icdppc - draft resolution on e-learning platforms and annex · web viewen cambio, muchas...
TRANSCRIPT
[Borrador] Resolución sobre plataformas de aprendizaje electrónico
[BORRADOR] RESOLUCIÓN SOBRE PLATAFORMAS DE APRENDIZAJE ELECTRÓNICO
40° Conferencia Internacional de Autoridades de Protección de Datos y Privacidad 22-26 de octubre, Bruselas
Co-Autores: en representación del Grupo Especial sobre Plataformas de Aprendizaje Electrónico
del Grupo de Trabajo sobre Educación Digital.
Oficina del Comisionado de Información y Privacidad de Alberta, Canadá
Oficina del Comisionado de Información y Privacidad de Ontario, Canadá
Oficina del Comisionado de Privacidad de Canadá
Oficina de Protección de Datos Personales, República Checa
Comisión Nacional de Informática y Libertades, Francia
Copatrocinadores:
Comisionado estatal de Turingia para la protección de datos y la libertad de
información, Turingia, Alemania
Comisionado de Privacidad y Datos Personales, Hong Kong
Garante para la Protección de Datos Personales, Italia
Oficina del Comisionado de Información, Jersey
Comisionado Nacional de Privacidad, Filipinas
Oficina de Protección de Datos Personales, Polonia
Agencia Española de Protección de Datos
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 1 of 8
Ha surgido un mercado global de plataformas de aprendizaje electrónico para colaborar con las
autoridades académicas a proporcionar mejores servicios educativos y mejorar los resultados
de niños y jóvenes. Un número creciente de autoridades académicas están utilizando estas
plataformas para contribuir a la educación en el aula y obtener una mayor comprensión de las
necesidades de aprendizaje de los estudiantes.
Algunas de las plataformas de aprendizaje electrónico y el análisis de aprendizaje que estas
facilitan, tienen una enorme capacidad para fomentar el desarrollo de prácticas de aprendizaje
innovadoras y efectivas. En el mejor de los casos, pueden fortalecer y complementar las
interacciones de los estudiantes, padres y profesores en el entorno educativo y ayudarlos a
cumplir con su respectivo potencial. Sin embargo, las plataformas de aprendizaje electrónico
pueden representar una amenaza para la privacidad derivada de la recolección, uso,
reutilización, divulgación y almacenamiento de los datos personales de los usuarios.
Los datos personales de niños y jóvenes merecen una protección específica. Los niños y jóvenes
tienen derecho a que su privacidad esté protegida y deben contar con la posibilidad de ejercer
su derecho de protección de datos por sí mismos y, cuando sea necesario, dar su
consentimiento para el tratamiento de sus datos. Los padres deben ser capaces de ayudar a sus
hijos y participar activamente en el ejercicio de estos derechos.
Las aulas se han convertido en entornos cada vez más interconectados que pueden poner en
riesgo estos derechos. De manera específica, estas aulas plantean problemas de transparencia,
mientras que las prácticas inadecuadas de tratamiento de datos por plataformas de aprendizaje
electrónico, la toma opaca de decisiones automatizadas y el mal uso del análisis de riesgo del
aprendizaje socaban la protección de datos y los derechos de privacidad. En el caso de niños y
jóvenes, esto puede tener consecuencias sociales, económicas y profesionales significativas y
de largo plazo y, al mismo tiempo, and fail to account for their evolving capacities.
Con base en lo anterior, y de acuerdo con el objetivo de adoptar resoluciones sobre temas de
interés, la 40ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 2 of 8
(CIAPDP) convoca a todas las entidades competentes en materia de aprendizaje electrónico, y
particularmente a
Proveedores y fabricantes de plataformas de aprendizaje electrónico, incluidos
proveedores de servicios basados en datos dirigidos a estudiantes; y
Autoridades académicas, incluidos los ministerios de educación, consejos escolares,
administradores de centros escolares y profesores
a respetar completamente los derechos de protección de datos personales y privacidad de los
estudiantes, padres y profesores ("individuos”), y garantizar que los datos recolectados se
utilicen únicamente con fines educativos de conformidad con la ley de protección de datos.
Se insta a las Partes a tomar en cuenta las recomendaciones que se explican continuación en
cada etapa del desarrollo, implementación y uso de las plataformas de aprendizaje electrónico.
1) Se solicita a las autoridades académicas lo siguiente:
a) Garantizar que tengan autoridad para contratar los servicios de plataformas de
aprendizaje electrónico. Debe existir una clara delegación interna de roles y
responsabilidades entre profesores, administradores de centros escolares y otras
autoridades académicas relevantes, quienes deberán conocer las leyes aplicables de
protección de datos y privacidad antes de implementar plataformas de aprendizaje
electrónico dentro del aula.
b) Llevar a cabo evaluaciones de impacto de privacidad/protección de datos y desarrollar
políticas y procedimientos para evaluar, aprobar y sustentar el uso de plataformas de
aprendizaje electrónico. Estas políticas deberán promover el control individual de datos
personales, aclarar las funciones y responsabilidades entre los diversos actores
involucrados en las plataformas de aprendizaje electrónico, mitigar los riesgos y
promover la rendición de cuentas.
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 3 of 8
c) Proporcionar capacitación y apoyo continuo a los profesores. Los profesores deben
proporcionar orientación y apoyo efectivo a los estudiantes y padres sobre el uso de
estas plataformas de aprendizaje electrónico y sobre la protección de datos y los
derechos de privacidad en general.
d) Trabajar con otras autoridades académicas, y en conjunto con las autoridades locales
de protección de datos, para establecer estándares comunes para el uso de las
plataformas de aprendizaje electrónico. Este enfoque colaborativo hacia las prácticas
más aceptadas de común acuerdo aumenta el aprovechamiento, el intercambio de
conocimientos, el desarrollo de mejores prácticas y la maximización de recursos con el
fin de superar cualquier práctica inconsistente de seguridad y privacidad en la
prestación de los servicios de plataformas de aprendizaje electrónico.
e) Cuando sea necesario o apropiado, solicitar el consentimiento válido, informado y
significativo de las personas. La base legal para el tratamiento de los datos de los
estudiantes por parte de una plataforma de aprendizaje electrónico a cargo de una
institución educativa debe estar determinada por la ley o las reglas establecidas por las
autoridades reguladoras competentes, donde sea que estén disponibles. Si no existe tal
base legal disponible, se debe obtener el consentimiento de los padres, el
consentimiento del estudiante o de ambos, según corresponda. La validez de este
consentimiento presupone que su retención no conlleva ninguna desventaja para el
alumno en comparación con sus pares que lo consienten. La decisión, en cualquier
momento, de cancelar o rechazar el consentimiento deberá permitir a las personas
optar por no participar en por completo o en parte del tratamiento de datos, de ser
posible.
f) De conformidad con la legislación nacional, implementar la política "Traer su propio
dispositivo" (BYOD por sus siglas en inglés) para que las personas accedan a la
plataforma de aprendizaje electrónico con sus dispositivos electrónicos personales.
Las políticas de BYOD deben aclarar los usos apropiados de la plataforma de aprendizaje
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 4 of 8
electrónico y las consecuencias de usar un dispositivo personal, especialmente al
instalar programas o aplicaciones móviles.
