Blanca Álvarez Yaque
Directora del Área de Protección de Datos
Emilio Jesús Sánchez García
Jefe del Gabinete de Investigación y Correctivo
Manuel González Seco
Jefe del Gabinete de Cumplimiento
Consejo de Transparencia y Protección de Datos de Andalucía
protecciondedatos.ctpda@juntadeandalucia.es
1. Introducción
Las plataformas educativas digitales son sistemas en línea diseñados para facilitar la interacción y colaboración entre el alumnado y el personal docente así como para gestionar recursos y procesos educativos. Estas herramientas, que operan en la nube, pueden ser empleadas para realizar funciones tales como la organización de clases, creación de horarios y asignación de recursos, evaluación del alumnado incluyendo seguimiento de progreso y calificaciones, o la comunicación entre todos los participantes del proceso educativo, que puede incluir foros de discusión, mensajería interna, y avisos.
En el contexto de la protección de datos personales, estas plataformas suelen manejar una amplia variedad de información personal, incluyendo nombres, direcciones de correo electrónico, números de teléfono y otros datos identificativos del alumnado, profesorado, y en algunos casos, padres, madres o tutores legales, incluso datos sensibles relacionados con el rendimiento académico o necesidades educativas especiales. Además, es habitual que almacenen y procesen documentos educativos, hojas de cálculo y material audiovisual.
El tratamiento de estos datos personales debe orientarse a proveer los servicios de la plataforma, asegurando una gestión eficiente y efectiva del proceso educativo a la vez que se garantiza la seguridad y privacidad, de conformidad con el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) (1) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LA LEY 19303/2018) (LOPDGDD (LA LEY 19303/2018)).
Por ello, en los siguientes apartados, abordaremos una serie de recomendaciones clave que deben considerarse antes de iniciar cualquier proyecto de implantación o uso de una plataforma educativa digital.
El Reglamento de Inteligencia Artificial, aún pendiente de aprobación definitiva, identifica como sistemas de alto riesgo aquellos sistemas de IA «destinados a utilizarse para evaluar a los estudiantes en centros educativos»
No obstante, antes conviene realizar una advertencia. El Reglamento de Inteligencia Artificial, aún pendiente de aprobación definitiva, identifica como sistemas de alto riesgo aquellos sistemas de IA «destinados a utilizarse para evaluar a los estudiantes en centros educativos». Por tanto, tales sistemas estarán sujetos a un marco exhaustivo de obligaciones y requisitos específicos una vez que el reglamento sea aplicable y que no son objeto de análisis en el presente artículo. Es importante que los responsables de las plataformas educativas digitales estén atentos a la entrada en vigor y a las repercusiones que ello supondrá.
2. Base legitimadora del tratamiento de datos personales
Para garantizar la licitud en el tratamiento de datos personales mediante el uso de plataformas educativas digitales, hay que establecer la finalidad del uso de dicha plataforma y analizar entonces si se cumple alguna de las condiciones contempladas en el artículo 6.1 RGPD (LA LEY 6637/2016).
En el caso de que la finalidad del uso de la plataforma sea estrictamente educativa y orientadora, la base legitimadora puede encontrarse en el artículo 6.1.e) RGPD (LA LEY 6637/2016). Este artículo establece que «el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento». Así, para esta finalidad específica, no sería necesario obtener el consentimiento del alumnado o de sus tutores legales en el caso de menores de 14 años.
Esta circunstancia vendría sustentada por el artículo 1 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación (LA LEY 4260/2006) (en adelante, LOE) que establece como fin del sistema educativo «La capacitación para garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales[…]», en la Disposición adicional vigesimotercera que regula el tratamiento de los «Datos personales del alumnado» que establece en su apartado primero que «Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa.», así como en el artículo 83 «Derecho a la educación digital» de la LOPDGDD (LA LEY 19303/2018). En todo caso, será necesario tener en cuenta la normativa autonómica que pueda ser aplicable y que pudiera incidir en el tratamiento de datos personales en el ámbito educativo.
Debe quedar claro, que tal base legitimadora únicamente ampara tratamientos de datos personales que se realizan con una finalidad educativa y orientadora. En caso de emplear la plataforma con otras finalidades, será necesario identificar una base legitimadora diferente, como el consentimiento o (más improbable en centros educativos públicos o concertados y más probable en centros educativos privados) la ejecución de un contrato. En situaciones donde se considere el consentimiento como base de licitud, deben observarse las condiciones específicas para su validez, especialmente en relación con menores de 14 años, según lo estipulado en el artículo 7 LOPDGDD (LA LEY 19303/2018) y el artículo 8 RGPD (LA LEY 6637/2016).
