«La principal amenaza a la protección de los datos de los estudiantes en las universidades españolas, en mi opinión, es el distinto tratamiento que tienen en España según se trate de una universidad privada y una pública. Si se trata de una universidad privada, cualquier infracción al RGPD puede ser sancionada, con multas muy importantes. Pero en España se decidió que a las entidades públicas no se les podía multar, lo que genera una mayor desprotección de los datos personales de sus estudiantes», señala Borja Adsuara Varela.
Borja Adsuara Varela es un abogado español especializado en derecho digital, protección de datos y comunicación. Con una extensa trayectoria en el ámbito del derecho y las nuevas tecnologías, ha sido pionero en la promoción de la seguridad jurídica en el entorno digital. A lo largo de su carrera, ha desempeñado cargos en diversas instituciones, como Director General para el Desarrollo de la Sociedad de la Información y miembro del Consejo Asesor de Telecomunicaciones y de la Sociedad de la Información. Adsuara ha sido una figura clave en la regulación de la protección de datos en España, contribuyendo significativamente a la implantación y cumplimiento del Reglamento General de Protección de Datos (RGPD).
Además de su labor como abogado, Borja Adsuara es un reconocido académico, conferenciante y consultor en temas relacionados con la transformación digital. Ha colaborado con organismos públicos y privados, brindando asesoramiento estratégico sobre el uso responsable y ético de la tecnología y los datos personales. También es autor de múltiples artículos y publicaciones sobre derecho digital, privacidad y ciberseguridad, siendo una referencia en estos campos en España y América Latina. Su compromiso con la educación digital lo convierte en un defensor del uso de la tecnología como herramienta de progreso y bienestar social.
¿Cuáles son las principales amenazas a la protección de los datos de los estudiantes en las universidades españolas?
La principal amenaza a la protección de los datos de los estudiantes en las universidades españolas, en mi opinión, es el distinto tratamiento que tienen en España según se trate de una universidad privada y una pública. Si se trata de una universidad privada, cualquier infracción al RGPD puede ser sancionada, con multas muy importantes. Pero en España se decidió (Artículo 77 LOPD) que a las entidades públicas no se les podía multar, lo que genera una mayor desprotección de los datos personales de sus estudiantes y un agravio comparativo respecto de los datos personales de estudiantes de universidades privadas.
En campus cada vez más digitalizados no paran de crecer los datos a los que las universidades tienen acceso sobre la vida y la actividad de los estudiantes. ¿Dan las universidades la importancia que tiene a la protección de datos del estudiantado? ¿son transparentes en su gestión?
Las Universidades no dan la importancia que tiene a la protección de datos personales de los estudiantes (y del personal), ni hacen las inversiones necesarias; especialmente, las públicas, por la razón que ya hemos apuntado. La consecuencia es que cada vez hay más brechas de seguridad y filtraciones de datos personales de las Universidades españolas. Y no se puede decir que la gestión de las mismas sea muy transparente, especialmente sobre los incidentes de seguridad en las universidades públicas, porque no les pasa nada (no son sancionadas) si no informan de ellos a la Agencia Española de Protección de Datos ni se los comunican a los titulares de los datos (a los estudiantes) cuando hayan podido afectar a sus derechos.
La principal amenaza a la protección de los datos de los estudiantes en las universidades españolas, en mi opinión, es el distinto tratamiento que tienen en España según se trate de una universidad privada y una pública
Es fundamental que los estudiantes comprendan qué datos se recolectan, cómo se utilizarán y quién tendrá acceso a ellos. ¿Funciona de manera adecuada el conocimiento informado de los estudiantes?
Para que el consentimiento sea válido es imprescindible que haya un conocimiento informado y, para ello, es fundamental que los estudiantes comprendan qué datos personales suyos se recolectan, cómo se utilizarán (con qué fines) y quién tendrá acceso a ellos. El Artículo 4 del RGPD, que contiene las Definiciones, dice en su apartado 11:
“consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”;
A su vez, el Artículo 12.1 del RGPD, sobre Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado, obliga al responsable del tratamiento a informar a los titulares de los datos
“El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información… así como cualquier comunicación… relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.
¿Cómo puede un estudiante universitario saber si sus datos se usarán sólo para fines académicos o también para fines comerciales? o ¿quién tendrá acceso a estos datos?
Los estudiantes tienen el derecho de acceso a sus datos (Artículo 15 del RGP):
“1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a. los fines del tratamiento;
b. las categorías de datos personales de que se trate;
c. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales…”
Las nuevas tecnologías tienen un impacto directo en las prácticas contrarias a la integridad académica. ¿Cómo ponemos en valor el valor diferencial en la educación universitaria de la ética académica?
Mi Doctorado es en Filosofía del Derecho y Filosofía Moral y me encanta hablar sobre Ética. Y estoy de acuerdo en que hay que poner en valor la Ética y la Integridad Académica en la educación universitaria, en general, y en relación con las Nuevas Tecnologías, en particular. Pero no basta con eso. Hay que recordar a los estudiantes que determinadas conductas (como, por ejemplo, el plagio de trabajos o el encargo a una empresa de la realización de un TFG, un TFM o una Tesis Doctoral) no son sólo reprochables desde el punto de vista ético, sino ilegales desde el punto de vista jurídico y pueden tener sanciones graves, académicas y penales. La primera obligación de la educación es que los estudiantes no sean delincuentes. Y la ‘Educación en valores’ empieza por los valores del Código Penal.
