de servicios principales que es la que utiliza el centro.• El centro educativo solo recopilará y procesará los datos personalesestrictamente necesarios para la creación de la cuenta de alumno, estoes, datos identificativos de nombre y apellidos. Tampoco se tratancategorías especiales de datos.• El centro educativo tiene habilitados exclusivamente las aplicacionesnecesarias para el apoyo del proceso educativo, las cuales están dentrode las principales, de Google Workspace for Education, manteniendodesactivados los servicios adicionales.• Al ser los Chromebooks propiedad del colegio, el centro educativo esel único competente, a través de su departamento de IT, para laconfiguración, gestión y supervisión de la consola de administración deGoogle y definirá a través de sus políticas de uso de dispositivos cómoutilizar dichas herramientas y las medidas de seguridad aplicadas.Además los Chromebooks son dispositivos altamente seguros porqueestán diseñados con múltiples capas de seguridad que dificultanenormemente la infección por virus tradicionales. Su enfoque deseguridad proactivo, combinado con la ejecución de aplicaciones web,el aislamiento de procesos y las actualizaciones automáticas, hace queestos dispositivos sean mucho más resistentes frente a malware yataques cibernéticos en comparación con sistemas operativos mástradicionales porque la probabilidad de falta de disponibilidad, acceso ala información o manipulación de los datos es muy difícil.• Respecto a la información sobre el tratamiento de los datospersonales, el colegio informará a los padres y/o alumnos desde elmomento de la matriculación y durante el curso escolar, explicando eluso de herramientas y recursos educativos ofrecidos por el colegiocomo parte del aprendizaje escolar y toma de contacto con latecnología. La información ofrecida incluirá las medidas de seguridad yprivacidad implantadas, así como de los derechos que en protección dedatos pueden ejercer. Esto ser realizará a través de las políticas ICTque se difundirán en los canales de comunicación de colegio.En conclusión, la puesta en marcha de todas las medidas de seguridadimplantadas por Holy Mary, y que han sido reflejadas a lo largo de estaevaluación, garantizan que solo los datos personales mínimos que serecogen son tratados dentro de un entorno seguro y conforme a lanormativa de protección de datos. Todo ello permite concluir que, del

16/63tratamiento de datos evaluado, resulta un riesgo de nivel bajo,considerado aceptable, por lo que no es necesario realizar una consultaprevia a la AEPD. No obstante, aunque el riesgo residual detectado seconsidera asumible, es aconsejable siempre mejorar en las medidas decontrol, por lo que sugerimos a continuación algunas de ellas:Revisar periódicamente las políticas informativas sobre ICT ymantenerlas publicadas y actualizadas.Revisar periódicamente la configuración de la consola de administracióny los permisos concedidos de acceso a aplicaciones según las unidadesorganizativas.Formación y concienciación, en materia de protección de datos, alpersonal de nueva incorporación, y a todo el personal que ya la hubieserecibido en caso de ser necesaria por circunstancias/ acontecimientosnuevos y/o reciclaje.Activar los mecanismos de revisión continua de la evaluación deimpacto y, si se detectan cambios significativos en la forma en que setratan los datos personales volver a evaluar los riesgos y determinarmedidas adicionales para abordarlos.”Requerido el COLEGIO sobre las alternativas a GWE analizadas, junto a su escrito de24/04/2025 aporta un documento titulado “INFORME SOBRE LAS HERRAMIENTAS TECNOLÓGICAS DISPONIBLES EN EL MERCADO PARA LA IMPLEMENTACIÓNDE ENTORNO EDUCATIVO DIGITAL EN HOLY MARY CATHOLIC SCHOOL” con fecha 03/06/2021 y firmado por la subdirectora del centro.En dicho documento consta un análisis de 4 herramientas, incluyendo GWE, de lasque se analizan los siguientes aspectos:“1. Cumplimiento normativo y protección de datos 2. Capacidad de configuración por parte del centro (rol administrador) 3. Seguridad de la información 4. Capacidad de control y supervisión sobre dispositivos y usuarios 5. Facilidad de uso e integración en el entorno educativo 6. Adopción generalizada entre alumnado en España 7. Desactivación de servicios no educativos y control granular 8. Compatibilidad con Chromebooks que el centro ya tiene adquiridos 9. Disponibilidad de documentación técnica, soporte y formación”En el análisis comparativo figura lo siguiente:Microsoft 365EducationGoogleWorkspace forEducation –FundamentalsApple SchoolManager +iCloud Moodle +Hosting (AWS)CumplimientoRGPDAlto. Microsoftactúa comoAlto. Basado encláusulasMedio. AunqueApple ofreceVariable.Depende del

17/63Encargado delTratamiento yproporcionagarantíasmediante SCCy DPA europeo.contractualestipo (SCC) ycompromisoexplícito comoEncargado delTratamiento.Permiteconfigurar laprivacidad desdeconsola ydesactivarservicios noeducativos. herramientaseducativas, elcontrol sobrelos datos y laubicación delalmacenamiento depende delecosistemaApple y suspolíticas deprivacidad, queno siempreestánadaptadas alentorno escolar.proveedor deservicios cloud(como AWS) ydel nivel deconfiguración yresponsabilidad del centro. Control por elcentroAlto. Buencontrol a travésdeherramientascomo MicrosoftIntune, aunquecon una curvade aprendizaje.Muy alto. Laconsola deadministraciónpermite lagestión total deusuarios,servicios ydispositivos. Bajo. El controlestá limitado alo que permiteApple SchoolManager yrequiereecosistemaApple completo.Alto, perorequiereconocimientostécnicos yadministraciónactiva delservidor o delproveedor dehosting. Seguridad Alta. Disponede medidassimilares aGoogle,aunque menosadaptadas aentornosescolares pordefecto. Alta. Datoscifrados entránsito yreposo. Registrode actividad,alertas yconfiguración deseguridad porperfiles. Alta, aunquedepende enparte de laconfiguraciónde dispositivosiOS por partede los usuarios.Variable.Depende de laconfiguracióndel servidor,certificadosSSL, backupsy políticas deacceso delproveedor. Supervisión deusoSí. A través deMicrosoftIntune yherramientasde controlparental yeducativo. Sí. IntegraciónconherramientascomoGoGuardian ygestión granulardesde la consolade Admin. Limitada. Noexistenherramientasespecíficaspara control ymonitorizaciónescolar. Posible peromanual.Requiereinstalarherramientasadicionales decontrol, logs ydashboards. Integración condispositivos delcentroMedia. Puedeusarse enChromebooks,pero requiereaplicaciones deterceros oacceso web. Total.Integraciónnativa conChromebooks,gestionadosdesde la consoladel centro. Alta solo condispositivosApple (iPads,Macbooks).Incompatiblecon otrasplataformas. No aplicabledirectamente.Depende delentorno delusuario y delacceso víanavegador oapp móvil. Facilidad de uso eimplementaciónAlta. Familiarpara entornosempresarialesy docentes,aunque algomás complejopara alumnos. Muy alta.Entornoamigable, muyutilizado porjóvenes, accesosencillo conpoca curva deaprendizaje. Baja. Menoradopcióngeneral yentorno cerradoal ecosistemaApple. Media. Lainterfazdepende delproveedor.Requierediseño,configuración ymantenimiento Uso común entrealumnadoMedio. Másconocido enentornos Muy alto. GWEes uno de losentornos másutilizados por Bajo. Pocoextendido entrealumnos fuerade entornosBajo. Requiereformaciónespecífica y noes nativamente

18/63Apple. Control deservicioseducativosMedio. Menosgranular queGoogle,aunque permitedefinir grupos yaccesos. Totalmenteconfigurable. Elcentro puededesactivar todoslos serviciosadicionalesdesde laconsola. Bajo. No existesegmentaciónespecífica paraentornoseducativos encuanto aprivacidad. Alto. El centrocontrola quéservicios seinstalan,aunquerequiereconocimientostécnicos ymantenimientoconstante. En el apartado de conclusiones de dicho documento se indica lo siguiente:“Tras el análisis de las alternativas existentes, se ha concluido que la opciónmás adecuada a nivel pedagógico, organizativo y de cumplimiento normativoes Google Workspace for Education - Fundamentals, por las siguientesrazones:▪ Permite al centro un control completo sobre las cuentas de usuario, serviciosactivados y dispositivos.▪ Se trata de una plataforma segura y conforme con el RGPD, incluyendocláusulas contractuales tipo (SCC), tras la invalidación del Privacy Shield.▪ Ofrece una experiencia integrada con dispositivos Chromebooks,promoviendo un entorno seguro para el alumnado.▪ Está ampliamente extendida entre la comunidad de jóvenes en España, eluso de Google y de sus aplicaciones, lo que favorece una alfabetización digitalmás efectiva, en un entorno controlado y seguro.▪ La consola de administración permite una gestión eficiente de permisos,auditorías, filtrado de contenido y desactivación de servicios adicionales.”En relación a la configuración aplicada a GWE, en su escrito de 16/11/2024, elCOLEGIO aporta capturas de pantalla de configuraciones de GWE donde constanaplicaciones y opciones activadas y desactivadas.En dicha información, en relación con la protección de navegación segura, consta lasiguiente información:“Permite especificar si la función navegación segura de Google se activa en las cuentas de los usuarios. En Chrome este tipo de navegación ayuda a protegera los usuarios contra los sitios web que pueden contener software malicioso ointentar suplantar su identidad (fishing).Si seleccionas Navegación segura está activa en modo mejorado, mejorará laseguridad, pero tendrás que compartir más información de navegación conGoogle.La opción Permitir que el usuario decida está seleccionada de formapredeterminada y los usuarios pueden activar o desactivar Navegación segura.Si activas Navegación segura, los usuarios no podrán cambiar ni anular esteajuste en Google Chrome.”En las capturas de pantalla aportadas, consta configurado, para primaria y secundaria:“Navegación segura, está activa en el modo mejorado. Este modo proporciona más

19/63seguridad, pero requiere que se comparta más información de navegación conGoogle.” En el apartado de “Anulación de usuario” consta “No permitir que los usuarios anulen este ajuste”. Con fecha 15/10/2025 se comprueba de documentación extraída de internet enrelación a la funcionalidad de “Navegación Segura” de Google Chrome, lo siguienteque (traducción no oficial del inglés):“Protección reforzadaLa protección reforzada envía más información sobre su actividad a Google entiempo real para ofrecer una protección más sólida y personalizada. Estainformación incluye las URL que visita y una pequeña muestra de contenido depáginas, descargas, actividades de extensión e información del sistema. La protección reforzada incluye las características por defecto y opcionalesincluidas en la protección estándar.”En otra de las capturas de pantalla, consta configurada para primaria y secundaria, enrelación a Chrome Web Store, la siguiente opción: “Permitir todas las aplicaciones, el administrador gestiona la lista de bloqueadas”. Con fecha 13/10/2025 se comprueban las opciones de configuración en relación con laextensión Chrome Web Store en la página de soporte de Google(https://support.google.com/chrome/a/answer/6177431?hl=en#zippy=%2Callow-or-block-all-apps-and-extensions-except-the-ones-you-specify). En la informaciónproporcionada por Google constan tres opciones de configuración. En primer lugar, laopción por defecto, que es la configurada por el COLEGIO (“permitir todas las todas las aplicaciones, el administrador gestiona la lista de bloqueadas”). En segundo lugar, existe la opción de configuración “bloquear todas las apps, el administrador gestiona la lista de permitidas”. Por último, existe la opción “bloquear todas las apps, eladministrador gestiona la lista de permitidas, los usuarios pueden solicitarextensiones”. Asimismo, en las capturas de pantalla adjuntadas, consta que la opción “Send crash reports and diagnostic and usage data to ChromeOS. Help improve ChromeOSfeatures and performace. Data is aggregated and highly protected” está activado en un dispositivo de prueba con ChromeOS.Con fecha 15/10/2025 se comprueba, en la documentación de la página web deGoogle, que consta lo siguiente en relación al envío de informes de fallos ChromeOS(traducción no oficial del inglés):“Iniciar o detener la notificación automática de errores y fallosPermitir que Chrome nos envíe informes automáticos nos ayuda a priorizar quéarreglar y mejorar en Chrome. Estos informes pueden incluir cosas comocuándo se bloquea Chrome, cuánta memoria está utilizando y ciertainformación personal. Puede iniciar o dejar de permitir estos informes en cualquier momento. (…)

20/63Si Chrome falla, es posible que se incluya alguna información personal en elinforme. Estos informes tienen: Memoria relacionada con el bloqueo, que puede incluir contenido de la página,información de pago y contraseñasTu configuración de ChromeExtensiones que tienes instaladasLa página web que estaba visitando en el momento del accidenteEl sistema operativo, el fabricante y el modelo de su dispositivo El país en el que utilizas Chrome”.En relación con las medidas organizativas y técnicas implantadas en el centroeducativo para la aplicación efectiva de los principios de protección de datos desde eldiseño y por defecto, en el escrito de 24/04/2025, el COLEGIO aporta un documentotitulado “INFORME SOBRE LA APLICACIÓN DEL PRINCIPIO DE PROTECCIÓN DEDATOS DESDE EL DISEÑO Y POR DEFECTO (art. 25 RGPD)”, de fecha 22/04/2025,del que se extrae la siguiente información:“(…)2. Medidas adoptadas antes del inicio del tratamiento (diseño)Antes de su puesta en marcha el centro adoptó un enfoque preventivo yproactivo, que incluyó:(…)- La configuración restrictiva inicial de las cuentas y dispositivos desde laconsola de administración, siguiendo las mejores prácticas de Google paraentornos educativos.(…)- La elaboración y difusión de políticas internas de uso TIC adaptadas poretapas educativas, con información clara y completa a alumnos y familias.3. Medidas adoptadas durante el tratamiento (por defecto)Una vez iniciado el tratamiento, el centro implementó las siguientes medidaspara garantizar que solo se traten los datos personales necesarios -medidasque se encuentran en permanente revisión-:- Supervisión y mantenimiento continuo por parte del equipo de IT.- Revisión periódica de la actividad en las cuentas de Drive y Classroom porparte del personal autorizado, por el equipo de IT.- Control del uso del correo electrónico, limitado exclusivamente al dominioinstitucional.- Desactivación permanente de los servicios adicionales de Google así comode las aplicaciones principales no necesarias para la actividad educativa.- Monitoreo en tiempo real mediante GoGuardian, que permite visualizar yactuar ante usos indebidos.- Revisión y actualización periódica de las políticas de seguridad y uso TIC porla dirección del centro, con el apoyo de IT y el asesoramiento del DPO.4. Documentación acreditativaPara acreditar la aplicación efectiva del principio de protección de datos desdeel diseño y por defecto, tanto antes del inicio del tratamiento como durante eltratamiento, una vez ya iniciado, se ha aportado la siguiente documentación:

21/63- Evaluación de Impacto relativa a la Protección de Datos (EIPD). Esta EIPD yafue aportada en el requerimiento anterior.- Informe de evaluación comparativa de alternativas tecnológicas. Se aporta enla contestación de este nuevo requerimiento, como documento nº 6.- Política de Seguridad del tratamiento en GWE. Se aporta en la contestaciónde este nuevo requerimiento, como documento nº 10.- Políticas de uso TIC diferenciadas por etapa educativa. Estas políticas yafueron aportadas en el requerimiento anterior.- Configuración técnica basada en el catálogo de buenas prácticas de GoogleWorkspace for Education. Esta configuración ya fue aportada en elrequerimiento anterior.- Información a familias y usuarios sobre las medidas de protección de datos yprivacidad. Esta información ya fue aportada en el requerimiento anterior(Estudio uso de tecnología).”No se aporta, sin embargo, documentación acreditativa sobre las revisiones periódicasque se realizan de las cuentas de Drive ni sobre el correo electrónico. Tampocodocumentación interna que acredite cómo aplican la privacidad desde el diseño y pordefecto.En relación con las medidas de privacidad desde el diseño y por defecto aplicadas altratamiento que supone el almacenamiento de información, en principio no acotada,por parte de los alumnos en sus espacios de almacenamiento, el COLEGIO afirma lo“Antes del inicio del tratamiento, se configuraron desde consola las siguientesmedidas:- Restricción de la capacidad de compartir contenido con cuentas ajenas aldominio institucional.- Desactivación de la funcionalidad para compartir archivos públicos o conenlaces abiertos.- Configuración de políticas de uso segmentadas por etapas educativas.Durante el tratamiento, se aplican medidas complementarias, entre ellas:- Monitorización continua del uso de las cuentas mediante herramientas degestión como GoGuardian y la consola de administración de Google.- Auditorías internas regulares para verificar el destino de los archivoscompartidos por el alumnado.- Se aporta, como Documento 8, captura que muestra eventos “compartidos deforma externa”, y que hacen referencia a las interacciones internas entrealumnado y profesorado, dentro del entorno Google Workspace del centro.- Supervisión y revisión de carpetas compartidas por parte del equipo IT, concapacidad para restringir, revocar permisos y actuar ante usos indebidos.Adicionalmente, los docentes hacen seguimiento de su aplicación prácticadurante el curso.”No acredita sin embargo la realización de auditorías internas o cómo utiliza ese centroeducativo la herramienta GoGuardian.

22/63En relación con la existencia de transferencias internacionales de datos, en su escritode 24/04/2025, el COLEGIO aporta un documento con título “Transfer Impact Assesment (TIA)” fechado a 15/01/2025, donde consta lo siguiente: “(…)2. Identificación de transferencias internacionalesDado que Google utiliza una red global de centros de datos, los datospersonales tratados mediante GWE pueden ser transferidos y almacenados enpaíses fuera del Espacio Económico Europeo (EEE), sin posibilidad de que elcliente seleccione la ubicación exacta del almacenamiento. Estastransferencias se consideran transferencias internacionales conforme al RGPD.3. Países de destino potenciales y subencargadosLos datos pueden ser tratados en cualquier país donde Google LLC o sussubencargados mantengan centros de procesamiento. La lista actualizada deubicaciones y subprocesadores está disponible en los siguientes enlaces:- https://workspace.google.com/intl/en/terms/subprocessors- https://cloud.google.com/about/locations4. Análisis del marco legal en los países de destinoEl centro ha analizado las cláusulas contractuales tipo (SCCs) firmadas conGoogle y ha evaluado la información publicada por el proveedor. Googledeclara que no ha recibido solicitudes gubernamentales que contravengan elRGPD y que notificará a sus clientes en caso de acceso por autoridades. Dadoque no se dispone de análisis país por país, se considera que no existenpruebas o indicios suficientes de que las legislaciones nacionales impidan aGoogle cumplir con las SCCs firmadas con el centro. Asimismo, el centro hatenido en cuenta el documento técnico elaborado por Google en agosto de2021 titulado 'Safeguards for international data transfers with GoogleWorkspace and Workspace for Education', en el que se analiza el cumplimientode las SCCs y las implicaciones de la legislación estadounidense (FISA 702,EO 12333). En dicho documento se describen las garantías jurídicas, técnicasy organizativas que Google aplica para asegurar la protección de los datostransferidos fuera del EEE, y se concluye que no existen impedimentos legalesque comprometan el cumplimiento efectivo de las obligaciones contractualesbajo las SCCs.(…)5. Garantías contractuales aplicadas (SCCs)Las SCCs aplicadas corresponden a la decisión de ejecución de la ComisiónEuropea de 4 de junio de 2021 (C/2021/3972).Estas cláusulas obligan a Google a cumplir las obligaciones del encargado deltratamiento y a garantizar un nivel de protección adecuado, incluso si los datosson tratados fuera del EEE. Las SCCs se encuentran disponibles en:https://workspace.google.com/terms/mcc_terms.html6. Medidas técnicas y organizativas complementarias- Desactivación de todas las aplicaciones y servicios adicionales no esencialesdesde consola.

23/63- Certificaciones de seguridad y privacidad de Google. Google Workspace forEducation cuenta con certificaciones reconocidas internacionalmente enmateria de seguridad y privacidad, auditadas por terceros, que respaldan lasmedidas técnicas aplicadas:- ISO/IEC 27001, 27017, 27018 y 27701: gestión de seguridad, controles en lanube, protección de datos personales e implementación de un sistema degestión de privacidad (PIMS).- Esquema Nacional de Seguridad (ENS) – nivel ALTO: aplicable a GoogleCloud Platform y Google Workspace, conforme a la normativa española enentornos educativos y administrativos.- Acceso exclusivo desde dispositivos Chromebook gestionados por el centro.- Supervisión y auditoría de cuentas mediante herramientas como GoGuardian.- Cifrado en tránsito y en reposo garantizado por la infraestructura de Google.- Restricción del uso del correo a cuentas del dominio institucional.- Políticas restrictivas de red, ubicación y duración de sesión configuradasdesde consola.- Prohibición del uso de funcionalidades predictivas (‘Smart Features’).- Revisión periódica por parte del DPO y del equipo de IT del centro.7. Evaluación general del nivel de protecciónTras la revisión de las garantías contractuales y técnicas, se concluye que lasmedidas aplicadas por el centro educativo, junto con las obligacionescontractuales de Google, proporcionan un nivel de protección de los datospersonales equiparable al exigido por el RGPD.8. ConclusiónEsta Transfer Impact Assessment se considera suficiente para documentar elcumplimiento del artículo 46 del RGPD y del principio de responsabilidadproactiva.(…)”En la EIPD aportada por el COLEGIO consta lo siguiente en relación contransferencias de datos:“Google utiliza una red global de centros de datos. Sin embargo, con laslicencias contratadas de GWE en su versión Fundamental no es posible para elcentro educativo elegir una ubicación específica para el almacenamiento dedatos, por lo que puede almacenarse en países no pertenecientes al EspacioEconómico Europeo (EEE), ya que es Google quien decide dónde alojarlos.Las transferencias internacionales de datos que en su caso se realicen,cumplen con garantías adecuadas al estar reguladas por las StandardContractual Clauses (SCC) las cuales se encuentran disponibles enhttps://workspace.google.com/terms/mcc_terms.html “ En relación a la verificación de que no haya impedimento legal en terceros países parael cumplimiento de las SCCs, el COLEGIO manifiesta lo siguiente:“El tratamiento de datos mediante GWE está regulado por un contrato firmadocon Google que incorpora las Cláusulas Contractuales Tipo (SCCs) aprobadas

24/63por la Comisión Europea, disponibles en:https://workspace.google.com/terms/mcc_terms.html.El centro ha revisado los compromisos asumidos por Google en su Adendasobre Tratamiento de Datos: https://cloud.google.com/terms/data-processing-addendum.Con base en el análisis contenido en la TIA que se aporta, se concluyerazonablemente que no existen pruebas de que la legislación de los paísesdonde Google o sus subencargados tratan los datos impida el cumplimiento delas SCCs, por las siguientes razones:- Google ha manifestado que no ha recibido solicitudes gubernamentalesincompatibles con el RGPD.- El centro ha tenido en cuenta el análisis publicado por Google en 2021respecto a la legislación estadounidense aplicable (FISA 702 y EO 12333), enel que se afirma que Google Cloud no ha recibido solicitudes incompatibles conel RGPD y detalla las medidas técnicas y organizativas implementadas paragarantizar el cumplimiento de las Cláusulas Contractuales Tipo, incluso en elcaso de transferencias a Estados Unidos.”En relación con los contratos de encargado, con fecha 09/04//2025, se accede alcontenido del contrato publicado en la página web de Google en relación con GWE(https://workspace.google.com/terms/education_terms/). En dicha página consta lasiguiente información:“Términos del Servicio de Google Workspace for Education(…)Los presentes Términos del Servicio de Google Workspace for Education(conjuntamente, el "Contrato", y antes llamados "Términos del Servicio de GSuite para Centros Educativos" o "Contrato de G Suite para CentrosEducativos [Online]") se formalizan entre Google y la entidad o persona que losacepta (el "Cliente"), y rigen el acceso del Cliente a los Servicios y el uso queeste haga de ellos. "Google" tiene el significado indicado en el documentohttps://cloud.google.com/terms/google-entity.(…)15.19 Definiciones.(…)- "Adenda sobre Tratamiento de Datos de Cloud" hace referencia a los términosvigentes que describen las obligaciones de protección y tratamiento conrespecto a los Datos del Cliente, tal y como se indica enhttps://cloud.google.com/terms/dataprocessing-addendum.(…)”Con fecha 15/10//2025 se comprueba del contrato publicado enhttps://cloud.google.com/terms/google-entity?hl=es que en el consta que para el casode GWE, la entidad de Google contratante es Google Cloud EMEA Limited, para laregión EMEA excepto Francia, Italia y Polonia.Con fecha 09/04//2025 se comprueba el contenido del contrato publicado enhttps://cloud.google.com/terms/data-processing-addendum, en el consta la siguienteinformación relevante (traducción no oficial al castellano):

25/63«Adenda sobre el tratamiento de datos en la nube (clientes)Esta adenda sobre el tratamiento de datos en la nube (incluidos sus apéndices,la «adenda») se incorpora al/a los acuerdo (s) (como se indica más adelante)entre Google y el Cliente. Esta adenda se denominaba anteriormente«Condiciones de tratamiento y seguridad de datos» en el marco de un acuerdopara Google Cloud Plaform, Looker (original), Google SecOps Services oGoogle Cloud Skills Boost for Organizations; la «Modificación del tratamientode datos» en el marco de un acuerdo sobre Google Workspace o la identidaden la nube de Google; y la «adenda sobre tratamiento de datos» en el marcode un acuerdo para los servicios de consultoría y los servicios gestionados.1. SinopsisLa presente adenda describe las obligaciones de las partes, en particular envirtud de la legislación aplicable en materia de privacidad, seguridad de losdatos y protección de datos, con respecto al tratamiento y la seguridad de losdatos del cliente (tal como se definen a continuación). La presente adendasurtirá efecto en la fecha efectiva de la adenda (tal como se define acontinuación) y sustituirá a cualquier término anteriormente aplicable altratamiento y la seguridad de los datos del cliente. Los términos capitalizadosutilizados pero no definidos en la presente adenda tienen el significado que seles da en el Acuerdo.[...]4. Funciones Conformidad legal4.1 funciones de las Partes. Google es un encargado del tratamiento y elcliente es responsable o encargado, según proceda, de datos personales delcliente.[...]10. Ubicaciones para el tratamiento de datos10.1 instalaciones de almacenamiento y tratamiento de datos. Sin perjuicio delos compromisos de localización de datos de Google en virtud de lascondiciones específicas del servicio y los compromisos de transferencia dedatos del apéndice 3 (Leyes específicas en materia de privacidad), si procede,los datos del cliente podrán tratarse en cualquier país en el que Google o sussubencargados mantengan instalaciones.10.2 información del Centro de Datos. La ubicación de los centros de datos deGoogle se describe en el apéndice 4 (Productos específicos).11. Subencargados del tratamiento11.1 consentimiento para el encargo del subencargado del tratamiento. Elcliente autoriza específicamente el compromiso de Google comosubprocesador de esas entidades divulgadas, tal como se describe en lasección 11.2 (Información sobre los subencargados) a partir de la fechaefectiva de la adenda. Además, sin perjuicio de lo dispuesto en la sección 11.4(Oportunidad de sujeción a los subencargados del tratamiento), el clientegeneralmente autoriza el compromiso de Google de otros terceros comosubencargados («nuevos subencargados»).11.2 información sobre los subencargados del tratamiento. Los nombres,lugares y actividades de los subtransformadores se describen en el apéndice 4(Productos específicos).[...]Apéndice 2: Medidas de seguridad

