RGPD: Protexendo os datos do noso alumnado

typography images, 154 en Pixabay CCO 1.0

Levamos xa un tempiño bombardeados por correos electrónicos de empresas que se botaron á carreira a última hora para recabar o noso consentimento explícito e informado e evitar sancións. Tempo houbo pois aínda  que o Reglamento General de Protección de Datos (RGPD) entrou en aplicación o 25 de maio,  xa levaba dous anos en vigor, desde 2016.

No ámbito educativo non podemos despistarnos tampouco, primeiro polo carácter sensible dos datos que tratamos (situación socioeconómica ou datos de saúde, por exemplo), moitas veces de menores, un colectivo especialmente vulnerable; e segundo polos hábitos que ao mellor temos arraigados e precisan revisión.

Artigos coma este, que falan dos riscos do emprego de plataformas sociais de aprendizaxe como Edmodo ou Schoology ou estudos coma este que analiza como se pode vulnerar a privacidade do noso alumnado a través do emprego de certas aplicacións, fannos reflexionar sobre as decisións que ás veces tomamos na aula, coa mellor intención sen dúbida, pero ás veces sen pararnos a analizar os parámetros de seguridade e privacidade coa suficiente atención. E eu a primeira, que empreguei Edmodo durante uns 8 anos confiando en que ao ser con fins educativos o tratamento dos datos sería responsable.

O certo é que as tecnoloxías facilítannos moitísimo a nosa labor de xestión académica e ofrécennos a posibilidade de crear contidos atractivos e innovadores. Non hai que demonizalas, pero si elixir con tino considerando todas as variables sen deixarnos absorber pola voráxine tecnolóxica en que vivimos.

Ben podemos comezar por analizar as necesidades e valorar os riscos das opcións que estamos barallando. A.W. Bates por exemplo recomenda no seu libro Teaching in a Digital Age. Guidelines for Designing Teaching and Learning reflexionar sobre as seguintes preguntas:

1. Que información do alumnado estou obrigado a manter en privado e segura? ¿Cales son as políticas da miña institución ao respecto?
2. Cal é o risco que implica o uso dunha tecnoloxía en particular que poida facilmente violar as políticas de privacidade da miña institución? Quen me podería asesorar ao respecto?
3. Que áreas do ensino-aprendizaxe precisan ter lugar a porta pechada, é dicir, que só estean disponibles para o alumnado matriculado no curso? Que tecnoloxías permitirían lograr ese obxectivo?

Outra acción necesaria sería familiarizarnos ben co RGPD e as súas implicacións para o noso traballo na aula e no centro educativo. A este respecto, onte (27 de xuño) tiven o privilexio de escoitar o relatorio "Protección de datos" de Víctor Salgado. Socio de Pintos & Salgado, é un avogado especializado en Dereito Informático desde 1997 e conferenciante asiduo na materia de diferentes aspectos legais relacionados co emprego da tecnoloxía (reputación na rede, intelixencia artificial, robótica e ciberdelitos entre outros). De feito, na súa web preséntanse como "el primer bufete de Galicia especializado en Derecho Informático (...) con más de quince años de experiencia en consultoría legal informática, propiedad intelectual y auditoría e implantación de normativa de protección de datos de carácter personal".

Fonte: https://pintos-salgado.com

De seguido reproduzo algunhas anotacións que me pareceron relevantes, aínda que tede en conta que non deixa de ser un resumo. Para información confiable e detallada, por favor, acudide ao propio RGPD,  en particular ás normas para empresas e organizacións. 

Salgado indicounos que o RGPD realmente é un regulamento europeo que sufriu modificacións serias recentes na súa versión española e que está aínda pendente a reforma da Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter personal, que desenvolverá parte dese regulamento.  O que si implica é o comezo dun cambio na mentalidade e a cultura da privacidade.

O avogado revisou de seguido 10 novidades do RGPD:

1. A responsabilidade proactiva (en inglés accountability) que implica que os datos teñen que manterse íntegros e que teñen que ser confidenciais.
2. A privacidade no deseño e por defecto. Quere dicir que os axustes deberían facer que as nosas publicacións fosen privadas, non públicas, ou sexa que por defecto deberiamos sentirnos protexidos/as, non ao contrario.
3. Transparencia e consentimento reforzados. As celas deberían aparecer desmarcadas (non marcadas por defecto) e os conceptos desglosados cando hai varios consentimentos (celas e parágrafos separados).
4. Novos datos sensibles: xenéticos e biométricos.
5. Novos dereitos: portabilidade e limitación do tratamento (unha limitación temporal sen ser supresión [que antes se chamaba cancelación]).
6. "Flexibilización" das medidas de seguridade. É dicir, cada empresa ou organización pode elixir as medidas que adopta, pero ten que demostrar que son suficientes, efectivas e que se aplican de xeito continuado.
7. Xa non é necesario dar de alta ficheiros na AEPD.
8. Nova figura: o Delegado de Protección de Datos, un especialista en dereito de protección de datos que se crea ao carón das figuras do responsable e do encargado do tratamento de datos.
9. As notificacións de violacións de seguridade terán que comunicarse á AEPD nun prazo máximo de 72 horas. Nesta ligazón temos un documento co procedemento.
10. Avaliación de impacto na privacidade. Esta avaliación é herdada dunha normativa medioambiental que invita a prever cales son os danos ou riscos implícitos. Cando realizamos algunha acción debemos pensar na privacidade e definir se vai haber riscos altos. En caso de dúbidas, o regulamento indica unha serie de casos nos que vai haber que facer unha avaliación de impacto. Hai unha guía que afonda neste aspecto, pero Víctor convidounos a ter nos centros educativos un equipo multidisciplinar que inclúa un responsable do proxecto, un responsable da información e un representante do colectivo afectado. É dicir, cómpre preguntar ao alumnado e aos pais e nais e tendo en conta esa análise, redactaremos un informe. Se constitúe un alto risco, debemos envialo á AEPD e ela decidirá se 1) se leva a cabo; 2) se anula; 3) se leva a cabo con medidas adicionais.

En resumo, o RGPD non nos vai obrigar a ter unha seguridade total pero si a cumprir cuns mínimos. Debemos cambiar a idea que temos de "custodia de ficheiros" e pensar en "actividades de tratamento de datos", deseñando un proceso de control para asegurarnos de que cumprimos todas as premisas de protección, conservación e eliminación racional da información.

Para saber máis:

•  Reglamento General de Protección de Datos (RGPD)
• Agencia Española de Protección de Datos
• Protocolo de Protección de Datos (Consellería de Cultura, Educación e Ordenación Universitaria, Xunta de Galicia)
• identidadedixital.gal (orientación sobre identidade dixital no ámbito escolar para profesorado e familias)
• Blog de Víctor Salgado
• Data protection: A toolkit for schools (published by the Department for Education, UK)
• How can schools ensure they are GDPR compliant?