El Consejo de Cuentas pide a la Consejería de Educación que regule la gestión de los riesgos de la educación ‘online’

 Entorno tecnológico: Moodle, 365, Stilus, Teams

La Consejería de Educación proporciona el servicio de enseñanza online a través de dos plataformas: aulas virtuales basadas en el software Moodle (la Consejería de Educación es la encargada de su desarrollo y mantenimiento) y el paquete Microsoft 365 que incluye, entre otras, la aplicación Teams.

En junio de 2018, la Consejería de Educación contrató el suministro de licencias de productos Microsoft en centros educativos públicos con la empresa INFORMÁTICA EL CORTE INGLÉS, S.A. por un importe de 1.592.310,27 de euros. Al tener las licencias una duración de tres años, en junio de 2021 se contrató nuevamente el suministro de licencias de productos Microsoft (renovación de las licencias compradas en 2018 durante tres años adicionales), siendo en este caso el adjudicatario SEIDOR, S.A., por un importe total de 1.874.749,29 euros.

Los contratos, en cuanto al contenido y funciones del encargado –Microsoft-, no han sido objeto de negociación aceptándose las condiciones del servicio y la adenda de protección de datos redactadas por la empresa. La Consejería no ha introducido cláusulas adaptadas específicamente a sus necesidades para determinar aspectos como la finalidad, duración, etc… y resulta muy complejo obtener una visión clara de qué cláusulas se aplican.

La Consejería dispone de un sistema de información (STILUS), relevante para la privacidad de estas plataformas, al interconectarse con estas para proporcionar el sistema de identificación de usuarios. (alumnos y profesores), que acceden a ellas, así como otros servicios de gestión educativa.

Informe garantías de privacidad de los datos de los usuarios de educación

El Consejo de Cuentas entregó ayer (9 de diciembre) en las Cortes de Castilla y León el informe sobre el análisis de las garantías relativas a la privacidad de los datos de los usuarios de la plataforma de educación online utilizada en los centros educativos de la administración de Castilla y León, durante los cursos 2019/2020 y 2020/2021, que recoge una fiscalización operativa, cuyo objetivo general es analizar las actuaciones llevadas a cabo por la administración autonómica en esta materia.

La Consejería de Educación aplica actualmente la política de seguridad de la información y protección de datos de la Comunidad aprobada en septiembre de 2021. Sin embargo, según el Consejo de Cuentas, «en los dos cursos analizados aún se encontraba en vigor la Orden de la Consejería de Hacienda de 2014, sobre política de seguridad de la información de la Administración autonómica».

Por ello, el órgano fiscalizador recomienda a la Consejería de Educación que realice de forma sistemática y normalizada el proceso de gestión de riesgos contemplado en la política de seguridad de la información y protección de datos de la Junta de Castilla y León.

Cierre de la actividad presencial  a partir del mes de marzo de 2020

En el citado informe se ha explicado que la crisis ocasionada por la COVID-19 supuso el cierre de la actividad presencial en los centros educativos a partir del mes de marzo del curso 2019/2020, lo que llevó a la utilización de las plataformas online y recuerda que todo tratamiento de datos personales en este contexto debe llevarse a cabo de conformidad con el Reglamento General de Protección de Datos.

Si bien la normativa se refiere a personas físicas en general, debe tenerse en cuenta que los usuarios de las plataformas para la educación online, son en su mayor parte menores, y que el reglamento establece que «los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales«.

Recomendaciones

El Consejo de Cuentas realiza una serie de recomendaciones a la Consejería de Educación

• Debería elaborar una política específica que aborde las obligaciones concretas de los usuarios según su rol dentro del esquema educativo.
• Debería elaborar conjunto de protocolos, guías, directrices y recomendaciones dirigidas específicamente a garantizar la privacidad de los datos en las plataformas y que incluyan evaluaciones de su efectividad.
• Debería adoptar un instrumento jurídico para futuros contratos con prestadores de servicios educativos online, que se adapte a las circunstancias específicas de la Comunidad y a las condiciones en que se presta el servicio en lo referido a la protección de datos personales de los usuarios y que no permita cambios en estas condiciones, salvo acuerdo expreso entre ambas partes.
• Debería describir con más detalle la finalidad de los datos recopilados en los formularios de matrícula para incluir su uso para el alta en las plataformas de educación online.
• Debería realizar de forma sistemática y normalizada el proceso de gestión de riesgos contemplado en la política de seguridad de la información y protección de datos de la Junta de Castilla y León.
• Debería adoptar un sistema para evaluar la efectividad de la formación impartida en materia de privacidad, específicamente aplicada a las plataformas de educación online, y muy especialmente en lo referente al rol de los docentes en el mantenimiento de la privacidad de los grupos que gestionan.
• Debería disponer de un mecanismo sistemático de supervisión para asegurar que las configuraciones aplicadas son correctas.

* Aunque la Consejería de Educación presentó alegaciones fuera de plazo, junto a ellas planteó una serie de propuestas de actuaciones derivadas del contenido del informe, que serán objeto de análisis en el próximo informe de seguimiento de recomendaciones.