La Comisión de Protección de Datos de Portugal emite orientaciones para utilización de tecnologías de soporte a la enseñanza a distancia
Alerta Protección de Datos Portugal
La Comisión de Protección de Datos de Portugal (“CNPD”) emitió el pasado 8 de abril orientaciones relativas al tratamiento de datos personales realizado a través de plataformas de enseñanza no presencial apoyadas en tecnologías de e-learning, massive open online course, participación de contenidos/ficheros, videoconferencia y messaging.
Estas orientaciones, dirigidas sobre todo a los responsables del tratamiento de datos personales necesarios y a los subcontratantes, así como a los organismos públicos que toman decisiones relacionadas con el uso de estas tecnologías en la enseñanza, se resumen en lo siguiente:
1. Datos personales tratados en el ámbito de la utilización de tecnologías de soporte a la enseñanza a distancia
La CNPD comienza por hacer una lista de los datos personales que pueden ser tratados en este contexto y que podrá incluir no solo los datos normalmente tratados en el ámbito de la actividad de enseñanza, sino también datos que revelen (o de los que se puedan deducir) aspectos de la vida privada de los titulares (p.ej. manifestaciones verbales de los participantes en las plataformas contempladas, imagen de los participantes y de su entorno, aptitudes intelectuales y dificultades de aprendizaje de los alumnos) o incluso datos de salud (en el caso de plataformas programadas para identificar, mediante determinados indicadores, situaciones de dislexia, trastornos del espectro autista, deficiencia intelectual, hiperactividad, trastornos de atención, de memoria, de percepción, de lenguaje o deficiencia intelectual).
Esta entidad destaca también que tales plataformas podrán llevar no solo al tratamiento de datos personales de alumnos y profesores, sino también de otras personas que se encuentren en el mismo espacio que estos (es el caso de los familiares de alumnos y profesores).
2. Riesgos para la privacidad de los titulares
La CNPD avisa también de los riesgos para la privacidad de los titulares que podrían derivarse de la utilización de tecnologías de soporte a la enseñanza a distancia, entre ellos:
-
Riesgo de utilización indebida de los datos recogidos o transferidos a través de estas tecnologías;
-
Riesgo de definición de perfiles o evaluaciones con base en la información observada de la actividad de los usuarios que puede generar el tratamiento discriminatorio de las personas a quien se refieren los perfiles (teniendo aquí particular relevancia las decisiones automatizadas basadas en sistemas de inteligencia artificial que analizan el comportamiento y desempeño de los alumnos – learning analytics, ya que el error de evaluación del progreso del alumno podría limitar el acceso por parte de este a ciertos contenidos, lo que a largo plazo podría limitar su aprendizaje);
-
Riesgo de reutilización/comunicación de datos sin legitimidad para ello (p.ej. publicaciones en redes sociales o en otras plataformas de datos obtenidos a través de las citadas tecnologías y tratamiento de estos para finalidades no legítimas);
-
Riesgo de vigilancia a distancia de los profesores con la finalidad de controlar su rendimiento profesional.
3. Recomendaciones
La CNPD termina sus orientaciones con un conjunto de recomendaciones destinadas a proteger los datos personales tratados mediante tecnologías de soporte a la enseñanza a distancia y a minimizar el impacto de la utilización de estas tecnologías en los derechos de los titulares de los datos, que incluyen las siguientes:
-
Únicamente deberán utilizarse plataformas con finalidades bien definidas, compatibles con la enseñanza a distancia y que el centro de enseñanza consiga soportar con los medios técnicos de que disponga (sin sobrecargar sus sistemas tecnológicos, lo que los haría inseguros);
-
Solamente deberán utilizarse plataformas que respeten los principios de minimización de datos y de privacidad desde su diseño, debiendo optarse, siempre que sea posible, por tecnologías que impliquen la menor exposición posible del titular y de su entorno familiar;
-
Se deberá informar acerca de las plataformas a utilizar tanto a profesores como a alumnos, especialmente en el contexto del uso de algoritmos que dependan del consentimiento de los titulares (alumnos o, si son menores, los encargados de su educación), lo que presupone la adecuada definición de los detalles de los tratamientos de datos a realizar (p.ej. definición de los datos a tratar y plazos de conservación);
-
Se deberá realizar una evaluación de impacto en la protección de datos previamente a la utilización de las plataformas de soporte a la enseñanza a distancia (estando indicado que lo hagan las empresas que proveen las plataformas);
-
Se deberán definir claramente los papeles y responsabilidades de los distintos intervinientes en el tratamiento, así como establecerse la obligación de que los proveedores de las plataformas comuniquen a los centros de enseñanza las vulneraciones de datos personales que se produzcan;
-
La utilización de algoritmos de análisis de rendimiento (learning analytics) deberá hacerse de forma lícita, acertada, justa y transparente, sin que el centro de enseñanza pueda imponer la utilización de estas tecnologías (dependiendo del consentimiento del titular o, cuando sea menor, del encargado de su educación);
-
La comunidad escolar deberá ser sensibilizada en un conjunto de buenas prácticas y precauciones a seguir en la utilización de tecnologías de soporte a la enseñanza a distancia.
Conclusiones
Los centros de enseñanza que pretendan utilizar o ya utilicen tecnologías de soporte a la enseñanza a distancia deberán, por tanto, asegurar la adopción de varias medidas, incluyendo:
-
Selección cuidadosa de tecnologías de este tipo y de los proveedores de estas, documentando el análisis realizado:
-
de la adecuación de la tecnología seleccionada para los fines pretendidos (incluido el punto de vista de la exposición del titular y de su entorno familiar derivada del uso de la misma);
-
de la capacidad técnica del centro de enseñanza para soportar la implementación de la tecnología seleccionada;
-
de la adecuación de la tecnología seleccionada al centro en el Reglamento General de Protección de Datos y demás legislación de protección de datos relevante;
-
de la existencia de evaluaciones de impacto en la protección de datos adecuadas (y, si no existen, de la evaluación realizada por el centro de enseñanza);
-
de las medidas de seguridad aplicadas por el proveedor a la tecnología seleccionada;
-
de la capacidad del proveedor para cumplir lo establecido en la legislación de protección de datos aplicable.
-
-
Celebración de contratos relativos al tratamiento de datos personales con los proveedores de tecnologías que establezcan claramente las responsabilidades de estos y de los centros de enseñanza.
-
Definición de los detalles de los tratamientos de datos personales que serán llevados a cabo mediante la tecnología seleccionada (p.ej. datos personales a tratar, plazos de conservación, destinatarios de los datos), poniendo especial atención si la tecnología seleccionada implica la definición de perfiles y/o decisiones automatizadas.
-
Comprobación de las notas informativas/políticas de privacidad dirigidas a profesores y alumnos/encargados de educación y adaptación de estas en la medida de lo necesario para que reflejen los tratamientos de datos personales derivados de la utilización de las tecnologías seleccionadas.
-
Difusión de documentos de fácil lectura con las buenas prácticas a seguir en la utilización de las tecnologías facilitadas por el centro de enseñanza.