INTELIGENCIA ARTIFICIAL JURIDICA

 

INTELIGENCIA ARTIFICIAL JURIDICA

HOJA DE RUTA:

Inteligencia Artificial Jurídica IAJ.

(Páez Rivadeneira Juan José)

 En capítulo especial referiré sobre Inteligencia artificial general, que coincidiendo con Pompeu Casanovas, la inteligencia artificial no tiene por finalidad replicar las funciones cognitivas, tal como el cerebro humano las realiza. En realidad, con la IA se busca entender la estructura y el funcionamiento de estas operaciones: información, memoria, comprensión, entendimiento, lenguaje, expresión y razonamiento, mejorarlas por procesos computacionales e insertarlas posteriormente en máquinas para su aplicación en contextos reales.

 La IAJ, está relacionada con la informática jurídica que en sentido estricto, es una rama auxiliar del Derecho que aparece debido al creciente avance de nuevas tecnologías y la necesidad de ‘’automatizar’’ los procesos legales y sus actividades.

 Considero que IAJ es: ‘’el conjunto de técnicas instrumentales de almacenamiento y recuperación de datos, con la finalidad de sustituir la actividad rutinaria del jurista en sus labores de localización y recuperación de información jurídica, mediante aplicación de algoritmos y la utilización de computadoras, bajo el principio de libertad de elección, en la interacción con algoritmos y sistemas de IA, el jurista debe empoderarse para beneficiarse de la IA a fin de tomar decisiones con conocimiento de causa, con protección de datos, seguridad de la información y derechos’’ (Ver: Páez Rivadeneira Juan José, Derecho y Tics, CEP 2015).

 La informática jurídica es una disciplina compleja utiliza conceptos de otras disciplinas como la lingüística, la lógica, las ciencias de la administración, entre otras ciencias de la información que tienen por objeto la aplicación de la informática en el Derecho.

 Difiere entonces del Derecho informático - tecnológico - digital, que consiste en la regulación jurídica de las nuevas tecnologías.

 Tiene como antecedente la “jurimetría”, planteada en 1949 por el norteamericano Lee Loevinger, esta es una ciencia nueva que tiene un desarrollo donde nunca ha parado de avanzar y funciona como auxiliar para la creación de aplicación del derecho.

 La interrelación Inteligencia Artificial (IA) y Derecho, lo analizamos desde el estudio de la Informática Jurídica Decisional, que se relaciona al estudio de las ciencias de la computación e información, y del procesamiento de datos con contenidos jurídicos.

 En cuanto a regulación jurídica y protección, la IA está bajo el régimen del Derecho de la Propiedad Intelectual, en materia de derechos de autor y conexos se señala que un software tiene el tratamiento de obra protegida, especialmente con los códigos fuente y códigos objeto; en lo referente a la regulación de algoritmos (modulaciones, simulaciones, robótica) que vinculan herramientas materiales, equipos o hardware, está bajo el régimen de patentes de la Propiedad Intelectual Industrial.

 Los aspectos de normatividad y regulación jurídica es estudio del derecho tecnológico, informático o digital, en este tema expondré la legislación vigente sobre IA.

 Los investigadores e investigaciones en el campo de la IA deben adoptar una conducta estricta en materia de ética y de deontología, expondré normas éticas y códigos deontológicos vigentes, que se fundamentan en el respeto de los siguientes principios:

 Beneficencia: La IA debe actuar en beneficio del hombre;

Principio de no perjuicio o maleficencia: la doctrina de «primero, no hacer daño», en virtud del cual la IA no debe perjudicar a las personas;

 Autonomía: La capacidad de tomar una decisión con conocimiento de causa e independiente sobre los términos de interacción con la IA;

 Justicia: La distribución justa de los beneficios asociados a la IA y la asequibilidad de la misma utilizada en el ámbito de la asistencia de la salud y de cuidados intensivos en particular.

INFORMÁTICA JURÍDICA DECISIONAL

PROPIEDAD INTELECTUAL DERECHOS DE AUTOR INDUSTRIAL

DERECHO TECNOLÓGICO -  INFORMÁTICO- DIGITAL

CÓDIGO DEONTOLÓGICO

 He realizado el siguiente ejercicio utilizando CHATGPT4, proveedor Microsoft, sistema BING. Y, como BOT 5F52H35SZ- Operated by @juanjose8, es decir yo.