26/63A partir de la fecha efectiva de la adenda, Google aplicará y mantendrá lasmedidas de seguridad descritas en el presente apéndice 2.1. Centro de datos y seguridad de las redesa) Centros de datos.Infraestructuras. Google mantiene centros de datos geográficamentedistribuidos. Google almacena todos los datos de producción en centros dedatos físicamente seguros.Redundancias. Los sistemas de infraestructura se han diseñado para eliminarlos puntos únicos de fallo y minimizar el impacto de los riesgosmedioambientales previstos. Los circuitos dobles, conmutadores, redes u otrosdispositivos necesarios contribuyen a esta redundancia. Los servicios estándiseñados para permitir a Google realizar determinados tipos de mantenimientopreventivo y correctivo sin interrupción. Todos los equipos e instalacionesmedioambientales tienen procedimientos documentados de mantenimientopreventivo que detallan el proceso y la frecuencia de rendimiento deconformidad con las especificaciones internas o del fabricante. Elmantenimiento preventivo y correctivo del equipo del centro de datos seplanifica mediante un proceso de cambio estándar con arreglo aprocedimientos documentados.(…)3. Datosa) Almacenamiento de datos, aislamiento y registro. Google almacena datos enun entorno de múltiples arrendatarios en servidores propiedad de Google. Areserva de instrucciones en contrario (por ejemplo, en forma de selección delocalización de datos), Google reproduce los datos del cliente entre múltiplescentros de datos geográficamente dispersos. Google también aíslalógicamente los datos del cliente. El cliente tendrá control sobre políticasespecíficas de intercambio de datos. Estas políticas, de conformidad con lafuncionalidad de los servicios, permitirán al cliente determinar los parámetrosde uso compartido de productos aplicables a sus usuarios finales para finesespecíficos. El cliente puede optar por utilizar la funcionalidad de registro queGoogle pone a disposición a través de los servicios.(…)5. Seguridad del subprocesadorAntes de incorporar a los subencargados, Google lleva a cabo una auditoría delas prácticas de seguridad y privacidad de los subencargados para garantizarque los subencargados proporcionen un nivel de seguridad y privacidadadecuado para su acceso a los datos y el alcance de los servicios que prestan.Una vez que Google haya evaluado los riesgos presentados por elsubencargado del tratamiento y, a continuación, con arreglo a los requisitosdescritos en la sección 11.3 (Requisitos para la contratación delsubencargado), el subencargado deberá suscribir las condicionescontractuales adecuadas en materia de seguridad, confidencialidad yprivacidad(…)4. Transferencias de datos.4.1 transferencias restringidas. Las partes reconocen que la legislacióneuropea de protección de datos no exige CCT ni una solución alternativa detransferencia para que los datos personales de los clientes se traten en un paísadecuado o se transfieran a un país adecuado. Si los datos personales del

27/63cliente se transfieren a cualquier otro país y la legislación europea deprotección de datos se aplica a las transferencias certificadas por el cliente enla sección 4.2 (Certificación de clientes no pertenecientes a la EMEA) de estascondiciones de la legislación europea de protección de datos, si su dirección defacturación se encuentra fuera de la EMEA] («Transferencias restringidas»),entonces:A. Si Google ha adoptado una solución alternativa de transferencia paracualquier transferencia restringida, informará al cliente de la solución pertinentey garantizará que dichas transferencias restringidas se realicen de conformidadcon ella; oB. Si Google no ha adoptado una solución alternativa de transferencia paraninguna transferencia restringida, o informa al cliente de que Google ya no estáadoptando, una solución alternativa de transferencia para cualquiertransferencia restringida (sin adoptar una solución de transferencia alternativade sustitución):I. Si la dirección de Google se encuentra en un país adecuado:A. Las CCT (procesador a procesador, Google Exportador) se aplicarán conrespecto a dichas transferencias restringidas de Google a subprocesadores; yB. Además, si la dirección de facturación del cliente no se encuentra en un paísadecuado, las CCT (processor-to Controller) se aplicarán (independientementede que el cliente sea responsable o encargado del tratamiento) con respecto adichas transferencias restringidas entre Google y el cliente; o ii. si la direcciónde Google no se encuentra en un país adecuado, las CCT (responsable deltratamiento) o CCT (procesador a encargado) se aplicarán (según que elcliente sea responsable o encargado del tratamiento) con respecto a dichastransferencias restringidas entre Google y el cliente[...].4.4 auditorías de SCC. Si se aplican las CCT de clientes, tal como se describeen la sección 4.1 (Transferencias restringidas) de estos términos de lalegislación europea en materia de protección de datos, Google permitirá alcliente (o a un auditor independiente designado por el cliente) llevar a caboauditorías según lo descrito en dichas CCT y, durante una auditoría, poner adisposición toda la información requerida por dichas CCT, tanto de conformidadcon la sección 7.5.3 (Condiciones de negocio adicionales para revisiones yauditorías).[...]Apéndice 4: Productos especiales[...]Google Workspace and Cloud Identity (Identidad del espacio de trabajo y lanube de Google)[...]4. Ubicaciones del centro de datos. Las ubicaciones de los centros de datos deGoogle Workspace y Cloud Identity se describen enhttps://www.google.com/about/datacenters/locations/.5. Información sobre los subencargados del tratamiento. Los nombres,ubicaciones y actividades de los Subprocesadores de Identidad del Espacio deTrabajo y la Nube de Google se describen enhttps://workspace.google.com/intl/en/terms/subprocessors.html.[...]».

28/63Con fecha 09/04/2025 se comprueba el contenido publicado en la urlhttps://workspace.google.com/intl/en/terms/subprocessors/, donde consta la siguienteinformación (traducción no oficial al castellano):“Subprocesadores del espacio de trabajo y la identidad en la nube de Google[...]Subencargados del grupo GoogleGoogle contrata a Google Affiliates en el cuadro que figura a continuación parallevar a cabo una conexión limitada de actividades con los servicios básicos deGoogle Workspace y los servicios de identidad en la nube. El cuadro muestraqué actividad realiza cada entidad e indica si una entidad solo es pertinentepara un servicio específico. A continuación, se ofrece más información sobrecada actividad. Esto explica el tratamiento limitado de los datos del cliente quela entidad está autorizada a realizar. La empresa matriz última de todos lossubtransformadores del grupo Google que se enumeran a continuación esGoogle LLC, que a su vez es filial de Alphabet Inc.Operaciones del Centro de Datos: Gestiona y mantiene el centro de datos deGoogle y el equipo que almacena los datos de los clientes. El personal delsubencargado del tratamiento no necesita acceso a los datos del cliente parallevar a cabo esta actividad. Mantenimiento del servicio: Ingeniería, mantenimiento y resolución deproblemas de software y sistemas. En el transcurso de esta actividad, elsubencargado del tratamiento puede requerir un acceso limitado y autorizado alos datos del cliente, por ejemplo, para resolver problemas técnicos. [...]”Constan subencargados para “mantenimiento del servicio” y para “Operaciones delcentro de datos”, entre otros países, en Argentina, Australia, Brasil, Chile, Hong Kong,India o Japón.Con fecha 09/04/2025 se comprueba en la urlhttps://datacenters.google/locations/#data-center-list, la información publicada sobrecentros de datos de Google, donde consta lo siguiente (traducción no oficial alcastellano):“(…) Poseemos y gestionamos centros de datos en todo el mundo paramantener nuestros productos 24 horas al día, siete días a la semana.(…)”Constan centros de datos, entre otros países, en Japón, Chile, Singapur, Taiwán.Con fecha 14/04/2025 se comprueba de documentación extraída de internet titulada“GOOGLE WORKSPACE FOR EDUCATION PRIVACY NOTICE” que en la misma consta lo siguiente (traducción no oficial al castellano):“Google Workspace for Education facilita el aprendizaje y la colaboración entreestudiantes (y padres), educadores y administradores escolares. GoogleWorkspace for Education incluye diferentes categorías de servicios, tal comose describen en el presente aviso de privacidad. La distinción es importanteporque el alcance de los servicios y la forma en que se tratan los datos enestos servicios difieren.

29/63• Los servicios básicos del espacio de trabajo de Google para la educaciónfiguran en el Resumen de los Servicios e incluyen Gmail, Calendar, Classroom,Assignments, Contacts, Drive, Docs, Forms, Groups, Sheets, Sites, Slides,Chat, Meet, Vault y Chrome Sync.• Google Workspace for Education Otros servicios se enumeran en el resumende servicios e incluyen AppSheet y Read Along.• Los servicios adicionales de Google Workspace for Education incluyenservicios que ofrecemos en general a todos los consumidores, como GoogleSearch, Maps y YouTube, a los que los usuarios del espacio de trabajo para laeducación pueden tener acceso con sus cuentas del espacio de trabajo.Su información: qué recopilamos cómo se utilizaUna cuenta Google Workspace for Education es una cuenta de Google creaday gestionada por una escuela para su uso por estudiantes y educadores. Lacuenta puede utilizarse tanto para servicios básicos como para serviciosadicionales, y la información que recogemos y almacenamos en su cuenta setrata como información personal. Los administradores gestionan cómo utilizanlos estudiantes los servicios básicos y adicionales con sus cuentas de GoogleWorkspace for Education, incluida la obtención del consentimiento parentalpara los servicios adicionales que elijan para los estudiantes. Más informaciónsobre los servicios básicos y adicionales para los usuarios del espacio detrabajo de Google para la educación.Servicios básicos.A medida que los estudiantes, los educadores y los administradores utilizan losservicios básicos del espacio de trabajo, recopilamos dos tipos de datos:• Cosas que presta o crea a través de servicios básicos (datos de clientes)• Información que recopilamos a medida que utilizas servicios básicos (datosde servicio)No se muestran anuncios en los servicios básicos de Google Workspace forEducation. Además, ninguno de los datos personales recogidos en los serviciosbásicos se utiliza con fines publicitarios.Cosas que usted ofrece o crea a través de servicios básicosRecibimos los datos de los clientes a través de los servicios básicos y lostratamos de acuerdo con las instrucciones del centro (el cliente). Estos datosde clientes incluyen todo lo presentado, almacenado, enviado o recibido porusted o su centro a través de los servicios básicos.Cuando se crea una cuenta Google Workspace for Education, el centroproporciona a Google determinada información personal sobre sus alumnos yeducadores que incluye el nombre del usuario, la dirección de correoelectrónico y la contraseña. Los centros también pueden optar por compartircosas como la dirección de correo electrónico secundaria, el número deteléfono y la dirección de un usuario. Y los usuarios también pueden añadirinformación a su cuenta, como un número de teléfono adicional y unafotografía de perfil.Entre las cosas que puede crear a través de los servicios figuran los correoselectrónicos que escribe y recibe cuando utiliza Gmail o los documentos queredacta y almacena en Drive.

30/63Los datos de los clientes se utilizan para prestar los servicios básicos, porejemplo, Google procesa su dirección de correo electrónico para enviar yenviar mensajes entre profesores y estudiantes.Información que recogemos a medida que utilizamos servicios básicosComo se describe detalladamente en la Comunicación sobre privacidad en lanube de Google, también recopilamos datos de servicio a través de losservicios básicos, entre ellos:• Información sobre su cuenta, que incluye cosas como el nombre y la direcciónde correo electrónico.• Su actividad al utilizar los servicios básicos, que incluye cosas como ver einteractuar con contenidos, personas con las que se comunica o compartecontenidos, y otros detalles sobre el uso de los servicios.• Sus configuraciones, aplicaciones, navegadores y dispositivos. Recopilamosinformación sobre su configuración y las aplicaciones, navegadores ydispositivos que utiliza para acceder a nuestros servicios. Esta informaciónincluye el tipo de navegador y dispositivo, la configuración de los ajustes, losidentificadores únicos, el sistema operativo, la información sobre redes móvilesy el número de versión de la aplicación. También recopilamos informaciónsobre la interacción de sus aplicaciones, navegadores y dispositivos connuestros servicios, incluida la dirección IP, los informes de colisión, la actividaddel sistema y la fecha y hora de su solicitud.• Información sobre su ubicación. Recopilamos información sobre su ubicación,determinada por diversas tecnologías, como la dirección IP.• Sus comunicaciones directas. Mantenemos registros de las comunicacionescuando usted o su administrador facilitan comentarios, formulan preguntas obuscan apoyo técnico.• Y en el caso de los administradores, recopilamos datos sobre pagos yoperaciones.Los datos de los servicios se utilizan para prestar y mantener los servicios queutilizan las escuelas y los estudiantes, así como para mejorar la seguridad yfiabilidad de estos servicios. Para llevar a cabo estas mejoras, utilizamos losdatos agregados del servicio para resolver problemas técnicos, mantenernuestras medidas de seguridad sólidas y actualizadas y garantizar que losservicios funcionen según lo previsto. Si opta por proporcionar comentarios através de los servicios, podemos utilizarlos para una gama más amplia demejoras de los servicios; sin embargo, cualquier comentario que facilite estotalmente voluntario y puede utilizar los servicios sin necesidad de hacerlo.También utilizamos los datos de los servicios para formular recomendacionespara optimizar el uso de los servicios; prestar y mejorar otros servicios quesolicite; prestar apoyo; proteger a nuestros usuarios, clientes, el público yGoogle; y cumplir con las obligaciones legales. Para más información, véase laComunicación sobre privacidad en la nube de Google(…)Servicios adicionalesA medida que los estudiantes, los educadores y los administradores utilizanservicios adicionales, recopilamos dos tipos de datos:• Cosas que usted ofrece o crea a través de servicios adicionales

31/63• Información que recogemos a medida que utiliza servicios adicionalesCosas que usted ofrece o crea a través de servicios adicionalesComo se describe más detalladamente en la política de privacidad de Google,recopilamos información cuando los estudiantes y educadores utilizan losservicios adicionales, incluidas cosas que nos proporcionan, contenidoscreados o cargados y contenidos recibidos de otros. Por ejemplo, si iniciasesión en un servicio adicional con una cuenta del espacio de trabajo,utilizaremos su nombre y perfil para identificar su cuenta. También puedesguardar tu contenido en Google, cosas como fotos y vídeos.Información que recogemos a medida que utiliza servicios adicionalesLa política de privacidad de Google también describe la información querecogemos a medida que utiliza nuestros servicios adicionales, que incluyen:• Su actividad al utilizar servicios adicionales, que incluyen cosas comotérminos que buscas, vídeos que ve, contenidos y anuncios con los que ve einteractúa, información de voz y audio cuando utiliza funciones de audio,actividad de compra y actividad en sitios y aplicaciones de terceros que utilizannuestros servicios.• Sus aplicaciones, navegadores y dispositivos. Recogemos la informaciónsobre sus aplicaciones, navegador y dispositivos descritos anteriormente en lasección de servicios básicos.• Información sobre su ubicación. Recopilamos información sobre su ubicación,determinada por diversas tecnologías, entre ellas: GPS, dirección IP, datos desensores de su dispositivo e información sobre las cosas cercanas a sudispositivo, como los puntos de acceso wifi, las torres celulares y losdispositivos basados en Bluetooth. Los tipos de datos de localización querecogemos dependen en parte de la configuración de su dispositivo y cuenta.Por qué recogemos datosLos datos que recopilamos en los servicios adicionales se utilizan en todosnuestros servicios para prestar, mantener y mejorar nuestros servicios;desarrollar nuevos servicios; prestar servicios personalizados; medir elrendimiento; comunicarse con usted; y proteger a Google, a nuestros usuariosy al público. Para más información, véase la política de privacidad de Google.Algunos servicios adicionales muestran anuncios publicitarios. Pero si utiliza sucuenta Google Workspace for Education en centros de enseñanza primaria ysecundaria (K-12), no le mostramos anuncios personalizados, lo que significaque no utilizamos la información de su cuenta o actividad pasada para dirigirsea anuncios. Sin embargo, podemos mostrar anuncios basados en factoresgenerales como su consulta de búsqueda, la hora del día o el contenido de unapágina que esté leyendo.(…)Cuándo Google comparte su informaciónComo se describe detalladamente en la política de privacidad de Google y enla Comunicación sobre privacidad en la nube de Google, no compartimos su

