Regulación europea sobre protección de datos en formación #eLearning

Regulación europea sobre protección de datos en formación #eLearning

 

La preocupación de las organizaciones por la protección de los datos personales que se almacenan en los sistemas de aprendizaje está creciendo, a la vista de unas normativas cada vez más estrictas.

La paranoia por asegurar los datos personales y protegerlos contra ataques ha llevado a algunas organizaciones a bloquear sistemas o retirar el acceso a sistemas en determinados países, a menudo de forma innecesaria. Las revelaciones de espionaje por parte de la NSA y el GCHQ tampoco han ayudado al e-learning, puesto que algunas organizaciones albergan dudas acerca de colgar cualquier tipo de información en la nube.

La directiva de la Unión Europea relativa a la protección de datos (Directiva 95/46/CE), cuyo objetivo es proteger a las personas frente al procesamiento y traslado de datos personales, ha dado lugar a interpretaciones diferentes en casi todos los países europeos y en la medida en la que las organizaciones deben asumir esta situación, se enfrentan a una importante actualización de la legislación y a multas de hasta un 5% de la facturación por incidentes de pérdida de datos.

Las empresas que quieren implantar soluciones de aprendizaje a un nivel global tienden a abordar la cuestión de la protección de datos en profundidad. Tratar con diferentes idiomas y países implica gestionar entornos legislativos diferentes en relación con la protección de datos. El presente White Paper ofrece una serie de pautas sobre cómo pueden abordar la cuestión de la protección de datos los profesionales de RRHH y formación para que esta no se convierta en un obstáculo a la hora de ofrecer un desarrollo efectivo del personal.

Ley de protección de datos y desarrollo de la fuerza laboral en la práctica

Nadie quiere equivocarse con la ley de protección de datos. Las multas de las autoridades competentes son tan solo la punta del iceberg. Los costes inherentes a la tramitación de una violación de datos personales han sido de suficiente envergadura para llevar a la quiebra a algunas empresas. Estos gastos incluyen la contratación de expertos que gestionan las incidencias en protección de datos o llevan a cabo investigaciones y comunicaciones internas, además de los gastos de refuerzo de la seguridad. Otros costes más difíciles de cuantificar incluyen la pérdida de la buena reputación de la empresa como empleador, lo que afecta a su capacidad de contratar y retener a los mejores profesionales.

El miedo a caer en falta de los reguladores ha conducido a una situación en la que muchas de las empresas que buscan obtener sistemas de aprendizaje basados en la nube no consideran el contenido de la formación una prioridad o no se fijan en la trayectoria de impartición de e-learning. En su lugar, la primera pregunta que plantean a los proveedores es “¿dónde se alojan sus servidores?”.

protección de datos

De hecho, el 82% de los clientes de Speexx en Europa Occidental preguntan por la política de protección de datos antes de discutir acerca del contenido y la integración tecnológica. Este mismo tema está adquiriendo cada vez más importancia en China. Sin embargo, de lo que muchos responsables de RRHH y formación no se dan cuenta es de que lo importante no es solo dónde se localice el servidor, sino también la ubicación del responsable del tratamiento de datos.

Existe un riesgo real de que las organizaciones lleguen a la conclusión de que el único enfoque seguro es administrar sus propios datos en sus propios servidores, lo que implica una visión negativa y obsoleta y la incapacidad de aprovechar los beneficios que ofrece el software como servicio basado en la nube, como el acceso global a un software permanentemente disponible y actualizado y a análisis de datos a lo largo de toda la organización.

El modelo de software como servicio (SaaS) basado en la nube, es particularmente útil para las empresas de impartición de e-learning y con visión de futuro, y ha posibilitado el aprendizaje móvil, permitiendo a los empleados aprender en cualquier lugar, desde cualquier dispositivo y en cualquier momento.
Seguridad datos
Imagen 1: La seguridad de los datos es el principal impedimento para el aprendizaje móvil

El 35% de los participantes en la encuesta Speexx Exchange 2013-14 afirmó que el aprendizaje móvil era una parte activa de su estrategia. ¿Qué es lo que estaba obstaculizando la implementación del aprendizaje móvil? Casi una cuarta parte (24%) de los encuestados mencionó problemas corporativos de seguridad de los datos como el factor principal, por delante de preocupaciones sobre abrirse camino a través de múltiples normas y plataformas (20%).

Desafíos locales y el “derecho a ser olvidado”

La protección de datos es un tema muy extenso. En el año 2014, el Tribunal de Justicia de la Unión Europea llamó mucho la atención sobre una nueva resolución que afectaría al negocio de Google en esta parte del mundo. Conforme a este “derecho a ser olvidado”, las personas residentes en la UE podrían solicitar al motor de búsqueda que eliminase los enlaces a artículos, sentencias judiciales y demás documentos de los resultados de búsqueda de su nombre. El escepticismo que suscitan en Europa gigantes de Internet como Google crece día a día, en cuanto a dónde almacenan la información y quién puede acceder a ella.

