Webinario “Docencia en línea y protección de datos”
El webinario Docencia en línea y protección de datos: la garantía de los derechos de la comunidad universitaria organizado por la CEDU el 7 de mayo de 2021 ha contado con la ponencia del Dr.Julián Valero Torrijos, catedrático de Derecho administrativo de la Universidad de Murcia y con la participación de más de cuarenta defensores y defensoras universitarias y adjuntos y adjuntas.
En su intervención inicial, el profesor Valero ha expuesto los principales de manera clara e ilustrativa los distintos elementos definidores de la regulación actual del derecho a la protección de los datos personales. Como punto de partida, ha recordado que, desde 2018, las universidades españolas disponen de una normativa que regula la protección de datos personales. Asimismo, ha explicado que, en marzo de 2020, cuando se inició la crisis sanitaria, la mayor parte de las universidades se encontraron ante un nuevo escenario que puso en tensión el escenario totalmente presencial que existía hasta entonces. En aquel momento, se inició un debate en España para encontrar soluciones a la tensión entre el uso de los medios electrónicos para desarrollar una formación en línea y su impacto en la protección de datos. Este fue un debate que se produjo en toda Europa y que dio lugar a que en algunos países se modificara el régimen jurídico existente (por ejemplo, en Francia).
A fin de contribuir a la garantía de la protección de datos personales durante la pandemia, la AEPD publicó diversos informes y recomendaciones.
En el ámbito docente, aparecieron informes, iniciativas sobre los sistemas de evaluación en el contexto del COVID-19. Sin embargo, muchos de ellos no valoraron en particular el impacto en la protección de datos personales.
Desde la CRUE un grupo de delegados de protección de datos de diversas universidades coordinado por Ricard Martínez (UV) y Mónica Arenas (UAH) redactaron el Informe sobre el impacto normativo de los procedimientos de evaluación on line para ofrecer a las universidades un marco general y consensuado para poder desarrollar la docencia con seguridad jurídica.
La segunda parte de la intervención del profesor Valero se ha centrado en analizar los principales conceptos regulados en el RGPD con distintos ejemplos ilustrativos aplicables a la universidad (dato personal, anonimización y pseudoanonimización, responsable y encargado del tratamiento) y en explicar brevemente que todo tratamiento de datos personales debe estar basado en una base legitimadora como, por ejemplo, el consentimiento, el cumplimiento de una obligación legal o el ejercicio de una misión realizada en interés público.
Asimismo, ha expuesto el papel del delegado de protección de datos (DPO). Esta figura está prevista en el artículo 37 Reglamento General de Protección de Datos (RGPD) para el caso de las universidades públicas y en el artículo 34 Ley orgánica de protección de datos y de garantía de los derechos digitales tanto para las universidades públicas como para las privadas. Según ha explicado, el DOP debe contar con el máximo respaldo de la universidad, tiene carácter independiente y no puede recibir instrucciones del equipo rectoral. Cualquier miembro de la comunidad universitaria puede dirigirse al DPO para la garantía de sus derechos.
Además, ha advertido que hay ciertos tipos de datos que por su singularidad requieren una base jurídica más reforzada (datos que revelen opiniones políticas, datos de salud, datos biométricos). Esto se ha planteado en el ámbito universitario en relación con el uso de mecanismos de identificación facial que utilizan datos biométricos en la realización de pruebas. El problema que se suscita en este caso es que el consentimiento es libre y se puede revocar de manera que no puede ser una base jurídica adecuada.
También ha recordado los principios que deben regir cualquier tratamiento de datos personales (tratamiento lícito, leal y transparente; recogidos con fines determinados y no podrán ser utilizados para fines incompatibles; minimización; exactitud y actualización; no pueden conservarse más del tiempo necesario para los fines del tratamiento; responsabilidad proactiva).
A continuación, ha expuesto otros aspectos de interés como el deber de confidencialidad de todos aquellos que tratan datos personales, los mecanismos para garantizar la transparencia en los tratamientos de datos personales o los derechos de la persona titular (rectificación, supresión y olvido, limitación, oposición), el principio de privacidad por defecto, la evaluación de impacto, el papel del encargado del tratamiento o las responsabilidades en caso de incumplimiento. En relación a este último aspecto, ha recordado que en el caso de las universidades públicas únicamente está previsto el apercibimiento y la adopción de medidas para la corrección de la situación.
El profesor Valero ha concluido su intervención destacando que nos encontramos ante un proceso de ponderación continua que requiere adoptar un modelo de gobernanza de la complejidad adecuado que permita llevar a cabo de manera apropiada la gestión de riesgos que entraña cualquier tratamiento de datos personales.
Con posterioridad a la ponencia del profesor Valero se ha abierto un diálogo con distintas participantes en las que se han planteado cuestiones como el uso del DNI, de herramientas privadas, del correo privado para el desarrollo de la actividad universitaria o de la imagen del alumnado (María Fernanda Moretón, defensora de la UNED), la grabación de las clases sin el consentimiento del profesor (Elena Llamas, U.Salamanca), la exigencia de mostrar el DNI antes de realizar una prueba virtual (Sarah Sánchez, defensora adjunta estudiantes U. Almeria), las dificultades para dar respuesta a los incumplimientos (Juanjo Vera, U. Murcia) o la intervención de las agencias de protección de datos (Estrella Toral, adjunta U. Salamanca).
