• La Consejería de Educación aplica actualmente la política de seguridad de la información y protección de datos de la Comunidad aprobada en septiembre de 2021. En los dos cursos analizados (2019/2020 y 2020/2021) aún se encontraba en vigor la Orden de la Consejería de Hacienda de 2014, sobre política de seguridad de la información de la Administración autonómica
  • El Consejo de Cuentas recomienda a la Consejería de Educación que realice de forma sistemática y normalizada el proceso de gestión de riesgos contemplado en la política de seguridad de la información y protección de datos de la Junta de Castilla y León
  • También plantea describir con más detalle la finalidad de los datos recopilados en los formularios de matrícula para incluir su uso para el alta en las plataformas de educación online

Se trata de una fiscalización operativa, cuyo objetivo general es analizar las actuaciones llevadas a cabo por la Administración autonómica para garantizar la privacidad de los datos de los usuarios de la plataforma de educación online utilizada en los centros educativos de la Comunidad durante los cursos 2019/2020 y 2020/2021.

La crisis ocasionada por la COVID-19 supuso el cierre de la actividad presencial en los centros educativos a partir del mes de marzo del curso 2019/2020. Esta situación implicó que las plataformas para educación online se convirtieran en un recurso imprescindible para el acceso al servicio educativo y no en un elemento accesorio como sucedía hasta entonces. Todo tratamiento de datos personales en este contexto debe llevarse a cabo de conformidad con el Reglamento General de Protección de Datos.

Si bien la normativa se refiere a personas físicas en general, debe tenerse en cuenta que los usuarios de las plataformas para la educación online, son en su mayor parte menores, y que el reglamento establece que "los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales".

Infografía nuevo informeInfografía nuevo informe

Entorno tecnológico. La Consejería de Educación proporciona el servicio de enseñanza online a través de dos plataformas: aulas virtuales basadas en el software Moodle y el paquete Microsoft 365 que incluye, entre otras, la aplicación Teams. La Consejería dispone de un sistema de información (STILUS), que proporciona la gestión de las identidades de los usuarios (alumnos y profesores), que acceden a ellas.

Encargado del tratamiento. En relación con la plataforma Moodle y, conforme a la estructura competencial de la Administración autonómica, la Consejería de Educación es la encargada de su desarrollo y mantenimiento, y la Consejería de Movilidad y Transformación Digital de la explotación y administración de las infraestructuras informáticas de soporte.

El uso de la plataforma Microsoft 365 se encuentra regulado mediante una serie de contratos formalizados por la Consejería de Educación. Los contratos, en cuanto al contenido y funciones del encargado (Microsoft), no han sido objeto de negociación, aceptándose las condiciones del servicio y la adenda de protección de datos redactadas por la empresa.

Responsable del tratamiento. La Consejería de Educación está aplicando medidas de protección orientadas según la política de seguridad de la información y protección de datos de la Comunidad, que se alinea con el Reglamento General de Protección de Datos. La política vigente se aprobó en septiembre de 2021, por lo que durante los cursos 2019/2020 y 2020/2021 aún se encontraba en vigor la Orden de la Consejería de Hacienda de 2014, sobre política de seguridad de la información de la Administración autonómica, que dado su año de aprobación cumplía los estándares legales a esa fecha, pero no los actuales.

Protección de los derechos del interesado. Los datos para el alta en las plataformas no se recaban específicamente para tal fin. Se utilizan los proporcionados durante el proceso de matrícula en el caso de los estudiantes, y los procedentes del sistema de gestión de personal en el caso de los docentes.

Registro de actividades del tratamiento (RAT). La Consejería de Educación, como responsable del tratamiento, ha elaborado un registro de actividades disponible en la web de transparencia. Las medidas de seguridad aplicadas a los tratamientos hacen referencia al Esquema Nacional de Seguridad regulado en el Real Decreto 3/2010. Todavía no se han adaptado al Real Decreto 311/2022, de 3 de mayo, por el que se regula el actual Esquema Nacional de Seguridad, estando dentro del plazo para su realización.

Evaluación de impacto de protección de datos y código de conducta. No se ha realizado la evaluación de impacto de datos por parte de la Consejería de Educación, al considerar que el riesgo de todos los tratamientos asociados a las plataformas de educación online es bajo. En las decisiones acerca de las medidas de seguridad no se ha seguido una metodología concreta ni se ha documentado el proceso, lo que resultaría básico para su revisión y reevaluación periódica.

Actuaciones adoptadas en línea con las recomendaciones de la Agencia Española de Protección de Datos. Las recomendaciones propuestas por la Agencia Española de Protección de Datos para centros educativos constituyen una selección de buenas prácticas que la Consejería de Educación aplica parcialmente.

Recomendaciones. El Consejo de Cuentas realiza siete recomendaciones a la Consejería de Educación. Entre ellas, debería adoptar un instrumento jurídico para futuros contratos con prestadores de servicios educativos online, que adapte a las circunstancias específicas de la Comunidad las condiciones en que se presta el servicio en lo referido a la protección de datos personales de los usuarios y que no permita cambios en estas condiciones salvo acuerdo expreso entre ambas partes.

Por otra parte, la Consejería de Educación debería describir con más detalle la finalidad de los datos recopilados en los formularios de matrícula para incluir su uso para el alta en las plataformas de educación online.

Además, debería realizar de forma sistemática y normalizada el proceso de gestión de riesgos contemplado en la política de seguridad de la información y protección de datos de la Junta de Castilla y León.

Finalmente, debería adoptar un sistema para evaluar la efectividad de la formación impartida en materia de privacidad, específicamente aplicada a las plataformas de educación online, y muy especialmente en lo referente al rol de los docentes en el mantenimiento de la privacidad de los grupos que gestionan. Asimismo, debería disponer de un mecanismo sistemático de supervisión para asegurar que las configuraciones aplicadas son correctas.

Aunque la Consejería de Educación presentó alegaciones fuera de plazo, junto a ellas planteó una serie de propuestas de actuaciones derivadas del contenido del informe. La implementación de dichas propuestas será objeto de análisis en el próximo informe de seguimiento de recomendaciones.

Consejo de Cuentas de Castilla y León