2) Se insta a las autoridades académicas, proveedores y fabricantes de la plataforma de
aprendizaje electrónico a trabajar de forma conjunta o independiente de acuerdo con la
ley de protección de datos nacional para:
a) Garantizar que las plataformas de aprendizaje electrónico protejan de manera
adecuada los datos personales de los usuarios y cumplan con los estándares
apropiados de protección de datos. Si el uso de las plataformas se rige por contrato o
política, las disposiciones siempre deben ser coherentes con las leyes y requisitos
aplicables de protección de datos.
b) Asegúrese de que los fines para los cuales se recolectan los datos personales sean
legítimos, adecuados al contexto y autorizados por la ley. Toda la recolección de datos
de estudiantes debe limitarse a lo necesaria para fines educativos. No se debe realizar
ningún otro uso a dichos datos, incluso con fines comerciales o de marketing de manera
predeterminada. Los datos de los estudiantes nunca deberán ser reutilizados o
utilizados con fines no educativos sin el consentimiento expreso y gratuito, a menos que
exista una legislación que así lo permita. El tratamiento secundario debe proceder con
datos no identificados e la manera de lo posible, incluso con fines estadísticos y de
investigación.
c) Minimizar la cantidad de datos personales que se tratan. La recolección, el uso, la
retención y la divulgación de datos personales, y particularmente los datos de los
estudiantes, siempre deben limitarse a lo que es necesario para cumplir con los
propósitos autorizados. Reducir el riesgo planteado por la recolección excesiva de datos
de los estudiantes debería ser un principio fundamental para orientar las prácticas de
tratamiento de datos de las plataformas de aprendizaje electrónico.
d) Antes de recolectar datos personales, se debe notificar a los individuos que su
información personal será tratada en la plataforma de aprendizaje electrónico, así
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 5 of 8
como los motivos de dicho tratamiento. El aviso debe ser oportuno, de fácil acceso,
claro y conciso, permitiendo a los titulares tomar decisiones informadas. Además, las
notificaciones deben explicar los usos y divulgaciones a terceros, los riesgos de daños
que surgen del tratamiento de datos personales, un resumen de las protecciones y
garantías implementadas, y una relación de los derechos de privacidad existentes y las
opciones disponibles.
e) En la medida de lo posible, permitir que las personas utilicen la plataforma de
aprendizaje electrónico con datos no identificados. Para evitar la recolección excesiva
de datos personales, las personas deben poder usar las plataformas de aprendizaje
electrónico de forma anónima o con seudónimos no enlazables.
f) En la medida de lo posible, evite el uso de datos personales per se, y en particular
datos sobre la conducta de aprendizaje, con fines predictivos, creación de perfiles o
toma de decisiones automatizada. El uso de los datos personales de los estudiantes
para hacer evaluaciones subjetivas o generar suposiciones tiene el potencial de mermar
las capacidades en evolución de niños y jóvenes. Cuando los datos se utilizan para el
análisis estadístico y la elaboración de perfiles, para hacer evaluaciones subjetivas, para
predecir el comportamiento o como parte de un proceso de toma de decisiones, deben
comunicarse claramente a los estudiantes y padres. Deberán contar con mecanismos
para enfrentar dichas evaluaciones.
g) Incorporar y emplear herramientas que permitan a las personas controlar sus datos
personales y ejercer de manera efectiva sus derechos de privacidad, incluido su
derecho de acceso, rectificación, cancelación y, cuando corresponda, de portabilidad
de datos. Estos derechos sobre los datos personales deben abarcar cualquier metadato,
inferencia, evaluación y perfil recolectado de estudiantes, padres y profesores.
h) Establecer y respetar períodos de retención para diferentes categorías de datos
personales. Conservar los datos y metadatos solamente por el tiempo necesario para
satisfacer los propósitos de la recolección y uso previsto. De manera particular, el
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 6 of 8
historial de las interacciones entre estudiantes, padres y profesores se deberá depurar
regularmente. Una vez transcurrido el período de retención, se establecerá un método
adecuado de eliminación o destrucción para garantizar la eliminación segura de los
datos personales.
3) Se exhorta a los proveedores y fabricantes de las plataformas de aprendizaje electrónico
a:
a) Ser transparentes sobre sus prácticas de tratamiento de datos, ante las autoridades
académicas y los individuos que utilizan las plataformas de aprendizaje electrónico. Se
les debe proporcionar a los individuos un único punto de contacto para abordar las
cuestiones de privacidad y protección de datos relacionadas con cada plataforma de
aprendizaje electrónico. Los individuos tienen derecho a cuestionar las prácticas del
manejo de datos de una empresa y a quejarse ante una autoridad de protección de
datos si no están satisfechos con la explicación de la empresa o si les preocupa que los
datos personales estén siendo utilizados de manera errónea.
b) Limitar los propósitos de recolección de datos personales como corresponda al
contexto, y especificar en sus términos de servicios u otros contratos legales los casos
en que se difunden datos personales. Los datos de los estudiantes nunca deben
reutilizarse o utilizarse con fines no educativos sin el consentimiento expreso, a menos
que exista una legislación que permita la reutilización.
c) Ser claros, específicos y consistentes en sus términos y condiciones de servicios. Las
empresas deben evitar el uso de términos como "fines educativos" que son demasiado
amplios y no informan a los individuos de manera suficiente para comprender cómo se
utilizan los datos personales.
d) Adoptar tecnologías para mejorar la privacidad y aplicar los principios de privacidad
por diseño y por defecto. Las prácticas y tecnologías que minimizan o eliminan la
recolección y el uso de datos personales deben tener preferencias, y su efectividad debe
ser monitoreada y mejorada de manera rutinaria.
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 7 of 8
e) Asegúrese de que los datos personales estén almacenados de acuerdo con la
legislación local de protección de datos. Deben existir mecanismos de seguridad
administrativos, físicos y técnicos para garantizar el tratamiento legal de todos los datos
personales de acuerdo con los requisitos aplicables de localización de datos y evitar el
riesgo de una seguridad inadecuada.
4) Finalmente, se insta a los miembros de la CIAPDP a:
a) Informar y crear conciencia sobre los riesgos a la privacidad y las responsabilidades del
uso de plataformas de aprendizaje electrónico;
b) Utilizar esta resolución para desarrollar lineamientos que asistan a las autoridades
académicas y a los proveedores y fabricantes de plataformas de aprendizaje electrónico
a cumplir con sus obligaciones de protección de datos y privacidad;
c) Promover esta resolución y sus recomendaciones con las partes interesadas y los
legisladores en sus jurisdicciones y redes;
d) Establecer un enlace con las organizaciones internacionales interesadas y con los grupos
de la sociedad civil para respaldar la resolución; y
e) Cooperar entre sí y con el Grupo de Trabajo sobre Educación Digital para compartir
recursos, conocimientos y mejores prácticas.
Borrador de la resolución sobre plataformas de aprendizaje electrónico Page 8 of 8
ANEXO AL PROYECTO DE RESOLUCIÓN SOBRE PLATAFORMAS DE APRENDIZAJE ELECTRÓNICO
Este anexo contiene dos Partes:
Part A. Notas complementarias y explicativas; y
Part B. Sugerencias para ayudar a los miembros con la implementación de esta
resolución
Parte A. Notas complementarias y explicativas
La resolución sobre plataformas de aprendizaje electrónico (la Resolución) se basa sobre el
trabajo previo de diversos grupos de trabajo de la CIAPDP, así como el de otras redes,
especialmente el Grupo de Trabajo Internacional sobre la Protección de Datos en las
Telecomunicaciones y Trabajo sobre Plataformas de Aprendizaje Electrónico 1; la Red Global
para la Aplicación de la Ley en Materia de Privacidad (GPEN) y su reporte Barrido de Privacidad
sobre Servicios Educativos en Línea 20172; así como el Reporte del Grupo de Educación Digital,
Resultados de la Encuesta sobre Plataformas de Aprendizaje electrónico.3 En conjunto, existe
un interés reconocido de contar con una resolución sobre las plataformas de aprendizaje
electrónico.
