Todas las autoridades españolas de protección de datos se han unido para elaborar de forma conjunta un decálogo de principios básicos para contratar y usar plataformas digitales de gestión escolar. Sus recomendaciones se dirigen a las consejerías de Educación de las comunidades autónomas, a los colegios concertados y privados y a las empresas tecnológicas para que sean "conscientes de sus roles y sus respectivas obligaciones" ante los "riesgos y desafíos específicos para la protección de datos personales" que, aseguran, presenta la utilización de estas herramientas.
Las plataformas digitales de gestión escolar -como son Google Classroom, Microsoft Educación o Moodle- están compuestas por un conjunto de aplicaciones y servicios en la nube, proporcionados por proveedores tecnológicos externos, que evalúan al alumno, permiten la comunicación con el profesor y entre los estudiantes, almacenan apuntes y tareas y ofrecen la posibilidad de trabajar en línea de forma simultánea.
La Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía advierten de que su contratación "entraña una responsabilidad singular" porque "los principales afectados son, en gran medida, personas menores de edad que perecen una protección específica de sus datos personales" y porque "la dimensión del tratamiento es extraordinaria", ya que "estas plataformas pueden afectar simultáneamente a millones de menores".
No es voluntaria
"El interés superior del menor exige un escrutinio reforzado de cualquier tratamiento que les afecte", resaltan, especialmente porque, señalan, "la utilización de la plataforma no es voluntaria para el alumnado ni para sus familias, sino que constituye la herramienta institucional facilitada para el ejercicio de la función educativa, con una posterior adhesión a la misma por parte de los alumnos, padres, madres o tutores".
Las autoridades de control recuerdan que han emitido varios "pronunciamientos" para "promover el complimiento proactivo de la norma". La Agencia Española de Protección de Datos, por ejemplo, dictó recientemente la primera sanción a un colegio por el uso indebido de Google en las aulas por parte de un colegio concertado de Madrid. También ha fallado otras resoluciones contra las consejerías de Canarias o la Comunidad de Madrid.
Servicios adicionales
¿Qué riesgos entraña el uso de estas plataformas? Por un lado, las plataformas incluyen servicios básicos directamente vinculados a la función educativa, como aulas virtuales, espacios de almacenamiento, comunicación, tutoría o videoconferencia. Pero también servicios adicionales u optativos "que pueden no guardar relación directa con dicha función educativa, como buscadores, plataformas de vídeo o herramientas de inteligencia artificial, si bien se ofrecen a los afectados de manera conjunta en el momento de la adhesión".
"Estos últimos servicios", advierten, "pueden regirse por condiciones contractuales diferenciadas y pueden estar fuera del ámbito del encargo del tratamiento". "Asimismo, y en ocasiones, el proveedor puede actuar respecto de ellos como responsable del tratamiento para fines propios".
Datos privados
Por otro, existe un riesgo con los datos que proporcionan los usuarios. Por un lado están los que generan en la utilización de la plataforma, como documentos, calificaciones, trabajos, comunicaciones o hábitos de uso. Por otro, los datos recogidos y generados automáticamente por el uso y funcionamiento de la propia plataforma: direcciones IP, identificadores de dispositivo, datos de localización, registros de actividad en todo el ordenador, cookies, metadatos de uso e interacción. Aquí es donde está el problema, advierten. "El tratamiento de estos últimos datos puede escapar al conocimiento detallado y al control efectivo del responsable", indica.
El decálogo propone, como primer principio, el "pleno respeto a los derechos y libertades en el tratamiento de los datos personales", teniendo en cuanta el "interés superior del menor como consideración primordial". "La circunstancia de que la plataforma se ofrezca de forma gratuita a las administraciones educativas no puede suponer, directa ni indirectamente, una merma en el nivel de protección de los datos personales del alumnado, de sus familias ni del profesorado", avisa.
Colegios responsables
En segundo lugar, las CCAA y los colegios deben "asumir de forma proactiva y efectiva su condición de responsables del tratamiento, sin delegar ni diluir dicha responsabilidad".
Un tercer apunte es que debe haber "una base de licitud válida para cada finalidad y cada responsable del tratamiento". En este caso, la base legitimadora radica en el "interés público" y "cualquier tratamiento que exceda de esa finalidad requiere de una justificación propia". Por ejemplo, "los servicios adicionales" que no respondan a la función educativa -vídeos de YouTube no educativos- "no deben activarse en un entorno institucional dirigido a menores".
La plataforma debe configurarse de modo que sólo se traten los datos estrictamente necesarios para la finalidad educativa y los servicios ajenos a ello deben estar desactivados por defecto. "El responsable y el encargado deberán aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado", recalcan las agencias de control.
Evaluación de impacto
Además, los colegios y consejerías deben realizar una evaluación de impacto relativa a la protección de datos antes de poner en funcionamiento cualquier plataforma, en la que debe participar desde el primer momento un delegado de protección de datos. El uso de la plataforma debe regirse por un contrato de encargo de tratamiento y control para que el responsable conozca con claridad el alcance y las condiciones del encargo. Y el responsable del tratamiento debe garantizar el ejercicio efectivo de los derechos de acceso, rectificación, supresión, limitación y oposición.
Con carácter previo, el responsable debe analizar todas las transferencias internacionales de datos que se deriven de la solución tecnológica adoptada y verificar, caso por caso, si el ordenamiento jurídico del país de destino garantiza un nivel de protección equivalente al del Espacio Económico Europeo. "Cuando dicho nivel no pueda garantizarse, deberán adoptarse medidas suplementarias eficaces", avisan.
Por otro lado, las familias y los profesores deben recibir información completa, accesible y comprensible, en un lenguaje claro y sencillo cuando se dirija a menores.