A lo largo de Europa, las distintas interpretaciones de la directiva de la UE relativa a la protección de datos han generado desafíos reales o percibidos para las organizaciones que implementan e-learning. ALEMANIA tiene una de las leyes de protección de datos más estrictas del mundo y el país ha asumido un papel destacado a la hora de implantar las directrices de privacidad a nivel mundial. Las autoridades competentes en materia de protección de datos de este país intervinieron en Facebook en relación con la función de etiquetado de rostros y, como resultado, Facebook retiró dicha función en Europa.

Como consecuencia de las revelaciones sobre las escuchas al teléfono móvil de la canciller, Angela Merkel, por parte de la NSA, el gobierno alemán está en una fase inicial para mejorar la legislación nacional que afecta a la industria de IT. Por ejemplo, el gobierno alemán está considerando que las empresas de TI firmen un acuerdo de no espionaje cuando se presenten a licitaciones públicas.

Los servidores alojados dentro de la jurisdicción de Alemania se benefician de una estricta protección de datos. En primera instancia, esta rigurosa legislación de seguridad de datos podría parecer algo burocrática, pero el resultado final es una seguridad de datos incomparable.

Las organizaciones alemanas se encuentran entre las más propicias a saber dónde se ubican los servidores, cómo se protegen los datos y qué datos se almacenan. Un cliente de Speexx, un banco alemán, no permite que se almacene ningún dato fuera de la empresa, y las soluciones basadas en la nube son imposibles de aplicar. Los cursos y los sistemas de gestión del aprendizaje (LMS) de este cliente se alojan “on-premise” (en la localización del usuario). Para ello, los proveedores de e-learning deben extraer una parte de sus herramientas de administración y fusionarlas con los LMS del cliente, de modo que solo puedan acceder a los datos internamente. Otro cliente alemán de Speexx envió a dos miembros de su personal a las instalaciones de Speexx en Múnich para inspeccionar físicamente su servidor y asegurarse de que estuviese ubicado en Alemania, antes de contratar su programa de e-learning.

No se trata de una mera cuestión tecnológica, es importante tener una visión clara de las personas que manejan el sistema. Los profesores de Speexx tienen la obligación de firmar un contrato de protección de datos basado en la legislación alemana.

SUIZA tiene un régimen de protección de datos comparable al de Alemania. Un cliente suizo quería asegurarse de que tan solo dos miembros designados del personal de Speexx tuviesen acceso a la información de los alumnos.

AUSTRIA adopta un punto de vista de una rigurosidad similar. Una organización austriaca dispone de un LMS de Speexx listo y en funcionamiento, pero su filial alemana no obtuvo acceso al LMS porque, para cumplir la normativa, éste debía estar ubicado en Alemania.

El estricto enfoque de algunos países europeos respecto al cumplimiento de la ley de protección de datos ha provocado la aparición de escenarios en los que las organizaciones internacionales han excluido a empresas alemanas y austriacas de los programas de e-learning debido a la legislación de protección de datos.

Los negocios de ESPAÑA se enfrentan a un desafío ligeramente diferente en relación con la normativa de protección de datos y el desarrollo de los empleados. Las empresas españolas pueden solicitar financiación a través de una organización denominada Fundación Tripartita para la Formación en el Empleo (FTFE). Dependiendo del tipo de formación que quieran aplicar, pueden obtener descuentos en el pago de las cotizaciones a la seguridad social y, en algunos casos, se financian íntegramente los gastos del curso.

El proveedor de formación debe proporcionar a la Fundación Tripartita toda la información del curso, incluyendo acceso al LMS, y los miembros de la Fundación tienen derecho a enviar a un inspector a las oficinas del proveedor de formación para comprobar que los procedimientos se estén ejecutando correctamente. Los inspectores también pueden solicitar ver informes, los CV de los formadores, la información que se envía a los alumnos y demás material relacionado con el curso. En el caso de algunas empresas, esto podría suponer una violación de la privacidad.

En el REINO UNIDO, la Ley de Protección de Datos de 1998 establece una serie de derechos para las personas cuyos datos sean almacenados, así como una serie de responsabilidades para aquellos que almacenen, procesen o transmitan los datos. Los empleados tienen derecho a consultar los datos que almacena una organización sobre ellos presentando una “solicitud de acceso del interesado” de bajo coste. Si la empresa no corrigiese información incorrecta o utilizase los datos de un modo considerado como susceptible de provocar daños o riesgos, se puede conceder una indemnización.

Los antiguos empleados descontentos tienen la posibilidad de presentar una solicitud de interesado si no les gustase lo que ven; el Comisario de información del Reino Unido tiene amplios poderes de ejecución. El incumplimiento de una notificación de ejecución constituye un delito. Los directivos corren el riesgo de cometer un delito si no se tratasen correctamente los datos personales.