32/63información personal con empresas, organizaciones o particulares fuera deGoogle, excepto en los siguientes casos:• Con el administrador de su centro: Los administradores y los revendedoresque gestionen la cuenta del espacio de trabajo de su organización o de suorganización tendrán acceso a su información. Por ejemplo, pueden:«Visualizar la información, la actividad y las estadísticas de la cuenta»;«Cambiar la contraseña de su cuenta»;Que suspenda o cancele el acceso a su cuenta;Acceder a la información de su cuenta con el fin de satisfacer la legislación, lareglamentación, el proceso jurídico o la solicitud gubernamental aplicable;«Restrinja su capacidad para eliminar o modificar su información o suconfiguración de privacidad».• Con su consentimiento: Compartiremos información personal fuera deGoogle, donde tengamos el consentimiento de usted o de su padre o madre.• Para el tratamiento externo: Compartimos información personal con nuestrasfiliales y otros terceros proveedores de confianza para tratarla para nosotros, amedida que les aconsejamos y de conformidad con nuestra política deprivacidad, la notificación de privacidad de Google Cloud y cualquier otramedida de confidencialidad y seguridad adecuada.(…)”Con fecha 14/04/2025 se accede al documento sobre términos de servicio de GoogleChrome, extraída de la página web de Google, con el título “GOOGLE CHROME WEB STORE TERMS OF SERVICE”. Dicho documento contiene la siguiente información relevante (traducción no oficial del inglés):“(…)1.1 al utilizar Google Chrome Web Store (en lo sucesivo, «Web Store»), ustedacepta y acepta quedar vinculado por las condiciones de servicio de Googleubicadas en https://policies.google.com/terms, la política de privacidad deGoogle en https://policies.google.com/privacy y las presentes condiciones deservicio web Store (denominadas conjuntamente las «Terms»). 1.2 puede utilizar la Web Store para navegar, localizar y descargar productos(desnaturalizados como software, contenidos y materiales digitales creadospara su uso en relación con Google Chrome y distribuidos a través de WebStore) para su uso en relación con Google Chrome. Algunos de estosproductos pueden ser ofrecidos por Google, mientras que otros pueden serpuestos a disposición por terceros no suscritos con Google. Usted está deacuerdo en que Google no es responsable de ningún producto de la web Storeprocedente de una fuente distinta de Google. 1.3 acepta las condiciones (1) haciendo clic para acordar o aceptar dónde se lepresentan estas opciones, o (2) utilizando la aplicación Web Store o el servicioweb.1.4 para poder utilizar Web Store debe tener 13 años o más. Si tienes entre 13y 18 años de edad, debes tener permiso de su padre o tutor legal para utilizarla web Store. (…)” Con fecha 13/10/2025 se comprueba en la documentación publicada por Google enInternet que la versión de GWE Fundamentals se ofrece sin coste a centros de

33/63enseñanza de primaria, secundaria y superior de todo el mundo. Hay otras dosversiones de GWE: Standard y Education Plus que sí tienen coste. La versión de GWE Fundamentals no tiene la posibilidad de configurar regiones dedatos, posibilidad que sí tienen las versiones Education Standard y Education Plus.Elegir regiones de datos, de acuerdo con la documentación de Google, permite a losadministradores definir las regiones donde se almacenan y tratan sus datos y seofrece como una opción que ayuda a cumplir los requisitos territoriales o las políticasinternas sobre la ubicación donde se gestionan los datos.QUINTO: De acuerdo con el informe recogido de la herramienta AXESOR, elCOLEGIO tenía un volumen de negocio de 5.664.789 euros en el año 2024.FUNDAMENTOS DE DERECHOI CompetenciaDe acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cadaautoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de laLey Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales ygarantía de los derechos digitales (en adelante, LOPDGDD), es competente parainiciar y resolver este procedimiento la Presidencia de la Agencia Española deProtección de Datos.II ProcedimientoAsimismo, el artículo 63.2 de la LOPDGDD determina que: “Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuestoen el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposicionesreglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con caráctersubsidiario, por las normas generales sobre los procedimientos administrativos”.De acuerdo con el artículo 64 de la LOPDGDD, y teniendo en cuenta lascaracterísticas de las presuntas infracciones cometidas, se inicia un procedimientosancionador.El procedimiento tendrá una duración máxima de doce meses a contar desde la fechadel acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, enconsecuencia, el archivo de actuaciones, de conformidad con lo establecido en elartículo 64 de la LOPDGDD.Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismopodrá ser considerado propuesta de resolución, según lo establecido en el artículo64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común delas Administraciones Públicas (en lo sucesivo, LPACAP).

34/63III Cuestiones previas1. Aspectos básicos de la normativa en materia de protección de datos:El artículo 4.1) del RGPD, define «dato personal» como: “toda información sobre unapersona física identificada o identificable («el interesado»); se considerará personafísica identificable toda persona cuya identidad pueda determinarse, directa oindirectamente, en particular mediante un identificador, como por ejemplo un nombre,un número de identificación, datos de localización, un identificador en línea o uno ovarios elementos propios de la identidad física, fisiológica, genética, psíquica,económica, cultural o social de dicha persona”. El artículo 4.2) del RGPD, define «tratamiento» como: “cualquier operación o conjuntode operaciones realizadas sobre datos personales o conjuntos de datos personales, yasea por procedimientos automatizados o no, como la recogida, registro, organización,estructuración, conservación, adaptación o modificación, extracción, consulta,utilización, comunicación por transmisión, difusión o cualquier otra forma dehabilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”El artículo 4.7) del RGPD, define al «responsable del tratamiento» o «responsable»como: “la persona física o jurídica, autoridad pública, servicio u otro organismo que,solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de laUnión o de los Estados miembros determina los fines y medios del tratamiento, elresponsable del tratamiento o los criterios específicos para su nombramiento podráestablecerlos el Derecho de la Unión o de los Estados miembros”. A su vez el artículo4.8) del RGPD determina al «encargado del tratamiento» o «encargado» como lapersona física o jurídica, autoridad pública, servicio u otro organismo que trate datospersonales por cuenta del responsable del tratamiento.En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD,consta la realización de un tratamiento de datos personales, toda vez que el COLEGIOrealiza, entre otros tratamientos, la recogida y gestión de datos personales de susalumnos dentro de la plataforma GWE.El COLEGIO realiza esta actividad en su condición de responsable del tratamiento,dado que es quien determina los fines y medios de tal actividad, en virtud del artículo4.7 del RGPD.GOOGLE IRELAND LIMITED (en adelante, GOOGLE) realiza esta actividad en sucondición de encargado del tratamiento, dado que trata los datos personales porcuenta del responsable del tratamiento, en virtud del artículo 4.8 del RGPD.2. La protección de datos en el ámbito educativo:

35/63Que el tratamiento de datos personales en el ámbito educativo se realice con elmáximo respeto a la normativa en materia de protección de datos resultaespecialmente relevante en tanto en cuanto el contexto en el que nos encontramosincluye de manera indubitada a menores de edad de los que se pueden recabar datosde muy diversa índole, incluidos, por ejemplo, “los datos relativos al origen y ambiente familiar y social (…) características o condiciones personales”.Tanto la Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE en lo sucesivo) comoen la propia LOPDGDD se establecen garantías y salvaguardas que se han deobservar cuando estemos ante el tratamiento de datos personales, ya sea con caráctergeneral, ya sea en el uso de entornos y plataformas digitales en este contexto. Así, la LOE contiene una mención expresa al tratamiento de datos de los alumnos ensu disposición adicional vigesimotercera, que establece lo siguiente:“1. Los centros docentes podrán recabar los datos personales de su alumnadoque sean necesarios para el ejercicio de su función educativa. Dichos datospodrán hacer referencia al origen y ambiente familiar y social, a característicaso condiciones personales, al desarrollo y resultados de su escolarización, asícomo a aquellas otras circunstancias cuyo conocimiento sea necesario para laeducación y orientación de los alumnos.2. Los padres o tutores y los propios alumnos deberán colaborar en laobtención de la información a la que hace referencia este artículo. Laincorporación de un alumno a un centro docente supondrá el tratamiento desus datos y, en su caso, la cesión de datos procedentes del centro en el quehubiera estado escolarizado con anterioridad, en los términos establecidos enla legislación sobre protección de datos. En todo caso, la información a la quese refiere este apartado será la estrictamente necesaria para la funcióndocente y orientadora, no pudiendo tratarse con fines diferentes del educativosin consentimiento expreso.3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas yorganizativas que garanticen su seguridad y confidencialidad. El profesorado yel resto del personal que, en el ejercicio de sus funciones, acceda a datospersonales y familiares o que afecten al honor e intimidad de los menores osus familias quedará sujeto al deber de sigilo. 4. La cesión de los datos, incluidos los de carácter reservado, necesarios parael sistema educativo, se realizará preferentemente por vía telemática y estarásujeta a la legislación en materia de protección de datos de carácter personal.(…)”Por su parte, respecto de la LOPDGDD, destaca en primer lugar lo dispuesto en elartículo 83, que bajo la denominación de “Derecho a la educación Digital” dispone lo“1. El sistema educativo garantizará la plena inserción del alumnado en lasociedad digital y el aprendizaje de un consumo responsable y un uso crítico y

36/63seguro de los medios digitales y respetuoso con la dignidad humana, la justiciasocial y la sostenibilidad medioambiental, los valores constitucionales, losderechos fundamentales y, particularmente con el respeto y la garantía de laintimidad personal y familiar y la protección de datos personales. (…) Las Administraciones educativas deberán incluir en el desarrollo del currículo lacompetencia digital a la que se refiere el apartado anterior, así como loselementos relacionados con las situaciones de riesgo derivadas de lainadecuada utilización de las TIC, con especial atención a las situaciones deviolencia en la red”. En segundo lugar, el mandato del artículo 92, que bajo la rúbrica “Protección de datosde los menores en Internet” cita expresamente a los centros docentes:“Los centros educativos y cualesquiera personas físicas o jurídicas quedesarrollen actividades en las que participen menores de edad garantizarán laprotección del interés superior del menor y sus derechos fundamentales,especialmente el derecho a la protección de datos personales, en lapublicación o difusión de sus datos personales a través de servicios de lasociedad de la información. Cuando dicha publicación o difusión fuera a tener lugar a través de servicios deredes sociales o servicios equivalentes deberán contar con el consentimientodel menor o sus representantes legales, conforme a lo prescrito en el artículo 7de esta ley orgánica”.IVObligación incumplida. Artículo 6 del RGPD: Licitud del tratamientoEl primer apartado del artículo 6 del RGPD establece lo siguiente:"1. El tratamiento solo será lícito si se cumple al menos una de las siguientescondiciones:a) el interesado dio su consentimiento para el tratamiento de sus datospersonales para uno o varios fines específicos;b) el tratamiento es necesario para la ejecución de un contrato en el que elinteresado es parte o para la aplicación a petición de este de medidasprecontractuales;c) el tratamiento es necesario para el cumplimiento de una obligación legalaplicable al responsable del tratamiento;d) el tratamiento es necesario para proteger intereses vitales del interesado ode otra persona física;e) el tratamiento es necesario para el cumplimiento de una misión realizada eninterés público o en el ejercicio de poderes públicos conferidos al responsabledel tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimosperseguidos por el responsable del tratamiento o por un tercero, siempre quesobre dichos intereses no prevalezcan los intereses o los derechos y libertadesfundamentales del interesado que requieran la protección de datos personales,en particular cuando el interesado sea un niño.

37/63Lo dispuesto en la letra f) del párrafo primero no será de aplicación altratamiento realizado por las autoridades públicas en el ejercicio de susfunciones. "En el presente caso se hace necesario identificar cuál sería el supuesto delegitimación para llevar a cabo la implementación de aquellas soluciones tecnológicasque, implicando el tratamiento de datos personales en un entorno digital, coadyuven aejercer la función educativa de la administración competente. Para ello hay que acudiral régimen jurídico que regula la educación, teniendo en cuenta que es un derechofundamental previsto en el artículo 27 de la Constitución Española (CE) y en especialhabrá que abordar la regulación del uso de las Tecnologías de la información ycomunicación y las plataformas digitales, tal y como recuerda el Informe 0050/2023 delGabinete Jurídico de la AEPD. La LOE establece en su artículo 2.1 l) que: “El sistema educativo español se orientará a la consecución de los siguientesfines: l) La capacitación para garantizar la plena inserción del alumnado en lasociedad digital y el aprendizaje de un uso seguro de los medios digitales yrespetuoso con la dignidad humana, los valores constitucionales, los derechosfundamentales y, particularmente, con el respeto y la garantía de la intimidadindividual y colectiva”.Asimismo, en cuanto al uso de las Tecnologías de la Información y Comunicación, elartículo 111 bis LOE indica lo siguiente: “1 (…) En el marco de la implantación de las citadas medidas, dentro de lossistemas de información propios de la gestión académica y administrativa seregulará un número identificativo para cada alumno o alumna, a fin de facilitarel intercambio de la información relevante, el seguimiento de las trayectoriaseducativas individualizadas, incluyendo las medidas educativas que en su casose hubieran podido aplicar, y atender demandas de la estadística estatal einternacional y de las estrategias europeas para los sistemas de educación yformación. En cualquier caso, dicha regulación atenderá a la normativa relativaa la privacidad y protección de datos personales. 2. Los entornos virtuales de aprendizaje que se empleen (…) sostenidos confondos públicos facilitarán la aplicación de planes educativos específicosdiseñados por los docentes para la consecución de objetivos concretos delcurrículo, y deberán contribuir a la extensión del concepto de aula en el tiempoy en el espacio. Por ello deberán, respetando los estándares deinteroperabilidad, permitir a los alumnos y alumnas el acceso, desde cualquiersitio y en cualquier momento, a los entornos de aprendizaje disponibles en loscentros docentes en los que estudien, con pleno respeto a lo dispuesto en lanormativa aplicable en materia de propiedad intelectual, privacidad y protecciónde datos personales. Así mismo promoverán los principios de accesibilidaduniversal y diseño para todas las personas, tanto en formatos y contenidoscomo en herramientas y entornos virtuales de aprendizaje.(…)

