Cómo proteger los datos personales en clases virtuales

Principales amenazas a la seguridad de la información de los alumnos en las aulas virtuales y plataformas tecnológicas

El Instituto Nacional de Identificación Personal podría contener todos los datos biométricos de los mexicanos y de las personas naturalizadas.
 El Instituto Nacional de Identificación Personal podría contener todos los datos biométricos de los mexicanos y de las personas naturalizadas.  (Foto: iStock)

La emergencia sanitaria que se vive en todo el mundo no solo ha provocado consecuencias de salud, sino también sociales. Todos los sectores se han visto obligados a modificar la manera en que realizaban sus actividades, uno de ellos es la educación, que de forma abrupta tuvo que mudar de un modelo tradicional de enseñanza presencial a uno a distancia, a través de medios digitales.

Esto ha significado un reto para las escuelas, quienes  en la búsqueda de opciones para seguir impartiendo clases (especialmente las privadas), han hecho uso de las plataformas que ofrecen servicios de videoconferencias o relacionadas con fines docentes; sin embargo, uno de los problemas entorno a estas herramientas, es el poco conocimiento que tienen los centros educativos sobre la información que la aplicaciones recaban de los alumnos.

Por tal motivo, a continuación se señalan algunas de las implicaciones que trae consigo la educación virtual en materia de protección de datos personales, y cómo las instituciones pueden proteger la información de los estudiantes en la red.

Videoconferencias

De un análisis del aviso de privacidad de las plataformas de videoconferencias más populares, se constató que los principales datos recabados son los siguientes:

  • información del dispositivo como el modelo de hardware, la versión del sistema operativo, los identificadores únicos, la información de la red móvil y el número de teléfono 
  • dirección de protocolo de Internet (IP) 
  • ubicación, determinada por diversas tecnologías, incluida la GPS y otros sensores
  • información personal de los estudiantes y profesores, que incluye:
    • nombre y apellidos del usuario

    • correo electrónico

    • contraseña, y

    • teléfono

  • nombre del centro educativo, y

  • cookies o tecnologías similares que se utilizan para recopilar y almacenar información sobre un navegador o dispositivo, como el idioma preferido y otras configuraciones

Aunque de estos datos los colegios no son sujetos responsables directos porque no son recabados por ellos mismos, en vista de toda la información que se gestiona, resulta esencial que lean y comparen las políticas de las distintas aplicaciones que existen en el mercado para que elijan aquella que sea más segura y respetuosa con la privacidad.

En este sentido, dejar que el precio de los servicios condicionen la elección de la plataforma es un error, pues a menudo las cuentas gratuitas tienen una menor protección de datos e incluso pueden llegar a ser usados para otros fines.

Actualmente varias aplicaciones tienen cuentas exclusivas para los colegios, en las cuales el instituto es quién determina el tratamiento de la información personal de los alumnos, pudiendo decidir sobre los siguientes aspectos:

  • grabar las reuniones localmente o en la nube 

  • permitir que los alumnos y profesores muestren o carguen información que puedan ver otros usuarios

  • aceptar que se creen transcripciones de la reunión, y

  • autorizar que se comuniquen en la sesión a través del chat y se creen registros

Por su parte los padres pueden solicitar a la escuela el acceso o revisión de la información de sus hijos, teniendo derecho a negarse a que se siga recogiendo o exigir su eliminación.

Exámenes en línea

Para evaluar los conocimientos, los centros han optado por realizar exámenes online a través de plataformas o sistemas que utilizan identificadores biométricos de reconocimiento facial o webcams para asegurar la identificación unívoca de los alumnos o detectar comportamientos anómalos a fin de evitar suplantaciones de identidad o actuaciones fraudulentas.

