La Agencia Española de Protección de Datos (AEPD) ha realizado una inspección sectorial con carácter preventivo sobre el uso de los servicios "cloud" (nube) en el sector educativo español, para comprobar el nivel de cumplimiento de la ley de Protección de Datos en este área con tanta información de menores.
Con ello, la AEPD es la primera autoridad de Protección de Datos europea involucrada hasta el momento en una acción de este tipo.
Su objetivo no es sancionar sino sensibilizar a los actores implicados en la transformación del sector educativo al entorno digital en la necesidad de cumplir la legislación de protección de datos.
En el informe sobre dicha actuación, publicado hoy por la AEPD, se destaca la complejidad del entorno educativo, marcado por una diversa pluralidad de actores implicados y un gran volumen de datos de muy distinta tipología.
Se recuerda que los centros educativos disponen de datos especialmente sensibles y protegidos, que abarcan desde los relativos a la gestión administrativa, hasta los que conciernen a la salud (médicos o psicopedagógicos) o perfiles de aprendizaje y comportamiento de menores.
La llamada "nube" tecnológica, ese espacio en internet en donde se almacenan todo tipo de datos, también los vinculados con sectores como el educativo, es gestionada por una tercera entidad ajena a los propietarios de la información, y el acceso a la misma se realiza desde todo tipo de ordenador o dispositivo conectado a la red.
Tras un análisis inicial y una vez verificado el escenario donde se desarrolla el sector educativo no universitario en España y la implantación de soluciones en "la nube", se inició el llamado Plan de Oficio y doce inspecciones presenciales.
Las mismas se dirigieron a proveedores de servicios "cloud", de servicios de software del mundo educativo, a tres colegios, a dos editoriales que ofertan acceso a libros digitales desde sus propias plataformas y al Proyecto Punto Neutro del Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (Intef).
El documento de la AEPD plantea una veintena de recomendaciones. Así, se señala por ejemplo que, si van a difundirse públicamente imágenes de alumnos es imprescindible el consentimiento de los interesados o de sus representantes legales.
Los centros que presten servicios de adquisición de libros digitales deben informar a los afectados de la cesión de datos que se realiza a las editoriales.
La AEPD recomienda la supervisión por el profesor de lo publicado por los alumnos en aulas virtuales para evitar contenidos malintencionados.
Se insta asimismo a los colegios a elaborar normas internas para el uso de aplicaciones móviles según las exigencias legales.
Cuando en los centros se empleen servicios de almacenamiento en "la nube" distintos a las plataformas educativas, su uso habrá de ser autorizado previamente por el centro.
Los colegios formalizarán la contratación de servicios en la "nube" de forma que puedan acreditar su celebración y la incorporación de garantías para la protección de datos personales.
Es necesario que los centros conozcan qué entidades intervienen en la prestación de servicios en la "nube".
Las plataformas educativas que presten servicios a varios centros deben garantizar la independencia y el aislamiento de los datos de cada uno de ellos.
Iniciativas como el Punto Neutro del Intef son bienvenidas siempre y cuando garanticen el anonimato de los alumnos.