103/365 · Entre lo que dice la normativa y lo que pasa en tu centro hay un abismo (y alguien tiene que cruzarlo)

Llevo dos días escribiendo sobre lo que NO hay que hacer con IA y menores, sobre líneas rojas, sobre principios éticos. Y todo eso está muy bien. Pero hoy me apetece hablar de algo más incómodo: lo que pasa cuando esos principios se tienen que aplicar en un centro real, con recursos reales, con decisiones que toman personas que muchas veces no tienen ni formación ni tiempo para entender qué están firmando. Porque una cosa es saber que el RGPD y la LOPDGDD son el marco regulatorio que deben cumplir los centros educativos en materia de protección de datos, y otra muy distinta es gestionar eso en el día a día cuando en tu centro se está usando Google Workspace, cuando las familias piden WhatsApp para comunicarse, y cuando nadie tiene muy claro quién es el responsable de tomar decisiones sobre qué herramientas se pueden usar y cuáles no.

Y esto no va de echar la culpa a nadie. Va de reconocer que hay una brecha enorme entre lo que la normativa exige y lo que los centros pueden realmente hacer. Y que en medio de esa brecha estamos los docentes, intentando tomar decisiones con criterio pero sin tener, muchas veces, ni la información ni las herramientas para hacerlo bien.

Decisión 1: ¿qué plataformas usamos? (o por qué nadie lee las políticas de privacidad)

La primera decisión práctica que se toma en un centro es: ¿qué herramientas digitales vamos a usar? Y aquí es donde empieza el lío. Porque los centros deberán utilizar preferentemente las plataformas educativas y herramientas institucionales previstas por las administraciones educativas correspondientes, quienes garantizan que los datos no serán cedidos a terceros no autorizados. Pero la realidad es que las plataformas institucionales muchas veces no funcionan bien, no tienen las funcionalidades que necesitas, o directamente no existen para lo que quieres hacer.

Y entonces, ¿qué hacen los centros? Pues usar Google Workspace for Education, porque es gratuita (en su versión básica), porque funciona, porque todo el mundo la conoce. Y técnicamente, Google Workspace for Education Core Services no tienen anuncios, y la información de los estudiantes en los Servicios Principales nunca se usa para crear perfiles para publicidad dirigida, vender a terceros, o entrenar modelos de IA. Suena bien, ¿no? Pero aquí está el problema: la plataforma coloca la obligación en el usuario de asegurar que el consentimiento ha sido otorgado tanto por el centro como por los usuarios, y ese consentimiento no sería "libre e informado", porque si un estudiante no acepta estos términos, estaría en condiciones desiguales al no poder usar el servicio.

Y esto no es teoría. La AEPD española ha sido muy clara: Google Workspace for Education plantea problemas de consentimiento, de transparencia, y de cesión de datos a terceros. Pero mientras tanto, la mayoría de centros públicos (y privados) la siguen usando. ¿Por qué? Porque no tienen alternativa real. Porque las plataformas institucionales no cubren las necesidades. Y porque nadie les ha dicho cómo hacer las cosas de otra forma.

Decisión 2: ¿quién decide qué herramientas usar? (o el caos de las decisiones individuales)

La segunda decisión práctica es: ¿quién decide qué herramientas digitales se usan en el centro? Y aquí es donde la cosa se complica todavía más. Porque los proveedores de herramientas educativas son considerados encargados del tratamiento y deberán ser seleccionadas por el responsable del tratamiento, sin que las decisiones sobre la selección de la herramienta se adopten de forma individual por los docentes. Es decir: no puedes llegar tú, como docente, decidir usar una app porque te gusta, y pedir a tu alumnado que la use. Tiene que estar aprobada por el centro, evaluada, y registrada.

¿Y qué pasa en la realidad? Pues que cada docente usa lo que le parece. Uno usa Kahoot, otro usa Quizizz, otro usa Padlet, otro usa Canva. Y nadie ha evaluado si esas herramientas cumplen con la normativa de protección de datos. Nadie ha leído las políticas de privacidad. Nadie ha comprobado si recogen datos de menores, si los usan para entrenar modelos, si los venden a terceros. Y todo eso está pasando cada día en miles de aulas.

Y no es culpa de los docentes. Es culpa de un sistema que exige cumplimiento pero que no da formación, no da recursos, y no da protocolos claros para tomar decisiones. Porque la implementación de estas tecnologías educativas presenta desafíos importantes que exigen a los centros una planificación cuidadosa, inversión en infraestructura, y formación continua para los docentes. Y eso, en la mayoría de centros, no existe.

