Alertan sobre que la información personal de los alumnos «puede escapar a un control efectivo». «Que las plataformas sean gratuitas no implica una reducción en la protección del alumno».
Todas las autoridades españolas encargadas de la protección de datos se han coordinado para crear un decálogo con principios fundamentales para la contratación y uso de plataformas digitales de gestión escolar. Estas recomendaciones van dirigidas a las consejerías de Educación de las comunidades autónomas, a colegios públicos, concertados y privados, así como a las empresas tecnológicas, con el fin de que comprendan «sus roles y obligaciones correspondientes» frente a los «riesgos y desafíos específicos en la protección de datos personales» que presenta el uso de estas herramientas.
Las plataformas digitales de gestión escolar, como Google Classroom, Microsoft Educación o Moodle, consisten en un conjunto de aplicaciones y servicios en la nube ofrecidos por proveedores tecnológicos externos. Estas plataformas permiten evaluar al alumno, facilitar la comunicación con el profesor y entre estudiantes, almacenar apuntes y tareas, y posibilitan el trabajo en línea simultáneo.
La Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía advierten que su contratación «implica una responsabilidad particular» debido a que «los principales afectados son en gran medida menores de edad que requieren una protección específica de sus datos personales» y porque «la escala del tratamiento es considerable», ya que «estas plataformas pueden afectar simultáneamente a millones de menores».
No es voluntaria
«El interés superior del menor exige un control más riguroso de cualquier tratamiento que les involucre», subrayan, especialmente porque, según explican, «el uso de la plataforma no es voluntario ni para los estudiantes ni para sus familias, sino que representa la herramienta institucional facilitada para la educación, con una posterior adhesión por parte de alumnos, padres, madres o tutores».
Las autoridades de control recuerdan que han emitido varios «pronunciamientos» para «promover el cumplimiento proactivo de la normativa». Por ejemplo, la Agencia Española de Protección de Datos impuso recientemente la primera sanción a un colegio de Madrid por el uso incorrecto de Google en las aulas de un colegio concertado. También ha emitido otras resoluciones contra las consejerías de Canarias y la Comunidad de Madrid.
Servicios adicionales
¿Qué riesgos implica el uso de estas plataformas? Por una parte, éstas incluyen servicios básicos vinculados directamente a la función educativa, como aulas virtuales, espacios de almacenamiento, comunicación, tutorías o videoconferencias. Pero también ofrecen servicios adicionales u optativos «que pueden no estar vinculados directamente con la función educativa, como buscadores, plataformas de vídeo o herramientas de inteligencia artificial, aunque se proporcionan a los usuarios simultáneamente en el momento de la adhesión».
«Estos servicios adicionales», advierten, «pueden tener condiciones contractuales distintas y estar fuera del marco del encargo del tratamiento». «Además, en ciertos casos, el proveedor puede actuar como responsable del tratamiento para sus propios fines en relación con ellos».
Datos privados
Existe también un riesgo asociado a los datos proporcionados por los usuarios. Por un lado, están los datos generados durante el uso de la plataforma, como documentos, calificaciones, trabajos, comunicaciones o hábitos de uso. Por otro lado, los datos recogidos y generados automáticamente por el funcionamiento de la propia plataforma: direcciones IP, identificadores de dispositivos, datos de localización, registros de actividad en todo el ordenador, cookies y metadatos de uso e interacción. Precisamente aquí reside el problema, advierten. «El tratamiento de estos últimos datos puede escapar al conocimiento detallado y al control efectivo del responsable», indican.
El decálogo establece, como primer principio, el «pleno respeto a los derechos y libertades en el tratamiento de datos personales», considerando el «interés superior del menor como factor primordial». «Que la plataforma sea gratuita para las administraciones educativas no debe implicar, directa ni indirectamente, una reducción en el nivel de protección de los datos personales de alumnos, familias o docentes», alertan.
Colegios responsables
En segundo lugar, las comunidades autónomas y los colegios deben «asumir de manera activa y responsable su papel como responsables del tratamiento, sin delegar ni diluir esta responsabilidad».
Un tercer punto es que debe existir «una base legítima válida para cada finalidad y cada responsable del tratamiento». En este caso, la base para legitimar el tratamiento radica en el «interés público», y cualquier tratamiento que exceda este propósito «requiere una justificación específica». Por ejemplo, «los servicios adicionales» ajenos a la función educativa, como vídeos de YouTube no educativos, «no deben habilitarse en entornos institucionales dirigidos a menores».
La plataforma tiene que configurarse para procesar únicamente los datos estrictamente necesarios para la función educativa, mientras que los servicios externos a esta finalidad deben permanecer desactivados por defecto. «El responsable y el encargado del tratamiento deberán implementar medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad apropiado», recalcan las agencias de control.
Evaluación de impacto
Además, colegios y consejerías deben realizar una evaluación de impacto sobre la protección de datos antes de activar cualquier plataforma, en la que debe participar desde el inicio un delegado de protección de datos. El uso de la plataforma debe regularse mediante un contrato de encargo de tratamiento y control, para que el responsable conozca con claridad el alcance y las condiciones del encargo. Asimismo, el responsable del tratamiento debe garantizar el ejercicio efectivo de los derechos de acceso, rectificación, supresión, limitación y oposición.
Previo a ello, el responsable debe analizar todas las transferencias internacionales de datos derivadas de la solución tecnológica empleada y evaluar, caso por caso, si la legislación del país de destino garantiza un nivel de protección equivalente al del Espacio Económico Europeo. «Cuando dicho nivel no pueda asegurarse, deberán implementarse medidas complementarias eficaces», advierten.
Por último, las familias y los docentes deben recibir información completa, accesible y entendible, utilizando un lenguaje claro y sencillo en caso de dirigirse a menores.