Primera inspección sectorial en Europa sobre servicios de cloud computing en el ámbito educativo

Primera inspección sectorial en Europa sobre servicios de cloud computing en el ámbito educativo

El pasado 22 de julio de 2015 la AEPD publicó la primera inspección sectorial en Europa sobre servicios de cloud computing en el ámbito educativo. Este plan tiene como objetivo evaluar el grado de cumplimiento de la normativa de protección de datos en un ámbito bastante complejo debido al gran número de actores que intervienen, una gran cantidad de datos y su propia naturaleza.

Las nuevas técnicas en el sector, sobre todo el cloud computing,  dan un impulso extra a los procesos de enseñanza y aprendizaje. Pero bien es cierto que la utilización de esta tecnología lleva consigo ciertos riesgos para la privacidad, los cuales hay que estudiar y controlar a la hora de contribuir al desarrollo de estos nuevos modelos.

Los datos hablan de aproximadamente ocho millones de estudiantes no universitarios en España, por lo que nos encontramos ante un gran flujo de datos de carácter personal. Igualmente, estos avances en el sector educativo suponen un grandísimo cambio en el sistema educativo, siendo puntales del futuro de la educación es España.

Hay que señalar que este campo tiene una gran particularidad en que muchos de los datos que se tratan pueden ser de menores, incrementando su peligrosidad y su nivel de seguridad.

Los datos reflejados en el informe, analizan el funcionamiento del sector educativo en el modelo de cloud computing, a nivel del cumplimiento de la LOPD por parte de los centro, las plataformas educativas (y las entidades que prestan servicios de alojamiento).

El documento, además da 10 recomendaciones destacadas a seguir:

1. Difusión y publicidad.Cuando se difundan públicamente imágenes de los alumnos o se remitan comunicaciones publicitarias es imprescindible obtener el consentimiento de los interesados o de sus representantes legales.

2. Editoriales.Si el centro presta servicios de compra de libros digitales, los afectados deben informar de la cesión de datos que se realiza a las editoriales y de la finalidad de la misma. Igualmente, estas editoriales no podrán tratar sin consentimiento los datos que puedan obtener a partir de esas plataformas de enseñanza.

3. Supervisión de contenidos.El contenido creado por el alumnado en las aulas virtuales deben ser supervisadas por los profesores o encargados para evitar contenidos malintencionados, siendo interesante hacer este control previo a su publicación.

4. Apps móviles.Las orientadas los profesores, facilitando la organización de las clases con ellas, y registrando los datos personales de los alumnos, incluyendo imágenes y calificaciones, en este caso los propios centros deberían elaborar un reglamento interno para utilizar estas herramientas con arreglo a la ley.

5. Otros servicios de almacenamiento en la nube.Si se emplean herramientas u otros servicios de almacenamiento en la nube que no sean los propios del centro, tendrán que ser autorizada previamente por el centro, siguiendo un reglamento interno creado para garantizar adecuadamente el tratamiento de los datos personales.

6. Contratos con garantías.La contratación de servicios cloud tiene que poder acreditarse su celebración así como la incorporación de las garantías adecuadas para la protección de datos personales, garantizando la portabilidad de la información y la no conservación de los datos al término del contrato (borrado seguro).

7. Ubicación de los datos.Los centros educativos deben conozcer las entidades que intervienen en la prestación de servicios de cloud, sabiendo su ubicación y las garantías adoptadas en caso de que vayan a realizarse transferencias internacionales de datos.

8. Responsabilidades en materia de seguridad. Los contratos deben especificar la tipología de los datos para implantar el nivel de seguridad exigible, al igual que especificar claramente las responsabilidades de todos los intervinientes (servicios de alojamiento, plataformas educativas y centros de enseñanza) en la implantación de dichas medidas de seguridad.

9. Nubes privadas, públicas e híbridas.Las plataformas educativas que prestan servicios a varios centros escolares deben garantizar la independencia y el aislamiento de los datos almacenados por cada uno de ellos.

10. Punto Neutro.Iniciativas como la puesta en marcha por el Punto Neutro del INTEF son bienvenidas como fórmula de acceso a los contenidos digitales de las editoriales en la medida en que garanticen el anonimato de los alumnos.