Pongo por ejemplo el siguiente: formación a profesorado en centro formativo. Tema: Canva. El relator nos exponía cómo eliminar a alumnos de una imagen donde salen todos los alumnos del grupo y la familia no dio su consentimiento para que aparezca en publicaciones del centro. Pregunta que te hago: ¿en este proceso hay vulneración de protección de datos? Espero tu respuesta ;)

Decisión 3: ¿cómo obtenemos el consentimiento de las familias? (o el formulario que nadie lee)

La tercera decisión práctica es: ¿cómo informamos a las familias y obtenemos su consentimiento? Porque el consentimiento para tratamientos no necesarios debe ser prestado por el titular de la patria potestad o tutor legal, en el caso de menores de 14 años en España. Y eso significa que, si vamos a usar herramientas que no son estrictamente necesarias para la función educativa, necesitamos el consentimiento explícito de las familias.

¿Y cómo se hace eso en la práctica? Pues con un formulario genérico que se manda a principio de curso, donde se pide autorización para "uso de plataformas educativas", sin especificar cuáles, sin explicar qué datos se van a recoger, sin informar de los riesgos. Y las familias lo firman. Porque si no lo firman, su hijo se queda fuera. Así que, ¿es un consentimiento libre e informado? No. ¿Es lo que la normativa exige? Tampoco. Pero es lo que se hace.

Y aquí está el problema de fondo: se debe facilitar información clara a los interesados o a sus padres, madres, o tutores legales, sobre los datos que se recopilan, cómo se tratan, y con quién se comparten, y la transparencia es fundamental para generar confianza y cumplir correctamente con la normativa. Pero esa transparencia requiere trabajo. Requiere revisar cada herramienta, leer cada política de privacidad, explicarlo de forma comprensible. Y eso, en un centro con 500 alumnos, 30 docentes, y mil cosas más que gestionar, es casi imposible.

Decisión 4: ¿tenemos un Delegado de Protección de Datos? (o la figura que existe pero no existe)

La cuarta decisión (aunque esta no la toman los centros, sino las administraciones) es: ¿quién supervisa todo esto? Porque los centros tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos. Y en los centros públicos, ese DPD es nombrado por la Consejería de Educación correspondiente.

Pero en la práctica, ¿cuántos docentes conocen quién es el DPD de su centro? ¿Cuántos saben cómo contactarlo? ¿Cuántos han recibido formación sobre qué consultas hacer antes de implementar una herramienta digital? En mi caso, sé que existe. Sé que hay un correo electrónico. Pero no he recibido ni una sola sesión formativa sobre cómo aplicar la normativa de protección de datos en mi día a día. Y eso significa que estoy tomando decisiones sin tener el soporte que, en teoría, debería tener.

Decisión 5: ¿qué hacemos cuando hay una brecha de seguridad? (o el protocolo que no existe)

Y la quinta decisión práctica, que es la más crítica: ¿qué pasa si hay una brecha de seguridad? Porque si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, se habrá de notificar a la Agencia Española de Protección de Datos y, en su caso, comunicar a los interesados. Y esto tiene que hacerse en 72 horas.

Pero, ¿cuántos centros tienen un protocolo claro de qué hacer si un docente pierde un USB con datos de alumnado? ¿O si se filtra una contraseña de una plataforma? ¿O si alguien accede sin autorización a un documento compartido? En mi centro, no lo sé. Y eso es un problema. Porque las brechas de seguridad pasan. Y cuando pasan, si no hay protocolo, se improvisa. Y improvisar en temas de protección de datos es la peor idea posible.

Lo que podría hacerse (y lo que haría falta para hacerlo)

Después de todo esto, alguien podría pensar que estoy diciendo que es imposible cumplir con la normativa. Y no es eso. Es posible. Pero requiere cosas que ahora mismo no están: formación obligatoria para todos los docentes sobre protección de datos, no una charla de dos horas, sino formación continua y práctica. Protocolos claros de qué herramientas se pueden usar, cómo evaluarlas, y cómo obtener el consentimiento de las familias de forma real y transparente. Recursos para contratar (o formar) a alguien en el centro que coordine todo esto, que revise las herramientas, que asesore a los docentes. Y apoyo real del DPD, con canales de consulta accesibles y respuestas rápidas.

Y mientras eso no exista, vamos a seguir en esta situación: centros que intentan cumplir la normativa pero que no tienen cómo hacerlo bien, docentes que toman decisiones con buena intención pero sin información suficiente, y familias que confían en que sus datos están protegidos cuando, en muchos casos, no tienen ni idea de qué se está haciendo con ellos.

Y esto no es aceptable. Porque trabajamos con menores. Y la protección de sus datos no puede ser algo que "se hace como se puede". Tiene que ser algo que se hace bien. Con recursos, con formación, y con protocolos claros. Y hasta que eso no pase, vamos a seguir teniendo esta brecha entre lo que dice la normativa y lo que pasa en los centros. Y en medio, como siempre, estaremos los docentes, intentando hacer lo mejor que podemos con lo poco que tenemos.

Nos vemos mañana.