Si un alumno cambia de centro tras sufrir acoso escolar, sus agresores podrán saber solo con introducir su nombre, en qué centro escolar ha sido matriculado y en qué clase está. Son accesibles el centro, el curso, la clase y el correo electrónico de cualquier alumno riojano sin ninguna limitación
¿Cuál es la efectividad de los protocolos de acoso escolar? ¿Son una forma de cubrir el expediente?
Basta con teclear el nombre y dos apellidos de cualquier niño, niña o adolescente de La Rioja para saber a qué curso va y en qué centro de la región está estudiando. Este agujero de seguridad en la protección de datos es responsabilidad directa del Gobierno de La Rioja, que lleva años utilizando la herramienta Teams como principal plataforma de comunicación digital entre profesorado, alumnado y personal de los centros educativos.
Se utiliza principalmente como canal de contacto entre los docentes y los alumnos, para indicar tareas y para entregarlas. Para ello, cada alumno de La Rioja, tanto de centros públicos como concertados, lo utilicen o no, tiene un perfil creado en Teams. Sin embargo, la información no se ha restringido y cualquiera puede acceder a sus datos personales (centro en el que estudia, curso y grupo y dirección de correo electrónico). Esto supone que cualquier padre o madre, niño o familiar que acceda a una de estas cuentas puede ver la información de cualquier alumno o profesor de La Rioja.
El fallo va más allá. Hasta hace apenas unas semanas, cualquiera de los usuarios podía mandar mensajes privados a otra persona. La Dirección General de Innovación y Ordenación Educativa del Gobierno de La Rioja asegura que a día de hoy “los alumnos que utilizan Teams no tienen la opción de chatear entre ellos ni de crear grupos de conversación fuera de los grupos habilitados y administrados por un docente”. Sin embargo, según ha podido comprobar Rioja2, no es del todo cierto.
Si bien se han restringido hace unas semanas esos chats, la plataforma utilizada por Educación permite todavía mantener chats con cualquier alumno de La Rioja con quien ya hubiera una conversación abierta. Esto significa, por ejemplo, que si un alumno cambia de centro tras sufrir acoso escolar, sus agresores podrán saber solo con introducir su nombre, en qué centro escolar ha sido matriculado y en qué clase está. Pero es que además, si ya tenían un chat abierto con él, podrán seguir escribiéndole sin ninguna limitación.
También se permite todavía que cualquier docente de La Rioja pueda escribir a cualquier alumno de cualquier centro y viceversa. Es decir, cualquiera que acceda a través de la cuenta de un docente, tiene acceso a chats privados con cualquier niño, niña, adolescente o profesor de La Rioja. También cualquiera que lo haga a través de la cuenta de un alumno, puede mandar mensajes directos a cualquier docente de la comunidad, sea de un centro público o de uno concertado.
Aseguran además desde el Gobierno de La Rioja que la información de los usuarios “solo pueden verla los propios participantes del grupo”. Esta afirmación es rotundamente falsa y así puede comprobarlo cualquier persona que acceda al sistema a través del perfil de cualquier usuario de la educación riojana (alumno o docente). Introduciendo el nombre y los apellidos de un niño, niña, adolescente o profesor, se puede acceder a la página completa con sus datos.
Vulneración del Reglamento de Protección de Datos
Según expertos de Datalia, consultora de protección de datos y ciberseguridad, la privacidad de los menores en cualquier plataforma o red social debe ser una prioridad. Señalan que el artículo 5 del RGPD (Reglamento General de Protección de Datos) regula varios principios que pueden estar siendo vulnerados en este caso.
Por un lado, el principio de “minimización de datos” que establece que deben aplicarse medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad. “Si cualquier alumno tiene acceso a todos los alumnos de la aplicación por el mero hecho de tener la cuenta, su configuración no respeta el principio de minimización, ya que no se va a menor acceso, sino al revés”, determinan los expertos.
Además, el principio de “finalidad” implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines. “Una aplicación del tipo Teams donde cualquier alumno del Gobierno de La Rioja pueda identificar a otro de cualquier centro, excede de la finalidad para la cual se recoge la información al interesado en el momento de la escolarización”, explican, “se debería realizar una información posterior con la nueva finalidad y en su caso valorando la legalidad o no de ese uso”.
Por último, el principio de “transparencia” que consiste en que los datos deben ser tratados de manera transparente para el interesado. En este caso resulta evidente que los alumnos no han sido informados acerca de este tratamiento de datos y el acceso a la información por el resto de usuarios de la herramienta.
Además, el artículo 32 del RGPD impone a los responsables de un tratamiento de datos personales -en este caso el Gobierno de La Rioja- la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
Por todo ello, se estima que una buena configuración de la privacidad de la herramienta (Teams) puede reducir la exposición de los alumnos y sus datos y se recomienda, por ejemplo, hacer un perfilado por centro para reducir la exposición.
El Gobierno invertirá en licencias para conseguir mayor privacidad y seguridad
Precisamente hace una semana el Consejo de Gobierno autorizaba el gasto de 1.493.786,29 euros para la adquisición de licencias del producto Microsoft, entre las que se encuentra Office 365, con los productos Teams y Copilot. Desde que se comenzó a utilizar hace diez años hasta ahora, el Gobierno de La Rioja ha utilizado la versión gratuita de estas aplicaciones. Las nuevas licencias se destinarán a los equipos informáticos de los centros docentes no universitarios sostenidos con fondos públicos. Servirán a unos 7.450 docentes y más de 40.000 alumnos, además de los empleados del Gobierno regional que requieran el uso de herramientas colaborativas.
Las nuevas licencias permitirán instalar las aplicaciones en múltiples dispositivos; una mayor capacidad de almacenamiento en la nube; opciones de seguridad mejoradas, entre las que destacan la protección de información, la prevención de pérdida de correos electrónicos y almacenamiento y protección avanzada contra amenazas; así como los servicios de ‘School data syn’ e ‘Information barriers’.