La Resolución aborda consideraciones claves para la privacidad y seguridad relacionadas con
software de computadora, aplicaciones móviles y herramientas basadas en la web las cuales se
proporcionan específicamente a las escuelas a las que los estudiantes, padres y educadores
acceden a través de Internet y usan como parte de una actividad educativa.
Las recomendaciones están principalmente dirigidas a las autoridades educativas en su papel
de responsables de los datos. Estas autoridades pueden desarrollar y dar cumplimiento a los
contratos y las mejores prácticas para los proveedores y fabricantes de la plataforma de
aprendizaje electrónico para garantizar que su uso sea de acuerdo con las leyes de protección
1 “Reporte Grupo de Berlín”, https://www.datenschutz-berlin.de/pdf/publikationen/working-paper/2017/2017-IWGDPT_Working_Paper_E-Learning_Platforms-en.pdf .
2 “Reporte Barrido GPEN”, https://www.ipc.on.ca/wp-content/uploads/2017/10/gpen-sweep-rpt.pdf . 3 “Reporte sobre la Encuesta DEWG” https://icdppc.org/wp-content/uploads/2015/02/Digital-Education-Working-
Group-Report-1.pdf
Anexo Al Proyecto De Resolución Sobre Plataformas De Aprendizaje Electrónico Page 1 of 30
de datos y los derechos de privacidad individuales. También hay una serie de recomendaciones
también están dirigidas a los proveedores y fabricantes de plataformas de aprendizaje
electrónico en su papel de responsables de los datos, ya que cuentan con la habilidad de
desarrollar sus servicios de una manera sensible a la privacidad y la protección de datos.
Definiciones
Para los fines de esta Resolución:
Plataformas de Aprendizaje Electrónico se refiere a las herramientas tecnológicas en línea y los
medios que ayudan en la comunicación del conocimiento, su desarrollo y la interacción entre
educadores, estudiantes e instituciones educativas. Las plataformas de aprendizaje electrónico
comúnmente involucran diversos dispositivos (como computadoras, tabletas y dispositivos
móviles), el tratamiento de los datos y modelos de uso (en el salón, en cursos en línea) y los
actores (estudiantes, educadores, instituciones educativas, los proveedores de plataformas y
los proveedores de aplicaciones).
El término excluye a aquellas tareas de gestión escolar operadas a través de aplicaciones
administrativas las cuales son implementadas por las autoridades educativas, y que realizan
tareas como la transferencia y la asignación de educadores o la gestión administrativa de los
estudiantes en la escuela que no están relacionadas con el aprendizaje.
Datos Personales se refiere a los datos personales de estudiantes, padres y educadores,
incluyendo datos identificables sobre ellos tales como: nombres, números de identificación,
datos de ubicación, detalles biográficos, de salud y de contacto, patrones de comportamiento,
registros disciplinarios, necesidades especiales y otra información. También se refiere a los
identificadores en línea o a uno o más factores específicos de la identidad física, fisiológica,
genética, mental, económica, cultural o social de ese individuo.
Autoridades Educativas se refiere aquellas entidades las cuales establecen planes de estudio y
reglas o marcos sobre educación. Las autoridades educativas incluyen ministerios de educación,
sus representantes locales, juntas escolares, escuelas, personal administrativo y educadores.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 2 of 29
Análisis de aprendizaje se refiere a la medida, recolección, análisis, y reportajes sobre
estudiantes y sus prácticas en el aprendizaje, a fin de entender y optimizar el ambiente en el
cual se realiza el aprendizaje. El análisis de aprendizaje incluye prácticas de "aprendizaje
adaptativo", es decir, el uso de datos personales para proporcionar enseñanzas y apoyos
individualizados.
Recomendaciones
Se ofrece lo siguiente para proporcionar un contexto adicional, explicación y ejemplos
relacionados con las recomendaciones de la Resolución:
1) Se solicita a las autoridades académicas lo siguiente:
a) Garantizar que tengan autoridad para contratar los servicios de plataformas de
aprendizaje electrónico.
La falta de autoridad legal y rendición de cuentas introduce riesgos innecesarios de
protección de datos, y podría dar lugar a violaciones de privacidad y seguridad, así como
investigaciones y multas. Es posible que las autoridades educativas no cuenten con la
autoridad para coleccionar, utilizar o revelar algunos tipos de datos personales, o permitir el
tratamiento de algunos datos por parte de las plataformas de aprendizaje electrónico. Por
su parte, el personal educativo probablemente no cuente con la autoridad para otorgar
consentimiento -por parte de su escuela o estudiantes- a los términos contractuales
establecidos por terceras partes.
Las autoridades educativas deberán:
Tomar los pasos necesarios para confirmar la aplicabilidad de las leyes de protección de
datos y privacidad, así como de aquellos requerimientos internos que podrían impactar
su autoridad para utilizar plataformas de aprendizaje electrónico.
Asegurar que la responsabilidad de las decisiones, en torno al uso de plataformas de
aprendizaje electrónico, esté claramente asignada o delegada.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 3 of 29
Considerar si hay alguna limitación a su autoridad para usar una plataforma de
aprendizaje electrónico.
Asegurar que el acuerdo celebrado con el proveedor de la plataforma de aprendizaje
electrónico estipula que el proveedor solo podrá dar tratamiento a los datos de los
estudiantes de acuerdo con las instrucciones de la institución educativa.4
Cuando sea posible, utilizar un contrato -por escrito- o un acuerdo legal cuando sea
posible, y tome medidas adicionales cuando acepte las licencias de click-wrap.5 Esto
incluye, de manera importante:
o Asegurar que la oferta cumpla con las leyes y requisitos locales de protección de
datos;
o Revisar los Términos de Servicio, a fin de determinar si el proveedor cuenta con
el derecho de modificar los términos de usuario sin notificar a la otra parte; y
o Limitar la autoridad sobre quién puede aceptar los Términos de los Servicios o
cambios en el mismo.6
Cuando los acuerdos de "click wrap" no cumplan con las leyes de protección de datos y los
requisitos de la política interna, las autoridades educativas no deberán usar esos servicios.
b) Llevar a cabo evaluaciones de impacto de privacidad/protección de datos y desarrollar
políticas y procedimientos para evaluar, aprobar y sustentar el uso de plataformas de
aprendizaje electrónico.
A fin de asegurar el cumplimiento con las leyes y políticas internas aplicables, las
autoridades educativas deberán tomar pasos para entender como las plataformas de 4 Trabajo Grupo de Berlín, p. 6. 5 Las licencias o acuerdos “click-wrap” son aquellos en los que un usuario debe aceptar los términos y condiciones
antes de usar el producto o servicio.6 Para mas informacion sobre esto, se puede consultar: Centro de asistencia técnica de privacidad, protección de
la privacidad de los estudiantes mientras en el uso de los servicios educativos en línea: requisitos y buenas prácticas, (Reporte “EdTech”) p 8-10: https://tech.ed.gov/wp-content/uploads/2014/09/Student-Privacy-and-Online-Educational-Services-February-2014.pdf
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 4 of 29
aprendizaje electrónico tratan los datos personales e identificar los riesgos a la protección
de datos y privacidad que pueden surgir, así como estrategias para mitigarlos. La falta de
preparación organizativa o la poca comprensión del tratamiento de datos personales por
parte de las plataformas de aprendizaje electrónico pueden conducir a riesgos de seguridad
y privacidad inesperados o involuntarios, como incumplimientos y procesos inadecuados.
Las autoridades educativas deberán:
Desarrollar métodos para evaluar y mitigar los riesgos de privacidad y cumplimiento
antes de implementar plataformas de aprendizaje electrónico.
Establecer políticas, procedimientos y estándares operacionales para el uso de
plataformas de aprendizaje electrónico.
Promover y hacer cumplir las políticas escolares por parte de: los estudiantes, padres,
educadores y proveedores de la plataforma de aprendizaje electrónico.
