Por: Nohemí Vilchis
Distintas plataformas han vulnerado los datos personales de estudiantes al recolectarlos, monitorearlos y almacenarlos para compartirlos a empresas tecnológicas con fines publicitarios. ¿Quiénes están involucrados y cómo se puede cuidar esta información?
Es conocido que la tecnología dentro de la educación ha abierto nuevos panoramas y ha optimizado procesos dentro de las aulas. El aprendizaje se ha conjugado con aplicaciones para facilitar la enseñanza en distintos entornos académicos y contextos sociales. Pero ¿qué pasa cuando su uso contribuye a esas mejoras mientras que se ve vulnerada la información personal de los usuarios?
Por lo general, son las instituciones educativas quienes definen la tecnología educativa o EdTech (del inglés Educational Technology) con la que se acompañará el programa de estudios. Sin embargo, son los estudiantes de distintos niveles de formación quienes brindan sus datos personales para utilizar estas herramientas.
Un reporte emitido por la organización Human Rights Watch (HRW) reveló que aplicaciones y sitios EdTech utilizados por estudiantes recolectaban, monitoreaban y rastreaban información personal de niños en distintos países, violando sus derechos digitales. El estudio analizó 163 herramientas de tecnología educativa incorporadas por 49 países durante los meses de marzo a agosto de 2021. Desde Argentina hasta Rusia, estos territorios adoptaron el aprendizaje en línea como un componente de sus planes nacionales en la pandemia durante el cierre de las escuelas.
Según el informe, 89 % de los productos EdTech ponían en riesgo los derechos de los niños al recopilar datos sin su consentimiento o el de sus madres, padres o tutores, además vigilaban qué hacían en el salón de clases, quiénes eran sus familiares y amigos, así como qué dispositivos podrían pagar sus familias. Como demuestra el reporte, algunas compañías comercializan los perfiles de los infantes al ponerlos a disposición de corporaciones tecnológicas con fines publicitarios (AdTech, del inglés Advertising Technology).
El reporte mostró que 145 recursos de tecnología educativa brindaban acceso a 199 empresas de terceros, en su mayoría AdTechs, a los datos de estudiantes. Gran parte de las plataformas de aprendizaje en línea pudieron haber permitido que los algoritmos de estas compañías logren analizar información que exhiba las características e intereses personales de niñas y niños. De esta manera, podrían predecir el siguiente paso de los usuarios y descubrir cómo se ven influenciados.
Entre los hallazgos se detectó que algunos recursos tecnológicos se dirigieron a los estudiantes con publicidad conductual por medio de datos extraídos de sus entornos educativos para personalizarles contenido y anuncios, con esto los guiaron por el internet. Las empresas distorsionaron la experiencia en línea de los infantes e intentaron influir en sus opiniones y creencias en un momento donde corren un alto riesgo de interferencia manipuladora. Lo anterior, a raíz de que con el cierre de las escuelas se requirió al estudiantado usar estos productos, y los niños cuyas familias lograron pagar el acceso a internet y a dispositivos electrónicos estuvieron expuestos a prácticas que perjudicaban la privacidad en estas aplicaciones.
La mayoría de las empresas de tecnología educativa no divulgaron sus prácticas de vigilancia de datos, ya que, del total de productos sólo 35 establecían en sus políticas de privacidad que la información de sus usuarios se utilizaba para publicidad conductual. Asimismo, 23 productos se desarrollaron pensando en los menores de edad como principales usuarios.
Ante esto, HRW estableció que de acuerdo con los principios de protección de datos de las infancias y las responsabilidades de derechos humanos de las corporaciones como se describe en los Principios Rectores sobre las Empresas y los Derechos Humanos de las Naciones Unidas, las empresas de EdTech y AdTech no deben recopilar ni procesar datos de infantes para publicidad. Es necesario que las compañías realicen un inventario de los datos coleccionados durante la pandemia para percatarse de no procesar, compartir o utilizarlos. Deben trabajar junto a los gobiernos para eliminar de inmediato la información recibida.
¿En quién recae la responsabilidad?
Aunque existe responsabilidad por parte de todos los involucrados, es un compromiso de quien toma las decisiones tecnológicas. Un artículo de The Conversation explica que son las escuelas las que determinan las tecnologías digitales a utilizar por los estudiantes, quienes no tienen genuinamente opción para elegir usar las aplicaciones o sitios web que han sido seleccionados por las instituciones o departamentos de educación. Por ende, no están capacitados para tomar decisiones informadas sobre su aprendizaje en línea.