3. Ejercicio del derecho de oposición
Como ocurre con cualquier tratamiento de datos personales, el uso de plataformas educativas digitales está sujeto al ejercicio de los derechos contemplados en los artículos 15 a (LA LEY 6637/2016)22 RGPD (LA LEY 6637/2016), incluyendo el derecho de oposición. Este derecho es especialmente relevante cuando el tratamiento se funda en el artículo 6.1.e) RGPD (LA LEY 6637/2016), relacionado con misiones de interés público o el ejercicio de poderes públicos.
Al recibir solicitudes de ejercicio del derecho de oposición, se deberá realizar una ponderación entre la importancia del uso de la plataforma y su impacto en los interesados, para determinar si existen motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, derechos y libertades del interesado. Estos motivos imperiosos deben ser claramente comunicados al interesado como parte de la respuesta a su solicitud.
En el caso de que, como consecuencia del ejercicio del derecho de oposición con los requisitos manifestados, se permitiese a una determinada persona dejar de emplear la plataforma, la administración educativa y el centro deberán adoptar las medidas técnicas y organizativas oportunas para que ésta no sufriera situaciones de discriminación o agravio comparativo en el disfrute de los servicios educativos y de orientación. Dichas medidas podrían ser exigibles por mor del interés superior del menor y como consecuencia de su derecho a la educación.
4. Deber de información a los interesados
Independientemente de la base legitimadora para el tratamiento de datos personales en las plataformas educativas digitales, se debe cumplir con los principios establecidos en el artículo 5 RGPD (LA LEY 6637/2016), en particular, el principio de transparencia. Dicho principio debe entenderse en los términos señalados en el considerando 39 RGPD: las personas deben comprender claramente cuándo se recogen sus datos personales y cómo serán tratados.
El principio de transparencia exige que la información relativa al tratamiento de datos personales según lo dispuesto en el artículo 13 RGPD (LA LEY 6637/2016), sea accesible y fácil de entender, utilizando un lenguaje sencillo y claro. Esta información debe proporcionarse en el momento de la recogida de los datos en caso de que se obtenga directamente de los interesados.
A este respecto son válidas múltiples opciones siempre que se cumpla con los citados principios. En el ámbito educativo, un medio efectivo para suministrar esta información puede ser el formulario de matriculación, lo que además permitiría proporcionarla en el momento de recogerse los datos. Otras posibilidades, dependiendo del contexto concreto, podrían ser a través de la aplicación móvil corporativa de comunicación con los miembros de la comunidad educativa, de haberla, la publicación de avisos en el sitio web de la institución, comunicaciones por correo electrónico o reuniones informativas.
Resulta evidente que esta información también deberá quedar recogida en el Registro de actividades de tratamiento, de conformidad con el artículo 30 RGPD (LA LEY 6637/2016).
5. Limitación de la finalidad
Una vez identificada de forma determinada y explícita la finalidad del tratamiento de datos en la plataforma, es crucial asegurar que se cumple el principio de limitación de la finalidad. Este principio establece que los datos personales sólo deben recogerse para fines específicos, explícitos y legítimos, y no deben ser tratados de manera posterior de forma incompatible con dichos fines.
En este tipo de plataformas es común encontrarse con situaciones que podrían implicar nuevos tratamientos de datos personales. Ejemplos de ello incluyen el uso en modalidad de prueba o testing de tecnologías avanzadas como la personalización de contenidos según el ritmo de aprendizaje, realidad virtual o realidad aumentada.
Dada la naturaleza de estas plataformas, las mismas pueden ofrecer una enorme cantidad de datos sobre el rendimiento académico, competencias, habilidades, intereses y capacidades del alumnado. Esto puede suponer un elevado riesgo de que los datos se utilicen con fines ulteriores más allá de las necesidades educativas del alumnado como, por ejemplo, la creación de perfiles para la adopción de decisiones automatizadas que condicionen su futuro.
Estos tratamientos adicionales no necesariamente podrían considerarse incluidos dentro de las finalidades educativas y orientativas originales. De acuerdo con los principios de lealtad y transparencia y de limitación de la finalidad del RGPD, se debería determinar clara y explícitamente los fines de estos otros usos, y hacer un análisis de compatibilidad con la finalidad original en caso de que la base jurídica del tratamiento siga siendo la del interés público o bien recabar el consentimiento libre, informado e inequívoco para las nuevas finalidades. En este sentido, será necesario adoptar medidas para asegurar que no se produzca ningún tratamiento de datos personales sin base legitimadora válida.