Facilitar el control individual de los datos personales promulgando medidas técnicas y
organizativas que respalden el acceso, la corrección y otros derechos de privacidad de
conformidad con la ley y la política de protección de datos.
Monitorear y mejorar continuamente las medidas tecnológicas y organizativas para la
seguridad de los datos
Realizar un inventario de los servicios educativos en línea que actualmente se utilizan en
su escuela o distrito, a fin de evaluar el alcance y la gama de los datos de los
estudiantes, padres y educadores que se comparten con los proveedores.7
Ejemplo: Algunas preguntas útiles para plantear al considerar las plataformas
7 Reporte EdTech, p. 8. Ver también La Iniciativa de Evaluación de Privacidad de Sentido Común sugerencias y ejemplos sobre la realización de evaluaciones de plataformas de aprendizaje electrónico: https://www.commonsense.org/education/privacy.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 5 of 29
de aprendizaje electrónico incluyen, entre otras: 8
- ¿Alguna información sobre estudiantes, padres o educadores se
compartirá con terceras partes fuera de la autoridad educativa?
- ¿Compartirá esta información con compañías o individuos que no son
empleados de la escuela? Si es así, ¿quién tendrá acceso?
- ¿Qué tipo de datos se comparten?
- ¿Existen propósitos secundarios para los datos que se recopilan?
- ¿Se obtendrá el consentimiento del estudiante o de los padres para
compartir esta información?
- ¿Qué riesgos crees que compartir esta información podría representar
para los estudiantes? ¿Para ti como educador? ¿A la escuela?
c) Proporcionar capacitación y apoyo continuo a los profesores.
Si los educadores no están capacitados sobre las implicaciones de privacidad del uso de
plataformas de aprendizaje electrónico, entonces es posible que carezcan de competencia
para seleccionar, implementar, configurar y usar plataformas de aprendizaje electrónico de
una manera que cumpla con la privacidad. Por ejemplo, los educadores pueden no estar
bien equipados para guiar a los estudiantes y padres sobre el uso apropiado de estos
servicios.
Las Autoridades deberán:
Proporcionar a los educadores una lista de plataformas de aprendizaje electrónico
evaluadas y aprobadas.
Proporcionar a los educadores sesiones informativas continuas sobre cómo las
plataformas de aprendizaje electrónico tratan los datos personales y cómo usarlos de
8 Berkman Klein Center for Internet & Society at Harvard University,Lista de Control de Tecnología Educativa y Privacidad de los Estudiantes: https:/dlrp.berkman.harvard.edu/node/59.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 6 of 29
manera apropiada. Esta información debe ser adaptada para ser utilizada por padres y
estudiantes.
Establecer un acceso equitativo a equipos y recursos actualizados, así como a un
desarrollo profesional continuo, apropiado para el trabajo, que permita a los
educadores aprender y experimentar con las nuevas tecnologías.9
Sensibilizar a los estudiantes sobre la protección de datos invitando a los educadores a
incorporar el Marco de Competencia Internacional para estudiantes de escuela sobre
protección de datos y privacidad10 en sus métodos de enseñanza de acuerdo con la edad
de los estudiantes. Esto puede incluir, entre otros, consejos sobre cómo:
o Crear una cuenta en línea, perfil de usuario y contenido en línea;
o Configurar las cuentas y las preferencias;
o Administrar las cookies, especialmente cookies de seguimiento de provenientes
de terceras partes";
o Descargar e instalar software, especialmente en dispositivos informáticos
personales; y
o Eliminar contenido en línea y / o las cuentas.11
d) Trabajar con otras autoridades académicas, y en conjunto con las autoridades locales
de protección de datos, para establecer estándares comunes para el uso de las
plataformas de aprendizaje electrónico.
9 Media Smarts, Conectado para aprender: las experiencias de los docentes con las tecnologías en red en el aula p. 77: http://mediasmarts.ca/sites/mediasmarts/files/publication-report/full/ycwwiii_connected_to_learn.pdf 10 38 CIAPDP, https://icdppc.org/wp-content/uploads/2015/02/International-Competency-Framework-for-school-
students-on-data-protection-and-privacy.pdf 11 Reporte Barrido GPEN, p. 8: https://www.ipc.on.ca/wp-content/uploads/2017/10/gpen-sweep-rpt.pdf.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 7 of 29
La falla en desarrollar y aplicar estándares comunes puede resultar en la aplicación
inconsistente de derechos y obligaciones de privacidad individuales.
Las autoridades educativas deberán:
Facilitar la cooperación y el intercambio de conocimientos, mejores prácticas y otros
recursos, incluyendo sobre el uso de plataformas de aprendizaje electrónico
previamente evaluadas y aprobadas
Desarrollar y promover el uso de cláusulas contractuales modelo, estándares de
evaluación, marcas de certificación y códigos de conducta.
e) Cuando sea necesario o apropiado, solicitar el consentimiento válido, informado y
significativo de las personas.
Los individuos deben poder ejercer los derechos de protección de datos relacionado con el
tratamiento de sus datos personales. Esto incluye proporcionar o negar el consentimiento.
Cuando el uso de la plataforma de aprendizaje electrónico es obligatorio y sin opciones
alternativas ni mecanismos de exclusión, el consentimiento obtenido no es válido y no
puede utilizarse como base legal para el tratamiento.
Algunas circunstancias pueden requerir un consentimiento expreso. Por ejemplo, durante el
tratamiento datos personales de naturaleza sensible, para propósitos nuevos, inesperados o
inconsistentes, o cuando existe un riesgo de daño significativo.
En el contexto educativo donde se emplean las plataformas de aprendizaje electrónico,
existe un desequilibrio entre los estudiantes y las autoridades educativas. Los usuarios de
una plataforma de aprendizaje electrónico pueden no sentirse libres de abstenerse del uso
de la plataforma cuando se les da la opción, debido a que esto puede ponerlos en
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 8 of 29
desventaja en comparación con sus compañeros. Bajo estas circunstancias, el
consentimiento no puede ser obtenido válidamente.
Ciertos propósitos del tratamiento de datos pueden ser prohibidos. Por ejemplo, algunas
recolecciones de datos personales, usos o divulgaciones pueden tener un impacto
discriminatorio o perjudicial en las personas y podrían resultar inapropiados.
Incluso cuando las autoridades educativas tienen suficiente autoridad para participar y
utilizar plataformas de aprendizaje electrónico, las personas deben tener el derecho de
optar por no recibir servicios educativos a través de métodos alternativos.
Las autoridades educativas deberán:
Estar preparadas para dar cabida a las opciones de exclusión voluntaria.
Proporcionar formatos alternativos de instrucción los cuales no requieran el uso de
plataformas de aprendizaje electrónico.
f) De conformidad con la legislación nacional, implementar la política para que las
personas accedan a la plataforma de aprendizaje electrónico con sus dispositivos
electrónicos.
Muchas autoridades educativas proporcionan computadoras, tabletas u otros dispositivos
informáticos y la infraestructura en red para que la usen estudiantes, padres y educadores.
En otros casos, los estudiantes, padres y educadores pueden utilizar sus propios dispositivos
para conectarse a la infraestructura electrónica de la escuela. Existen riesgos adicionales de
protección de datos y privacidad que surgen cuando se utiliza un dispositivo personal.
Las autoridades educativas deberán mitigar esos riesgos al:
Asegurar que su infraestructura en red se rija por políticas de uso claras y transparentes.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 9 of 29
Minimizar -y cuando sea apropiado- prohibir la recopilación de datos personales de
individuos desde dispositivos personales y datos personales almacenados en el
dispositivo que no están relacionados con el servicio educativo.