INFORMÁTICA

JURÍDICA

DECISIONAL

PROPIEDAD INTELECTUAL

DERECHOS DE AUTOR

INDUSTRIAL

DERECHO TECNOLÓGICO -

 INFORMÁTICO- DIGITAL

CÓDIGO DEONTOLÓGICO

 

       

 En relación al desarrollo de sistemas expertos y aplicaciones de inteligencia artificial, estas se convierten en herramientas digitales de aplicación en todas las áreas del derecho, como aspectos de procedimiento judicial o administrativo, documental, gestión diaria, control, registral, notarial, pericial, jurisprudencia, legislación, etc.

 La Informática Jurídica Decisional o meta documental, es aquella que con la aplicación de sistemas lógicos o programas de computación (software), a través del desarrollo de inteligencia artificial, y de sistemas jurídicos expertos, sirven para la toma de decisiones del Jurista.

 La Informática Jurídica decisional, se ha extendido hacia la Administración de Justicia, consiste en la integración de procedimientos dirigidos a sustituir o reproducir las actividades del Jurista, a proporcionarle dictámenes, decisiones y, a ofrecerle soluciones de problemas y no sólo documentación e información, sino que facilita solución a los problemas cotidianos del Juez, Notario, Abogado, etc.

 En este tipo de informática jurídica interviene la IA, que alude al conjunto de actividades informáticas que son desarrolladas por el hombre, considerándose estos aspectos técnicos como producto de su inteligencia. Ante la pregunta “¿qué es la inteligencia artificial jurídica?”, (Goodman año 2016) no duda en responder que ésta “se reduce a dos aplicaciones principales: aprendizaje automático (o computación cognitiva) y procesamiento del lenguaje natural”.

 La Inteligencia Artificial Jurídica abarca:

 Organización de grandes bases de datos: lo que llamamos Big Data, la IAJ permite contar con grandes bases de datos y extraer información valiosa de las mismas, esto permite a los abogados encuentren patrones y tomen decisiones con una mayor información. 

Gestión de procesos: la IAJ permite automatizar la gestión de tareas, creándolas de manera automática cuando detecta una necesidad, enviando información relevante que rastree y clasificando documentos conforme se reciben. 

Atención jurídica: abogados implementan los conocidos chatbots, que funcionan con iaj, los chatbots entregan respuestas a los clientes sin necesidad de que medie un abogado, así se ahorra tiempo, se evitan esperas y se consigue fidelizar a clientes. 

Generación de documentos: sin duda alguna, la redacción de textos es una de las tareas más pesadas para un abogado, la IAJ es capaz de generar contenido mediante promts, el abogado puede incluir este contenido en sus ensayos, contratos o cualquier documento legal. 

Comprensión: lenguaje natural, reconocimiento de imágenes, sonidos, realidad virtual, simulaciones, 3D, estas herramientas son importantes para el Jurista, por ejemplo la reconstrucción de hechos de tránsito, se puede fácilmente reconstruir un homicidio. Otros aspectos de la Inteligencia Artificial y sus efectos jurídicos, Big data, Vigilancia masiva, Protección de datos, Derechos digitales fundamentales, CiberSeguridad, Puntuación social, Sistemas de identificación biométrica remota, Blockchaine, Smartcontracts, Pericia Forense. Deep Learning.

 Big Data, es un sistema que se encarga del procesamiento y análisis de grandes cantidades de datos. Pero no refiriéndose a cualquier cifra; estos números pueden oscilar en millones de gigabytes de información, claramente una cantidad que sería imposible de asimilar con métodos de procesamiento convencionales. Además del volumen de los almacenamientos de datos, la utilidad del Big Data se puede resumir con otras de sus V: velocidad y variedad. En cuestión de segundos se están creando más y más datos a una velocidad de difícil gestión; y, por otra parte, se encuentra la heterogeneidad en las características de esta información: tamaños, tipologías, formatos, estructuras y múltiples procedencias.

 Machine Learning, se traduce como Aprendizaje Automático, que es una ramificación de la Inteligencia Artificial, en la cual se busca que los sistemas computarizados adopten los mecanismos de aprendizaje de los humanos. Así, los algoritmos propios del Machine Learning tiene la capacidad de modificarse para adaptarse a los datos procesados. Su objetivo es resolver problemas computacionales, como descubrir patrones de comportamiento imperceptibles a simple vista, o efectuar una serie de tareas complejas de forma automática. Por esta razón, se complementa recíprocamente con la función del Big Data.