6. Servicios, aplicaciones o complementos adicionales
Las plataformas educativas de terceros pueden incluir el acceso a servicios adicionales ofrecidos por la misma empresa proveedora de la plataforma pero que no forman parte de los servicios objeto del encargo de tratamiento. Al acceder al uso de estos servicios el responsable del tratamiento pasa de ser la administración educativa a ser la propia empresa proveedora para sus propios fines. Por tanto, al acceder, cada usuario deberá aceptar los términos y condiciones de la empresa proveedora.
La administración educativa deberá valorar si permite el acceso a esos servicios adicionales a través de la plataforma educativa de su responsabilidad teniendo en cuenta lo que ese acceso pueda aportar en cada servicio a sus fines educativos y orientativos.
En caso de decidir permitir tal acceso deberá asegurarse, como mínimo, que se cumplen ciertas condiciones. En primer lugar, debe ser perfectamente transparente para los usuarios que están pasando de un entorno educativo responsabilidad de su administración educativa a un entorno responsabilidad de una empresa privada en el que sus datos serán tratados para los fines propios de esa empresa privada. Además, posiblemente no sea imprescindible que el usuario acceda directamente a esos servicios con una sesión ya iniciada por defecto.
Las empresas prestadoras de servicios de la sociedad de la información tienen la obligación de hacer esfuerzos razonables para verificar que el consentimiento para el uso de sus servicios es otorgado por mayores de 14 años o por los representantes legales de los mismos
Por otro lado, las empresas prestadoras de servicios de la sociedad de la información tienen la obligación de hacer esfuerzos razonables para verificar que el consentimiento para el uso de sus servicios es otorgado por mayores de 14 años o por los representantes legales de los mismos. Siendo una plataforma educativa es de prever que la empresa proveedora conocerá al menos el curso en el que está el menor y parece complicado que en un centro que imparta exclusivamente educación infantil o primaria el alumnado sea mayor de 14 años. En este sentido, debería existir algún mecanismo para que sean los progenitores o tutores legales de los menores de 14 años a los que se informe sobre el tratamiento bajo responsabilidad de la empresa y los que otorguen o no el consentimiento para el mismo. De lo contrario podrían darse situaciones no deseables como que los menores eludan los controles parentales impuestos por sus progenitores a través de una plataforma educativa proporcionada por su centro educativo.
Las mismas consideraciones pueden hacerse respecto a los complementos o aplicaciones que puedan instalarse desde la tienda de aplicaciones si se pudiera acceder a las mismas desde la plataforma. Sin embargo, los riesgos serían aún mayores pues en tal caso el responsable del tratamiento suele ser, no ya la empresa privada proveedora de la plataforma, sino alguna de las otras terceras empresas que ofrecen sus complementos en la tienda de aplicaciones.
Si además los servicios ofrecidos por estos complementos o aplicaciones de terceras empresas son de pago, la plataforma podría ofrecer la posibilidad de dar de alta una forma de pago como una tarjeta bancaria, con los riesgos que esto supone teniendo en cuenta que el alumnado usuario es casi siempre menor de edad.
Nuevamente, la administración educativa deberá valorar detenidamente si autoriza la instalación de esos complementos, el alta de formas de pago y si se dan, como mínimo, las condiciones citadas sobre transparencia y requisitos del consentimiento además de otras que se requieran.
De lo contrario y aunque el responsable del tratamiento en principio no sería la administración educativa, podría estar adquiriendo algún grado de responsabilidad.
7. Tratamiento de fotografías y contenido audiovisual
En el contexto de las plataformas educativas digitales, es común el tratamiento de material fotográfico y audiovisual, incluyendo grabaciones de clases, proyectos del alumnado o eventos escolares. El tratamiento de los datos personales contenidos en este material debe cumplir con el principio de minimización de datos del RGPD, siendo «adecuados, pertinentes y limitados a lo necesario» para los fines educativos.
Si el tratamiento de imágenes es necesario para el cumplimiento de la finalidad principal de prestación del servicio educativo y orientador, no se requerirá el consentimiento para el tratamiento de imágenes. No obstante, si existen finalidades secundarias adecuadas, pertinentes y limitadas a lo necesario, se requerirá el consentimiento u otra base legitimadora adecuada.
