El Consejo de Cuentas ha entregado en las Cortes de Castilla y León el informe “Análisis de las garantías relativas a la privacidad de los datos de los usuarios de la plataforma de educación online utilizada en los centros educativos de la administración de la Comunidad Autónoma de Castilla y León, durante los cursos 2019/2020 y 2020/2021”. Se trata de una fiscalización operativa, cuyo objetivo general es analizar las actuaciones llevadas a cabo por la Administración autonómica en esta materia.
La crisis ocasionada por la COVID-19 supuso el cierre de la actividad presencial en los centros educativos a partir del mes de marzo del curso 2019/2020. Esta situación implicó que las plataformas para educación online se convirtieran en un recurso imprescindible para el acceso al servicio educativo y no en un elemento accesorio como sucedía hasta entonces. Todo tratamiento de datos personales en este contexto debe llevarse a cabo de conformidad con el Reglamento General de Protección de Datos.
Si bien la normativa se refiere a personas físicas en general, debe tenerse en cuenta que los usuarios de las plataformas para la educación online, son en su mayor parte menores, y que el reglamento establece que “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales”.
Entorno tecnológico. La Consejería de Educación proporciona el servicio de enseñanza online a través de dos plataformas: aulas virtuales basadas en el software Moodle y el paquete Microsoft 365 que incluye, entre otras, la aplicación Teams. La Consejería dispone de un sistema de información (STILUS), que proporciona la gestión de las identidades de los usuarios (alumnos y profesores), que acceden a ellas, así como otros servicios de gestión educativa.
Encargado del tratamiento. En relación con la plataforma Moodle y, conforme a la estructura competencial de la Administración autonómica, la Consejería de Educación es la encargada de su desarrollo y mantenimiento, y la Consejería de Movilidad y Transformación Digital de la explotación y administración de las infraestructuras informáticas de soporte. Sin embargo, no se ha desarrollado ningún instrumento o documento para acordar las relaciones o la resolución de incidencias entre ambas específicamente aplicables a la protección de los datos personales.
El uso de la plataforma Microsoft 365 se encuentra regulado mediante una serie de contratos formalizados por la Consejería de Educación. Los contratos, en cuanto al contenido y funciones del encargado (Microsoft), no han sido objeto de negociación, aceptándose las condiciones del servicio y la adenda de protección de datos redactadas por la empresa. La Consejería no ha introducido cláusulas adaptadas específicamente a sus necesidades para determinar aspectos como la finalidad, duración, etc. Existe un documento de adenda de privacidad y datos personales con un contenido claro y preciso. Pero del resto de los documentos, resulta muy complejo obtener una visión clara de qué cláusulas se aplican.
La adenda recoge los puntos básicos que deben especificarse según el Reglamento General de Protección de Datos. De manera adicional, la empresa publica en su web una política de privacidad con respecto a los datos personales de los estudiantes que utilicen Microsoft 365 ofrecido por su centro educativo, en línea con el Reglamento General de Protección de Datos. El contenido de esta política de privacidad es modificado libremente por la empresa.
Responsable del tratamiento. La Consejería de Educación, como responsable del tratamiento, está aplicando medidas de protección orientadas según la política de seguridad de la información y protección de datos de la Comunidad, que se alinea con el Reglamento General de Protección de Datos.
La política vigente se aprobó en septiembre de 2021, por lo que durante los cursos 2019/2020 y 2020/2021 aún se encontraba en vigor la Orden de la Consejería de Hacienda de 2014, sobre política de seguridad de la información de la Administración autonómica, que dado su año de aprobación cumplía los estándares legales a esa fecha, pero no los actuales.
El registro de actividades de tratamiento de la Consejería de Educación establece que se aplicarán a los sistemas de información afectados las medidas correspondientes, según el Esquema Nacional de Seguridad. Sin embargo, no se ha acometido el proceso para asegurar su conformidad.
Protección de los derechos del interesado. Los datos para el alta en las plataformas no se recaban específicamente para tal fin. Se utilizan los proporcionados durante el proceso de matrícula en el caso de los estudiantes, y los procedentes del sistema de gestión de personal en el caso de los docentes.
La finalidad de los datos recogidos en el proceso de matrícula es la “gestión del proceso de matriculación”. No se informa expresamente de otras finalidades, específicamente el alta de los usuarios en las plataformas de educación online.
Las instrucciones para el ejercicio de los derechos del interesado no se detallan en el formulario de matrícula, sino que se realizan remisiones genéricas a la página de la sede electrónica de la Junta y del portal de educación. El delegado de protección de datos de la Consejería de Educación realiza un control de las solicitudes recibidas relacionadas con el ejercicio de derechos.
Registro de actividades del tratamiento (RAT). La Consejería de Educación, como responsable del tratamiento, ha elaborado un registro de actividades disponible en la web de transparencia.
