La Consejería de Desarrollo Educativo y Formación Profesional de la Junta de Andalucía, suscribió un convenio con Google Ireland Limited para la implementación de la plataforma Google Workspace for Education en centros educativos públicos andaluces, realizando un tratamiento masivo de datos personales de alumnado y profesorado sin adoptar las medidas técnicas y organizativas necesarias para garantizar adecuadamente la protección de dichos datos.

El Consejo determina la vulneración de distintas obligaciones del RGPD:
- falta de adopción de medidas para evitar el tratamiento de categorías especiales de datos (art. 25);
- falta de adopción de medidas para evitar el tratamiento de imágenes inapropiadas (art. 25);
- omisión del deber de informar a los interesados sobre el tratamiento de sus datos (art. 13);
- transferencias internacionales de datos a terceros países sin las garantías adecuadas (arts. 44-49);
- falta de información en el registro de actividades de tratamiento sobre dichas transferencias (art. 30);
- y, no haber realizado la preceptiva evaluación de impacto en protección de datos (art. 35).

Se DECLARAN seis infracciones y se ordena al responsable implementar diversas medidas correctivas, incluyendo: medidas para limitar el tratamiento de categorías especiales de datos, mecanismos adecuados de información a los interesados, instrucciones sobre el tratamiento de imágenes y contenido audiovisual, actualización del registro de actividades de tratamiento, realización de una evaluación de impacto y suspensión de flujos de datos hacia terceros países sin garantías adecuadas.