 Deep Learning, es un sistema que se traduce como Aprendizaje Profundo, y es una sub área que se desprende de las redes neuronales artificiales. Esto sucede cuando en dichas redes se caracterizan por funcionar a partir de grandes cantidades de capas de nodos, que implican un mayor nivel de profundidad en la red neural. Nos encontramos así, con los últimos avances en los sistemas de procesamiento y análisis de datos.

 Sin embargo hay que reflexionar que la inteligencia y el poder sobre las máquinas, seguirá siendo del ser humano, es imposible que la computadora desplace a la persona, nunca será autónoma, la IA, siempre estará bajo control del intelecto humano.

 Al respecto las etapas de IAJ, los investigadores la clasifican en tres:

 1.- Sistemas expertos S.E, (KBS, Knowledge Bases Systems,autor Kolodner, año 1983), su desarrollo consiste en incorporar en forma práctica y operativa el conocimiento de un experto en la materia que se trate o se estudie, estas son las aplicaciones que reproducen las actividades que se ha programado y diseñado, siempre se va a depender de  la interrelación de expertos Informáticos y expertos Juristas, son los que crean el Lenguaje Jurídico Documental, derivado de la asignación de descriptores a «documentos digitales», derivados del Lenguaje Natural, se procesa Indización, se construye Lenguaje Jurídico Documental, y se desarrolla el Tesauro, que es la estructura del software para aplicaciones de IA y S.E.

 Los sistemas expertos jurídicos SEJ, también llamados sistemas jurídicos basados en el conocimiento, constituyen la principal aplicación de la inteligencia artificial al campo del derecho y son sistemas que ayudan a la toma de la decisión judicial, ayudan a resolver problemas muy específicos.

 Existen distintas clases de problemas:

 1.- Convergentes tipo uno de los cuales sabemos, desde el principio, cual es el criterio de solución, como, por ejemplo, el armar un rompecabezas.

 2.- Los problemas convergentes tipo dos, en los cuales la solución del problema no está determinada, pero es determinable, como es el caso de las demostraciones lógicas y las demostraciones matemáticas, y,

 3.- Otro tipo de problemas, los divergentes, que son aquellos en las que para un solo problema existen múltiples soluciones y el estado de solución es determinable en forma decisional, un ejemplo de estos son las controversias judiciales.

 Un sistema experto jurídico es un sistema computacional que puede plantear posibles soluciones a determinados asuntos jurídicos aplicando el conocimiento experto en la materia, así como explicar sus razonamientos, en general, se ha pretendido establecer estas aplicaciones como herramientas de apoyo para los operadores jurídicos en contextos tales como la asesoría o asistencia legal o la función jurisdiccional.

 La principal característica que los diferencia de los sistemas de recuperación documental jurídica consiste en que, mientras aquellos constituyen grandes almacenes digitales de una clase particular de texto (por lo general el contenido de los discursos legislativo y jurisprudencial), que facilitan su consulta automatizada, los sistemas expertos jurídicos, por su parte, tratan de emular algunos de los procesos cognitivos llevados a cabo por los operadores del derecho (abogados, jueces, etcétera), quienes guiados por las reglas del procesamiento de la información propias del gremio jurídico, manipulan los discursos mencionados para solucionar los problemas que plantea su interpretación y/o aplicación al enfrentarse con casos prácticos en el ejercicio de su profesión.

 El sistema experto jurídico, al igual que todo sistema experto, está constituido por:

 a) La base de conocimiento. Esta contiene una representación simbólica y ciertos objetos y hechos que constituyen el acervo de conocimientos especializados involucrados en el desempeño de una tarea. Su contenido determina el campo de actividad, así como los problemas que pueden ser resueltos por el sistema, es decir, su dominio operativo;

 b) El motor de inferencia. Dispositivo que despliega patrones o secuencias de razonamiento y búsqueda a lo largo de la base de conocimientos, lo cual posibilita que el sistema encuentre soluciones a los problemas planteados; y

 c) La interface con el usuario. Es la parte del sistema que permite que el usuario entre el contacto con el mismo y obtenga la asesoría que busca. Generalmente dicho contacto se lleva a cabo en forma de interrogatorio, por el cual, la maquina obtiene información relevante del problema específico, por parte del usuario. Lo anterior es importante, debido a que el sistema experto por sí solo, no proporciona alternativas de solución.

 El sistema experto será capaz de asesorar al usuario siempre que éste último interactúe con el programa proporcionándole directrices sobre las cuales habrá de pronunciarse. Es decir, las cargas cognitivas de todo sistema experto siempre se repartirán entre el usuario, que necesariamente debe ser una persona versada en el ámbito del derecho, y el sistema experto.

