Dinamarca prohíbe Gmail y compañía en las escuelas por motivos de privacidad.

La autoridad de protección de datos de Dinamarca sigue a las autoridades holandesas y alemanas al plantear dudas sobre el cumplimiento del GDPR por parte de Google.

Stop using Google; alternatives like Tutanota fully comply with the GDPR and protect user privacy.

Las escuelas danesas deben dejar de utilizar los servicios de correo electrónico y en la nube de Google debido a la preocupación o a la violación de los altos estándares de privacidad europeos definidos por el GDPR. Según la autoridad de protección de datos de Dinamarca, el paquete de software Workspace de Google basado en la nube "no cumple los requisitos" de la normativa sobre privacidad de datos del GDPR de la Unión Europea.


El correo electrónico y la nube de Google “no cumplen los requisitos”

Hay que proteger la privacidad de los alumnos

En un comunicado publicado a mediados de julio, la agencia danesa de protección de datos expresa “serias críticas y prohíbe… el uso de Google Workspace”.

Sobre la base de una evaluación de riesgos para el municipio de Helsingør, la autoridad de protección de datos ha llegado a la conclusión de que el tratamiento de los datos personales de los alumnos no cumple los requisitos del GDPR y, por tanto, debe detenerse.

La prohibición es efectiva inmediatamente. Helsingør tiene hasta el 3 de agosto para eliminar los datos de los alumnos y empezar a utilizar una solución alternativa en la nube.

”El Ayuntamiento de Helsingør ha hecho un gran y hábil trabajo para trazar un mapa de cómo se utilizan los datos personales en la escuela primaria, pero también pone de manifiesto los problemas legales de protección de datos que puede haber con las formas de resolver la tarea de las grandes empresas tecnológicas”, dice Allan Frank, que es especialista en seguridad informática y abogado de la Autoridad Danesa de Protección de Datos.

El Escudo de Privacidad queda invalidado

Esta decisión sigue a otras similares de las autoridades holandesas y alemanas.

Los problemas a los que se enfrentan las instituciones gubernamentales han comenzado con lainvalidación del Escudo de Privacidad en 2020.

El Escudo de Privacidad ha sido un acuerdo de transferencia de datos entre los Estados Unidos y la Unión Europea y se suponía que iba a hacer posible legalmente las transferencias de datos entre ambos. Sin embargo, el acuerdo ha sido declarado inválido por el Tribunal de Justicia de la Unión Europea (TJUE) en 2020 debido a problemas de privacidad.

Uno de los principales problemas que señaló el tribunal de la UE es que los datos de los extranjeros no están protegidos en Estados Unidos. Las protecciones que hay -aunque sean limitadas- sólo se aplican a los ciudadanos estadounidenses. La NSA puede obtener acceso completo a todos los datos de ciudadanos no estadounidenses de empresas estadounidenses en cualquier momento. Además, los titulares de los datos no estadounidenses no tienen ningún derecho de acción ante los tribunales contra las autoridades estadounidenses, lo que viola la “esencia” de ciertos derechos fundamentales de la UE, según el TJCE.

El acuerdo de tratamiento de datos no es suficiente

Tras la invalidación del Escudo de Privacidad, los servicios en la nube estadounidenses pasaron a basarse en acuerdos de procesamiento de datos con sus clientes europeos.

Sin embargo, esta práctica está muy cuestionada entre los expertos en privacidad de datos, especialmente en lo que respecta a su legalidad.

La declaración emitida ahora por la autoridad de protección de datos de Dinamarca lo demuestra una vez más. Se queja -entre otras cuestiones- de que

”el acuerdo de procesamiento de datos establece que la información puede ser transferida a terceros países en situaciones de apoyo sin el nivel de seguridad requerido”.

La decisión resume cuatro cuestiones principales:

  1. Suspensión de que el Ayuntamiento de Helsingør lleve a cabo el tratamiento de la información cuando ésta se transfiera a terceros países sin el nivel de protección necesario.
  2. Prohibición general del tratamiento con Google Workspace hasta que se haya realizado una documentación y un análisis de impacto adecuados y hasta que el tratamiento se ajuste al GDPR.
  3. Graves críticas al tratamiento de datos personales por parte del Ayuntamiento.
  4. Muchas de las conclusiones de esta decisión se aplicarán probablemente a otros municipios que utilicen la misma estructura de tratamiento. Se espera que estos municipios tomen ellos mismos las medidas pertinentes sobre la base de la decisión.

Google Analytics también es ilegal en Europa

Esta última decisión llega después de que los organismos de control de la privacidad de los datos en Francia y Austria dictaminaran que es ilegal que los sitios web europeos utilicen Google Analy tics para rastrear a los visitantes debido a una violación de las normas europeas de privacidad de datos.

También en este caso el problema es que los datos personales se transfieren a Estados Unidos para su tratamiento sin el consentimiento de los visitantes del sitio web.

Consecuencias para las escuelas danesas, holandesas y alemanas

Según las declaraciones de los organismos de control de la privacidad daneses, holandeses y alemanes, los colegios de Dinamarca, Holanda y Alemania no podrán utilizar los servicios de correo electrónico o de la nube de Google.

Aunque las declaraciones de los organismos de control de la privacidad daneses, holandeses y alemanes tienen como objetivo principal presionar a las empresas tecnológicas estadounidenses para que se adhieran finalmente a la estricta normativa europea en materia de privacidad, sería preferible contar con una verdadera alternativa a Microsoft, Google y Apple. Eso es lo que está construyendo Tutanota en estos momentos. Comenzando con los correos electrónicos seguros, Tutanota ofrece hoy también una libreta de direcciones encriptada, un calendario encriptado y el formulario de contacto encriptado Secure Connect. Están previstas muchas más funcionalidades, como un Drive cifrado, y estimamos que en unos años más podremos ofrecer un Groupware cifrado con el máximo respeto a la privacidad del usuario.

Alternativa europea

Las escuelas europeas pueden ahora esperar hasta que Big Tech arregle sus problemas de privacidad. O pueden empezar a buscar alternativas europeas. Esto último tendrá un gran impacto positivo para Europa y los europeos en su conjunto:

  1. Las empresas tecnológicas europeas se fortalecen y pueden establecer una alternativa a las Big Tech.
  2. Los datos de los ciudadanos europeos se protegen de acuerdo con la GDRP.
  3. Los datos se almacenan en Europa y no hay transferencia de datos.

Tutanota, por ejemplo, cumple todos los requisitos que una escuela europea querría para proteger los datos sensibles de alumnos, profesores y padres. Muchas escuelas, sobre todo en Alemania, ya utilizan Tutanota.

”En un entorno empresarial muy sensible, hemos elegido Tutanota entre varios programas de cifrado. Tutanota impresiona por su aplicación extremadamente sencilla. Incluso los colegas no técnicos pueden encriptar archivos adjuntos y textos sensibles de acuerdo con la normativa de protección de datos. También destaca la sencilla administración, los expertos inmediatamente accesibles y siempre amables y un precio justo”, dice Dietmar Kopp, de la escuela Maria-Montessori.

Además de cumplir con la estricta normativa de protección de datos, en Tutanota todos los datos se almacenan encriptados en servidores alemanes. De este modo, Tutanota cumple plenamente con el GDPR.