Con la digitalización de la educación, cada vez más instituciones académicas, organismos certificadores y empresas adquieren software de supervisión de exámenes.
La creciente popularidad de los programas de proctoring da lugar a conversaciones en torno a la privacidad y el tratamiento de los datos. Este tipo de software, como cualquier otro, debe cumplir con la normativa sobre privacidad vigente en cada país o territorio. La Unión Europea, por ejemplo, se rige por el RGPD.
La diferencia entre el RGPD y otras leyes de privacidad del mundo es su amplio alcance y su foco en la protección de datos. Otras leyes pueden tener un ámbito local más específico, aplicar a sectores en particular, o centrarse en otros aspectos.
¿Qué es RGPD?
El RGPD o Reglamento General de Protección de Datos es un reglamento común que determina los derechos y las obligaciones de todos los Estados Miembros en materia de tratamiento de datos personales. Este reglamento fue aprobado en 2016, aunque no entró en vigor hasta dos años después, el 25 de mayo de 2018.
El RGPD se instauró con el objetivo de reforzar la seguridad jurídica, la privacidad y la transparencia a través de medidas que permiten superar los obstáculos que bloquearon la armonización planteada por la Directiva 95/46/EC del Parlamento Europeo y del Consejo, que quedó derogada al ser reemplazada por el RGPD.
¿Qué son los datos personales?
El RGPD considera como dato personal cualquier información que pueda identificar directa o indirectamente a una persona física. En el ámbito educativo, algunos ejemplos serían nombres, calificaciones, direcciones de correo electrónico o identificadores de exámenes.
Categorías especiales de datos
Dentro del Reglamento General de Protección de Datos europeo, se establecen categorías especiales de datos, que pueden tener obligaciones más estrictas. Son considerados datos sensibles, por ejemplo, la información sobre salud, raza, opiniones políticas, orientación sexual o creencias religiosas.
¿Quieres recibir las últimas tendencias en eLearning, tecnología y Recursos Humanos?
Completa el formulario y recibe nuestra newsletter semanal con información del sector de la mano de nuestros expertos.
¿Cómo protege el RGPD a los examinados?
El reglamento en cuestión protege a todas las personas físicas de la Unión Europea, independientemente de su nacionalidad y de si los datos se gestionan, procesan y/o almacenan desde dentro o fuera de la UE.
Es decir, que además de regular el tratamiento de datos por parte de empresas, organizaciones y administraciones públicas establecidas en la UE, también aplica a responsables y encargados de tratamientos de datos situados fuera de la UE que manejen información personal de residentes de los Estados Miembros.
A modo aclaratorio, el responsable es quien decide los medios y fines del tratamiento de los datos, mientras que el encargado es quien los procesa siguiendo las indicaciones del responsable.
Dicho esto, los sistemas de supervisión de exámenes que vayan a monitorizar a estudiantes de la Unión Europea deben cumplir con el RGPD. Otros ejemplos del sector educativo serían instituciones académicas o proveedores de servicios en la nube.
Los 8 derechos del RGPD
El RGPD otorga los siguientes derechos a las personas cuyos datos personales se tratan:
| 1. Derecho a ser informado. Este derecho permite que los interesados sepan qué se hará con sus datos para tener más control sobre ellos y tomar decisiones informadas. Por otro lado, obliga a cumplir con los requisitos de transparencia mediante políticas de privacidad claras y comprensibles. | 2. Derecho de acceso. Los residentes en la UE tienen derecho a saber si se están utilizando sus datos y acceder a los mismos para conocer aspectos como los fines, las fuentes, o la existencia de decisiones automatizadas. | 3. Derecho de rectificación. Garantiza el derecho a corregir la información personal incorrecta y cumplimentar los datos incompletos. | 4. Derecho al olvido. Los interesados pueden pedir que sus datos se eliminen en ciertos casos: si no son necesarios o se tratan de manera ilegal, si el solicitante retira el consentimiento o ha ejercido el derecho de oposición y si otorgó el consentimiento online siendo menor de edad. Nota: la eliminación puede estar sujeta a obligaciones legales o contractuales que requieran conservar ciertos datos. |