 Los S.E están dirigidos o diseñados para resolver casos jurídicos complicados, como ejemplo: Sistema Tributario, el determinar liquidaciones por impuestos; sistema Laboral a través de simulaciones se puede determinar lo que un empleado deberá recibir como indemnización, de acuerdo con la Ley; S.E de Prevención de las consecuencias de impactos del medio ambiente; o S.E de condiciones de nacionalidad; Derecho de Familia; y en todas las áreas del conocimiento del derecho.

 Estos Sistemas expertos jurídicos y toma de decisiones, se basan en el «machine learning» (aprendizaje automático (AA) o aprendizaje automatizado o aprendizaje de máquinas o aprendizaje computacional),  y en el «big data» (macro datos, también llamados datos masivos, inteligencia de datos, datos a gran escala), al crear estos sistemas de conocimiento se organizan bases de datos, con la información relevante de cada uno de los elementos que abarca el derecho, además de esto, se puede hacer seguimiento a las acciones llevadas a cabo sobre estos procesos y llegar a conclusiones basadas en precedentes existentes. Son sistemas indispensables para la toma de decisiones certeras en términos jurídicos.

 La irrupción de la IA y el derecho plantea problemas difíciles para la investigación de la IA, confluyen en dos referencias prioritarias, la primera relacionada al ámbito de la LEY, que motiva la investigación en IA, y cuyos resultados van más allá del ámbito legal, y la segunda prioridad, en los beneficios de las técnicas y aplicaciones de la IA en su conjunto, aplicadas al campo del Derecho.

 Cómo ejemplo anotemos los proyectos que abordan la argumentación jurídica, no sólo han creado programas que producen argumentos jurídicos sino que también han conducido a conocimientos y avances en la lógica de la argumentación, o, en aprovechar los modelos de argumentación jurídica para la enseñanza del derecho, ¿cómo argumentar?, ha llevado a refinamientos y extensiones de los modelos de IA en el campo del derecho.

 La IA y el derecho, se fundamenta en el desarrollo de aplicaciones sobre «razonamiento basado en casos» (CBR - siglas en ingles) y, ANN «Redes Neuronales Artificiales», realizado en la comunidad de IA y derecho, estas son las corrientes de resultados más importantes que contribuyeron al nacimiento de esta área a mediados de los años ochenta. 

 2.- Razonamiento basado en casos (CBR) procede del modelo psicológico-cognitivo, según el cual las personas pueden reaccionar ante problemas similares con experiencias que han tenido, a partir de tareas que se les han encomendado, con la ayuda de estas analogías de aprendizaje automático y de generación en la aplicación de soluciones a los problemas, este razonamiento basado en casos captura la experiencia de las máquinas a través de un problema y una solución correspondiente.

 Este es el modelo general de un sistema CBR, en el que se utilizan casos del pasado para resolver problemas actuales, por ejemplo la jurisprudencia, esta experiencia es la base para construir sistemas basados en el conocimiento, pero el conocimiento se utiliza de forma diferente en los sistemas CBR, por lo que estas aplicaciones se consideran un desarrollo posterior de los sistemas basados en el conocimiento.

 Un Sistema de Razonamiento Basado en Casos resuelve un problema por medio de la adaptación de soluciones dadas con anterioridad a problemas similares, la memoria del CBR almacena un cierto número de problemas junto a sus correspondientes soluciones, la solución de un nuevo problema se obtiene recuperando casos (o problemas) similares almacenados en la memoria del CBR, ya que dichos problemas se estudian junto con sus soluciones, Por tanto un caso engloba un problema y la solución dada a dicho problema.

 3.-  ANN «Redes Neuronales Artificiales» , son algoritmos implementados en forma de programa informático o modelo electrónico, influenciados por el funcionamiento del cerebro humano (Haykin, 1999), las redes neuronales artificiales  tratan de imitar el proceso de almacenar información en patrones, utilizarlos y resolver problemas con ellos, intentando reproducir el comportamiento humano mediante computadores, las ANN no utilizan conceptos de programación propios de otros sistemas de inteligencia artificial, sino que utilizan mecanismos de procesamiento paralelo, desarrolla vocabulario propio y utiliza términos como memoria, reacción, organización propia.

