En este artículo analizaremos el “Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas“, de la Agencia Española de Protección de Datos (AEPD).
Inspección en el sector educativo
El uso de las tecnologías en las aulas en los últimos años ha tenido un aumento sin precedentes, lo que unido a la especial vulnerabilidad de los menores y al gran volumen de datos personales susceptible de tratamientos (8,1 millones de estudiantes no universitarios en España según datos del Ministerio de Educación), llevó a la AEPD a realizar una inspección sectorial de oficio sobre servicios de cloud computing en el sector educativo en el año 2015. Entre las conclusiones de dicha inspección, se detectó:
- la utilización de diversas aplicaciones informáticas instaladas generalmente en los dispositivos móviles de profesores y alumnos, que podían registrar datos de carácter personal, incluidas imágenes y calificaciones,
- y la utilización de servicios o herramientas de almacenamiento en nube de documentos y ficheros en general, también al margen de las plataformas educativas de los centros, para compartir información entre alumnos, entre profesores, o entre profesores y alumnos.
Cuestionario
Siguiendo las recomendaciones recogidas en la referida inspección, la AEPD impulsó una iniciativa encaminada a detectar las posibles implicaciones de protección de datos derivadas de la utilización, por parte de los docentes y alumnos, de aplicaciones con almacenamiento de datos en nube, distintas de las plataformas educativas contratadas por los centros. Para ello se realizó un cuestionario en línea que recabara información sobre:
- Utilización de aplicaciones para el aula en dispositivos tales como móviles, tabletas o portátiles, tanto por los alumnos a instancias de los profesores, como por los propios profesores.
- Utilización de herramientas de almacenamiento en nube (tipo Dropbox, Google Drive, etc.), tanto por los alumnos a instancias de los profesores, como por los propios profesores.
- Utilización de redes sociales (Facebook, Instagram, etc.), para trabajos colaborativos u otro tipo de trabajos en el aula.
- Utilización de correo electrónico para el intercambio de información entre alumnos, padres y profesores, distinto de la mensajería propia de la plataforma educativa.
- Existencia en los centros de normas internas y procedimientos con relación al uso de estas aplicaciones.
Decálogo de recomendaciones
Después de analizar las respuestas al cuestionario, la AEPD elaboró un decálogo de recomendaciones a los centros. En general, se recuerda a los centros educativos que deben cumplir la normativa de protección de datos en todos los tratamientos de datos personales que se efectúen en el Centro, incluyendo los que se producen como consecuencia de la llegada de las tecnologías a las aulas.
Por ello, deben utilizarse únicamente aquellas aplicaciones que ofrezcan información claramente definida sobre los tratamientos efectuados, las finalidades de los mismos y sus responsables, así como sobre la ubicación de los datos, el periodo de retención, y las garantías con relación a su seguridad. Y los profesores deben solicitar autorización al centro para su uso. Una solicitud de autorización conllevará la evaluación de la aplicación desde el punto de vista de la seguridad de la información y la consiguiente autorización o denegación por parte del Centro.
Los centros deben informar a los padres o tutores del comienzo de la utilización de la tecnología en las aulas, así como de las Apps que traten datos personales de los alumnos y su funcionalidad. Y las aplicaciones que se utilicen deben permitir el control, por parte de los tutores o profesores, de los contenidos subidos por los menores, en especial de los contenidos multimedia (fotos, vídeos y grabaciones de voz de los alumnos).
También deben establecerse programas de concienciación orientados hacia la protección de los datos personales, dirigidos a profesores y alumnos, sobre la importancia del uso correcto de aplicaciones. Para ello son de utilidad los materiales que ha publicado la AEPD, en colaboración con el INTEF, en la web tudecideseninternet.
Por ejemplo, al utilizar sistemas de almacenamiento de documentos en nube tipo Dropbox, iCloud o Google Drive, se debe evitar incluir datos personales sensibles, tales como datos relativos a la salud, contraseñas, datos bancarios, material audiovisual de contenido sensible, etc. Se puede ampliar la información sobre este tema en la Guía para clientes que contraten servicios de cloud computing que también ha publicado la AEPD.
Como norma general, cuando exista en el Centro una plataforma educativa que permita la interacción
entre alumnos, y entre estos y los profesores, se aconseja que se utilice prioritariamente, sin establecer mecanismos de comunicación externos.
El informe finaliza con unas orientaciones a los centros para evaluar aplicaciones desde el punto de vista de los datos personales y de la seguridad de la información.
Más información
Se puede ampliar la información sobre todos estos temas en la Guía para centros educativos que la AEPD tiene publicada en la web Tudecideseninternet.
En esta guía también se analizan las novedades del nuevo Reglamento General de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo de 2018. En términos prácticos, el RGPD requiere que los responsables analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la manera en que aplicarán las medidas necesarias, asegurándose de que esas medidas son las adecuadas para cumplir con el RGPD y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Una vez que sea de aplicación el reglamento, se llevará a cabo una actualización de la guía.