Primera inspección de Protección de Datos de ‘la nube’ del sector educativo

La aplicación de las tecnologías en este sector, y en particular el cloud computing, aporta perspectivas innovadoras para mejorar los procesos de enseñanza y aprendizaje. No obstante, la utilización de estos recursos también puede implicar importantes riesgos para la privacidad que es necesario abordar para facilitar el cambio al entorno digital y contribuir al desarrollo de estos nuevos modelos en un marco respetuoso con los derechos de los afectados.

Las estadísticas publicadas por el Ministerio de Educación, Cultura y Deporte hablan de aproximadamente ocho millones de estudiantes no universitarios en España, lo que pone de manifiesto el volumen de datos que son susceptibles de ser objeto de tratamiento. Asimismo, los avances tecnológicos aplicados en el sector educativo en los últimos años han supuesto un cambio sustancial en los procesos de enseñanza y aprendizaje, con tecnologías que emergen y evolucionan rápidamente, y que permiten obtener información sobre perfiles de aprendizaje del alumnado. En este escenario, además, cobra especial importancia la tipología de algunos de los datos que se recogen, que abarcan desde la gestión administrativa a datos especialmente protegidos (comportamentales, médicos o psicopedagógicos) de menores.

El objetivo de la inspección sectorial realizada, que no tiene carácter sancionador sino preventivo, es sensibilizar a los actores implicados sobre el necesario cumplimiento de la legislación de protección de datos. El informe dedica un amplio espacio a analizar el funcionamiento del sector educativo en el modelo de cloud computing, detallando las principales conclusiones sobre el nivel de cumplimiento de la LOPD por parte de los centros escolares, las plataformas educativas (que permiten, entre otras funciones, la creación de entornos de trabajo colaborativos entre el profesorado y el alumnado) y las entidades que prestan servicios de alojamiento. Estas conclusiones hacen referencia expresa a cuestiones relativas al tratamiento de datos, los contratos suscritos entre las partes y las imprescindibles medidas de seguridad.

Además, el documento completo recoge un total de 22 recomendaciones que la AEPD realiza a los intervinientes con el fin de que adecúen sus tratamientos al marco normativo de protección de datos, subsanando así las deficiencias detectadas. El decálogo de las más destacadas es el siguiente:

    Difusión y publicidad. Si se van a difundir públicamente imágenes de los alumnos o se les van a remitir comunicaciones publicitarias es imprescindible obtener el consentimiento de los interesados o de sus representantes legales.
    Editoriales. Los centros educativos que presten servicios de adquisición de libros digitales deben informar a los afectados de la cesión de datos que se realiza a las editoriales y de la finalidad de la misma. Por su parte, las editoriales no están legitimadas para tratar sin consentimiento los datos que pueden obtener a partir de esas plataformas de enseñanza, tales como los resultados de los ejercicios realizados por los alumnos o los perfiles que pueden obtenerse a partir de los mismos.
    Supervisión de contenidos. Los contenidos que los alumnos publican en las aulas virtuales deberían ser supervisadas por los profesores con objeto de evitar contenidos malintencionados. En este sentido, la Agencia recomienda el registro de alumnos, la supervisión de contenidos por parte del profesor antes de la publicación y la delimitación de los niveles de acceso por grupos.
    Apps móviles. Se ha detectado la existencia de aplicaciones orientadas a que los profesores organicen las clases con ellas, y que registran datos personales de los alumnos, incluyendo imágenes y calificaciones. Los centros deberían elaborar normas internas para la utilización de estas herramientas de conformidad con las exigencias legales.
    Otros servicios de almacenamiento en la nube. Cuando en los centros educativos se empleen herramientas u otros servicios de almacenamiento en la nube distintos de las plataformas educativas, ya sean gratuitas o de pago, su utilización tendrá que ser autorizada previamente por el centro, estableciendo normas internas para garantizar adecuadamente el tratamiento de los datos personales.
    Contratos con garantías. Los centros educativos deberán formalizar la contratación de servicios cloud de forma que puedan acreditar su celebración y la incorporación de las garantías adecuadas para la protección de datos personales, incluidas las exigibles en caso de subcontratación. Asimismo, el prestador de servicios cloud debe garantizar la portabilidad de la información y la no conservación de los datos al término del contrato (borrado seguro).
    Ubicación de los datos. Es necesario que los centros educativos conozcan las entidades que intervienen en la prestación de servicios de cloud, su ubicación y las garantías adoptadas en caso de que vayan a realizarse transferencias internacionales de datos.
    Responsabilidades en materia de seguridad. Es preciso que los contratos especifiquen la tipología de los datos que se van a almacenar con el fin de implantar el nivel de seguridad exigible, así como especificar claramente las responsabilidades de todos los intervinientes (servicios de alojamiento, plataformas educativas y centros de enseñanza) en la implantación de dichas medidas de seguridad. En particular, hay que asegurar la adecuada asignación de permisos de acceso a los datos personales y concienciar a los usuarios sobre los peligros de utilizar contraseñas que no sean suficientemente robustas.
    Nubes privadas, públicas e híbridas. Las plataformas educativas que prestan servicios a varios centros escolares deben garantizar la independencia y el aislamiento de los datos almacenados por cada uno de ellos.
    Punto Neutro. Iniciativas como la puesta en marcha por el Punto Neutro del INTEF son bienvenidas como fórmula de acceso a los contenidos digitales de las editoriales en la medida en que garanticen el anonimato de los alumnos.