38/634. El Ministerio de Educación, Cultura y Deporte ofrecerá plataformas digitalesy tecnológicas de acceso a toda la comunidad educativa, que podránincorporar recursos didácticos aportados por las Administraciones educativas yotros agentes para su uso compartido. Los recursos deberán ser seleccionadosde acuerdo con parámetros de calidad metodológica, adopción de estándaresabiertos y disponibilidad de fuentes que faciliten su difusión, adaptación,reutilización y redistribución y serán reconocidos como tales. 5. Las Administraciones educativas y los equipos directivos de los centrospromoverán el uso de las tecnologías de la información y la comunicación (TIC)en el aula como medio didáctico apropiado y valioso para llevar a cabo lastareas de enseñanza y aprendizaje. Las Administraciones educativas deberánestablecer las condiciones que hagan posible la eliminación en el ámbitoescolar de las situaciones de riesgo derivadas de la inadecuada utilización delas TIC, con especial atención a las situaciones de violencia en la red. Sefomentará la confianza y seguridad en el uso de las tecnologías prestandoespecial atención a la desaparición de estereotipos de género que dificultan laadquisición de competencias digitales en condiciones de igualdad (…)”.Los preceptos anteriores resultan de aplicación al COLEGIO en tanto que miembro,aun cuando sea un centro privado conforme a lo previsto en el artículo 108 de la LOE,de la comunidad educativa.De acuerdo con estos, podemos afirmar que, con carácter general, la base jurídicapara llevar a cabo el tratamiento de los datos personales de los miembros de lacomunidad educativa que se vean afectados por la implementación de solucionestecnológicas y plataformas digitales se encontraría en el artículo 6.1 c) RGPD, segúnel cual el tratamiento es necesario para cumplir una obligación legal aplicable alresponsable del tratamiento. En este caso, resultan de especial relevancia los términosque aparecen en el artículo de la LOE tales como facilitarán, deberán, impulsará, delos que se deduce una clara obligación de hacer (Informe 74/2019 del GabineteJurídico de la AEPD).Dicho tratamiento también podría entenderse basado en el artículo 6.1 e) RGPD,según el cual el tratamiento es lícito cuando sea necesario para el cumplimiento deuna misión realizada en interés público o en el ejercicio de poderes públicos conferidosal responsable del tratamiento, por cuanto la educación es de un indudable interéspúblico, descansa en un derecho fundamental ex artículo 27 de la CE y corresponde alos poderes públicos competentes su garantía y promoción.Ahora bien, tal y como señala el mencionado Informe de esta Agencia 0050/2023,“que exista base jurídica de legitimación para que los centros docentes traten datos decarácter personal de la comunidad educativa en, o a través de, entornos y plataformasdigitales no significa que pueda llevarse a cabo de cualquier modo, sino queencontramos en distintos cuerpos normativos elementos o requisitos que operan comocontrapeso y garantías frente a la posible injerencia que dichos tratamientos de datossuponen en el derecho a la protección de datos y en la privacidad de las personas”.

39/63En el presente caso, se realiza un tratamiento de datos consistente en el marco de lautilización por parte del COLEGIO (responsable del tratamiento) de la plataforma deGWE puesta a disposición por la empresa GOOGLE (encargado del tratamiento). El COLEGIO afirma que la base de legitimación para dicho tratamiento es elcumplimiento de una obligación legal. Así lo afirma en su escrito de 16/11/2025, en elque señala:“La base jurídica para llevar a cabo el tratamiento de los datos personales delos alumnos afectados por el uso de las herramientas GWE se encuentra en elartículo 6.1 c) RGPD, según el cual el tratamiento es necesario para cumpliruna obligación legal aplicable al responsable del tratamiento, de conformidadcon la existencia de normas educativas que habilitan a los centros al uso deestas herramientas para el cumplimiento del centro con sus funcioneseducativas (en concreto la Ley Orgánica 2/2006, de Educación y Ley Orgánica3/2018, de Protección de Datos y Garantías de los Derechos Digitales) (…)”.Así consta también en el documento “POLITICA DE USO DE HERRAMIENTAS Y APLICACIONES INFORMÁTICAS DURANTE DEL DESARROLLO DE LA ACTIVIDADEDUCATIVA”. Para la utilización de dicha herramienta, el COLEGIO, tal y como consta en la Políticade uso de GWE aportada por el COLEGIO en el marco de las actuaciones previas deinvestigación el 16/11/2024, se tratan los datos correspondientes al nombre, apellidos,curso académico en el que se encuentra para que se proceda a la creación de unadirección de correo electrónico. Además de lo anterior, mientras el alumno use losservicios de GWE, se recaban datos de uso de la aplicación, que también tienen laconsideración de datos personales, como, por ejemplo, datos referentes al dispositivoutilizado (sistema operativo), datos de ubicación, como la IP, así como otros datos deuso como “detalles de cómo ha utilizado el usuario los servicios de Google, los datos de los eventos del dispositivo”. Estos hechos derivados de la información aportada por el COLEGIO se confirman poresta Agencia el 14/04/2025 al acceder, en el marco de las actuaciones previas deinvestigación, al documento sobre términos de servicio de Google Chrome, “GOOGLE CHROME WEB STORE TERMS OF SERVICE” en el que se señala que se recopilan dos tipos de datos a medida que los estudiantes y los educadores hacen uso de losservicios básicos del espacio de trabajo (i) “Cosas que presta o crea a través de servicios básicos (datos de clientes)” e (ii) “Información que recopilamos a medida que utilizas servicios básicos (datos de servicio).En el mismo documento también se hace referencia a la siguiente cuestión: “Los datos de los servicios se utilizan para prestar y mantener los servicios que utilizan lasescuelas y los estudiantes, así como para mejorar la seguridad y fiabilidad de estosservicio (…) También utilizamos los datos de los servicios para formularrecomendaciones para optimizar el uso de los servicios; prestar y mejorar otrosservicios que solicite; prestar apoyo; proteger a nuestros usuarios, clientes, el públicoy Google; y cumplir con las obligaciones legales. Para más información, véase laComunicación sobre privacidad en la nube de Google”

40/63Llegados a este punto, debe hacerse especial referencia a que, como se ha señalado,la función educativa recogida en la LOE puede amparar el tratamiento de datospersonales, de acuerdo con lo previsto en los artículos 6.1 c) o, incluso 6.1 e) delRGPD. Ahora bien, la utilización de las bases de legitimación previstas en las letras c)o e) del RGPD establecen una condición necesaria: que el tratamiento sea necesariopara el cumplimiento de esa obligación legal (la función educativa) o esa misión deinterés público (la función educativa), sin que puedan, por tanto, ampararse en estatratamientos que se separen de esa finalidad concreta. Así, como se ha señalado el uso de dispositivos electrónicos y herramientas digitalescomo parte de la formación de los alumnos puede realizarse al amparo de la LOE,ahora bien, si el uso de dichos dispositivos y herramientas implica un tratamiento dedatos (como es el caso que nos ocupa), dicho tratamiento solo estará legitimado poresa obligación legal (la función educativa) en la medida en que sea necesario paradicho fin.Así lo indica expresamente el Informe 0050/2023, del Gabinete Jurídico de estaAgencia, que el COLEGIO cita en su escrito:“En cuanto a la finalidad que perseguirían los tratamientos derivados de la implementación del Google Workspace, su análisis va a resultar relevante porcuanto cualquier tratamiento de datos tiene que ser “necesario” para cumplir lafinalidad que persigue, ya que de otro modo el tratamiento de datos no debellevarse a cabo.Así nos lo recuerda el Considerando 39 del RGPD al indicar que: Los datospersonales solo deben tratarse si la finalidad del tratamiento no pudieralograrse razonablemente por otros medios.Asimismo, el concepto de “necesidad” cobra especial relevancia a la hora dedefinir las distintas bases jurídicas de legitimación del tratamiento, ya que salvola relativa al consentimiento (letra a) del art. 6.1. RGPD), en las restantes,letras b) a f) del apartado 1 del artículo 6 del RGPD, la “necesidad deltratamiento para” es un requisito ineludible”. En el presente caso, el análisis sobre la necesidad del tratamiento presentado por elCOLEGIO obvia mencionar que, para los servicios principales, el tratamiento de losdatos se realiza para la prestación del servicio en sí, pero también para otros fines ocuestiones cuyas finalidades escapan del ámbito educativo y, por tanto, no puedentener cabida en la base legitimadora del artículo 6.1 c) o, en su caso e) del RGPD:formular recomendaciones, optimizar el uso de los servicios, para prestar y mejorarotros servicios que solicite, para prestar apoyo…Estas nuevas finalidades que transcienden las propias del derecho a la educación yque parece que responderían a los intereses exclusivos del encargado del tratamiento,se realizan, sin embargo, bajo el conocimiento del responsable del tratamiento, estoes, el COLEGIO, que las permite y tolera al seleccionar herramienta que prevé eltratamiento de los datos con estas finalidades. En línea con lo anterior, debe recordarse que la existencia de una habilitación legalgeneral para el tratamiento de datos en el ámbito educativo no legitimaautomáticamente cualquier modalidad concreta de tratamiento ni cualquier arquitectura

41/63tecnológica elegida por el responsable. Por el contrario, la base jurídica del artículo 6.1c) o e) del RGPD exige una vinculación directa, estricta y proporcionada entre eltratamiento efectuado y la obligación legal o misión de interés público invocada. Elloimplica que el responsable debe poder justificar no solo que el tratamiento se insertaen el ámbito de la función educativa, sino que la concreta forma en que se realizaresulta imprescindible para cumplir dicha función, sin que existan alternativasrazonablemente menos intrusivas para los derechos de los alumnos.En este sentido, el tratamiento descrito no se limita a la mera gestión académica oadministrativa necesaria para la escolarización del alumnado. En consecuencia, nopuede apreciarse que dicho tratamiento llevado a cabo encuentre una base delegitimación válida en el artículo 6.1 c) o e) del RGPD.vulneración del artículo 6.1 del RGPD transcrito anteriormente.V Tipificación de la infracción del artículo 6.1 del RGPD y calificación a efectos deEl artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración delartículo siguiente, que se sancionará, de acuerdo con el apartado 2, con multasadministrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, deuna cuantía equivalente al 4 % como máximo del volumen de negocio total anual"a) los principios básicos para el tratamiento, incluidas las condiciones para elconsentimiento a tenor de los artículos 5, 6, 7 y 9;"A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDDestablece lo siguiente:"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 seconsideran muy graves y prescribirán a los tres años las infracciones que suponganuna vulneración sustancial de los artículos mencionados en aquel y, en particular, lasb) El tratamiento de datos personales sin que concurra alguna de las condiciones delicitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679."VIPropuesta de sanción por la infracción del artículo 6.1 del RGPD

42/63previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:“1. Cada autoridad de control garantizará que la imposición de las multasadministrativas con arreglo al presente artículo por las infracciones delpresente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada casoindividual efectivas, proporcionadas y disuasorias. 2. Las multas administrativas se impondrán, en función de las circunstanciasde cada caso individual, a título adicional o sustitutivo de las medidascontempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir laimposición de una multa administrativa y su cuantía en cada caso individual setendrá debidamente en cuenta:a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta laperjuicios que hayan sufrido;b) la intencionalidad o negligencia en la infracción;c) cualquier medida tomada por el responsable o encargado del tratamientopara paliar los daños y perjuicios sufridos por los interesados;d) el grado de responsabilidad del responsable o del encargado deltratamiento, habida cuenta de las medidas técnicas u organizativas que hayanaplicado en virtud de los artículos 25 y 32;e) toda infracción anterior cometida por el responsable o el encargado deltratamiento;f) el grado de cooperación con la autoridad de control con el fin de ponerremedio a la infracción y mitigar los posibles efectos adversos de la infracción;g) las categorías de los datos de carácter personal afectados por la infracción;h) la forma en que la autoridad de control tuvo conocimiento de la infracción, enparticular si el responsable o el encargado notificó la infracción y, en tal caso,en qué medida;i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sidoordenadas previamente contra el responsable o el encargado de que se trateen relación con el mismo asunto, el cumplimiento de dichas medidas;j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismosde certificación aprobados con arreglo al artículo 42, yk) cualquier otro factor agravante o atenuante aplicable a las circunstancias delcaso, como los beneficios financieros obtenidos o las pérdidas evitadas, directao indirectamente, a través de la infracción”.Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD dispone:“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 delReglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios degraduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción.

43/63b) La vinculación de la actividad del infractor con la realización de tratamientosde datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de fusión por absorción posterior a la comisiónde la infracción, que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimiento por parte del responsable o encargado, con caráctervoluntario, a mecanismos de resolución alternativa de conflictos, en aquellossupuestos en los que existan controversias entre aquellos y cualquierinteresado”. Lo anterior implica, de acuerdo con las Directrices 04/2022 sobre el cálculo de lasmultas bajo el RGPD, que la cuantía de la multa debe tener como punto de partida,tres elementos: el volumen de negocios, la categorización de las infracciones según supropia naturaleza (es decir, si se trata de una infracción del 83.4, 83.5 u 83.6 RGPD) yel nivel de gravedad de la infracción en cada caso concreto (de acuerdo con el artículo83.2 a), b) y g)). En cualquier caso, la multa a imponer debe ser, en cada casoindividual, efectiva, proporcionada y disuasoria, conforme a lo establecido en elartículo 83.1 del RGPD. Asimismo, atendiendo a la categorización de la infracción tipificada por el artículo 83.5del RGPD, la sanción que se imponga por cada una de ellas podrá ser de 20.000.000de euros como máximo, o tratándose de una empresa, una cuantía equivalente al 4%4% del volumen de negocio asciende en este caso a 226.591 euros.Por tanto, la sanción que se imponga para cada una de las infracciones tipificadas enel artículo 83.5 del RGPD necesariamente deberá oscilar entre 0 y 20.000.000 euros.- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta lanaturaleza, alcance o propósito de la operación de tratamiento de que se trate,perjuicios que hayan sufrido (artículo 83.2, letra a), del RGPD): los hechosafectan directamente al control que los interesados ejercen sobre sus datospersonales, en la medida en que el tratamiento no debería ser realizado por elresponsable en los términos previstos.En cuanto a la duración de la infracción esta se extendería en el tiempo desdeel curso 2021/2022 hasta la actualidad.

