La AEPD publica los resultados de la primera inspección sectorial en Europa sobre servicios cloud en el ámbito educativo

  • La AEPD publica los resultados de la primera inspección sectorial en Europa sobre servicios cloud en el ámbito educativo

    La AEPD publica los resultados de la primera inspección sectorial en Europa sobre servicios cloud en el ámbito educativo

    CLOUDEl informe, que tiene carácter preventivo, evalúa el cumplimiento de la protección de datos de carácter personal en los servicios de almacenamiento en la nube que son usados en el ámbito educativo, por ejemplo para corregir los ejercicios de los alumnos.

    • Esta tecnología aporta perspectiva innovadoras para mejorar los procesos de enseñanza y aprendizaje pero también puede implicar importantes riesgos para alumnos y profesores.
    • El sector evaluado se caracteriza por la pluralidad de actores que intervienen, el gran volumen de datos que manejan y la tipología de los mismos, que abarca desde la gestión administrativa hasta datos especialmente protegidos.
    • El informe recoge las principales conclusiones sobre el cumplimiento de la LOPD por parte de los centros escolares, las plataforma educativas y las entidades que prestan servicio de alojamiento.
    • El documentos formula una serie de recomendaciones dirigidas a facilitar el cambio al entorno digital y a contribuir al desarrollo de los nuevos modelos educativos en un entorno respetuoso con los derechos de los afectados.

     

    Estas son las principales conclusiones del informe:

    1. Difusión y publicidad. Si se van a difundir públicamente imágenes de los alumnos o se les van a remitir comunicaciones publicitarias es imprescindible obtener el consentimiento de los interesados o de sus representantes legales.
    2. Editoriales. Los centros educativos que presten servicios de adquisición de libros digitales deben informar a los afectados de la cesión de datos que se realiza a las editoriales y de la finalidad de la misma. Por su parte, las editoriales no están legitimadas para tratar sin consentimiento los datos que pueden obtener a partir de esas plataformas de enseñanza, tales como los resultados de los ejercicios realizados por los alumnos o los perfiles que pueden obtenerse a partir de los mismos.
    3. Supervisión de contenidos. Los contenidos que los alumnos publican en las aulas virtuales deberían ser supervisadas por los profesores con objeto de evitar contenidos malintencionados. En este sentido, la Agencia recomienda el registro de alumnos, la supervisión de contenidos por parte del profesor antes de la publicación y la delimitación de los niveles de acceso por grupos.
    4. Apps móviles. Se ha detectado la existencia de aplicaciones orientadas a que los profesores organicen las clases con ellas, y que registran datos personales de los alumnos, incluyendo imágenes y calificaciones. Los centros deberían elaborar normas internas para la utilización de estas herramientas de conformidad con las exigencias legales.
    5. Otros servicios de almacenamiento en la nube. Cuando en los centros educativos se empleen herramientas u otros servicios de almacenamiento en la nube distintos de las plataformas educativas, ya sean gratuitas o de pago, su utilización tendrá que ser autorizada previamente por el centro, estableciendo normas internas para garantizar adecuadamente el tratamiento de los datos personales.
    6. Contratos con garantías. Los centros educativos deberán formalizar la contratación de servicios cloud de forma que puedan acreditar su celebración y la incorporación de las garantías adecuadas para la protección de datos personales, incluidas las exigibles en caso de subcontratación. Asimismo, el prestador de servicios cloud debe garantizar la portabilidad de la información y la no conservación de los datos al término del contrato (borrado seguro).
    7. Ubicación de los datos. Es necesario que los centros educativos conozcan las entidades que intervienen en la prestación de servicios de cloud, su ubicación y las garantías adoptadas en caso de que vayan a realizarse transferencias internacionales de datos.
    8. Responsabilidades en materia de seguridad. Es preciso que los contratos especifiquen la tipología de los datos que se van a almacenar con el fin de implantar el nivel de seguridad exigible, así como especificar claramente las responsabilidades de todos los intervinientes (servicios de alojamiento, plataformas educativas y centros de enseñanza) en la implantación de dichas medidas de seguridad. En particular, hay que asegurar la adecuada asignación de permisos de acceso a los datos personales y concienciar a los usuarios sobre los peligros de utilizar contraseñas que no sean suficientemente robustas.
    9. Nubes privadas, públicas e híbridas. Las plataformas educativas que prestan servicios a varios centros escolares deben garantizar la independencia y el aislamiento de los datos almacenados por cada uno de ellos.
    10. Punto Neutro. Iniciativas como la puesta en marcha por el Punto Neutro del INTEF son bienvenidas como fórmula de acceso a los contenidos digitales de las editoriales en la medida en que garanticen el anonimato de los alumnos.

    Comments are closed.