Desde hace algunos años varias herramientas tecnológicas están presentes en los ámbitos educativos: desde entornos virtuales de aprendizaje, hasta registro de asistencias, pasando por pruebas estandarizadas y espacios de trabajo colaborativo online. Muchas de estas tecnologías se basan en cloud computing o computación en la nube, es decir, un conjunto de infraestructuras técnicas para la gestión de plataformas y servicios en línea. En Uruguay, las tecnologías educativas en la nube están presentes en todos los niveles de la educación pública y privada. En la investigación Privacidad y protección de datos en la educación pública uruguaya, un estudio sobre cloud computing en educación realizado en 2017 por Patricia Díaz y Mariana Fossatti de Datysoc, se analizan dos casos: el Plan Ceibal y el Programa de Entornos Virtuales de Aprendizaje (ProEVA-Udelar).
De las tecnologías educativas en la nube surgen muchas posibilidades, pero también incertidumbres en cuanto a la protección de datos de los estudiantes. Por un lado, permiten el acceso desde cualquier lugar y con distintos dispositivos a diversas herramientas para la educación. Sin embargo, este acceso está mediado por infraestructuras técnicas y centros de datos, los cuales pueden estar bajo el control o no de las instituciones educativas.
Las tecnologías pueden recabar distinto tipo de información sobre los estudiantes: actividades, calificaciones, interacciones y hasta el tiempo en que están conectados a una plataforma educativa. Con esta información es posible hacer un seguimiento para apoyar y mejorar el aprendizaje, para identificar a los estudiantes que necesitan mayor atención, o para evaluar la efectividad de las tecnologías aplicadas. Pero también surge la posibilidad de utilizar ese gran volumen de datos para propósitos distintos a los educativos. Por ejemplo, la explotación comercial que podrían realizar las empresas que procesan los datos. Por eso, no se puede confiar ciegamente en las soluciones tecnológicas, hay que analizarlas con una mirada crítica para evaluar sus implicancias legales y éticas.
El marco legal que rige en Uruguay para el manejo de datos personales es la Ley Nº 18.331 de Protección de Datos Personales. Esta ley sigue estándares internacionales, pero es compleja de aplicar cuando los usuarios están en territorio nacional y los servicios en la nube en jurisdicciones extranjeras. Las instituciones educativas, como cualquier entidad, tienen la obligación de recabar el consentimiento informado de los estudiantes para el tratamiento de sus datos, o el de los adultos responsables, si aquellos fueran menores.
Estas complejidades están presentes en Ceibal, institución que tiene contratos con proveedores internacionales como Schoology (para la plataforma educativa CREA2) y Google (para cuentas de correo, acceso a Google Apps for Education y laptops Chromebook). Estos contratos cumplen con la ley, según el análisis de la Unidad Reguladora de Protección de Datos. Además, Ceibal cuenta con políticas de privacidad y herramientas para recabar el consentimiento de los padres. Sin embargo, en los contratos con los proveedores persisten dudas sobre la forma en que son procesados los datos por las empresas, más allá del propósito educativo. Google, por ejemplo, no usa los datos de los estudiantes con fines publicitarios en sus productos educativos. Pero el contrato con Ceibal tiene algunas indefiniciones que hacen dudosa la posibilidad de realizar auditorías o de establecer un control real del uso de los datos, y que permitirían (o al menos no prohíben claramente) usar la información para crear perfiles individualizados y mostrar publicidad a los estudiantes en los productos Google para el público general, como el buscador o YouTube.
El programa ProEVA de Udelar ha construido una infraestructura tecnológica propia basada en software libre. Este camino a veces es más complejo que el de la contratación de servicios a terceros, pero la inversión en tecnologías y el desarrollo de capacidades queda dentro de la institución. En el uso de esta infraestructura no hay transferencia internacional de datos de estudiantes, ni terceras partes involucradas en su procesamiento. No obstante, la Udelar no ha publicado una política de privacidad para sus entornos virtuales de aprendizaje (la cual está en proceso de elaboración y aprobación). Consideramos que, una vez que la Udelar disponibilice de forma expresa la política de privacidad de sus plataformas, constituirá un buen modelo de gobernanza de datos personales en el sector educativo, ya que la ubicación local del centro de datos y las características de su infraestructura habilitan un control real y mejoran las oportunidades de los estudiantes para defenderse.
Los dos casos analizados tienen algunas buenas prácticas y otras más cuestionables o mejorables, lo que hace necesaria una reflexión crítica en torno a estas experiencias. Es importante que las autoridades de la educación se asesoren y evalúen las tecnologías usadas por miles de estudiantes de todo el país. También es necesario revisar el marco legal de protección de datos, basado en la ficción jurídica del consentimiento informado, que quizás no responde adecuadamente al desafío del big data en educación. No se trata de optar entre el uso de tecnología en la educación y la privacidad de los estudiantes. Lo fundamental es estar al tanto de las discusiones contemporáneas al respecto, buscando alternativas que contemplen al mismo tiempo el derecho a la educación y el derecho a la privacidad.
Soc. Mariana Fossatti, investigadora, Datysoc y Dra. Patricia Diaz, investigadora, Datysoc.