El estudio conducido por Human Rights Watch señaló que siete países (Australia, Brasil, Canadá, Alemania, India, España y Estados Unidos) delegan la toma de decisiones a las autoridades educativas a nivel estatal o regional. A lo largo de la pandemia, estas resoluciones incluyeron definir qué EdTech respaldar o adquirir para uso escolar.
Jonathan McCully indicó en Digital Freedom Fund que las grandes corporaciones dominan el mercado de la tecnología educativa, con productos que se implementan en entornos donde los derechos digitales de las infancias se aplican de forma deficiente, sin supervisión, autonomía o control significativo sobre el almacenamiento de su información.
Los contextos educativos han sido transformados con la dependencia de sistemas que procesan datos biométricos confidenciales, como mapas faciales o huellas dactilares, para medir la asistencia, los pagos de almuerzo o reforzar la seguridad. Además, existen sistemas como los basados en modelos estadísticos, perfiles algorítmicos y toma de decisiones automatizada que perpetuan medidas discriminatorias y excluyentes. Es decir, al desarrollar planes de estudio, predecir el rendimiento académico y “detectar” trampas en los exámenes, pueden influir en los años formativos de una persona y negarle el acceso a diferentes oportunidades educativas.
Un ejemplo que ilustra el panorama fue lo sucedido en Costa Rica con las pruebas de Fortalecimiento de Aprendizajes para la Renovación de Oportunidades (FARO). El Ministerio de Educación Pública (MEP) violentó los derechos de miles de estudiantes menores de edad y sus familias mediante preguntas contenidas en la prueba aplicada a estudiantes de quinto grado en noviembre de 2021. Tras 15 denuncias presentadas por parte de familiares, los magistrados del Tribunal concluyeron que existió una lesión al derecho a la intimidad, para obtener datos personales a través de una prueba obligatoria, brindando acceso a información que requiere especial protección del Estado. Entonces, está en manos de distintas instancias donde los gobiernos, las escuelas y los mismos familiares juegan un rol preponderante.
Protección legal
Primero, se debe entender que en México la Ley General de los Derechos de las Niñas, Niños y Adolescentes establece en el Artículo 5 que “son niñas y niños los menores de doce años, y adolescentes las personas de entre doce años cumplidos y menos de dieciocho años de edad. Para efectos de los tratados internacionales y la mayoría de edad, son niños los menores de dieciocho años de edad”. Además, el Artículo 76 del capítulo décimo séptimo del Derecho a la Intimidad precisa que las niñas, niños y adolescentes tienen derecho a la intimidad personal y familiar, y a la protección de sus datos personales.
En cuanto a las personas de cualquier edad, el Artículo 7 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados decreta que “por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente, en términos de las disposiciones legales aplicables”. Por ello, bajo cualquier circunstancia es vital el consentimiento de la persona a quien pertenezcan los datos para acceder a ellos y siempre será prioridad velar por la seguridad y bienestar de los menores.
Sin embargo, esta autorización debería poder ser revocable. El blog de AyudaLey sobre Protección de datos explica que aunque exista el consentimiento este no legitima el uso y tratamiento excesivo de los datos. Se debe permitir a los usuarios rescindir su consentimiento sobre dicha información personal y la eliminación de los datos recolectados. Advierte que, para que las aplicaciones cumplan con la normativa de protección de datos personales es importante que den a conocer la finalidad para la que serán utilizados previo a su instalación. Cuando se trata de menores de edad, expone que lo más adecuado es elegir un método restrictivo para el procesamiento de información, no usarla para fines comerciales y abstenerse de que contenga detalles sobre familiares y/o amigos.
Identificar los conceptos clave para diferenciar el tipo de datos con los que cuenta una persona ayuda a hacer consciencia sobre la información que se brinda a ciertas aplicaciones, plataformas y empresas de terceros. Según el Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México los datos personales son toda aquella información que se relaciona con la persona y la hace identificable. Es decir, la edad, domicilio, número telefónico, correo electrónico personal, número de seguridad social, CURP, trayectoria académica, laboral y profesional, entre otros. Estos no pueden ser transferidos.
Dentro de los datos personales se encuentran los datos sensibles. De acuerdo con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) estos “informan sobre los aspectos más íntimos de las personas, y cuyo mal uso pueda provocar discriminaciones o ponerles en grave riesgo, como por ejemplo, el origen racial o étnico; estado de salud (pasado, presente y futuro); información genética; creencias religiosas, filosóficas y morales; afiliación sindical; opiniones políticas y orientación sexual”. Los datos más delicados demandan especial protección y cuidado. Los datos patrimoniales o financieros describen la capacidad económica de las personas en relación a los recursos que poseen y su condición para hacer frente a sus deudas.