 La principal propiedad de una red neuronal artificial es la capacidad de aprender del entorno en el que opera y mejorar su funcionamiento, son tres los paradigmas:

 1.- Aprendizaje supervisado (Supervised Learning), requiere la presencia de pares de vectores de entrenamiento, cada par está compuesto por los valores de entrada a la red y los valores de salida esperados para tales entradas, en este caso es necesario que el entrenamiento de la red sea controlado por un supervisor o por un conjunto de reglas, entre los modelos de redes neuronales artificiales que utilizan este esquema de aprendizaje se pueden citar: MLP (Multilayer Perceptron), RBF (Radial-Basis Function Network) y BAM (Bidirectional Associative Memory).

 2.- Aprendizaje no supervisado (Unsupervised Learning), en este caso sólo se utilizan vectores de entrada para entrenar la red, los valores de las salidas son determinados por la red durante el curso del aprendizaje, se utiliza para construir modelos internos que capturan similitudes en los valores de los vectores de entrada, sin recibir información adicional, existe una gran variedad de modelos que utilizan esta forma de aprendizaje, por ejemplo: SOM (Self-Organising Maps), PCA (Principal Components Analysis), Redes de Hopfield, LVQ (Learning Vector Quantization), ART (Adaptive Resonance Theory) y FIR (Finite Impulse Response).

 3.- Aprendizaje por grados o con fortalecimiento (Reinforcement Learning), en determinadas situaciones en las que no se dispone de pares de vectores de entrenamiento (entradas y salidas esperadas) para la red, es posible contar con un índice de rendimiento global de la misma, en estos casos se habla de aprendizaje con fortalecimiento que, en su forma más general, se basa en que un crítico externo proporciona una valoración global de la bondad de la red con una determinada periodicidad.

 IA y Derecho es mucho más que un área de aplicaciones, refiere en gran medida a cuestiones que se encuentran en el corazón mismo de la IA: razonamiento, representación y aprendizaje. 

 Para el investigador de IAJ interesado en métodos simbólicos, o métodos de cualquier tipo que se centren en proporcionar explicaciones y justificaciones, no importa cómo llegue un razonador a una respuesta legal, ésta debe ser explicada, justificada, comparada y contrastada con alternativas, para el investigador interesado en temas como negociación, toma de decisiones, comercio electrónico, lenguaje natural, recuperación y extracción de información y minería de datos, la IA y el derecho constituyen fuente de problemas e inspiración para su desarrollo.

 

 

 

DERECHO Y TECNOLOGIA

 

PROTECCION DE DATOS

 Protección de datos en Centros Educativos - Universidades. Guía 2023

¿Deben cumplir la Ley de Protección de Datos los centros educativos? ¿Cómo deben adaptarse a la normativa? ¿Qué tipo de datos personales manejan los centros educativos? ¿Quién es el responsable del tratamiento? ¿Deben designar un Delegado de Protección de Datos?

En esta guía de protección de datos para centros educativos universitarios daremos respuesta a estas y otras preguntas relacionadas con la materia.

¿Están obligados a cumplir la Ley de Protección de Datos los centros educativos universitarios?

Normativa de protección de datos para centros educativos

Guía para la protección de datos en centros educativos

¿Quién es el responsable de la protección de datos en centros educativos?

¿Qué tipos de datos tratan los centros educativos?

Recogida de datos personales: Legitimación y consentimiento expreso

Deber de informar

Registro de actividades de tratamiento

Análisis de riesgos y evaluación de impacto

Cesión de datos a terceros

Deber de confidencialidad

Bloqueo de datos

Designación de Delegado de Protección de Datos

Notificación de brechas de seguridad

Otras consideraciones sobre protección de datos en centros educativos

¿Qué tipo de datos pueden publicar los centros educativos?

¿Dónde y cómo publicar los datos personales?

Sanciones por no cumplir la normativa de protección de datos en centros educativos

¿Necesitas ayuda con la Ley de Protección de Datos en tu centro educativo?

¿Necesitas un presupuesto? Escríbenos  notariadigital@outlook.com

¿Están obligados a cumplir la Ley de Protección de Datos los centros educativos?

Cumplir con la Ley de Protección de Datos en centros educativos es una obligación ineludible, dado el volumen de datos que estos tratan, desde los del alumnado hasta el de sus empleados, estos centros también pueden llegar a tratar datos de categorías especiales (como los de la salud).

 

Así mismo, la normativa de protección de datos también debe tener en cuenta respecto a la publicación de notas, el acceso a las calificaciones por parte de los padres de alumnos mayores edad, el uso de imágenes de alumnos en la página web o redes sociales del centro, cuándo un profesor puede grabar a sus alumnos durante una actividad, etc.