La irrupción de la Inteligencia Artificial en la educación superior se soporta sobre el acceso a datos ingentes de los estudiantes. ¿Cómo valora el impacto de la Inteligencia Artificial en la gestión de los datos del estudiantado?, ¿cómo evitamos desde el inicio los sesgos que reflejan desigualdades sociales o discriminaciones?
Éste es un tema que daría para una entrevista entera, pero, resumiendo mucho, diría que nos tenemos que acostumbrar a que el uso de la Inteligencia Artificial se va a ir extendiendo poco a poco a todos los ámbitos de la Sociedad, incluida la educación superior; tanto en la gestión de los datos de los estudiantes, como en su uso por éstos para buscar información, estudiar y hacer sus trabajos. La Inteligencia Artificial es un arma muy poderosa, que deja en mantillas otras herramientas digitales, pero, obviamente, hay que hacer un buen uso de ella. Por eso se está regulando ya sobre el tema en la Unión Europea (Reglamento de Inteligencia Artificial, aprobado el 13 de junio de 2024), entre otras cosas, para evitar sesgos y discriminaciones.
Nos tenemos que acostumbrar a que el uso de la IA se va a ir extendiendo a todos los ámbitos de la Sociedad, incluida la educación superior; tanto en la gestión de los datos de los estudiantes, como en su uso por éstos para buscar información, estudiar y hacer sus trabajos
Los datos que generan los estudiantes en su aprendizaje son el equivalente al ADN de su personalidad, su mal uso puede determinar sus vidas. ¿Deberían tener la misma protección los datos educativos que tienen los biomédicos?
El Artículo 9.1 del Reglamento General de Protección de Datos (RGPD) de la UE, sobre el Tratamiento de categorías especiales de datos personales, no recoge entre ellos, junto a los datos genéticos, biométricos o los relativos a la salud, los datos que generan los estudiantes en su aprendizaje:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
No obstante, estoy de acuerdo en que su mal uso puede determinar sus vidas y, por eso, se debe aplicar el Artículo 22 del RGPD sobre Decisiones individuales automatizadas, incluida la elaboración de perfiles:
“1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”.
Las Universidades no dan la importancia que tiene a la protección de datos personales de los estudiantes (y del personal), ni hacen las inversiones necesarias; especialmente, las públicas
La ciberseguridad se ha convertido en la prioridad digital en el mundo empresarial. Tener sistemas seguros es cada vez más importante, pero también más costoso. ¿Están las universidades amenazadas por estas mafias?, ¿tienen capacidad de respuesta?
Las universidades españolas no sólo están amenazadas por las mafias de ciberdelincuentes, sino que cada vez se producen más ataques de ‘ransomware’ (bloqueo o secuestro de datos, por cuyo desbloqueo o liberación los cibercriminales piden un rescate). Desgraciadamente, las Universidades, especialmente las públicas, no tienen la misma capacidad de inversión que las empresas para la prevención de estos ciberataques, ni para dar respuesta adecuada cuando se producen, salvo hacer todos los días copias de seguridad de los datos.
Como profesor universitario, además de experto en protección de datos, ¿cómo valora la alfabetización digital con la que llegan los estudiantes a la Universidad?, ¿debería incorporarse como una competencia transversal para todos los universitarios las habilidades digitales?
Los estudiantes universitarios actuales, que son ‘nativos digitales’ (nacieron ya y han crecido en el entorno digital) tienen un gran dominio de los dispositivos y de las aplicaciones digitales (derivado de un uso intensivísimo y desde muy temprana edad), pero eso no quiere decir que conozcan los riesgos de internet (saben conducir los vehículos, pero -en general- no saben circular con seguridad). Estoy de acuerdo en que es necesario mejorar la alfabetización digital con la que llegan a la Universidad e incluir, como una competencia transversal, las habilidades digitales (como usuarios y profesionales) en todos los estudios universitarios.
Los defensores universitarios ponen de manifiesto el cambio que se está produciendo en los conflictos interpersonales, algunos directamente vinculados al uso de tecnología como la aparición de prácticas de ciberacoso, ¿cómo podemos responder a estos problemas de convivencia?
El ciberacoso no es sólo una infracción a las normas de convivencia de cualquier Universidad, que tiene una sanción administrativa-académica, sino que también puede constituir un delito. Por eso, lo mejor es tener vías anónimas de denuncia de estas situaciones, protocolos claros de actuación cuando se produzcan y, sobre todo, campañas de sensibilización y prevención, dejando muy clara la gravedad del asunto e informando de las vías de protección al alcance de los estudiantes; especialmente del canal prioritario de la Agencia Española de Protección de Datos para la retirada de contenido sexual o violento que haya sido difundido por internet, cuya difusión ilícita ponga en grave riesgo los derechos y libertades o la salud física y/o mental de las personas afectadas.
Agradeceremos sus comentarios y preguntas sobre este artículo. Envíe un correo electrónico a los editores o envíe una carta para su publicación.