2) Se insta a las autoridades académicas, proveedores y fabricantes de la plataforma de
aprendizaje electrónico a trabajar de forma conjunta o independiente de acuerdo con la
ley de protección de datos nacional para:
a) Garantizar que las plataformas de aprendizaje electrónico protejan de manera adecuada
los datos personales de los usuarios y cumplan con los estándares apropiados de
protección de datos.
La protección inadecuada de los datos personales de los usuarios crea riesgos innecesarios
de privacidad y seguridad, tales como el uso no autorizado y la divulgación de datos
personales. Por ejemplo, los datos confidenciales de los estudiantes pueden exponerse
mediante el uso de mecanismos de inicio de sesión inseguros, una configuración deficiente
de la plataforma o un error humano, y requieren que se implementen medidas de seguridad
adicionales.
Los acuerdos legales pueden garantizar el procesamiento legal promoviendo el control
efectivo, la responsabilidad y el cumplimiento. Las disposiciones contractuales deben
respaldar los derechos de privacidad individuales y las obligaciones de protección de datos.
Las autoridades educativas y los proveedores y fabricantes de las plataformas de
aprendizaje electrónico deberán:
Asegurar que los requerimientos de protección de datos personales sean parte de
cualquier acuerdo legal en torno a plataformas de aprendizaje electrónico, incluyendo
los acuerdos en formato "click-wrap" y los acuerdos de términos de servicio
negociables.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 10 of 29
Asegurar que los acuerdos legales definan los tipos de datos personales que se
procesarán, los propósitos de recopilación, sus usos y divulgaciones, la ubicación del
almacenamiento y tratamiento, los requisitos de retención y los derechos de acceso y
corrección. También deben establecer los requisitos administrativos, físicos y técnicos
de salvaguarda y notificación sobre incumplimiento.
Permitir y exigir el uso de un mecanismo de autenticación de múltiples factores para
que los administradores y educadores inicien sesión en las plataformas y así evitar el uso
indebido a través de contraseñas robadas.
Exigir que se establezcan y apliquen controles de acceso y políticas de registro para
garantizar que el acceso a los datos personales se gestione y supervise de manera
adecuada. El acceso a los datos personales deberá seguir el principio de que solo
“quienes tienen la necesidad de saber” puedan acceder a los datos.
Encriptar las transmisiones de datos entre los servidores y los usuarios de plataformas
de aprendizaje en línea. Dependiendo de la plataforma de aprendizaje en línea, el uso
de la tecnología de encripción debe examinarse, de manera individual, si es apropiado
para este fin.12
Monitorear y mejorar continuamente los controles de seguridad
En caso de incumplimiento, los proveedores de plataformas de aprendizaje electrónico y
las autoridades educativas deberán notificar a las instituciones educativas, a los estudiantes
o a sus padres, y a las autoridades de supervisión correspondientes de acuerdo con los
requisitos de notificación de violación de datos locales.
12 Conferencia Nacional Alemana de Comisionados de Protección de Datos, Lineamientos de la autoridad de supervisión de protección de datos para plataformas de aprendizaje en línea en aulas escolares. 22. Traducción al inglés disponible en: https://www.datenschutz-berlin.de/pdf/orientierungshilfen/2018-OH_Lernplattformen.pdf
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 11 of 29
b) Asegúrese de que los fines para los cuales se recolectan los datos personales sean
legítimos, adecuados al contexto y autorizados por la ley.
Limitar el uso de los datos de los estudiantes a solamente fines educativos, incluyendo
en el contexto del aprendizaje de los estudiantes, dado a que esto consiste es una
medida de protección de los derechos de los sujetos, especialmente los menores;
Estos datos no se utilizan para fines comerciales, por ejemplo, reventa de datos,
reutilización para la difusión directa o indirecta de publicidad.
c) Minimizar la cantidad de datos personales que se tratan..
Los principios de minimización de datos deben aplicarse en todo momento, a fin de
reducir los riesgos de recopilación, uso y divulgación de datos personales excesivos o no
autorizados.
Las autoridades educativas y los proveedores y fabricantes de las plataformas de
aprendizaje electrónico deberían:
Evaluar si se requieren datos personales, y en qué medida, para cumplir con el
propósito relacionado con la educación.13
Proporcionar opciones para optar por no participar en la recopilación de datos en
plataformas de aprendizaje electrónico para aquellos estudiantes y padres que no
deseen proporcionar sus datos personales.
13 Ver las recomendaciones de la sección 3(b) y 3(c) de este documento donde se establecen los requerimientos para asegurar el que el propósito de la recolección sea claro y acorde con el contexto educativo.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 12 of 29
d) Antes de recolectar datos personales, se debe notificar a los individuos que su
información personal será tratada en la plataforma de aprendizaje electrónico, así
como los motivos de dicho tratamiento.
La notificación inadecuada o la falta de transparencia tienen un impacto negativo en el
principio de legalidad e imparcialidad, y obstaculizan la capacidad del individuo para
tomar decisiones informadas y proporcionar un consentimiento significativo.
Las autoridades educativas y los proveedores y fabricantes de la plataforma de
aprendizaje electrónico deberán:
Utilizar avisos de privacidad para comunicar, informar e involucrar -activamente- a
las personas sobre cómo se procesarán sus datos personales.
Presentar las notificaciones de la manera más efectiva, apropiada y adecuada para el
contexto.
Cuando sea posible, proporcionan avisos en la inscripción a través del compromiso
directo con padres y estudiantes, informándoles sobre sus derechos y cómo pueden
ejercerlos.
Cuando los avisos estén dirigidos a los estudiantes, brindarles apoyo, para entender
dichos avisos, de manera adecuada a la edad de los estudiantes.
Proporcionar información sobre los tipos de información recopilada, los propósitos
para su uso y a quién se le puede divulgar la información.
Incluir información sobre cómo se usará y divulgará la información agregada y des-
identificada.
Notificar a las personas cuando ha ocurrido un cambio en las prácticas de datos de la
autoridad educativa o del proveedor de la plataforma de aprendizaje en línea.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 13 of 29
Proporcionar la información del contacto de la autoridad local de protección de
datos.
Ejemplo: La mayoría de los avisos de privacidad notifican sobre la presencia de
“cookies” provenientes de terceras partes, pero no proporcionan instrucciones
específicas en cuanto a cómo prevenirlas o administrarlas. En general, se
puede bloquear el uso de “cookies” provenientes de terceras partes sin tener
experimentar perdidas en cuanto al funcionamiento del sistema. Es posible
que muchos educadores y estudiantes no saben cómo bloquear o administrar
las cookies. Los proveedores de las plataformas de aprendizaje electrónico
deben proporcionar opciones significativas para bloquear o administrar las
cookies para que las personas puedan navegar por las plataformas sin ser
rastreados14
e) Donde sea, y en la medida de lo posible, se debe permitir a los individuos utilizar la
plataforma de aprendizaje electrónico con datos desidentificados
La recopilación excesiva de datos personales puede exponer una gran cantidad de datos
a un riesgo innecesario de uso indebido y vulneración.
De manera consistente con el principio de minimización de datos, y en la mayor medida
posible, la identidad de las personas y la identificabilidad de sus datos personales
procesados por las plataformas de aprendizaje electrónico deben minimizarse o
anularse.
Las autoridades educativas y los proveedores y fabricantes de las plataformas de
aprendizaje electrónico deberán:
14 Reporte Barrido GPEN, p. 3.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 14 of 29
Permitir que los individuos utilicen las plataformas de aprendizaje electrónico sin
tener que registrarse para una cuenta personal. Cuando se necesita un identificador
o cuenta de estudiante, se deben crear seudónimos que no revelen nombres u otros
datos personales identificables.
Cuando las plataformas de aprendizaje electrónico deben recolectar datos
personales, estos deben de ser anonimizados o agregados lo más pronto posible.