En virtud del artículo 25 RGPD (LA LEY 6637/2016) relativo a la «Protección de datos desde el diseño y por defecto», habrá que disponer de medidas organizativas apropiadas, como pueden ser la adopción de instrucciones o protocolos claros y homogéneos a todos los centros educativos para aplicar de forma efectiva los principios de protección de datos, asegurando que solo se traten los datos personales necesarios para cada fin específico del tratamiento, sin perjuicio de la autonomía de los centros para la inclusión o especificación de estas instrucciones en sus respectivos reglamentos de organización y funcionamiento. Dichas instrucciones serían también la oportunidad de incluir previsiones para evitar el almacenamiento en la plataforma de imágenes, videos o audio denigrantes, violentos o contrarios a la convivencia.
8. Tratamiento de datos de categorías especiales
El Consejo de Transparencia y Protección de Datos de Andalucía se ha manifestado anteriormente en el sentido de que sería posible, en determinados casos, según las circunstancias y si ello fuera necesario para el ejercicio de la función educativa o para la satisfacción del derecho a la educación recogido en el artículo 27.1 de la Constitución Española (LA LEY 2500/1978), levantar la prohibición de tratar categorías especiales de datos mencionada en el artículo 9.1 RGPD (LA LEY 6637/2016), al amparo de la excepción mencionada en el artículo 9.2.g) relativo a razones de interés público esencial.
Al respecto, nos remitimos al Dictamen 2/2023 de este Consejo, de 8 de noviembre de 2023, relativo a la procedencia de facilitar a un centro educativo un informe clínico de salud de un alumno, de conformidad con la normativa de protección de datos.
Por consiguiente, la administración educativa podría recabar y tratar datos del alumnado y de sus padres, madres o tutores legales, incluyendo datos de categoría especial, sin necesidad del consentimiento de éstos como parte de su función docente y orientadora.
Sin embargo, lo dicho no significa que sea necesario el tratamiento de categorías especiales de datos a través de estas plataformas educativas que al emplearse para la realización de parte de las actividades lectivas, podrían evitar su uso. Así por ejemplo, no parecería razonable que las funciones orientadoras, que casi inevitablemente requerirán el tratamiento de datos de salud física y psicológica del alumnado, se lleven a cabo a través de estas plataformas que ni están pensadas para ello ni están configuradas, al menos por defecto, con las elevadas medidas de seguridad que el tratamiento habitual de dicha clase de datos requiere. Por lo tanto, es preferible que su tratamiento quede excluido de las mismas.
No obstante, dada la naturaleza de estas plataformas, donde se almacenan documentos, hojas de cálculo, presentaciones y material audiovisual existe un alto riesgo de que se incluyan inadvertidamente datos de categorías especiales. Por ejemplo, el uso de una agenda o calendario electrónico podría revelar información delicada si se usara para anotar citas médicas o eventos que indiquen creencias religiosas u opiniones políticas, en vez de usarlo exclusivamente para cuestiones académicas.
Para mitigar este riesgo, y en línea con lo indicado en el apartado anterior, será necesario establecer medidas organizativas efectivas orientadas a prevenir el tratamiento de datos que revelen información sensible.
9. Transferencias de datos personales a terceros países
Las plataformas educativas digitales operan principalmente a través de servicios en la nube y por tanto, pueden implicar transferencias de datos personales a terceros países. Estas transferencias se producen cuando hay un flujo de datos personales desde España a destinatarios fuera del Espacio Económico Europeo (EEE), y están sujetas a una regulación detallada en el Capítulo V del RGPD (artículos 44 a 50).
Para que estas transferencias sean conformes con el RGPD deben cumplirse ciertas condiciones. En primer lugar, pueden basarse en una decisión de adecuación del artículo 45 RGPD (LA LEY 6637/2016), donde la Comisión Europea ha determinado que un país ofrece un nivel adecuado de protección de datos. El recientemente aprobado «Data Privacy Framework» con E.E.U.U. es probablemente la más conocida de tales decisiones de adecuación.
En ausencia de una decisión de adecuación, las transferencias deben contar con garantías adecuadas conforme al artículo 46, que pueden incluir normas corporativas vinculantes, cláusulas tipo de protección de datos, códigos de conducta o mecanismos de certificación.
Además, existen excepciones en situaciones específicas según el artículo 49, aunque estas deben ser consideradas como opciones de último recurso y no es probable que puedan resultar de aplicación en el contexto de estas plataformas.
