Venga ya…¿Qué no sabes lo que es el RGPD? No me lo creo… si lo hemos sufrido hasta en la sopa.
En estos últimos días todo Internet ha estado ocupado actualizando sus políticas de tratamiento de datos a la “nueva” normativa del Reglamento General de Protección de Datos emitida por la Unión Europea.
Una cantidad ingente de correos electrónicos ha invadido nuestras bandejas contándonos que todas las empresas eran guays y nos querían comunicar por voluntad propia lo responsables que eran con nuestros datos.
Y no es que se haya publicado hace 3 días (se publicó el día 26 de mayo de 2016), sino que aquí nos encanta hacer las cosas en el último momento. Llevamos la procastinación implícita en nuestro adn. Aunque parece ser que empresas tan grandes como Google, Microsoft y Facebook también han esperado al último momento (qué habrán hecho hasta entonces con nuestros datos…)
¿En qué consiste el RGPD?
Básicamente, es un reglamento que trata de regular cuando una empresa o entidad recoge información y datos de un usuario para un fin determinado, y así garantizar la privacidad y los derechos de los mismos.
Por simplificarlo más, antes se protegía el dato (fichero de datos) ahora se controla el uso que se hace para proteger los derechos de los individuos.
Ante esto, las empresas necesitan comunicar a los individuos con lenguaje claro y cercano:
- ¿De quién son y qué datos se tratarán?
- ¿Para qué se van a tratar sus datos?
- ¿Cómo se van a tratar?
- ¿Quiénes van a tratarlos?
- ¿Cómo pueden actuar frente a una infracción?
Y esto, ¿Qué tiene que ver con el eLearning?
Si nos dedicamos al mundo de la formación online o presencial, cualquier participante lleva asociado un usuario, y de ese usuario se necesitan unos datos que pueden ser más o menos relevantes y/o privados.
Hay que dejar claro que por muy pocos datos que recojamos, debemos dar un tratamiento conforme al RGPD, así que vamos a tratar de responder a las preguntas que hemos planteado incluyendo ejemplos y casos de uso.
¿De quién son y qué datos se tratarán? El Reglamento recomienda que demos la información por capas. Aunque en la primera capa de información no hay que hacerlo, conviene tener definido el perfil o perfiles de usuarios de los cuales manejas datos. Ejemplo: universitarios, desempleados, trabajadores del sector hostelería, colectivos prioritarios, etc. Igualmente, has de informar de qué datos vas a almacenar y tratar en base a las categorías que define el RGPD. Ejemplo: Personales, de negocio, económicos, educativos, etc. ¿Para qué queremos los datos? Es la pregunta clave y a la que debemos dar respuesta con mayor claridad posible. Si sólo vamos a utilizarlos para tratar su expediente en nuestro aula virtual, así se lo haremos saber. Pero si tenemos intención de realizar por ejemplo, mailing, enviar ofertas de cursos, llevarlos a un grupo de facebook o cualquier otra acción, deberá estar reflejada y comunicada desde el principio. Siempre hay que comunicar los fines. Si los datos además se van a tratar con un tercero, hay que reflejarlo. Ejemplo: si los datos se van a enviar a otra entidad (la Fundae, por ejemplo) ésto tendrá que estar explícito en la política de información. ¿Cómo van a tratarse esos datos? En primer lugar, ha de indicarse cómo se van a recoger los datos en nuestro sistema (a través de formulario, a través de mail, teléfono, etc) y si el tratamiento va a estar informatizado o no (base de datos, tecnología, etc). Ejemplo: lo recogemos con el formulario de moodle, de un wordpress, a través de un Google Forms? Aquí está el meollo. Además, debemos indicar el proceso que van a seguir los datos desde que entran en nuestros sistemas, se tratan, se conservan y finalmente se eliminan. Además si tenemos relaciones con otras empresas debemos manifestarlo y declarar cómo actúan en el proceso. Veamos el ejemplo: Tengo que indicar mi proveedor de host. Si tengo un gestor de mailing (tipo mailchimp) tambíen tengo que indicar la finalidad y el proceso. Si tengo un Google analytic igualmente debo indicar que los datos de uso pueden recogerse. etc ¿Quiénes van a tratar los datos? Hay que decir qué persona o personas son las responsables de esos datos en la entidad. No basta con el nombre de nuestra academia o empresa. Debe aparecer el nombre y apellidos así como los datos de contacto del responsable. Igualmente, si decidimos pasar el tratamiento (aprobado por ese responsable) a un tercero hemos de indicar igualmente este hecho y cómo se produce. Como ejemplo, de nuevo la Fundae, la Universidad que nos certifique la formación, el fabricante que nos de un certificado, etc… ¿Y las infracciones? Si no cumplimos con lo que decimos en nuestra política de tratamiento de datos, los usuarios podrán ejercer su derecho ante la Agencia de Protección de Datos y las consecuencias son multas muy significativas. Un ejemplo de posible infracción muy recurrente en la formación son los listados de firmas con DNI, o los perfiles personales que muestran datos de los participantes en las plataformas online. ¿Estamos infringiendo la privacidad de los datos? Probablemente si y deberíamos actuar. Imaginemos que en nuestras listas tenemos personas en riesgo de exclusión o violencia de género, hacerlo público sería una flagrante violación de la privacidad. Para ello existe una técnica recomendada por la RGPD que consiste en anonimizar o pseudoanonimizar los datos del usuario. Esto no es más que asignar en tu sistema un identificador que solo lo conozcan el usuario y el responsable del dato y que no tenga significado para el resto.
En definitiva, se trata de aplicar transparencia, proactividad y responsabilidad a algo tan importante en la sociedad actual como son los datos personales de nuestros alumnos.
De todas formas si quieres ampliar información como empresa:
- Recientemente se está impartiendo un MOOC en la plataforma de Andalucía es Digital que te recomiendo te inscribas: es gratuito y todavía estás a tiempo.
- Web de la Agencia de Protección de Datos que tiene mucha información así como herramientas y recursos para facilitar su implantación.
Imagen de cabecera: Reglamento GDPR en pixabay
El MOOC de Andalucía es Digital, ya esta cerrado. A ver si sale otro, porque es una pena.
Vaya, gracias por el aviso.
Hemos hablado con el portal y puede que lo dejen en abierto, estaremos atentos.
Saludos