44/63En cuanto al número de afectados, de acuerdo con la informaciónproporcionada relativa al curso 2021/2022, afectaría a 531 alumnos (lo quecontarían con una cuenta nominativa de GWE), de los cuales 395 seríanmenores de 14 años y 136 mayores de esa edad. Puede entenderse que en lossucesivos cursos el número de afectados ha sido similar.Se observa, asimismo, la existencia de una variedad de datos tratados porafectado, en particular los relativos a nombre apellidos, dirección de correoelectrónico, IP y otros datos de uso.- Las categorías de los datos de carácter personal afectados por la infracción(artículo 83.2, letra g), del RGPD): Cabe tener en cuenta que, de maneraindirecta, se tratan datos que revelan convicciones religiosas, en tanto encuanto, el dominio de las direcciones de correo electrónico(@student.hmschool.es), hace referencia a su nombre y su condición decentro docente religioso católico. respecto a la infracción cometida al vulnerar lo establecido en el artículo 6.1 delRGPD, permite fijar inicialmente una sanción de multa administrativa de 10.000,00euros.VII Obligación incumplida. Artículo 5.1 a) del RGPS. Licitud, lealtad y transparenciaLa letra a) del artículo 5.1 del RGPD propugna:"1. Los datos personales serán:a) tratados de manera lícita, leal y transparente en relación con el interesado(«licitud, lealtad y transparencia»);"En relación con este artículo, el considerando 39 del RGD establece lo siguiente:“Todo tratamiento de datos personales debe ser lícito y leal. Para las personasfísicas debe quedar totalmente claro que se están recogiendo, utilizando,consultando o tratando de otra manera datos personales que les conciernen,así como la medida en que dichos datos son o serán tratados. El principio de

45/63transparencia exige que toda información y comunicación relativa altratamiento de dichos datos sea fácilmente accesible y fácil de entender, y quese utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular ala información de los interesados sobre la identidad del responsable deltratamiento y los fines del mismo y a la información añadida para garantizar untratamiento leal y transparente con respecto a las personas físicas afectadas ya su derecho a obtener confirmación y comunicación de los datos personalesque les conciernan que sean objeto de tratamiento. Las personas físicas debentener conocimiento de los riesgos, las normas, las salvaguardias y losderechos relativos al tratamiento de datos personales así como del modo dehacer valer sus derechos en relación con el tratamiento. En particular, los finesespecíficos del tratamiento de los datos personales deben ser explícitos ylegítimos, y deben determinarse en el momento de su recogida.(…)”Asimismo, el considerando 60 establece lo siguiente:“Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. Elresponsable del tratamiento debe facilitar al interesado cuanta informacióncomplementaria sea necesaria para garantizar un tratamiento leal ytransparente, habida cuenta de las circunstancias y del contexto específicos enque se traten los datos personales. Se debe además informar al interesado dela existencia de la elaboración de perfiles y de las consecuencias de dichaelaboración.” Todo tratamiento de datos personales debe realizarse conforme al principio de licitud,lealtad y transparencia contenido en el artículo 5.1 a) del RGPD que implica: En primer lugar, que el tratamiento sea lícito, esto es, que se realiza conforme aalguna de las bases de legitimación previstas en el artículo 6. En segundo término, los datos personales deben ser tratados de manera leal lo quesupone, de acuerdo con las Directrices 4/2019 relativas al artículo 25- Protección dedatos desde el diseño y por defecto del CEPD, que “los datos personales no se traten de manera injustificadamente perjudicial, ilícitamente discriminatoria, inesperada oengañosa para el interesado”. Este principio se encuentra estrechamente vinculado con el principio de la transparencia, en la medida en que el principio de lealtad tambiénimplica que el tratamiento se realice acorde a las expectativas razonables delinteresado, para lo cual, la transparencia es fundamental, en la medida en quedeterminará hasta qué punto el interesado conoce qué datos personales se tratan, porquién, para qué y cómo. Por último, este principio abarca la transparencia que, a su vez, debe relacionarse conel principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD. Deacuerdo con las Directrices 4/2019 supone que:“65. El responsable del tratamiento debe hablar clara y abiertamente con elinteresado acerca de cómo se recogerán, usarán y compartirán los datospersonales. La transparencia consiste en facilitar que los interesados entiendan

46/63y, en su caso, ejerzan los derechos que tienen reconocidos en los artículos 15a 22. Este principio está integrado en los artículos 12, 13, 14 y 34”.Así, el principio de transparencia abarca, de acuerdo con las Directrices sobre latransparencia en virtud del Reglamento (UE) 2016/679 del Grupo de Trabajo deartículo 29 (actual CEPD) los siguientes elementos: (i) el deber del responsable afacilitar información al interesado no solo durante la recogida de sus datos, sino a lolargo de todo el ciclo de vida de sus datos personales de acuerdo con los artículos 12,13, 14 y 34 del RGPD, (ii) el derecho de los interesados a ejercitar sus derechos enrelación con sus datos personales de acuerdo con el artículo 12 y los artículos 15 a 22del RGPD, (iii) la manera en que se facilita la información de acuerdo con lo previstoen el artículo 12 del RGPD.Así, la información debe facilitarse, entre otros aspectos, de manera concisa,transparente, inteligible y de fácil acceso; con un lenguaje claro y sencillo; yespecialmente adaptado en los supuestos en que el destinatario sean niños. Así las Directrices sobre la transparencia señalan respecto los términos “concisa,transparente, inteligible y de fácil acceso” (el subrayado es de la AEPD): “8. El requisito de que el suministro de información a los interesados, así comolas comunicaciones con estos, se haga en forma «concisa y transparente»implica que los responsables del tratamiento deben presentar la información ocomunicación de manera eficiente y sucinta para evitar la fatiga informativa.Esta información debe diferenciarse claramente de otra información norelacionada con la privacidad, como las disposiciones contractuales o lascondiciones generales de uso. En un contexto en línea, el uso de unadeclaración/aviso de privacidad por niveles permitirá que los interesadosnaveguen hasta la sección específica de la declaración/aviso de privacidad a laque desean acceder inmediatamente, en lugar de tener que desplazarse porgrandes cantidades de texto en busca de aspectos concretos. 9.El requisito de que la información sea «inteligible» quiere decir que deberesultar comprensible al integrante medio de la audiencia objetivo. Lainteligibilidad está estrechamente vinculada al requisito de utilizar un lenguajeclaro y sencillo. Un responsable del tratamiento que actúe con responsabilidadproactiva conocerá a las personas sobre las que recopila información y puedeutilizar este conocimiento para determinar lo que dicha audiencia essusceptible de comprender (…)10. Una consideración fundamental del principio de transparencia esbozado enestas disposiciones es que el interesado debe poder determinar de antemanoel alcance y las consecuencias derivadas del tratamiento, y que no debe versesorprendido en un momento posterior por el uso que se ha dado a sus datospersonales”.En relación con la información a los niños, las Directrices de Transparencia señalan: “12 (…) el requisito de que el lenguaje sea claro y sencillo reviste unaimportancia especial cuando se facilita información a un niño (…) El requisitode que la información sea «inteligible» quiere decir que debe resultarcomprensible al integrante medio de la audiencia objetivo. La inteligibilidad está

47/63estrechamente vinculada al requisito de utilizar un lenguaje claro y sencillo. Unresponsable del tratamiento que actúe con responsabilidad proactiva conoceráa las personas sobre las que recopila información y puede utilizar esteconocimiento para determinar lo que dicha audiencia es susceptible decomprender. Por ejemplo, un responsable del tratamiento que recopile datospersonales de profesionales en activo puede asumir que su audiencia tiene ungrado de comprensión mayor que un responsable del tratamiento que obtienedatos personales de niños. Si los responsables del tratamiento no estánseguros sobre el grado de inteligibilidad y transparencia de la información y laeficacia de las interfaces de usuario/avisos/políticas, etc., pueden ponerlos aprueba, por ejemplo, mediante mecanismos como grupos de usuarios, pruebasde legibilidad, interacciones y diálogos formales e informales con grupos de laindustria, grupos de defensa del consumidor y, en su caso, organismos deregulación, entre otros.(…)14. Cuando un responsable del tratamiento se dirija a niños, o sea, o deba ser,consciente de que sus bienes/servicios son utilizados particularmente por niños(también cuando el responsable dependa del consentimiento del niño), debegarantizar que el vocabulario, el tono y el estilo del lenguaje utilizado esapropiado para los niños y que estos se identifican con él, de forma que el niñoal que se dirija la información reconozca que el mensaje/información estádirigido a él (…)”.En relación con el artículo 5.1 a) del RGPD, el artículo 13 del RGPD establece lainformación que el responsable de un tratamiento debe facilitar cuando los datos seobtienen del interesado, en los siguientes términos:“1. Cuando se obtengan de un interesado datos personales relativos a él, elresponsable del tratamiento, en el momento en que estos se obtengan, le facilitarátoda la información indicada a continuación:a) la identidad y los datos de contacto del responsable y, en su caso, de surepresentante;b) los datos de contacto del delegado de protección de datos, en su caso;c) los fines del tratamiento a que se destinan los datos personales y la base jurídicadel tratamiento;d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereseslegítimos del responsable o de un tercero;e) los destinatarios o las categorías de destinatarios de los datos personales, en sucaso;f) en su caso, la intención del responsable de transferir datos personales a un tercerpaís u organización internacional y la existencia o ausencia de una decisión deadecuación de la Comisión, o, en el caso de las transferencias indicadas en los

48/63artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a lasgarantías adecuadas o apropiadas y a los medios para obtener una copia de estas o alhecho de que se hayan prestado.2. Además de la información mencionada en el apartado 1, el responsable deltratamiento facilitará al interesado, en el momento en que se obtengan los datospersonales, la siguiente información necesaria para garantizar un tratamiento de datosleal y transparente:a) el plazo durante el cual se conservarán los datos personales o, cuando no seaposible, los criterios utilizados para determinar este plazo;b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a losdatos personales relativos al interesado, y su rectificación o supresión, o la limitaciónde su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidadde los datos;c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquiermomento, sin que ello afecte a la licitud del tratamiento basado en el consentimientoprevio a su retirada;d) el derecho a presentar una reclamación ante una autoridad de control;e) si la comunicación de datos personales es un requisito legal o contractual, o unrequisito necesario para suscribir un contrato, y si el interesado está obligado a facilitarlos datos personales y está informado de las posibles consecuencias de que nofacilitar tales datos;f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, aque se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos,información significativa sobre la lógica aplicada, así como la importancia y lasconsecuencias previstas de dicho tratamiento para el interesado.”De acuerdo con el citado artículo 5.1 a) del RGPD, el COLEGIO, como responsabledel tratamiento, tiene la obligación de tratar dichos datos de manera leal ytransparente. Esto implica que debe dejarse claro a los interesados (en este caso losmenores y sus padres o tutores) claro qué datos se recogen y cómo y para qué serántratados. Dicha información debe ser accesible, fácil de entender y debe utilizarse paraello un lenguaje sencillo y claro.En el presente caso, el COLEGIO afirma que informó a los padres y tutores de losalumnos de que iba a ser utilizada la plataforma GWE. De la documentación aportadaes relevante, en relación con este punto, la mención a que se realizó una reunióninformativa y se elaboró una política de privacidad y protección de datos dirigida a lospadres en la que se mencionaba específicamente la utilización de la plataforma.Sin embargo, dicha información no contendría aspectos del tratamiento que sonrelevantes y que los interesados debían conocer. Entre ellos cabe citar los siguientes:

49/63- De las actuaciones de investigación realizadas se pondría de manifiesto que setrataban más datos de los que se mencionan en la información a losinteresados (exclusivamente nombre, apellidos, contraseña y año escolar). Enparticular datos generados por el uso de la plataforma y que quedaríanasociados a las cuentas identificativas de los alumnos.- En la información facilitada no consta la existencia de transferenciasinternacionales de datos a pesar de que el propio COLEGIO reconoce en eldocumento “Transfer Impact Assesment (TIA)” fechado a 15/01/2025 que GWEutiliza distintos lugares de almacenamiento de datos y que esto suponetransferencias de datos y que cuente con subencargados fuera del EspacioEconómico Europeo. Por otro lado, el COLEGIO no ha acreditado que la información del artículo 13 RGPDllegara efectivamente a los padres y alumnos. Así, la información sobre estetratamiento no estaba incluida en el documento de matrícula en el que se informaba depara qué se utilizarían los datos identificativos de los alumnos. El COLEGIO manifiestaque remitió una política en la que se informaba del tratamiento, pero que no disponede versiones firmadas de dicha política porque el procedimiento de comunicación einformación de las políticas ICT se articula a través de una plataforma digital. Sinembargo, no aporta un documento que acredite la trazabilidad de dichascomunicaciones a través de la plataforma. Además, asegura que actualmente hacambiado a un sistema excel que permite garantizar esa trazabilidad. No obstante,remite un documento Excel en el que aparecen las columnas de firma de losprogenitores vacías.Asimismo, el COLEGIO denota desconocer plenamente los datos que son objeto deltratamiento, lo que tiene efectivas repercusiones en el cumplimiento del principio delartículo 5.1 a) del RGPD. Así, se subraya que ha presentado un documento de RATque incluye el tratamiento objeto de este procedimiento en el que se identificanexclusivamente los siguientes datos: “Datos identificativos: Nombre y apellidos, cuenta de correo electrónico dealumno creada con la inicial y el apellido.Categorías de datos especiales o penales: NoOtro tipo de datos Académicos y seguimiento de tareas escolares.”Sin embargo, como se ha dicho, la plataforma recopila datos de uso de los alumnosque quedan asociados a sus perfiles, tales como información de los dispositivos,acceso a contenidos visualizados o cargados por los usuarios, etc.Tampoco da cuenta el RAT de la existencia de transferencias internacionales de datosen los términos en que esta se realiza o, al menos, haciendo mención a que existentransferencias internacionales amparadas en cláusulas contractuales tipo. Así, en elRAT se indica:“Transferencias internacionales.