El RAT incluye tratamientos relativos a aulas virtuales y usuarios del portal, referidos ambos a los datos personales que recopila la Consejería para el alta y gestión de usuarios en las plataformas. También se incluye un tratamiento referente a la admisión y matriculación de alumnos en centros docentes sostenidos por fondos públicos de la Comunidad. No se incluyen tratamientos relacionados con otros datos personales presentes en las plataformas para la educación online y que agregan los propios usuarios o que recopilan las aplicaciones para su funcionamiento.
Las medidas de seguridad aplicadas a los tratamientos hacen referencia al Esquema Nacional de Seguridad regulado en el Real Decreto 3/2010. Todavía no se han adaptado al Real Decreto 311/2022, de 3 de mayo, por el que se regula el actual Esquema Nacional de Seguridad, estando dentro del plazo para su realización.
No se han aportado por parte de la Consejería medidas encaminadas a verificar la existencia y adecuación del Registro de actividades del tratamiento del encargado del tratamiento (Microsoft), y que este contenga al menos todas las categorías de actividades de tratamiento que realiza por cuenta del responsable.
Evaluación de impacto de protección de datos y código de conducta. No se ha realizado la evaluación de impacto de datos por parte de la Consejería de Educación, al considerar que el riesgo de todos los tratamientos asociados a las plataformas de educación online es bajo. En las decisiones acerca de las medidas de seguridad no se ha seguido una metodología concreta ni se ha documentado el proceso, lo que resultaría básico para su revisión y reevaluación periódica.
La Consejería no ha hecho uso de la posibilidad de desarrollar un código de conducta para autorregular su actividad en materia de protección de datos.
Delegado de protección de datos. La Consejería de Educación ha nombrado un delegado de protección de datos que desempeña dicha función para todos los centros educativos públicos de la Comunidad. Su actividad incluye, entre otras funciones, el asesoramiento a empleados (fundamentalmente docentes) que tratan la información, la respuesta a consultas de interesados y la interlocución con la Agencia Española de Protección de Datos.
Actuaciones adoptadas en línea con las recomendaciones de la Agencia Española de Protección de Datos. Las recomendaciones propuestas por la Agencia Española de Protección de Datos para centros educativos constituyen una selección de buenas prácticas que la Consejería de Educación aplica parcialmente.
Por ejemplo, la Consejería ha emitido una instrucción a los centros, junto a un modelo específico, para recabar el consentimiento del interesado cuando los datos personales se tratan para una finalidad distinta de la educativa y que contiene información sobre esta finalidad, derechos de los interesados, medios en los que se autoriza la difusión de datos, etc.
La Comunidad pone a disposición de los centros educativos un conjunto de aplicaciones que cubren las necesidades de aprendizaje online y de comunicación con las familias. El mantenimiento de la privacidad de los datos en estas aplicaciones es objeto de atención por parte de la Consejería y existen directrices para la obligatoriedad en el uso de los medios corporativos para la comunicación con las familias, evitando el uso de otros medios que pueda comprometer la privacidad de los alumnos. Sin embargo, no consta una evaluación del grado de eficacia de dicha formación.
La prevención del ciberacoso y otros malos usos de las nuevas tecnologías es un objetivo principal del Plan de seguridad y confianza digital que se está llevando a cabo desde el año 2015. Al igual que en el caso de formación, no se ha aportado una evaluación de su grado de eficacia.
Recomendaciones. El Consejo de Cuentas realiza siete recomendaciones a la Consejería de Educación. Entre ellas, debería adoptar un instrumento jurídico para futuros contratos con prestadores de servicios educativos online, que se adapte a las circunstancias específicas de la Comunidad las condiciones en que se presta el servicio en lo referido a la protección de datos personales de los usuarios y que no permita cambios en estas condiciones salvo acuerdo expreso entre ambas partes.
Por otra parte, debería describir con más detalle la finalidad de los datos recopilados en los formularios de matrícula para incluir su uso para el alta en las plataformas de educación online.
Además, debería realizar de forma sistemática y normalizada el proceso de gestión de riesgos contemplado en la política de seguridad de la información y protección de datos de la Junta de Castilla y León.
Finalmente, debería adoptar un sistema para evaluar la efectividad de la formación impartida en materia de privacidad, específicamente aplicada a las plataformas de educación online, y muy especialmente en lo referente al rol de los docentes en el mantenimiento de la privacidad de los grupos que gestionan. Asimismo, debería disponer de un mecanismo sistemático de supervisión para asegurar que las configuraciones aplicadas son correctas.
Aunque la Consejería de Educación presentó alegaciones fuera de plazo, junto a ellas planteó una serie de propuestas de actuaciones derivadas del contenido del informe. La implementación de dichas propuestas será objeto de análisis en el próximo informe de seguimiento de recomendaciones.
Tienes que iniciar sesión para ver los comentarios