Las empresas INTERNACIONALES que operan en Europa no pueden enviar información fuera de la UE a menos que tengan la certeza de que estará protegida. Existe un acuerdo de salvaguardia entre los EEUU y la UE, por el que las empresas estadounidenses han hecho constar que cumplen los requisitos legales de la UE, lo que les permite intercambiar datos entre los continentes. Sin embargo, las regulaciones están orientadas a la prevención del terrorismo y no se diseñaron para el e-learning internacional.

Derechos de los trabajadores

La conjunción de la legislación laboral, los derechos de los trabajadores y los sindicatos tiene un papel que desempeñar, especialmente en Europa. Por ejemplo, puede ser complicado llevar a cabo un análisis del progreso de un alumno en Alemania si la empresa dispone de un acuerdo con el comité de trabajadores. En este caso, nadie podrá ver los resultados del aprendizaje del alumno. Los alumnos pueden acordar que se muestren sus progresos de forma anónima o que no se muestren en absoluto.

En el caso de algunas empresas, cuando un alumno realiza un examen no se muestran los resultados, tan solo el hecho de que ha participado en él. Algunas cuestiones que deben aclararse con el comité de trabajadores incluyen: ¿cuándo deben estudiar los alumnos, durante su horario laboral o fuera de éste? ¿Quién puede ver los resultados del aprendizaje y dónde se almacenan?

Puede que FRANCIA no sea tan estricta como Alemania o Suiza acerca de quién puede acceder a los datos, pero existen fuertes sindicatos que se ocupan de la privacidad de los datos de los trabajadores. Por lo general, las empresas francesas tienden a conceder más importancia al hecho de mantener la información corporativa dentro de la empresa y acatar las leyes que a los datos personales de los alumnos, pero algunas empresas quieren saber dónde se alojan las plataformas de aprendizaje y dónde se almacena la información.

Software como servicio (SaaS) y la normativa

En el pasado, los departamentos de IT controlaban los servidores y tenían el voto de calidad respecto a si los sistemas de e-learning debían alojarse en el sistema corporativo. Ahora que los departamentos de RRHH y formación utilizan sistemas de SaaS basados en la nube, el aspecto más temible de la normativa ha sustituido a los exigentes departamentos de IT. Ahora, al personal RRHH y formación, negociar con los departamentos de IT sobre el espacio de los servidores, le puede parecer un paseo en comparación con abordar la compleja y aparentemente intangible cuestión de la protección de datos.

La realidad es que la tecnología y la normativa pueden coexistir sin problemas. El objetivo de la normativa es regular la actividad empresarial, no impedirla. El escenario del SaaS ha madurado y nos ha provisto de proveedores, especialmente los de los países con las interpretaciones más estrictas del cumplimiento de la protección de datos, que ya se han enfrentado y han abordado prácticamente todos los desafíos que plantea la protección de datos en distintas ocasiones y que han desarrollado contratos de usuarios y proveedores que cumplen la normativa.

Seleccione al proveedor de servicios en la nube adecuado con un conocimiento preciso de la complejidad del asunto y no habrá motivo por el que los sistemas de e-learning no puedan integrarse en los sistemas de RRHH y gestión que almacenan todos los datos de los empleados en un mismo lugar.

Seis pasos para cumplir la legislación de protección de datos en e-learning

  1. No se preocupe. Se trata de un mercado en maduración y los proveedores de e-learning están ofreciendo soluciones globales con éxito que se adaptan a las necesidades de sus clientes.
  2. No intente reinventar la rueda. Aproveche las mejores prácticas de su sector: si, por ejemplo, usted representa a un banco, averigüe cómo han abordado otros bancos este desafío.
  3. Explote la nube. Además de ofrecer beneficios como soluciones de bajo coste “pay as you go”, contenido actualizado al minuto y disponibilidad en todo el mundo, los proveedores de servicios en la nube son buenos conocedores de la complejidad de las normativas internacionales sobre protección de datos.
  4. Conozca sus datos. Cree un esquema de los flujos de datos personales desde y hacia los sistemas de e-learning que abarque el uso de dispositivos personales por parte de los empleados.
  5. Coja el toro por los cuernos y fórmese. Obtenga una perspectiva completa de los acuerdos necesarios y las normas de cumplimiento, quizá con la ayuda de un proveedor que lo haya hecho anteriormente, de modo que pueda descartar preocupaciones.
  6. Seleccione a sus asesores de protección de datos cuidadosamente. Es mejor trabajar con alguien que tiene un enfoque claro y formado a la hora de abordar aspectos relacionados con la seguridad global de los datos.
roberto-martin
Roberto Martín (@robermartina y @speexx_Spain). Coordinador IT&PR Marketing en www.speexx.com, apasionado de la tecnología, el Social Media y el e-commerce.

3 comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *