Protección sobre datos personales: Consideraciones sobre protección de datos personales y uso de plataformas y aplicaciones en los centros educativos

Protección sobre datos personales

1. Consideraciones sobre protección de datos personales y uso de plataformas y aplicaciones en los centros educativos

Normativa y referencias

La normativa que rige la protección de datos de carácter personal es el Reglamento General de Protección de Datos (RGPD), UE 679/2016, de 27 de abril, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

Así mismo, para su aplicación en el día a día de los centros, es importante conocer e implementar los criterios interpretativos dados por la Agencia Española de Protección de Datos (AEPD) o por las Agencias Autonómicas. Los principales documentos de consulta relativa a la protección de datos en el ámbito educativo son:

AEPD - Guía para centros educativos

AEPD – Orientaciones para el uso de aplicaciones ajenas a las corporativas en los centros docentes

Uso de plataformas y aplicaciones en los centros educativos

Cuando el centro utiliza plataformas educativas corporativas para fines docentes o educativos, el consentimiento informado no es necesario, pues el tratamiento se basa en una causa legitimadora sustentada por una obligación legal de prestar el servicio educativo u orientador (art. 6.1.c del RGPD), siempre que pueda garantizar la protección de la privacidad y de los derechos digitales de los miembros de la comunidad educativa que los emplea.

Es por ello que el centro deberá utilizar preferentemente las plataformas educativas y herramientas institucionales previstas por las administraciones educativas correspondientes, quienes garantizan que los datos no serán cedidos a terceros no autorizados y que con su uso no se contribuye a la formación de la huella digital de los alumnos en Internet.

Requisitos para proceder a la autorización de plataformas y herramientas no institucionales

Únicamente en el caso de que las plataformas y herramientas institucionales no satisfagan algún objetivo educativo o funcionalidad necesaria, los centros podrán optar por otras plataformas o aplicaciones externas. Con independencia del número de docentes que hagan uso de las mismas, el centro debe aprobarlo e incluir su uso justificado en la Programación General Anual (PGA) y en la política de seguridad de tratamiento de datos, estableciendo claramente su finalidad e informando a las familias sobre por qué se utilizan aplicaciones externas. Del mismo modo, el centro deberá comunicar su uso al responsable del tratamiento de datos.

Limitaciones

La normativa establece que, en el caso del uso de plataformas y aplicaciones en las que se almacenen datos personales, especialmente en la nube, debe existir una relación contractual entre el responsable del tratamiento de los datos (autoridad educativa o centro privado o concertado) y la empresa proveedora del servicio. Por tanto, los centros educativos públicos solo podrán autorizar aquellas que no recaben datos personales o permitan anonimizarlos o “seudonimizarlos”, mientras que los centros privados o concertados, además de estas, podrán utilizar aquellas que hayan contratado o para las que hayan llevado a cabo un acto jurídico equivalente firmado por ambas partes.

Revisión de la adecuación de la política de privacidad

Si el centro decide utilizar aplicaciones o plataformas no institucionales, por el motivo mencionado anteriormente, deben elegir únicamente aquellas que ofrezcan una política de privacidad clara, debiendo rechazarse, tal como recomienda la AEPD, las que no ofrezcan información sobre el tratamiento de los datos personales que realicen, dejando también constancia documental de esta previa comprobación de que cumplen con la política de privacidad exigida por el Reglamento (UE) 2016/679 de Protección de Datos.

La política de privacidad debe informar expresamente sobre los tratamientos que efectúan, su finalidad, los responsables del tratamiento, la ubicación de los datos, el período de almacenamiento, las cesiones a terceros y las garantías de seguridad. De forma adicional, las plataformas y aplicaciones deben permitir el control, por parte de los tutores o profesores, de los contenidos subidos por los menores y reducir los datos requeridos a los mínimos necesarios para la prestación del servicio, con exclusión de los que puedan considerarse sensibles.

Análisis de riesgos o evaluación de impacto

Además de comprobar el cumplimiento de la política de privacidad exigida por la UE, es necesario realizar una evaluación de cada aplicación desde el punto de vista de la seguridad de la información sometiéndola a un análisis de riesgos o evaluación de impacto que garantice la confidencialidad de los datos. De todo ello deberá existir constancia documental en la que se concretarán las medidas técnicas y organizativas que se hayan adoptado para proteger los datos personales.

Según la Guía práctica de Análisis de riesgos en los tratamientos de datos personales publicada por la AEPD, la gestión de riesgos es la secuencia de actividades que incluye la identificación y evaluación del riesgo, así como las medidas para su reducción o mitigación.

La AEPD recoge en su guía las siguientes acciones:

a) Identificar amenazas y riesgos

Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento.

Los riesgos se pueden clasificar principalmente en tres tipos:

• Acceso ilegítimo a los datos: ¿qué daño causaría al interesado que los conociera quien no debe? Riesgo sobre la confidencialidad de los datos.

• Modificación no autorizada de los datos: ¿qué perjuicio causaría al usuario que estuvieran dañados o corruptos? Riesgo sobre la integridad de los datos.

• Eliminación de los datos: ¿qué perjuicio causaría al interesado no tener un dato o no poder utilizarlo? Riesgo sobre la disponibilidad de los datos.

b) Evaluar los riesgos

El nivel de riesgo se mide según la probabilidad de materializarse y el impacto que tiene en caso de producirse sobre los derechos y libertades del interesado. El nivel de riesgo puede calificarse como bajo, medio, alto o muy alto.

(AEPD- Guía práctica de análisis de riesgo en los tratamientos de datos personales sujetos a la RGPD, Pag.29)

c) Tratar los riesgos

La última fase del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control -por ejemplo, la “seudonimización”- que permitan reducir la probabilidad y/o impacto de que estos se materialicen hasta situar el riesgo en un nivel residual que se considere razonable.

Los datos serán como mínimo “seudonimizados”, preferiblemente anonimizados y no contendrán valoraciones explícitas sobre conductas o rendimientos. También deberán evitar incluir en ellas datos de carácter personal, a excepción de los estrictamente imprescindibles para el acceso a las mismas. Con el objetivo de evitar alojar innecesariamente datos personales y confidenciales de los alumnos en plataformas no institucionales.

Prueba previa y documentación de los resultados de la misma

Es conveniente poner a prueba la aplicación de forma previa a su utilización en el centro, realizando esta sin introducir datos personales reales de los alumnos ni involucrarlos en su utilización, para comprobar la corrección de las informaciones que fueron facilitadas por el proveedor de la aplicación.

Así mismo, se recomienda documentar las evaluaciones realizadas dejando constancia de los aspectos que han sido analizados y de los resultados obtenidos.

Para ayudarte a realizar este proceso, en la guía práctica de la AEPD puedes encontrar una plantilla para documentar el análisis básico de riesgos (anexo III- pag.37).

Información y consentimiento de los interesados

Cuando la aplicación así lo exija, se deberá solicitar, para cada una de las finalidades y aplicaciones utilizadas, el consentimiento al alumno o a los representantes legales en el caso de alumnos menores de 14 años. En el documento ha de incorporarse información clara sobre los tratamientos efectuados, sus finalidades y sus responsables, así como sobre la ubicación de los datos, el periodo de conservación y las garantías sobre su seguridad.

Cuando el alumno o sus representantes legales, en el caso de un menor de 14 años, ejerzan motivadamente su derecho de oposición al tratamiento de sus datos personales mediante estas herramientas, el centro deberá tener en cuenta lo siguiente:

• El centro educativo deberá garantizar por escrito que el alumno va a recibir las mismas atenciones con una efectividad educativa equivalente mediante los medios corporativos al alcance del centro, sin que ello suponga para el alumno ningún tipo de discriminación frente al resto de alumnos que sí utilizarán la aplicación.

• Si, tras explicar esto con claridad al alumno y a sus tutores legales, el centro constata la imposibilidad de garantizar la no discriminación de aquel, el centro educativo deberá cesar en su intención de utilizar la aplicación con el grupo de alumnos. En su explicación es preceptivo que el centro informe a los tutores legales del alumno de que, en caso de que no queden conformes con la decisión del centro, estos están en su derecho de reclamar al respecto ante la autoridad nacional de protección de datos (AEPD).