50/63A GOOGLE como propietario de la herramienta y prestador del servicio, quetiene los servidores en EEUU. Transferencia regulada por el acuerdo entre EU– EEUU del Framework.”Así, en contra de lo que figura en el RAT, de acuerdo con la versión de la plataformaGWE que utiliza el COLEGIO (Fundamentals), los datos son tratados en diferentespaíses en los que GOOGLE dispone de centros de datos, sin que puedan limitarseregiones, no estando, por tanto, todas las transferencias cubiertas por una decisión deadecuación.Por último, cabría cuestionar los términos en que se realiza dicha comunicación, en lamedida en que no queda claro en qué va a consistir el tratamiento de datos o mediantequé aplicaciones concretas del universo GOOGLE. Así, por ejemplo, en la política deuso remitida por el COLEGIO figura que GOOGLE ofrece dos tipos de aplicaciones,principales y servicios adicionales, de las que el colegio tiene habilitadas únicamente“las que se consideran necesarias para el trabajo adecuado del alumno/a”, sin mayorespecificación.En cuanto a la posibilidad de divulgar información personal del alumnado, se indica laposibilidad de hacerlo “cuando sea necesario para el procesamiento externo (…) siguiendo nuestras instrucciones de Google y de conformidad con el Aviso dePrivacidad de Google Workspace para Centros Educativos”, si bien en el contrato con GOOGLE el colegio se limita a aceptar los términos de servicio para la opción de laplataforma elegida.Al final del documento consta un espacio de firma para alumnos, padres o tutores, conel texto: “Tanto el alumno/a mayor de 14 años, como sus familias, reconocen haber sido informados sobre la política de creación y uso de cuentas de GWE en el centro”, si bien, como se ha dicho, no se acredita que se dejara constancia de haber recibidodicha información.vulneración del artículo 5.1 a) del RGPD transcrito anteriormente.VIII Tipificación de la infracción del artículo 5.1.a) del RGPD y calificación a efectos deEl artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración delartículo siguiente, que se sancionará, de acuerdo con el apartado 2, con multasadministrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, deuna cuantía equivalente al 4 % como máximo del volumen de negocio total anual"a) los principios básicos para el tratamiento, incluidas las condiciones para elconsentimiento a tenor de los artículos 5, 6, 7 y 9;"

51/63A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDDestablece lo siguiente:"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 seconsideran muy graves y prescribirán a los tres años las infracciones que suponganuna vulneración sustancial de los artículos mencionados en aquel y, en particular, lasa) El tratamiento de datos personales vulnerando los principios y garantíasestablecidos en el artículo 5 del Reglamento (UE) 2016/679."IX Propuesta de sanción por la infracción del artículo 5.1 a) del RGPDprevisiones de los artículos 83.1 y 83.2 del RGPD y del artículo 76 de la LOPDGDD,transcritos anteriormente.Asimismo, atendiendo a la categorización de la infracción tipificada por el artículo 83.5del RGPD, la sanción que se imponga por cada una de ellas podrá ser de 20.000.000de euros como máximo, o tratándose de una empresa, una cuantía equivalente al 4%4% del volumen de negocio de 226.591 euros. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la perjuicios que hayan sufrido (artículo 83.2, letra a), del RGPD): la informaciónque se facilita al interesado por parte de un responsable es esencial para queeste tenga conocimiento de la existencia de un tratamiento y sus fines, entreotros aspectos, permitiendo un auténtico control sobre sus datos, incluyendo laposibilidad, dependiendo de la base de legitimación, de que el interesado nolos proporcione.En cuanto a la duración de la infracción esta se extendería en el tiempo desde elcurso 2021/2022 hasta la actualidad.En cuanto al número de afectados, de acuerdo con la información proporcionadarelativa al curso 2021/2022, afectaría a 531 alumnos (los que contarían con unacuenta nominativa de GWE), de los cuales 395 serían menores de 14 años y 136

52/63mayores de esa edad. Puede entenderse que en los sucesivos cursos el númerode afectados ha sido similar. Intencionalidad o negligencia en la infracción (artículo 83.2, letra b), del RGPD): Ha de traerse a coalición el principio de responsabilidad proactiva, que exige alresponsable adoptar las medidas necesarias para garantizar el cumplimientodel RGPD, así como demostrarlo. Para ello, es necesario que el responsableidentifique a su público objetivo y adapte estas medidas en función de losriesgos intrínsecos derivados de su audiencia. En estos términos se pronuncianlas mencionadas Directrices de Transparencia: “un responsable del tratamiento que actúe con responsabilidad proactiva conocerá a las personas sobre lasque recopila información y puede utilizar este conocimiento para determinar loque dicha audiencia es susceptible de comprender”. El COLEGIO tiene por cuyo público objetivo principal son niños, pues recaba su firma a partir de los14 años, y con carácter previo de quien ejerciera la patria potestad. Por tanto,el COLEGIO debe cumplir con su obligación de asegurar que la informaciónfacilitada sea transparente para los niños a los que se dirige. respecto a la infracción cometida al vulnerar lo establecido en el artículo 5.1 a) delRGPD, permite fijar inicialmente una sanción de multa administrativa de 6.000,00euros.X Obligación incumplida. Evaluación de impacto relativa a la protección de datosLa evaluación de impacto relativa a la protección de datos se regula en el artículo 35del RGPD en los siguientes términos:"1. Cuando sea probable que un tipo de tratamiento, en particular si utilizanuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe unalto riesgo para los derechos y libertades de las personas físicas, elresponsable del tratamiento realizará, antes del tratamiento, una evaluación delimpacto de las operaciones de tratamiento en la protección de datospersonales. Una única evaluación podrá abordar una serie de operaciones detratamiento similares que entrañen altos riesgos similares.

53/632. El responsable del tratamiento recabará el asesoramiento del delegado deprotección de datos, si ha sido nombrado, al realizar la evaluación de impactorelativa a la protección de datos.3. La evaluación de impacto relativa a la protección de los datos a que serefiere el apartado 1 se requerirá en particular en caso de:a) evaluación sistemática y exhaustiva de aspectos personales de personasfísicas que se base en un tratamiento automatizado, como la elaboración deperfiles, y sobre cuya base se tomen decisiones que produzcan efectosjurídicos para las personas físicas o que les afecten significativamente demodo similar;b) tratamiento a gran escala de las categorías especiales de datos a que serefiere el artículo 9, apartado 1, o de los datos personales relativos a condenase infracciones penales a que se refiere el artículo 10, oc) observación sistemática a gran escala de una zona de acceso público.4. La autoridad de control establecerá y publicará una lista de los tipos deoperaciones de tratamiento que requieran una evaluación de impacto relativa ala protección de datos de conformidad con el apartado 1. La autoridad decontrol comunicará esas listas al Comité a que se refiere el artículo 68.5. La autoridad de control podrá asimismo establecer y publicar la lista de lostipos de tratamiento que no requieren evaluaciones de impacto relativas a laprotección de datos. La autoridad de control comunicará esas listas al Comité.6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridadde control competente aplicará el mecanismo de coherencia contemplado en elartículo 63 si esas listas incluyen actividades de tratamiento que guardenrelación con la oferta de bienes o servicios a interesados o con la observacióndel comportamiento de estos en varios Estados miembros, o actividades detratamiento que puedan afectar sustancialmente a la libre circulación de datospersonales en la Unión.7. La evaluación deberá incluir como mínimo:a) una descripción sistemática de las operaciones de tratamiento previstas y delos fines del tratamiento, inclusive, cuando proceda, el interés legítimoperseguido por el responsable del tratamiento;b) una evaluación de la necesidad y la proporcionalidad de las operaciones detratamiento con respecto a su finalidad;c) una evaluación de los riesgos para los derechos y libertades de losinteresados a que se refiere el apartado 1, yd) las medidas previstas para afrontar los riesgos, incluidas garantías, medidasde seguridad y mecanismos que garanticen la protección de datos personales,y a demostrar la conformidad con el presente Reglamento, teniendo en cuentalos derechos e intereses legítimos de los interesados y de otras personasafectadas.8. El cumplimiento de los códigos de conducta aprobados a que se refiere elartículo 40 por los responsables o encargados correspondientes se tendrádebidamente en cuenta al evaluar las repercusiones de las operaciones de

54/63tratamiento realizadas por dichos responsables o encargados, en particular aefectos de la evaluación de impacto relativa a la protección de datos.9. Cuando proceda, el responsable recabará la opinión de los interesados o desus representantes en relación con el tratamiento previsto, sin perjuicio de laprotección de intereses públicos o comerciales o de la seguridad de lasoperaciones de tratamiento.10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letrasc) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho delEstado miembro que se aplique al responsable del tratamiento, tal Derechoregule la operación específica de tratamiento o conjunto de operaciones encuestión, y ya se haya realizado una evaluación de impacto relativa a laprotección de datos como parte de una evaluación de impacto general en elcontexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán deaplicación excepto si los Estados miembros consideran necesario proceder adicha evaluación previa a las actividades de tratamiento.11. En caso necesario, el responsable examinará si el tratamiento es conformecon la evaluación de impacto relativa a la protección de datos, al menoscuando exista un cambio del riesgo que representen las operaciones detratamiento."En el presente caso, el COLEGIO ha presentado una EIPD que recoge el tratamientoobjeto de este procedimiento. Sin embargo, dicha EIPD no cumpliría con algunosaspectos para ser conforme con lo dispuesto en el artículo 35 del RGPD, por losmotivos que se señalan a continuación.En primer lugar, la EIPD parte de la premisa de que solo se tratan datos identificativos.En concreto se indica que“Los únicos datos tratados son identificativos. Para la creación de cuenta: inicial de nombre + primer apellido y contraseña.Para el perfil de usuario datos adicionales como: nombre + dos apellidos + añoescolar.”Sin embargo, de la documentación presentada por el COLEGIO y obtenida en lasactuaciones de investigación, se recopilan más datos derivados del uso de laplataforma, como son los datos del dispositivo utilizado, IP, cookies y registros de laactividad de los menores, incluyendo visualización y carga de contenidos. Tambiénsería discutible que no se traten de categoría especial, teniendo en cuenta que elCOLEGIO se identifica como un centro católico y los datos sobre el centro sonposteriormente tratados por GOOGLE asociados a datos de uso de la plataforma.Estas omisiones implican que las valoraciones de la EIPD presentada no se ajustan ala realidad completa del tratamiento.En segundo lugar, la EIPD no refleja un análisis del impacto específico de lastransferencias internacionales de datos. La propia EIPD señala que con las licenciascontratadas de GWE, en su versión Fundamentals, no permiten al COLEGIO elegiruna ubicación específica para el almacenamiento de datos, por lo que puede

55/63almacenarse en países no pertenecientes al Espacio Económico Europeo (EEE), yaque es Google quien decide dónde alojarlos. Sin embargo, no se analiza ese hechocomo un riesgo para los datos. Tampoco queda claramente reflejado el impacto de laposición del COLEGIO respecto a los subencargados de GOOGLE, respecto de lacual la EIPD se limita a reproducir los términos del acuerdo con el proveedor.En tercer lugar, la EIPD incluye un apartado (2.6) dedicado a la necesidad yproporcionalidad del tratamiento. Sin embargo, se limita a indicar que el tratamientomediante GWE es “necesario para garantizar el correcto funcionamiento de las actividades educativas”, sin mencionar alternativas a dicha plataforma o en qué medida la creación de cuentas en esa plataforma es necesaria. El COLEGIO haaportado posteriormente un documento con un análisis comparativo de cuatroplataformas (entre ellas GWE). Sin embargo, ese análisis no es un análisis denecesidad en los términos que serían exigibles en el marco de una EIPD ya que, en loque afecta a protección de datos, se limita a señalar si las plataformas se ajustan alRGPD, sin analizar los tratamientos que se realizan o los riesgos derivados de estosdesde la perspectiva de protección de datos.Asimismo, como justificación de la proporcionalidad se indica que “los datos recopilados son los mínimos necesarios para garantizar el correcto funcionamiento dela plataforma y no se procesan más allá de lo que es estrictamente necesario paracumplir con estos fines”, si bien se procesan datos de uso, como se indica en los términos de servicio, para la mejora de la plataforma y para publicidad.En cuarto lugar, la EIPD incorpora recomendaciones de mejora (como revisar políticasinformativas, formación al profesorado o revisión de la propia EIPD), sin que consten sise han implementado dichas medidas. En particular, que la EIPD haya sido revisada ala luz de hechos posteriores como los cambios de configuración de la herramienta.En definitiva, existe formalmente una EIPD, pero ni es completa en la identificación deelementos esenciales del tratamiento (tipo de datos y transferencias), ni analiza losriesgos reales, ni incluye un análisis de proporcionalidad acorde con lo exigido por elartículo 35 del RGPD.vulneración del artículo 35 del RGPD transcrito anteriormente.XI Tipificación de la infracción del artículo 35 del RGPD y calificación a efectos deEl artículo 83.4 del RGPD tipifica como infracción administrativa la vulneración delartículo siguiente, se sancionará, de acuerdo con el apartado 2, con multasadministrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, deuna cuantía equivalente al 2 % como máximo del volumen de negocio total anual

56/63"a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25a 39, 42 y 43;"A los solos efectos del plazo de prescripción, el artículo 73 de la LOPDGDD establecelo siguiente:"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 seconsideran graves y prescribirán a los dos años las infracciones que supongan unavulneración sustancial de los artículos mencionados en aquel y, en particular, last) El tratamiento de datos personales sin haber llevado a cabo la evaluación delimpacto de las operaciones de tratamiento en la protección de datos personales en lossupuestos en que la misma sea exigible."XII Propuesta de sanción por la infracción del artículo 35 del RGPDprevisiones de los artículos 83.1 y 83.2 del RGPD y del artículo 76 de la LOPDGDD,transcritos anteriormente.Asimismo, atendiendo a la categorización de la infracción tipificada por el artículo 83.4del RGPD, la sanción que se imponga por cada una de ellas podrá ser de 10.000.000de euros como máximo, o tratándose de una empresa, una cuantía equivalente al 2%2% del volumen de negocio de 113.295 euros. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la perjuicios que hayan sufrido (artículo 83.2, letra a), del RGPD): La ausencia deuna EIPD adecuada, en tanto que condición previa para llevar a cabotratamientos de alto riesgo, constituye un elemento básico para asegurar que eltratamiento se lleva a cabo cumpliendo con los principios del RGPD,incluyendo la privacidad desde el diseño y por defecto. Sus deficienciasgraves, se expanden, y afectan a todo el tratamiento, lo que produce, de facto,

57/63por eso mismo, ya un daño a los interesados de pérdida de control de susdatos personales la información que se facilita al interesado por parte de unresponsable es esencial para que este tenga conocimiento de la existencia deun tratamiento y sus fines, entre otros aspectos, permitiendo un auténticocontrol sobre sus datos, incluyendo la posibilidad, dependiendo de la base delegitimación, de que el interesado no los proporcione.En cuanto a la duración de la infracción esta se extendería, al menos, en eltiempo desde el curso 2021/2022 hasta la actualidad.En cuanto al número de afectados, de acuerdo con la informaciónproporcionada relativa al curso 2021/2022, afectaría a 531 alumnos (los quecontarían con una cuenta nominativa de GWE), de los cuales 395 seríanmenores de 14 años y 136 mayores de esa edad. Puede entenderse que en lossucesivos cursos el número de afectados ha sido similar.respecto a la infracción cometida al vulnerar lo establecido en el artículo 35 del RGPD,permite fijar inicialmente una sanción de multa administrativa de 4.000,00 euros.XIII Medidas correctivasDe confirmarse la infracción, la resolución que se dicte podrá establecer las medidascorrectivas que la entidad infractora deberá adoptar para poner fin al incumplimientode la legislación de protección de datos personales, en este caso de los artículos 6.1,5.1 a) y 35 del RGPD, de acuerdo con lo establecido en el citado artículo 58.2.d) delRGPD, según el cual cada autoridad de control podrá “ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a lasdisposiciones del presente Reglamento, cuando proceda, de una determinada maneray dentro de un plazo especificado…”Así, se podrá requerir a la entidad responsable para que adecúe su actuación a lanormativa de protección de datos personales, con el alcance expresado en losanteriores Fundamentos de Derecho.