| 5. Derecho a la limitación del tratamiento. Los interesados pueden pedir que se limite el tratamiento de sus datos cuando impugna la exactitud de los mismos, el tratamiento es ilícito o los datos ya no son necesarios. Además, pueden solicitarlo cuando hayan ejercido el derecho de oposición. | 6. Derecho a la portabilidad de los datos. Permite obtener los datos en un formato estructurado, de uso común y lectura mecánica para poder reutilizarlos o transferirlos, siempre y cuando el tratamiento se base en el consentimiento o un contrato, sea automatizado y los interesados hayan facilitado los datos ellos mismos. Nota: La portabilidad no siempre es aplicable si la información incluye datos de terceros. | 7. Derecho de oposición. Los residentes de los Estados Miembros pueden oponerse al tratamiento de sus datos personales según dos bases jurídicas: el interés propio del responsable o un tercero o la realización de una tarea en interés público o en el ejercicio del poder público. | 8. Derecho a no ser objeto de una decisión totalmente automática. Garantiza el derecho de una persona a exigir la intervención humana en la toma de decisiones que le conciernen. Este derecho se aplica específicamente a decisiones que tengan efectos legales o significativos sobre el interesado. |
Obligaciones del RGPD
El Reglamento General de Protección de Datos de la Unión Europea obliga a todas las empresas y organizaciones, independientemente de si ejercen la función de responsables o encargados del tratamiento de datos personales de residentes europeos, a cumplir con las siguientes obligaciones:
| Asegurarse de que el propósito de la recopilación de datos esté justificado y solo recoger aquellos que sean necesarios para los fines previstos. | Garantizar la precisión y la actualización de los datos personales recopilados y eliminarlos cuando hayan cumplido su función. | Respetar los derechos de los interesados, comunicándoles cómo y con qué fin se tratan sus datos, permitiéndoles, además, el ejercicio de los mismos. |
| Comprobar que la base legal es adecuada para el tratamiento de los datos personales y, en el caso de necesitar el consentimiento, solicitarlo con anterioridad al tratamiento de los datos. | Garantizar un tratamiento seguro de los datos personales. | Mantener un registro de las actividades de procesamiento de datos personales de los residentes de la Unión Europea. El RGPD, además, exige notificación de brechas de seguridad en un plazo máximo de 72 horas a las autoridades de control. |
La figura del Delegado de Protección de Datos
En los siguientes casos contemplados por el reglamento, se debe designar a un Delegado de Protección de Datos:
- Cuando una autoridad u organismo público sea quien realice el tratamiento de datos, salvo en el caso de los tribunales.
- Cuando las actividades principales del responsable o encargado impliquen un seguimiento regular y sistemático de gran magnitud.
- Cuando el responsable o encargado lleve a cabo tratamientos a gran escala de datos personales sensibles o de información relacionada con delitos y sentencias.
Según el Reglamento General de Protección de Datos europeo, el rol de Delegado de Protección de Datos (DPD) puede ser desempeñado por un empleado interno o de manera externa por un profesional o empresa con conocimientos en derecho y protección de datos.
Sus funciones principales son supervisar el cumplimiento del RGPD, asesorar a los empleados y la organización y actuar como punto de contacto con la agencia de control.
¿En qué países se aplica el RGPD?
El Reglamento General de Protección de Datos no se aplica en determinados países como tal, sino que regula el tratamiento de datos de cualquier persona física de cualquiera de los 27 países de la Unión Europea.
Estos países son Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumanía y Suecia.
En resumen, no importa la nacionalidad del responsable del tratamiento, sino el lugar de residencia de la persona cuyos datos se tratan.
Por tanto, cualquier entidad (tanto europea como de fuera de la UE) que lleve a cabo el tratamiento de datos de personas de estos países deberá cumplir con el reglamento. Si los datos son recopilados en la UE pero transferidos fuera de la misma, la protección ofrecida acompañará a los derechos.
Por tanto, el RGPD no aplica solo en Europa, sino allá donde se traten los datos de las personas que forman parte de la Unión Europea.
El RGPD en España
En España, el Reglamento General de Protección de Datos se complementa con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD):
- Adaptando el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo.
- Garantizando los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
La LOPDGDD introdujo obligaciones específicas sobre menores y consentimiento parental, relevante en el ámbito del proctoring educativo.
La Agencia Española de Protección de Datos es la encargada de garantizar el cumplimiento de la normativa de protección de datos en España, con poderes de investigación, correctivos y de autorización o consultivos, entre otros.
Un ejemplo reciente de sanción es la multa de más de 10 millones de euros que la AEPD impuso por desplegar sistemas de reconocimiento facial en los aeropuertos españoles, infringiendo el artículo 35 del RGPD; una resolución que, por otro lado, sería recurrida en base al principio de proporcionalidad.
