Como en la mayoría de las áreas de la sociedad, el sector de la educación ha tenido que hacer frente a una serie de desafíos inesperados como sonsecuencia de la pandemia ocasionada por el COVID-19.
Los estudiantes progresan cuando tienen acceso a un aprendizaje personalizado. A medida que los centros educativos se han ido adaptando rápidamente al aprendizaje remoto, es más importante que nunca el uso de la tecnología para crear nuevas experiencias que se ajusten a las necesidades de los estudiantes. La nueva experiencia de aprendizaje se centra en una base sólida de seguridad, privacidad y cumplimiento, que permite tanto a estudiantes como a profesores trabajar en un entorno seguro y protegido, y abrir la puerta a nuevas oportunidades de innovación.
El sector educativo ha tenido que abrirse paso por un panorama mucho más amplio y complejo en lo referente a la seguridad, el cumplimiento y las leyes como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que conlleva algunos desafíos excepcionales para la enseñanza y el aprendizaje híbrido. Puede ser difícil saber por dónde empezar. Cualquier institución educativa trata gran cantidad de datos personales, en muchos casos de menores de edad, y por tanto es necesario que se cumplan los estándares de seguridad más estrictos en lo que se refiere a la gestión de información personal.
Para ayudar a las instituciones educativas a afrontar esta nueva realidad, Microsoft ha elaborado un conjunto de directrices destinadas a servir de ayuda en el cumplimiento del GDPR. Es necesario que las instituciones actualicen las políticas de privacidad personal, implementen o refuercen los controles de protección de datos, los procedimientos de notificación de vulneraciones e inviertan aún más en IT y formación.
Uso de las nuevas directrices
La finalidad de las nuevas directrices es ayudar a las instituciones educativas a afrontar las amenazas que han surgido frente a la situación de este año, al mismo tiempo que les ayuda en el proceso del cumplimiento de leyes.
Las guías que te presentamos amplían los ejemplos concretos y las listas de tareas de GDPR for Education Kickstart Guide existentes y deben leerse junto con ese documento. Ambos materiales van dirigidos al personal de IT con conocimientos básicos sobre cómo administrar Microsoft 365.
Estas guías no están pensadas para leerlas de principio a fin en un mismo periodo de tiempo. En lugar de eso, recomendamos que cada tema al que se hace referencia en GDPR for Education Kickstart Guide vaya acompañado de su sección correspondiente en el nuevo documento. Este incluye ejemplos del paso a paso sobre cómo realizar la configuración real.
De este modo, los lectores obtienen una buena referencia de configuración en la que basarse para cumplir con el GDPR.
El GDPR se aplica a las instituciones que tienen presencia física en la Unión Europea, a las organizaciones que proporcionan bienes y servicios a los ciudadanos de la UE o que recopilan y analizan datos vinculados a residentes de la UE. Sin embargo, las instituciones educativas de cualquier parte del mundo pueden utilizar estos documentos como una valiosa guía de prácticas recomendadas, ya que el GDPR es uno de los reglamentos más estrictos a nivel mundial.
Cuatro pasos clave que no pueden faltar para el cumplimiento
Junto con la guía GDPR for Education Kickstart Guide, las nuevas directrices ofrecen prácticas recomendadas sobre cómo implementar el GDPR. El proceso consta de cuatro pasos clave:
1. Descubrir: identifica qué datos personales tiene tu organización y dónde se encuentran
Los datos personales se suelen almacenar en varias ubicaciones, incluidos correos electrónicos, documentos, bases de datos, medios extraíbles, metadatos, archivos de registro y copias de seguridad. La primera tarea consiste en identificar dónde se recopilan y almacenan los datos personales.
2. Administrar: gestiona el modo en que se usan los datos personales y se accede a ellos
El primer paso en la gestión de datos personales es definir por qué necesitas recopilarlos. Pregúntate cómo ayudan a la docencia. Considera el modo en que se deben recopilar, dónde se almacenarán, qué entidades admitirán ese proceso, quién debe tener acceso a ellos y cómo se ejecutarán los cambios y las eliminaciones.
3. Proteger: establece controles de seguridad para prevenir, detectar y responder frente a posibles vulnerabilidades
La seguridad es uno de los puntos de atención clave en nuestro mundo digital. Los requisitos del GDPR incluyen la protección física, la seguridad de la red, la seguridad de almacenamiento, la seguridad informática, la administración de identidades, el control de acceso, el cifrado y la mitigación de riesgos. Examina la forma en que supervisas los sistemas, identificas las vulnerabilidades, calculas el impacto de cualquier vulneración y, a continuación, respondes y la recuperas.
4. Informar: mantén la documentación necesaria y gestiona las solicitudes de datos y las vulneraciones de incumplimiento
Un principio clave del GDPR es la responsabilidad. Deberás crear registros de auditoría claros sobre el procesamiento, las clasificaciones y los terceros con acceso a datos personales, incluidas las medidas de seguridad organizativas y técnicas, así como los tiempos de retención de datos. Es posible que debas realizar evaluaciones del impacto de la protección de datos (DPIA). Una DPIA requiere que las organizaciones identifiquen y analicen el impacto de una actividad de tratamiento propuesta en la protección de datos personales.