Se debe considerar que las técnicas de reconocimiento facial gestionan distintos datos biométricos que bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), tienen el carácter de datos personales sensibles porque se refieren a la esfera más íntima de su titular y su uso indebido puede conllevar un grave riesgo para su titular; por tanto, se requerirá de una protección reforzada. Las recomendaciones para el tratamiento de datos biométricos emitidas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), son1: 

  • limitar al máximo la recolección de datos biométricos que pudieran revelar datos sensibles no necesarios para las finalidades legítimas que se persiguen

  • utilizar tecnologías que garanticen la mayor calidad posible en la obtención de las muestras biométricas y que tengan tasas bajas de falsos positivos y de falsos negativos

  • informar expresamente en el aviso de privacidad que se recabarán datos biométricos, especificando su tipo 

  • incluir en el aviso de privacidad las finalidades para las cuales serán tratados los datos, especificando para qué objeto se ocuparán de manera clara, sin lugar a confusión y con objetividad

  • poner a disposición del titular el aviso de privacidad, en cada recolección de datos biométricos, y

  • no conservar los datos biométricos por un plazo superior al necesario para cumplir con la finalidad

Al respecto, las escuelas deberán priorizar el uso de datos que no sean biométricos para lograr la aplicación de evaluaciones sin restarle efectividad, y de no ser posible tendrán que constatar que las plataformas contratadas cumplan con todos los puntos anteriormente señalados para evitar transgresiones en los derechos de los alumnos.

Sobre la publicación de calificaciones, también se deberán respetar las reglas de protección de datos. Para tal efecto, se podrán retomar las prácticas implementadas en otros países; por ejemplo, en España, donde los colegios cuidan los siguientes aspectos para garantizar que la divulgación no sea ilegal2:

  • minimización de datos: la información a publicar deberá ceñirse al nombre del estudiante y la calificación obtenida

  • limitación del plazo de conservación: los datos deberán ser mantenidos durante el tiempo imprescindible para que sean del conocimiento de todos los interesados, e

  • integridad y confidencialidad: el medio preferente para la difusión deberá ser una plataforma o aula virtual que tenga el acceso restringido a los profesores y alumnos del grupo

Videos

Respecto a las grabaciones de las clases o evaluaciones, a fin de proteger la voz e imagen de los participantes deberá limitarse su acceso a los docentes, padres y alumnos y no podrán ser utilizadas para fines distintos a la función educativa. Es importante señalar que su difusión no podrá ser pública; por tanto, no se deberán sacar fotos o videos de las sesiones y circularlas por la red sin obtener el consentimiento expreso de todos los afectados; excepto por alguna de las causas previstas en el artículo 37 de LFPDPPP, tales como:

  • sea necesario para la prevención o el diagnóstico o tratamiento médico y la gestión de servicios sanitarios

  • sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier entidad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas

  • sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia

  • sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

  • sea vital para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular

Whatsapp

Actualmente la mayoría de los profesores han optado por comunicarse con los padres a través de aplicaciones de mensajería instantánea como whatsapp; no obstante, se recomienda que el medio de comunicación quede perfectamente acordado entre ambas partes, y de elegir esta aplicación no se empleen las conversaciones grupales para proporcionar información personal de los estudiantes.

Comentarios finales

Si bien, la protección de datos personales puede parecer el menor problema para las escuelas en la enseñanza a distancia, no debe pasar inadvertido, por el contrario, debe tomarse con seriedad, ya que están en peligro derechos como la intimidad y privacidad de los alumnos.

Cuestiones como la obtención del consentimiento para el tratamiento de los datos es un punto en el que se debe tener especial cuidado, ya que en términos de la LFPDPPP, este tiene que ser libre, es decir, que no medie error, mala fe, violencia o dolo, lo cual puede ocasionar conflictos porque en la relación alumno—colegio hay un desequilibro de poder que podría afectar la elección de los estudiantes para negar su consentimiento sin sufrir alguna consecuencia negativa en su educación.

Para contrarrestar la problemática es necesario que los centros educativos realicen todos los esfuerzos para que los datos personales que se recaben, sean solo los indispensables para continuar impartiendo clases, y ajusten sus modelos de privacidad a estas nuevas condiciones. En caso de que se auxilien de herramientas tecnológicas, deben contratar aquellas que provoquen la menor interferencia en los datos. 

Además, aunque es un tarea difícil, tendrán que contar con medios alternativos que sean menos invasivos en la privacidad de aquellas personas que rechacen el uso de las aplicaciones de videoconferencia o cualquier otra utlizada para recibir las clases en línea, pues negar o interrumpir la educación como consecuencia de la denegación del consentimiento del tratamiento de datos, podría alegarse como una violación al derecho al acceso a la educación. 

.
 .  (Foto: IDConline)