Antes de poner en marcha la plataforma es necesario analizar detenidamente las transferencias de datos personales que tendrán lugar en función de la solución tecnológica empleada y siempre que sea posible optar por la opción que garantice que los datos personales serán tratados dentro del Espacio Económico Europeo, servicio que suelen ofrecer los principales proveedores tecnológicos.
En caso contrario, habrá que analizar los países de destino y determinar si las transferencias están amparadas por una decisión de adecuación o en su defecto identificar las garantías adecuadas de acuerdo con el RGPD y la jurisprudencia del Tribunal de Justicia de la UE.
10. Marco jurídico adecuado con el encargado del tratamiento
En la mayoría de los casos, la operación y gestión de la plataforma, así como el tratamiento de los datos personales contenidos en la misma, se realizará a través de un encargado del tratamiento (y posiblemente sub-encargados).
Es imprescindible que esta relación entre responsable y encargado quede recogida en un acto jurídico vinculante (como un contrato o un convenio), conforme al artículo 28 RGPD (LA LEY 6637/2016) y a ser posible centralizada en una única autoridad actuando como responsable del tratamiento. Esta formalización centralizada es preferible a permitir que cada centro educativo gestione individualmente esta relación debido a los riesgos de diversidad e inconsistencias en la protección de datos personales que ello implicaría.
Sin ánimo de exhaustividad, los requisitos clave que deben exigirse al encargado incluyen:
- □ Prohibición de tratar los datos para fines propios (por ejemplo, publicidad, perfilado, etc).
- □ Prohibición de comunicar datos a terceros (excepto en los casos previstos por ley).
- □ Obligación de almacenar y tratar los datos personales con plena sujeción a las obligaciones sobre transferencias a terceros países establecidas en el capítulo V RGPD.
- □ Obligación de cumplir con el Esquema Nacional de Seguridad. Las plataformas deben categorizarse, al menos, como sistemas de nivel medio y cumplir con los requisitos de seguridad correspondientes.
- □ Obligación de riguroso control de relaciones entre encargado y sub-encargados y del cumplimiento del RGPD por estos últimos.
11. Evaluación de impacto relativa a la protección de datos
El RGPD en su artículo 35 (LA LEY 6637/2016) establece la obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) cuando un tratamiento de datos, particularmente aquel que emplea nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Conforme a lo indicado en el artículo 54.4 RGPD (LA LEY 6637/2016) y basándose en los criterios del Grupo de Trabajo del Artículo 29, las autoridades de protección de datos han elaborado una lista orientativa de tratamientos que requieren una EIPD. En el contexto de las plataformas educativas digitales, se identifican múltiples factores que hacen obligatoria tal evaluación, incluyendo el tratamiento de datos a gran escala, datos de menores de 14 años y el uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
12. Conclusiones
Las plataformas educativas digitales tratan datos personales a gran escala, de menores de 14 años y mediante el uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas, por tanto deben ser objeto de un riguroso análisis previo para garantizar la protección de datos personales y cumplir con el RGPD y la LOPDGDD (LA LEY 19303/2018).
Esto incluye identificar la base legitimadora para el tratamiento de datos, como el interés público en el caso de usos educativos, y cumplir con el principio de transparencia.
Se debe limitar el uso de datos a los fines educativos específicos y tratar adecuadamente fotografías y contenido audiovisual, así como, salvo que sea realmente necesario, evitar el tratamiento de datos de categorías especiales, siguiendo el principio de minimización de datos. Las transferencias de datos personales a terceros países deben cumplir con los requisitos del RGPD, preferentemente manteniendo los datos dentro del EEE.
Se deben tomar detenidamente las decisiones oportunas sobre permitir o no el acceso a servicios, aplicaciones o complementos y métodos de pago de responsabilidad de empresas terceras y, en caso de autorizarlas exigir que se den las condiciones apropiadas en caso de darlo.
Por su parte, la relación con encargados del tratamiento debe quedar formalizada a través de un acto jurídico vinculante, prohibiendo el uso de datos para fines propios del encargado y asegurando el control de los sub-encargados. Igualmente, debe entenderse como obligatorio realizar una evaluación de impacto relativa a la protección de datos y contar con el asesoramiento del DPD.
Finalmente, resulta altamente recomendable que el responsable del tratamiento, de forma centralizada proporcione instrucciones y protocolos de actuación sobre estos elementos de forma coordinada para todos los centros docentes, así como una adecuada formación a docentes y tutores legales.