Todo este tipo de información precisa protección y requiere ser resguardada. Si bien los distintos actores de instancias educativas y las madres y padres de familia o tutores son capaces de administrar sus datos personales, también están encargados de custodiar los datos de los niños. Además de enseñarles la relevancia de cuidar su información personal.
McCully ofrece ejemplos de casos vinculantes que sirven como referente en el plano legal para tomar medidas contra la trasgresión de los derechos digitales de los niños. Anne Longfield, ex Comisionada de la Infancia de Inglaterra, inició una acción legal en nombre de millones de jóvenes contra TikTok. En este “caso histórico”, se denuncia que los datos de más de 3,5 millones de niños y niñas en Reino Unido, incluyendo sus números de teléfono, videos, ubicación y datos biométricos, están siendo procesados por la plataforma sin la advertencia suficiente, ni transparencia o consentimiento legal. La empresa debe eliminar los datos existentes y pagar una compensación que podría ascender a miles de millones de libras.
En Holanda, un grupo de madres y padres de familia presentaron ante tribunales un caso contra TikTok. La crítica a la aplicación consiste en que la plataforma de redes sociales recopila datos sin el permiso correspondiente y son más de los necesarios. Asimismo, no especifica cómo utilizan la información.
Incluso, McCully menciona que se han presentado casos en varios países contra YouTube, Google, Facebook/Meta y creadores de aplicaciones de juegos por no respetar ni guardar la privacidad de los infantes.
En Estados Unidos, el Departamento de Educación se ha comprometido a proteger la privacidad del alumnado aplicando la Ley de Privacidad y Derechos Educativos de la Familia (FERPA, por sus siglas en inglés) con la cual los estudiantes controlan sus expedientes académicos y exigen al personal escolar resguardarlos.
También afecta a universitarios
The Chronicle of Higher Education analizó los contratos entre universidades y proveedores de cinco de las instituciones que planean probar las «metaversities” (o metaversidades), que son réplicas digitales e inmersivas de los campus de sus universidades a las que los estudiantes asistirán utilizando lentes de realidad virtual. Entre sus hallazgos, recopilaron que existen inconsistencias en las disposiciones de los contratos para asistir a las aulas en la dimensión digital en cuanto a la privacidad y seguridad de los datos, igualmente tampoco hay una mención sobre las empresas de terceros, incluyendo a Meta, que recopilarán información de los estudiantes durante el piloto de dos años.
En el estudio, expertos en privacidad dijeron que es preocupante “que las universidades se embarquen en nuevas empresas de tecnología educativa con una comprensión incompleta de lo que la tecnología puede obtener en última instancia sobre sus estudiantes, especialmente cuando numerosas entidades privadas están involucradas”. De modo que advierten que la consciencia es esencial para la protección de los alumnos y la reputación de las instituciones antes de adoptar estas nuevas tecnologías educativas. Señalan que las universidades tienen una obligación moral donde la responsabilidad no debe recaer meramente en los estudiantes para ser sus propios defensores de datos.
Una pauta a seguir es la marcada por el sociólogo Miguel Ángel Casillas Alvarado, quien sugiere que existen medidas principales con los que se habrían de atender los derechos digitales de los universitarios en México. Basándose en la Carta de Derechos Digitales del Gobierno de España, plantea que debe exigirse el derecho a la libertad, donde las universidades garantizan la protección de los datos personales de su alumnado. Dicha Carta establece en los derechos de libertad en su fracción tercera del derecho a la protección de datos que: “toda persona tiene derecho a ser informada en el momento de la recogida de los datos sobre su destino y los usos que se hagan de los mismos, a acceder a los datos recogidos que le conciernen y a ejercer sus derechos de rectificación, oposición, cancelación, portabilidad de los datos y derecho a la supresión (derecho al olvido) en los términos previstos en la normativa de protección de datos nacional y europea”.
¿Qué se puede hacer?
Algunos consejos para los diferentes actores de la educación son presentados por la profesora Sandy Keeter. Propone que existen distintas prácticas para los maestros a fin de garantizar la seguridad de sus estudiantes y la institución. Por ejemplo:
-
Revisar las políticas de privacidad de datos de las herramientas o aplicaciones que usan en su programa académico, asegurando que tienen la aprobación y respaldo de la universidad.
-
Cifrar la información confidencial de los correos electrónicos y asignar carpetas específicas o eliminarlas con regularidad para no dejar los datos de alumnos sueltos.
-
No brindar acceso ni hablar públicamente acerca de expedientes académicos.
-
Al realizar una capacitación, utilizar datos de muestra o falsos para ejemplificar el contenido.
-
En computadoras y plataformas de aprendizaje protegidas por contraseña debe cerrarse la sesión mientras no esté en uso.
-
Educar a los estudiantes sobre prácticas seguras en internet y el uso adecuado de la tecnología.
Para que las universidades puedan otorgar confidencialidad deben proteger los datos de estudiantes al:
-
Supervisar la actividad en las redes universitarias.
-
Capacitar a los empleados y brindar apoyo.
-
Reducir la cantidad de información recopilada y purgar la innecesaria.
-
Proporcionar el mínimo nivel de acceso necesario.
-
Hacer de conocimiento general las políticas, procedimientos y protocolos de notificación.
Además, en el reporte de Human Rights Watch, se describen minuciosamente una serie recomendaciones a nivel global para los gobiernos, los ministerios y departamentos de educación, las compañías de tecnología educativa y empresas de tecnología publicitaria, que incluyen de manera general:
-
Para los gobiernos, facilitar una reparación urgente para los niños cuyos datos se recopilaron durante la pandemia y continúan en riesgo de uso indebido y explotación. Adoptar leyes de protección de datos específicas. Asegurar que las empresas respeten los derechos de los menores de edad y rindan cuentas si no lo hacen. Solicitar evaluaciones sobre gestión de los derechos del niño en cualquier proceso de contratación pública que brinde servicios esenciales a los niños a través de la tecnología. Prohibir la publicidad comportamental dirigida a los niños. Prohibir la elaboración de perfiles de niños.
-
Para los ministerios y departamentos de educación, asignar fondos para pagar los servicios que permitan la educación en línea de manera segura, en lugar de permitir la venta y el intercambio de datos de los niños para financiar los servicios. Proporcionar mecanismos de denuncia confidenciales, apropiados para la edad y adaptados a los niños, acceso a la ayuda de expertos y disposiciones para la acción colectiva en los idiomas locales para los niños que buscan justicia y reparación. Desarrollar y promover la alfabetización digital y la privacidad de los datos de los niños en los planes de estudios. Consultar los puntos de vista de los niños en el desarrollo de políticas que protejan mejor sus intereses en entornos educativos en línea.
-
Para las compañías de tecnología educativa, proporcionar reparación cuando los derechos de los niños se hayan puesto en riesgo o se hayan infringido a través de las prácticas de datos de las empresas. Proporcionar políticas de privacidad que estén escritas en un lenguaje claro, amigable para los niños y apropiado para su edad. Respetar y promover los derechos de los niños en el desarrollo, operación, distribución y mercadeo de productos y servicios de EdTech. Proporcionar a los niños y sus cuidadores mecanismos adaptados a los niños para denunciar y buscar reparación por abusos de derechos cuando ocurran.
-
Para empresas de tecnología publicitaria, identificar todos los datos de los niños recibidos a través de las tecnologías de seguimiento que poseen las empresas de tecnología y tomar medidas para eliminarlos rápidamente garantizando que no se procesen, compartan o utilicen. Impedir el uso de las tecnologías de seguimiento de las empresas de tecnología para vigilar a los niños, o a cualquier usuario de estos servicios dirigidos a niños. Desarrollar e implementar procesos efectivos para detectar y prevenir el uso comercial de los datos de los niños recopilados por las tecnologías de seguimiento de estas compañías.
Algunos esfuerzos como el de Common Sense sirven como guía en el tema. Esta organización califica películas, programas de televisión, podcasts, libros y de más contenido para que infantes, familias y comunidades encuentren opciones de entretenimiento y tecnología que han sido sometidas a una revisión. Su trabajo radica en destacar la legislación relacionada con la tecnología, reconocer soluciones que protegen la privacidad del consumidor, impulsar una mejor conectividad para estudiantes y familias y responsabilizar a las empresas de tecnología para garantizar el uso de internet saludable. Además de que cuentan con diferentes programas y apoyan a educadores para empoderar a sus alumnos.
Aunque existen distintas recomendaciones para usuarios y tomadores de decisiones, es importante que se tenga una noción general sobre las tecnologías educativas rigiendo estas herramientas con lineamientos básicos. Que las políticas de privacidad estén a la vista y formen parte esencial de los acuerdos para su utilización, así como ser conscientes de los datos personales y cuidarlos con el propósito de defender su recolección o almacenamiento. ¿Qué medidas consideras necesarias para proteger los derechos digitales?