¿Tiene el RGPD equivalentes en el mundo?
No existe un equivalente como tal, ya que cada país o región establece sus propias normativas en base a sus particularidades. El RGPD, por el momento, es único en su especie, pero los esfuerzos en torno a la protección de datos son cada vez mayores en el mundo. Vemos algunos ejemplos:
Estados Unidos
En Estados Unidos no hay una ley única de protección de datos. Estas se aplican por sector, y en el caso de la educación, es la FERPA (1974) la que protege la información personal de los estudiantes, con sus consecuentes modificaciones.
No obstante, hay proyectos como la ADPPA (Ley Estadounidense de Privacidad y Protección de Datos) en desarrollo. Los estados, además, han creado sus propias regulaciones. En California, por ejemplo, se aplica la CCPA (Ley de Privacidad del Consumidor de California), que entró en vigor en 2020.
Al no estar en vigor todavía la ADPPA, de alcance federal, podría afectar a la armonización con leyes estatales como la CCPA.
Canadá
En Canadá, por un lado, existe la PIPEDA (Ley de Protección de Información Personal y Documentos Electrónicos, 2000), que regula el tratamiento de información personal por parte del sector privado.
La Ley de Privacidad (1983), por otro lado, protege la información personal de los canadienses en lo que a tratamiento de datos por parte del gobierno federal se refiere.
Es importante mencionar que algunas provincias canadienses tienen leyes complementarias, lo que complica la gestión de datos transfronteriza.
Sudáfrica
La POPIA (Ley de Protección de la Información Personal) entró en vigor en el país en el año 2021. Esta normativa se aplica a las organizaciones y les exige implementar medidas técnicas y organizativas para garantizar la protección de la información.
Además, prohíbe la transferencia de datos personales si el país o la entidad receptora no ofrece una protección similar, o si no hay consentimiento por parte del individuo. Esta normativa es similar al RGPD en tanto que regula las transferencias internacionales de datos.
India
En India, se aplica la ley que en 2023 sustituyó a leyes anteriores en materia de protección de datos digitales: la Ley de Protección de Datos Personales Digitales (DPDP Act).
Esta ley otorga derechos similares a los del RGPD como acceso, rectificación y eliminación, pero con diferencias en las sanciones y el control regulatorio.
Brasil
La LGPD, Ley General de Protección de Datos de Brasil, que entró en vigor en 2020, está inspirada en el RGPD de la Unión Europea. Al igual que sucede con el Reglamento General de Protección de Datos, concierne a entidades que procesan datos de personas en su área de aplicación, independientemente de su ubicación.
La LGPD, en línea con el RGPD europeo, también exige la designación de un encargado de protección de datos y la notificación de brechas de seguridad.
¿Cumple SMOWL proctoring con el RGPD?
El Reglamento General de Protección de Datos es de obligado cumplimiento en la UE. Por tanto, todas las empresas con sede legal o que operen en Europa, en tanto que traten datos personales, deben adherirse a él.
Las autoridades de protección de datos, por su parte, pueden supervisar el cumplimiento dentro de su jurisdicción en todo momento e imponer cuantiosas sanciones si no se respeta. Estas sanciones pueden implicar multas de hasta 20 millones de euros o el 4% del volumen global anual.
Smowltech, como empresa con sede en San Sebastián (España), cumple estrictamente con el RGPD, manteniendo políticas de cifrado, retención y eliminación de datos conforme a la normativa. De lo contrario, no habría sido elegible para recibir financiación por parte de la Unión Europea.
El cumplimiento con uno de los marcos de protección más exigentes a nivel global hace de SMOWL una herramienta competitiva con la que supervisar exámenes digitales en otros países fuera de la UE.
Más allá de las fronteras de la Unión Europea, SMOWL se adhiere a las leyes de privacidad aplicables en cada país como, por ejemplo, las normativas FERPA y CCPA en Estados Unidos.
Smowltech, además, cuenta con la certificación ISO/IEC 27001, un estándar internacional de seguridad de la información que garantiza las mejores prácticas en privacidad y seguridad.
Para más información, puedes consultar nuestra política de privacidad. Si tienes alguna inquietud o pregunta sobre la misma y el tratamiento de datos que recopilamos, no dudes en contactarnos:
Centro de soporte para usuarios
Portuetxe Kalea, 53 B, 20018 DONOSTIA/SAN SEBASTIÁN, GIPUZKOA
Actualizado el