Evadir el uso del “login” a través de redes sociales dado a que este puede llevar a la
recopilación y divulgación excesiva de perfiles detallados y otra información
identificable entre el sitio de redes sociales y las plataformas de aprendizaje
electrónico y pueden limitar la capacidad de los estudiantes para evitar el
seguimiento de sus actividades en línea a través de la web.
Ejemplo: Los proveedores de plataformas de aprendizaje electrónico deben
aconsejar a los educadores que minimicen la información personal utilizada
para crear un perfil asignando seudónimos a los estudiantes. Los estudiantes
pueden acceder a sus perfiles ingresando un código de acceso único que se les
proporciona. De esta manera, los estudiantes no necesitan proporcionar su
información personal y pueden usar el servicio de forma seudónima.15
f) Donde sea, y en la medida de lo posible, se debe evitar el uso de datos personales, y
en particular de datos relacionados con conductas de aprendizaje, con fines
predictivos, de creación de perfiles o de toma de decisiones automatizadas.
Si bien se reconoce que los datos personales se pueden usar como un punto de partida
positivo para tomar decisiones en materia educativa, la confianza en los datos
15 Reporte Barrido GPEN, p. 3.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 15 of 29
personales plantea serias preocupaciones con respecto a la protección de datos, la
privacidad y la ética con el propósito de realizar un análisis predictivo.
Las plataformas de aprendizaje electrónico que adaptan la presentación del material
educativo al aprendiz de forma individual recolectan datos sobre las capacidades y la
conducta de aprendizaje de los alumnos para aumentar la eficiencia del proceso de
aprendizaje. Existe el riesgo de que se acumulen datos particulares sobre estudiantes
para facilitar dicha adaptación. Sin embargo, puede verse como justificado por los
beneficios obtenidos.
Sin embargo, las evaluaciones automáticas y la creación de perfiles de estudiantes para
uso externo de la actividad educativa en cuestión, tienen el potencial de socavar las
capacidades de evolución de los niños y jóvenes. Los algoritmos que subyacen a las
evaluaciones automatizadas pueden incorporar suposiciones sesgadas al tiempo que las
ocultan del escrutinio. Por necesidad, necesitan operar con un conjunto limitado de
datos y no tienen en cuenta las circunstancias y los desafíos de los estudiantes de
manera individual. Los perfiles basados en la conducta de aprendizaje observado
amenazan los derechos fundamentales de privacidad y libertad intelectual.
Cuando los datos se utilizan para evaluaciones o decisiones automatizadas que afectan a
los estudiantes más allá de los límites estrechos de la experiencia educativa
proporcionada por la plataforma, este proceso debe ser transparente para los
educadores, los estudiantes y los padres. A este último siempre se le debe otorgar el
derecho de objetar este uso y de cuestionar las evaluaciones y decisiones resultantes.
Las autoridades educativas deberán:
Asegurar que retengan el control total sobre cualquier determinación o evaluación
hecha sobre los estudiantes, especialmente en el caso de la toma de decisiones
automatizada.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 16 of 29
Las autoridades educativas y los proveedores y fabricantes de la plataforma de
aprendizaje electrónico deberán:
Asegurar la transparencia con respecto al uso de algoritmos y perfiles que pueden
influir en la toma de decisiones. Cualquier toma de decisión automatizada asociada
u otros sistemas basados en reglas y el razonamiento que subyace a las
determinaciones hechas con los sistemas deben ser explicados a los estudiantes y a
sus padres.
En los casos de decisiones individuales automatizadas, otorgar acceso a la decisión y
su razonamiento. Deberán existir procedimientos específicos que conduzcan a una
evaluación humana de las decisiones en los casos en que se presente un punto de
vista diferente, se presenten contraargumentos o cuando se cuestionen las
decisiones.16
Hacer que los algoritmos, protocolos, diseños e implementaciones se abran para
revisión externa y/o pruebas. Las auditorias abiertas o auditorías realizadas por
entidades de confianza pueden ayudar a garantizar que las plataformas de
aprendizaje electrónico no generaren resultados injustos o discriminatorios.17
Cuando los datos sobre el comportamiento de aprendizaje se recopilan y se usan
para fines predictivos, así como para la creación de perfiles, se deben considerar las
recomendaciones relacionadas de la CIAPDP incluyendo, de manera específica, la
Resolución sobre la Creación de Perfiles adoptada por la 35ª CIAPDP.18
g) Incorporar y emplear herramientas que permitan a las personas controlar sus datos
personales y ejercer de manera efectiva sus derechos de privacidad, incluido su
16 Trabajo Grupo de Berlín, para 37. 17 Trabajo Grupo de Berlín, para 33. 18 https://icdppc.org/wp-content/uploads/2015/02/Profiling-resolution2.pdf
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 17 of 29
derecho de acceso, rectificación, cancelación y, cuando corresponda, de portabilidad
de datos.
Las empresas deben diseñar sus plataformas y servicios de aprendizaje electrónico de
una manera que permita el acceso, la corrección y las solicitudes de eliminación por
parte de los estudiantes, padres o educadores, según corresponda. El no hacerlo crea el
riesgo de que las personas no puedan ejercer sus derechos de privacidad
Las autoridades educativas deberán:
Evitar acuerdos con plataformas de aprendizaje electrónico cuando el tratamiento
de los datos personales de los estudiantes esté ligado a “cajas negras” del
tratamiento que cuenta con niveles bajos de transparencia y control.
Cuando las circunstancias lo permitan, facilitar el ejercicio de los derechos de
privacidad asistiendo a la persona o actuando en su nombre cuando se trata de
plataformas de aprendizaje electrónico y sigue siendo responsable de garantizar que
los derechos sean respetados y protegidos.
Educar a los estudiantes e informar a los padres sobre las herramientas que existen
para ejercer sus derechos de privacidad.
Los proveedores de plataformas de aprendizaje electrónico deberán:
Herramientas integradas que permiten el ejercicio efectivo del derecho de acceso,
corrección y cancelación
Donde las leyes de protección de datos otorgan a los individuos el derecho a la
portabilidad de datos, asegúrese de que los datos estén disponibles en un formato
estructurado, legible a máquina y abierto (por ejemplo, para tener en cuenta cuándo
un alumno cambia de escuela).
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 18 of 29
h) Establecer y respetar períodos de retención para diferentes categorías de datos
personales.
Las políticas de retención o los cronogramas de retención enumeran los tipos de
registros o datos personales retenidos, para qué se utilizan y por cuánto tiempo se
guardarán. Ayudan a establecer y documentar períodos de retención estandarizados
para diferentes categorías de datos personales, y respaldan políticas y procedimientos
para la destrucción segura.
Almacenar datos personales por más tiempo de lo necesario para los propósitos que fue
recopilado puede exponer los datos personales a un riesgo innecesario de uso indebido
e incumplimiento. Los estudiantes y padres tienen el derecho de acceso y corrección a
los records educativos, así como cualquier otro dato personal (incluyendo datos
relacionados al comportamiento) contenidos en sus plataformas, sin importar quien
recolecta o mantiene los datos.
La cancelación de los datos personales, una vez que no sean necesitados, reduce el
riesgo de que esta se convierta en irrelevante, excesiva o des-actualizada.19
Las autoridades educativas y los proveedores y fabricantes de la plataforma de
aprendizaje electrónico deberán:
Publicar información sobre las categorías de datos recopilados, los propósitos para
los cuales se usarán los datos, la identidad de los actores involucrados en el
procesamiento, cuánto tiempo se guardarán los datos y las prácticas de seguridad
vigentes.20
Sujeto a otros requisitos legales y reglamentarios, garantizar las aclaraciones
adecuadas de los datos tratados por las plataformas de aprendizaje electrónico.