58/63En el presente acto se establece cuáles son las presuntas infracciones y los hechosque podrían dar lugar a esa posible vulneración de la normativa de protección dedatos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuiciode que el tipo de procedimientos, mecanismos o instrumentos concretos paraimplementarlas corresponda a la parte sancionada, pues es el responsable deltratamiento quien conoce plenamente su organización y ha de decidir, en base a laresponsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y laLOPDGDD.No obstante, en este caso, con independencia de lo anterior, de conformidad con lasevidencias de que se dispone en el presente momento de acuerdo de inicio deprocedimiento sancionador, en la resolución que se adopte se podrá requerir alCOLEGIO para que, en el plazo máximo de 3 meses, a contar desde la fecha deejecutividad de la resolución finalizadora de este procedimiento, adopte las medidas- Acreditar la existencia de una base de legitimación conforme al artículo 6del RGPD, que ampare el tratamiento de datos en el uso de la plataforma GWEteniendo en cuenta todos los datos realmente tratados y sus diferentesfinalidades, o bien cesar el tratamiento de no contar con una base delegitimación, procediendo a la supresión de los datos tratados.- De mantener el tratamiento por contar con una base de legitimación,acreditar la puesta a disposición de forma leal y transparente de la informaciónesencial del tratamiento a los afectados, incluyendo, en particular, todos los tiposde datos tratados y los términos en que se realicen transferencias internacionalesde datos. En particular, acreditar la puesta a disposición de la informaciónprevista en el artículo 13 del RGPD y completar la información del RAT, deacuerdo con el artículo 30 del RGPD.- De mantener el tratamiento, acreditar la realización del correspondienteanálisis de riesgos/EIPD en relación con la utilización de la plataforma queincluya todos los datos y operaciones de tratamiento, así como una justificaciónde la idoneidad, necesidad y proporcionalidad del mismo.La imposición de estas medidas es compatible con la sanción consistente en multaadministrativa, según lo dispuesto en el art. 83.2 del RGPD.Se advierte que no atender la posible orden de adopción de medidas impuestas poreste organismo en la resolución del presente procedimiento sancionador podrá serconsiderado como una infracción administrativa conforme a lo dispuesto en el RGPD,tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta laapertura de un ulterior procedimiento administrativo sancionador.Asimismo, se recuerda que ni el reconocimiento de la infracción cometida ni, en sucaso, el pago voluntario de las cuantías propuestas, eximen de la obligación deadoptar las medidas pertinentes para que cese la conducta o se corrijan los efectos dela infracción cometida y la de acreditar ante esta AEPD el cumplimiento de esaobligación.

59/63Por lo tanto, a tenor de lo anteriormente expuesto, por la Presidencia de la AgenciaEspañola de Protección de Datos,SE ACUERDA:PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a HOLY MARY CATHOLICSCHOOL, S.L., con NIF B85476182, por la presunta infracción de los siguientesartículos del RGPD:- Infracción del artículo 6.1, tipificada en el artículo 83.5 del RGPD- Infracción del artículo 5.1 a), tipificada en el artículo 83.5 del RGPD- Infracción del artículo 35, tipificada en el artículo 83.4 del RGPDSEGUNDO: NOMBRAR como instructor a S.S.S. y, como secretaria, a R.R.R.,indicando que podrán ser recusados, en su caso, conforme a lo establecido en losartículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del SectorPúblico (LRJSP).TERCERO: INCORPORAR al expediente, a efectos probatorios, la reclamacióninterpuesta por la parte reclamante y su documentación, así como, así como losdocumentos obtenidos y generados por la Subdirección General de Inspección deDatos en las actuaciones previas al inicio del presente procedimiento sancionador.CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 deoctubre, del Procedimiento Administrativo Común de las Administraciones Públicas, lasanción que pudiera corresponder sería de multa administrativa de 20.000 euros correspondiente a las siguientes infracciones:- Por la infracción del artículo 6.1 del RGPD, multa de 10.000,00 euros.- Por la infracción del artículo 5.1 a) del RGPD, multa de 6.000,00 euros.- Por la infracción del artículo 35 del RGPD, multa de 4.000,00 euros.QUINTO: NOTIFICAR el presente acuerdo a HOLY MARY CATHOLIC SCHOOL, S.L.,con NIF B85476182, otorgándole un plazo de audiencia de diez días hábiles para queformule las alegaciones y presente las pruebas que considere convenientes. En suescrito de alegaciones deberá facilitar su NIF y el número de procedimiento que figuraen el encabezamiento de este documento.De conformidad con lo dispuesto en el artículo 85 de la LPACAP, podrá reconocer suresponsabilidad dentro del plazo otorgado para la formulación de alegaciones alpresente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de lasanción que proceda imponer en el presente procedimiento. Con la aplicación de estareducción, la sanción quedaría establecida en 16.000,00 euros, resolviéndose elprocedimiento con la imposición de esta sanción.Del mismo modo podrá, en cualquier momento anterior a la resolución del presenteprocedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo quesupondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,la sanción quedaría establecida en 16.000,00 euros y su pago implicará la terminacióndel procedimiento, sin perjuicio de la imposición de las medidas correspondientes.

60/63La reducción por el pago voluntario de la sanción es acumulable a la que correspondeaplicar por el reconocimiento de la responsabilidad, siempre que este reconocimientode la responsabilidad se ponga de manifiesto dentro del plazo concedido para formularalegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referidaen el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. Eneste caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaríaestablecido en 12.000,00 euros.En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estarácondicionada al desistimiento o renuncia de cualquier acción o recurso en víaadministrativa contra la sanción.En caso de que optara por proceder al pago voluntario de cualquiera de las cantidadesseñaladas anteriormente (16.000,00 euros o 12.000,00 euros), deberá hacerloefectivo mediante su ingreso en la cuenta nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT: CAIXESBBXXX) abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A., indicando en elconcepto el número de referencia del procedimiento que figura en el encabezamientode este documento y la causa de reducción del importe a la que se acoge. Asimismo, deberá enviar el justificante del ingreso a la Subdirección General deInspección para continuar con el procedimiento en concordancia con la cantidadingresada.En cumplimiento de los artículos 14, 41 y 43 de la LPACAP, se advierte de que, en losucesivo, las notificaciones que se le remitan se realizarán exclusivamente de formaelectrónica, a través de la Dirección Electrónica Habilitada única (dehu.redsara.es) yde la Sede electrónica (sedeaepd.gob.es), y que, de no acceder a ellas, se haráconstar su rechazo en el expediente, dando por efectuado el trámite y siguiéndose elprocedimiento. Se le informa que puede identificar ante esta Agencia una dirección decorreo electrónico para recibir el aviso de puesta a disposición de las notificaciones yque la falta de práctica de este aviso no impedirá que la notificación sea consideradaplenamente válida.Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,contra el presente acto no cabe recurso administrativo alguno.1479-021025Lorenzo Cotino HuesoPresidente de la Agencia Española de Protección de Datos >>SEGUNDO: En fecha 29 de enero de 2026, el COLEGIO ha procedido al pago de lasanción en la cuantía de 12.000,00 euros haciendo uso de las dos reduccionesprevistas en el acuerdo de inicio transcrito anteriormente, lo que implica elreconocimiento de la responsabilidad en relación con los hechos a los que se refiere elacuerdo de inicio y su calificación jurídica.

61/63TERCERO: En el acuerdo de inicio transcrito anteriormente se señalaba que, deconfirmarse la infracción, podría acordarse imponer al responsable la adopción demedidas adecuadas para ajustar su actuación a la normativa mencionada en esteacto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según elcual cada autoridad de control podrá “ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones delpresente Reglamento, cuando proceda, de una determinada manera y dentro de unplazo especificado…”.Habiéndose reconocido la responsabilidad de la infracción, procede la imposición delas medidas incluidas en el acuerdo de inicio.FUNDAMENTOS DE DERECHOICompetenciaDe acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cadaautoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de laLey Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales ygarantía de los derechos digitales (en adelante, LOPDGDD), es competente pararesolver este procedimiento la Presidencia de la Agencia Española de Protección deDatos.Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuestoen el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposicionesreglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con caráctersubsidiario, por las normas generales sobre los procedimientos administrativos."IITerminación del procedimientoEl artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento AdministrativoComún de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica“Terminación en los procedimientos sancionadores” dispone lo siguiente: “1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,se podrá resolver el procedimiento con la imposición de la sanción que proceda.2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer unasanción pecuniaria y otra de carácter no pecuniario pero se ha justificado laimprocedencia de la segunda, el pago voluntario por el presunto responsable, encualquier momento anterior a la resolución, implicará la terminación del procedimiento,salvo en lo relativo a la reposición de la situación alterada o a la determinación de laindemnización por los daños y perjuicios causados por la comisión de la infracción.

62/633. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, elórgano competente para resolver el procedimiento aplicará reducciones de, al menos,el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.Las citadas reducciones, deberán estar determinadas en la notificación de iniciacióndel procedimiento y su efectividad estará condicionada al desistimiento o renuncia decualquier acción o recurso en vía administrativa contra la sanción.El porcentaje de reducción previsto en este apartado podrá ser incrementadoreglamentariamente.”IIIPago voluntario y reconocimiento de responsabilidadDe conformidad con lo dispuesto en el citado artículo 85 de la LPACAP, en el acuerdode inicio notificado se informaba sobre la posibilidad de reconocer la responsabilidad yde realizar el pago voluntario de la sanción propuesta, lo que supondría dosreducciones acumulables de un 20% cada una. Con la aplicación de estas dosreducciones, la sanción quedaría establecida en 12.000,00 euros y su pago implicaríala terminación del procedimiento, sin perjuicio de la imposición de las medidascorrespondientes.Tras la notificación del citado acuerdo de inicio, el COLEGIO ha procedido alreconocimiento de la responsabilidad y al pago voluntario de la sanción, acogiéndosea las dos reducciones previstas. De conformidad con el apartado 3 del artículo 85LPACAP, la efectividad de las citadas reducciones estará condicionada al desistimientoo renuncia de cualquier acción o recurso en vía administrativa contra la sanción.Debe tenerse en cuenta que, de acuerdo con los preceptos de la LPACAP, así comode la jurisprudencia del Tribunal Supremo en esta materia, el ejercicio del pagovoluntario por el presunto responsable no exime a la administración de la obligación deresolver y notificar todos los procedimientos, cualquiera que sea su forma deiniciación. De igual forma, el artículo 88 de la citada norma establece que la resoluciónque ponga fin al procedimiento decidirá todas las cuestiones planteadas por losinteresados y aquellas otras derivadas del mismo.Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios degraduación de las sanciones, la Presidencia de la Agencia Española de Protección deDatos RESUELVE: PRIMERO: DECLARAR la comisión de las infracciones y CONFIRMAR las sancionesdeterminadas en la parte dispositiva del acuerdo de inicio transcrito en la presenteresolución.La suma de las citadas cuantías arroja una cantidad total de 20.000,00 euros. Tras haber procedido HOLY MARY CATHOLIC SCHOOL, S.L. al pronto pago y reconocimiento de responsabilidad, se procede, en virtud del artículo 85 de la LPACAP,a la reducción de un 40% del total mencionado, lo cual supone la cantidad definitiva de12.000,00 euros.

63/63La efectividad de las citadas reducciones está condicionada, en todo caso, aldesistimiento o renuncia de cualquier acción o recurso en vía administrativa.SEGUNDO: DECLARAR la terminación del procedimiento EXP202406420, deconformidad con lo establecido en el artículo 85 de la LPACAP.TERCERO: ORDENAR a HOLY MARY CATHOLIC SCHOOL, S.L. para que en el plazo de 3 meses desde que la presente resolución sea firme y ejecutiva, notifique a laAgencia la adopción de las medidas que se describen en los fundamentos de derechodel acuerdo de inicio transcrito en la presente resolución.CUARTO: NOTIFICAR la presente resolución a HOLY MARY CATHOLIC SCHOOL, S.L.. QUINTO: De acuerdo con lo previsto en el artículo 85 de la LPACAP que condiciona lareducción por pago voluntario y reconocimiento de la responsabilidad al desistimientoo renuncia de cualquier acción o recurso en vía administrativa, la presente resoluciónserá firme en vía administrativa y plenamente ejecutiva a partir de su notificación. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presenteResolución se hará pública. La publicación se realizará una vez la resolución haya sidonotificada a los interesados.Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado porel art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento AdministrativoComún de las Administraciones Públicas, los interesados podrán interponer recursocontencioso administrativo ante la Sala de lo Contencioso-administrativo de laAudiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 dela disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de laJurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde eldía siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de lareferida Ley.No obstante, conforme a lo previsto en el artículo 90.3.a) de la LPACAP, se podrásuspender cautelarmente la resolución firme en vía administrativa si el interesadomanifiesta su intención de interponer recurso contencioso-administrativo. De ser ésteel caso, el interesado deberá comunicar formalmente este hecho mediante escritodirigido a la Agencia Española de Protección de Datos, presentándolo a través delRegistro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], oa través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentaciónque acredite la interposición efectiva del recurso contencioso-administrativo. Si laAgencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de lapresente resolución, daría por finalizada la suspensión cautelar.1259-101025Lorenzo Cotino HuesoPresidente de la Agencia Española de Protección de Datos