¿El uso de soluciones digitales en la nube representa riesgos y sanciones para instituciones Educativas?

En Colombia tanto las escuelas primarias como las de secundaria a menudo utilizan sistemas tecnológicos de educación que recopilan datos, y ello lo hacen muchas veces sin cumplir con los requisitos de la legislación en materia de protección de información personal. En el presente blog analizaremos lo qué generalmente sucede, y qué debe considerar cada institución educativa para no ir en contra de la Ley.

En general, los educadores o los funcionarios encargados de la implementación de ayudas tecnológicas en una institución educativa son bastante proactivos; por lo tanto, muy frecuentemente colocan a disposición de los estudiantes herramientas de aprendizaje o de seguimiento que están disponibles en la Web, las que sin duda alguna contribuyen al logro de los objetivos de formación académica; sin embargo, muchas veces al implementar la solución no consideran que tales plataformas no solo recopilan los datos de los estudiantes, sino que no  garantizan ni la adecuada protección de la información recopilada, ni el acatamiento de las políticas que la institución ha establecido, por lo que generalmente los centros educativos, de una manera inconsciente, terminan por incumplir con sus objetivos organizacionales, y con el acatamiento de la Ley  Colombiana de Protección de Datos Personales, lo que inevitablemente les conlleva acceder a multas y sanciones administrativas.

Un caso internacional que ahora suena en Colombia es el que tiene que ver con una institución educativa pública en Irlanda que fue sancionada por hacer uso de la plataforma “Google Workspace for Education”, ello sin tomar medidas adecuadas para la protección de los datos de los alumnos. Por supuesto sabemos que la mencionada plataforma hace uso de herramientas de aprendizaje innovadoras basadas en la colaboración y la comunicación con los estudiantes, facilitando así los procesos en el aula; no obstante, dicha plataforma recopila los datos de los alumnos, los transfiere internacionalmente a Estados Unidos, y adicionalmente no cuenta con cláusulas indemnizatorias que protejan a los estudiantes contra filtración o divulgación de sus datos, por lo que su uso, por parte de las instituciones educativas, requiere de un extremo cuidado.

Entonces, ¿Qué aspectos debería usted tener en cuenta cuando desee hacer uso de alguna plataforma de ayuda educativa en particular?

• El consentimiento informado es esencial. Los padres o tutores deben conocer la funcionalidad de la aplicación dentro del contexto educativo de la institución, y deben autorizar que sus prohijados entreguen sus datos, ello justo antes que la institución le solicite a los alumnos inscribirse en tal plataforma.
• La finalidad del procesamiento debe ser muy precisa, definiendo el alcance de uso de la plataforma. Aquí se debe entender que la institución educativa es la que desarrolla, en forma pedagógica, la transferencia de conocimiento a los alumnos; por lo tanto, no se entendería la finalidad de uso de la misma salvo que los elementos disponibles en ella sean absolutamente indispensables para la formación del estudiante. En estos casos se recomendaría anonimizar los datos de los alumnos, permitiendo, por ejemplo, que se registre un código interno como ID del alumno, o un “alias” como identificador del mismo.
• Es importante limitar el tiempo de almacenamiento de los datos personales de los estudiantes en la plataforma; pues, no se entendería la razón para que justo después que se hayan utilizado los recursos de la misma, y que se hayan aprovechado sus funcionalidades, aún se persista en mantener la información de alumnado en sus medios de almacenamiento. Generalmente si se requiere alguna información acerca de desempeño de un estudiante específico, los datos almacenados podrían ser descargados de la plataforma de una manera encriptada, siendo llevados de esta manera a servidores propios o en la nube, sin que se tenga que mantenerlos de manera expuesta en los centros de almacenamiento del proveedor de la solución.
• Con respecto al acceso y a la rectificación, se le debe proporcionar tanto a los estudiantes como a los  padres o tutores el derecho de acceder a los datos personales, a corregir cualquier inexactitud y a oponerse al procesamiento de sus datos en ciertas circunstancias.
• Frente a la responsabilidad ante la Ley, es indispensable poder demostrar que se cumple con todas las obligaciones, ello implica disponer de mecanismos de control tales como las auditorías regulares tanto de la información almacenada en la plataforma educativa, como sobre el uso de los datos que realiza la marca propietaria, igualmente se deberá contar con programas de formación de maestros, alumnos y funcionarios que participen en la revisión y supervisión de las actividades, de esa manera ellos tendrán claro qué deben hacer y  qué deben considerar al usar la plataforma.

Finalmente, se debe entender que las plataformas educativas en la nube usualmente no consideran las normas de tratamiento de datos personales como esenciales, y más bien se dedican a profundizar en el desarrollo de su negocio; por lo tanto usted deberá ponderar qué tan fiable es la marca que ha seleccionado para ayudar en las actividades educativas en su institución, realizando al menos las siguientes actividades:

• Verifique si la plataforma proporciona suficiente transparencia sobre cómo se utilizan y procesan los datos personales de los estudiantes.
• Corrobore que en el contrato se contemple la implementación de medidas de seguridad para proteger los datos personales de los estudiantes contra el acceso no autorizado, la pérdida o el daño de la información; así mismo, verifique cómo responde el dueño de la plataforma frente a filtraciones o pérdida de los datos. Si el contrato no contempla compensación alguna por esas fallas mejor no haga uso de tal solución.
• Revise el contrato buscando que en él esté establecido que los datos personales de los estudiantes se procesen de una manera alineada con las políticas internas de su organización educativa; de no encontrarse cláusulas alineadas a tales políticas, mejor no contemple la plataforma como ayuda a los procesos en sus aulas.
• Recuerde que la transferencia internacional de los datos es un gran problema, más aún cuando la mayoría de los datos personales tratados son de menores de edad; por tanto, si el proveedor de la plataforma no garantiza totalmente que los datos personales de los estudiantes estén protegidos cuando éstos se transfieren al país de procesamiento, no contrate con él.
• Asegúrese que en el contrato se contemple la notificación de violaciones de la seguridad de los datos. No notificar adecuadamente las violaciones de la seguridad de la información personal almacenada pone en riesgo los derechos y libertades de los estudiantes.

Los anteriores aspectos son fundamentales para garantizar que tanto la organización educativa como la plataforma de ayuda en enseñanza respeten la privacidad y los derechos de los estudiantes frente a su información personal. Es importante recordar que el incumplimiento de las obligaciones de protección de datos puede dar lugar a sanciones significativas y dañar la reputación de su institución académica; por lo tanto, tome siempre en serio la protección de la información, y esfuércese por cumplir con todas las obligaciones que la Ley establece para el campo educativo.