19 Para analizar otras razones para adoptar una política de retención, ver el documento de la Oficina del Comisionado de la Información del Reino Unido, “Limites en el Almacenamiento” https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/principles/storage-limitation/
20 Trabajo Grupo de Berlín, para 30.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 19 of 29
Minimizar la retención de todos los datos personales, incluidos los datos generados
a partir del uso de datos personales, como registros, evaluaciones y perfiles
Transferir datos de una actividad educativa a otra solo bajo el control total de los
profesore y con la debida transparencia para los niños y sus padres. Los datos que
no se transfieran de esta manera deben eliminarse después de un período de
retención razonable después del final de dicha actividad.
Eliminar las cuentas individuales y los datos personales asociados con ellas después
de un período predeterminado de inactividad y desuso, o previa solicitud.
3) Se le hace un llamado a los proveedores y fabricantes de la plataforma aprendizaje
electrónico a:
a) Ser transparentes sobre sus prácticas de tratamiento de datos, ante las autoridades
académicas y los individuos que utilizan las plataformas de aprendizaje electrónico.
Los estudiantes, padres y educadores tienen el derecho a saber cómo se están
recolectando sus datos personales, como serán utilizados, y para saber cuándo se puede
revelar a otros. Si las prácticas de tratamiento de datos de la plataforma de aprendizaje
electrónico no son totalmente transparentes, existe el riesgo de que las autoridades
educativas y las personas no puedan tomar decisiones informadas sobre su
participación en la plataforma.
Para garantizar la toma de decisiones informadas, los proveedores y fabricantes de la
plataforma de aprendizaje electrónico deberán:
Poner a disposición fácilmente, y en forma comprensible, información sobre cómo
manejan los datos personales.
Indique claramente las prácticas de tratamiento de datos a las autoridades
educativas antes de comprometerse en acuerdos de servicio.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 20 of 29
Indicar claramente sus prácticas de tratamiento de datos a los estudiantes y padres
al registrarse para el servicio.
Notificar cada vez que modifique los términos de recopilación, uso o divulgación de
datos personales. El aviso debe articular claramente el cambio que se propone, o ha
ocurrido.
Proporcionar a las autoridades educativas, padres y estudiantes un punto de
contacto capaz de responder preguntas sobre las prácticas de procesamiento de
datos de la plataforma.
Garantizar la sostenibilidad de sus servicios a través de la duración de su acuerdo
con la autoridad educativa.
b) Limitar los propósitos de recolección de datos personales como corresponda al
contexto, y especificar en sus términos de servicios u otros contratos legales los casos
en que se difunden datos personales.
Los propósitos de recopilación, uso y divulgación deben adecuarse al contexto educativo
para evitar el riesgo de procesamiento de datos inapropiado, no autorizado o ilegal.
Los proveedores y fabricantes de plataforma de aprendizaje electrónico deberán:
Tratar los datos personales únicamente de forma coherente con el contexto
educativo en el que se proporcionaron los datos.
Nunca reutilizar o compartir los datos relacionado al uso de las plataformas de
aprendizaje electrónico por parte de los alumnos para fines incompatibles o
secundarios en relación con aquellos propósitos sobre los cuales fueron
recolectados.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 21 of 29
No utilizar los datos personales derivados del uso de plataformas de aprendizaje
electrónico con fines de mercadotecnia y publicidad.
c) Ser claros, específicos y consistentes en sus términos y condiciones de servicios.
Si los términos y condiciones no se ponen a disposición de manera clara y consistente,
las autoridades educativas no pueden tomar decisiones informadas al celebrar acuerdos
con los proveedores de plataformas de aprendizaje electrónico.
Los proveedores y fabricantes de plataformas de aprendizaje electrónico deberán:
Definir, de manera clara, los fines para los cuales están recabando datos personales,
y evitar terminología vaga como "fines educativos" y "calidad educativa" que
permitan una colección demasiado amplia. 21
Aplicar las recomendaciones que se encuentran en este documento al desarrollar
términos y condiciones de uso claros y consistentes, incluidas las disposiciones que
tienen que ver con propósitos prohibidos, políticas de retención y salvaguardas
apropiadas.
Ejemplo: Especificar que una recopilación de datos es necesaria para "fines
educativos" es demasiado amplia. Especificar que la colección es necesaria
para "mejorar las habilidades de lectura de quinto grado" o "mejorar los
cursos de física de nivel universitario" articula con mayor claridad el
21 Para obtener más ejemplos de términos y condiciones claros, consulte: Centro de Asistencia Técnica de Privacidad del Departamento de Educación de EE. UU., La Protección de la Privacidad de los Estudiantes durante el uso de servicios educativos en línea: Requerimientos y Mejores Prácticas https://studentprivacy.ed.gov/sites/default/files/resource_document/file/TOS_Guidance_Jan%202015_0%20%281%29.pdf.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 22 of 29
razonamiento detrás de la colección
d) Adoptar tecnologías para mejorar la privacidad y aplicar los principios de privacidad
por diseño y por defecto.
Las tecnologías de mejora de privacidad ayudan a minimizar la recolección y el uso de
los datos personales, promueven la transparencia en el tratamiento de los datos y
facilitan el cumplimiento con las reglas de protección de datos. El uso de las estas
tecnologías debe hacer que las infracciones de ciertas reglas de protección de datos
sean más difíciles y / o ayudar a detectarlas.22
Los proveedores y fabricantes de plataformas de aprendizaje electrónico deberán:
Minimizar la recolección de datos personales, así como el uso de información des-
identificada de manera consistente con las Recomendaciones 2(b) y 2(e), y los
principios de Privacidad de Diseño y por defecto.23
Tomar en cuenta la protección de los datos personales tanto en reposo como en
tránsito.
Establecer controles de seguridad para garantizar la disponibilidad, la integridad, la
confidencialidad, la durabilidad y la trazabilidad de los datos personales que
cumplen o exceden las normas y prácticas vigentes.
Considerar la Resolución de Privacidad de Diseño adoptada por la 32ª CIAPDP24
22 Comisión Europea, Las tecnologías de mejora de privacidad (PETs)- el marco legal existente, MEMO/07/159,May 2007: http://europa.eu/rapid/press-release_MEMO-07-159_en.pdf; Oficina del Comisionad de la Información de Canadá, Las tecnologías de mejora de privacidad– Una revisión de herramientas y técnicas, Nov. 2017, https://www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2017/pet_201711/; Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA), Las Tecnologías de Mejora de Privacidad: https://www.enisa.europa.eu/topics/data-protection/privacy-enhancing-technologies; ENISA, Privacidad de Diseño, https://www.enisa.europa.eu/topics/data-protection/privacy-by-design.
23 Ver también el Artículo 25 de la Reglamento general Europeo de Protección de Datos, “La Protección de diseño y por defecto”: http://www.privacy-regulation.eu/en/article-25-data-protection-by-design-and-by-default-GDPR.htm
24 https://icdppc.org/wp-content/uploads/2015/02/32-Conference-Israel-resolution-on-Privacy-by-Design.pdf
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 23 of 29
e) Asegúrese de que los datos personales estén almacenados de acuerdo con la
legislación local de protección de datos.
En muchos casos, los datos, los datos personales de las plataformas de aprendizaje
electrónico no se almacenan ni procesan en sistemas de datos bajo el control de las
autoridades educativas. En cambio, muchas autoridades educativas confían en
proveedores externos de computo en la nube para almacenar y tratar los datos de los
estudiantes. El uso de plataformas en la nube puede introducir nuevos riesgos de
tratamiento de datos relacionados con la transparencia, la seguridad y la
responsabilidad.
Los proveedores y fabricantes de plataformas de aprendizaje electrónico deberán:
Proporcionar garantías administrativas, físicas y técnicas para garantizar que el
tratamiento de todos los datos personales cumpla con los requisitos de localización
de datos aplicables.
Permitir auditorías periódicas llevadas a cabo por los controladores de datos, las
autoridades de protección de datos u otras agencias de auditoría obligatorias, según
sea el caso.
Al utilizar servicios basados en la nube, asegúrese de que cumplan o superen las
normas y prácticas de protección de datos vigentes para la seguridad, el acceso y la
responsabilidad.25
Considerar las resoluciones previas de la CIAPDP, incluyendo la Resolución sobre
Computo en la Nube adoptada por la 34ª reunión de la CIAPDP.26
25 Supervisor Europeo de Protección de Datos, Directrices sobre el uso de los servicios de informática en la nube por parte de las instituciones y órganos europeos; ENISA, “Seguridad en la Nube”; NIST, Lineamientos sobre Seguridad y Privacidad en el Computo en la Nubes Públicas ISACA, O bjetivos de control de TI para la computación en la nube: controles y seguridad en la nube.
26 https://icdppc.org/wp-content/uploads/2015/02/Resolution-on-Cloud-Computing.pdf
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 24 of 29
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 25 of 29
Parte B. Sugerencias para ayudar a los miembros con la implementación de esta
resolución
La Resolución y, en particular, sus recomendaciones brindan a las autoridades de protección de
datos (APD) una base desde la cual pueden trabajar para abordar el problema de las
plataformas de aprendizaje electrónico y su uso de datos personales. Para implementar la
Resolución, a nivel nacional, se invita a las APD a considerar las siguientes acciones:
a) Informar y crear conciencia sobre los riesgos a la privacidad y las responsabilidades del
uso de plataformas de aprendizaje electrónico
Se invita a las APD a publicar la Resolución en sus sitios web y otras publicaciones,
compartir a través de las comunicaciones y los canales de difusión, como las redes
sociales, y citarlo en su trabajo relacionado con los niños y jóvenes, y en la educación.
Como parte de estos esfuerzos, se le sugiere a las ADP preparar recursos educativos (o
aprovechar los preparados por otros) y, cuando sea posible, actuar como un recurso
para ofrecer información y compartir las mejores prácticas. Los esfuerzos pueden incluir
la organización de sesiones informativas para crear conciencia sobre los riesgos de
protección de datos y las medidas de mitigación identificadas en esta Resolución. Estos
recursos educativos y sesiones informativas pueden servir para complementar los
esfuerzos de las APD para empoderar a los niños y jóvenes para que conozcan y
protejan sus derechos de privacidad.
b) Utilizar esta resolución para desarrollar lineamientos que asistan a las autoridades
académicas y a los proveedores y fabricantes de plataformas de aprendizaje electrónico a
cumplir con sus obligaciones de protección de datos y privacidad.
Se recomienda a las agencias de protección de datos utilicen esta Resolución como
punto de partida para desarrollar pautas relacionadas con las plataformas de
aprendizaje electrónico y sus prácticas de tratamiento de datos.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 26 of 29
Las directrices pueden ser adaptadas al contexto y normatividad local, a fin de clarificar
las expectativas y obligaciones en cuanto a los diferentes actores involucrados en el
ambiente de aprendizaje electrónico. Además, deberán dirigir a los proveedores de
servicios educativos hacia la entrega de garantías adecuadas y de alto nivel para
acompañar la recopilación, el procesamiento, la retención y la divulgación de los datos
personales de los estudiantes, padres y educadores.
Las directrices también permiten a las APD profundizar en asuntos específicos. Por
ejemplo, las ADP querer profundizar en cuanto al uso de técnicas de análisis de
aprendizaje. El análisis del aprendizaje puede implicar la creación de datos personales
nuevos y sensibles utilizados para crear perfiles individuales y para el análisis y la
predicción, y por lo tanto debe estar sujeto a reglas claras. Los lineamientos deben
definir los principios rectores y servir como un fuerte marco ético y de privacidad para
gobernar las prácticas de análisis de aprendizaje y para garantizar el cumplimiento de las
leyes de protección de datos.
De manera similar y cuando sea posible, las APDs deberán trabajar con todos los actores
interesados para desarrollar un Código de Prácticas para gobernar el uso de plataformas
de aprendizaje electrónico. También podrán desarrollar códigos de práctica que rijan el
uso de las plataformas de aprendizaje electrónico. Los Códigos de Práctica pueden ser
una buena vía para abordar asuntos relacionados con la redacción de contratos de
servicios por parte de proveedores de plataforma de aprendizaje electrónico,
estableciendo estándares mínimos sobre lo que se encontrará en dichos contratos.
c) Promover esta resolución y sus recomendaciones con las partes interesadas y los
legisladores en sus jurisdicciones y redes.
Las APD pueden ser útiles para identificar, compilar y proporcionar recursos y
conocimientos adicionales. Además, las APD pueden estar en una posición favorable
para garantizar que los responsables de la formulación de políticas y otros responsables
de la toma de decisiones de alto nivel conozcan estos recursos como parte de su
proceso deliberativo.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 27 of 29
Se invita a las APD a compartir la Resolución con las autoridades gubernamentales y
educativas y los legisladores, así como con los sectores industriales relacionados, grupos
de padres y otras partes interesadas relevantes para estimular las conversaciones sobre
los asuntos importantes que esta Resolución aborda e influencia las políticas y leyes
relacionadas.
La generación de conciencia, dentro de la jurisdicción de la ADP, ayudará a difundir el
impacto de la Resolución y facilitará el diálogo necesario sobre las plataformas de
aprendizaje electrónico, las prácticas de datos apropiadas y, en términos más generales,
los derechos de privacidad en el aula
Por ejemplo, las ADPs pueden asociarse con las autoridades educativas para ayudar a los
padres y educadores a comprender mejor las implicaciones de datos personales del uso
de las plataformas de aprendizaje electrónico. El conocimiento también puede ayudar
en contextos no cubiertos por esta Resolución (es decir, el uso de aplicaciones de tutoría
en línea).
d) Establecer un enlace con las organizaciones internacionales interesadas y con los grupos
de la sociedad civil para respaldar la resolución.
Se alienta a las APD a acercarse a sus contactos en organizaciones internacionales y
grupos de la sociedad civil que se ocupan de la protección de datos y la privacidad, con
niños y jóvenes, con educación y aprendizaje para compartir con ellos el contenido de
esta Resolución.
Estas organizaciones y grupos pueden proporcionar una perspectiva y experiencia
adicionales para minimizar aún más los riesgos y mejorar los beneficios de las
plataformas de aprendizaje electrónico. Además, pueden ayudar a crear influencia y
coordinación regional e internacional.
e) Cooperar entre sí y con el Grupo de Trabajo sobre Educación Digital para compartir
recursos, conocimientos y mejores prácticas.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 28 of 29
Se insta a las APD a que continúen trabajando juntas y que compartan sus experiencias
en la implementación de esta Resolución y, si surgen acciones de cumplimiento, los
resultados de sus investigaciones.
Este intercambio puede ser directamente entre las ADP, así como también a través de
los diferentes mecanismos de la CIAPDP, incluyendo notablemente al Grupo de Trabajo
sobre Educación Digital.
Se alienta al Grupo de Trabajo de Educación Digital a continuar investigando y
analizando las prácticas de procesamiento de datos de las plataformas de aprendizaje
electrónico, y a mantener un repositorio de Guías y Códigos de Prácticas desarrollado
por miembros de CIAPDP u otras partes interesadas que se relacionan con esta
resolución.
Anexo al Projecto de Resolución sobre Plataformas de Aprendizaje Electrónico Page 29 of 29