La normativa de protección de datos para centros educativos la tenemos en:

Ley Orgánica  de Protección de Datos, que es el marco regulatorio, vigente, y que introdujo varias novedades respecto a la protección de datos, entre ellas, el consentimiento expreso, el registro de actividades de tratamiento o la figura del Delegado de Protección de Datos (DPO).

Ley de Educación.

Guía para la protección de datos en centros educativos

Para adaptar la Ley de Protección de Datos en centros educativos, estos deben cumplir con una serie de obligaciones y requisitos establecidos en la normativa, siempre teniendo en cuenta el tipo de datos personales que se tratan en los centros y la finalidad de los tratamientos, que siempre deberá estar relacionada con la función docente y orientadora.

¿Quién es el responsable de la protección de datos en centros educativos?

Quién asume el papel del responsable de la protección de datos en los centros educativos, es decir, quién es el responsable del tratamiento, depende de si el centro es público o privado.

Así, cuando el centro educativo es público, el responsable del tratamiento será la Administración pública correspondiente.

En el caso de los centros concertados o privados, el responsable del tratamiento será el propio centro.

¿Qué tipos de datos tratan los centros educativos?

Como ya dijimos al comienzo de esta guía de protección de datos en centros educativos, estos tratan un gran volumen de datos personales, pero ¿cuáles exactamente?

Por un lado, los centros educativos van a tratar datos identificativos de alumnos, padres o tutores de alumnos y empleados: nombre, apellidos, domicilio, teléfono, C.I., email, etc.

Por otro lado, la Ley de Educación también legitima a los centros educativos a recabar datos de carácter personal para la ayuda a la función docente y orientadora de los alumnos. De manera que también tratarán los siguientes datos:

Origen y ambiente familiar y social: Con esto nos referimos a toda la información sobre la situación familiar de los alumnos. Un centro escolar puede recoger información relativa tanto a los alumnos como a los padres. El caso de los padres es relevante, ya que si, por ejemplo, están divorciados, el centro debe saber quién ostenta la patria potestad para la recogida de los menores.

Características o condiciones personales del menor: Aquí encontramos los llamados datos sensibles, en cuanto sean necesarios para la función educativa. En este caso hay diferentes momentos en que se pueden recabar datos sensibles del menor, entre los que destacamos:

En la matriculación del alumno:

Discapacidades

Enfermedades crónicas

TDAH

Intolerancias alimentarias

Alergias

Durante el curso escolar:

Tratamiento médico que reciba un alumno a través del servicio médico o de enfermería del centro

Informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro

Informes de los equipos de orientación psicopedagógica

Desarrollo y resultados de su escolarización: Se trata de datos e información relacionada con el rendimiento escolar, como, por ejemplo, las notas de cada uno de los alumnos, así como las asignaturas que ellos mismos hayan podido escoger.

Circunstancias cuyo conocimiento sea necesario para educar y orientar a los alumnos: Este punto nos enlaza con los dos primeros, ya que será necesario el conocimiento de la situación familiar y personal del alumno para su buen desarrollo educativo. Por ejemplo, conocer la situación socioeconómica de una familia puede ayudar a determinar si un alumno necesita más o menos apoyo en determinadas áreas o acceso a material escolar.

Datos ajustados a la finalidad: Como ocurre en otros ámbitos, uno de los requisitos de la ley de protección de datos en centros educativos es no recabar datos personales que sean excesivos para la finalidad para la que son recogidos. Por ejemplo, en el caso de las solicitudes de plaza en un centro de enseñanza, no es necesario recabar los datos bancarios para el pago de actividades extraescolares hasta que no se hubiera resuelto el proceso y fuese admitido el alumno.

Recogida de datos personales: Legitimación y consentimiento expreso

De acuerdo a la normativa de protección de datos, los centros educativos están legitimados para el tratamiento de datos personales para dar cumplimiento, como hemos dicho, a la función docente y orientadora. En estos casos, el consentimiento expreso para el tratamiento de datos no será necesario, pero sí deberá informar a los interesados (alumnos, padres o tutores y empleados) de la realización de dicho tratamiento.

Cuando sea necesario llevar un tratamiento de datos que no esté legitimado por esa finalidad, será necesario recabar el consentimiento expreso de los interesados. También deberá recabarse este consentimiento expreso cuando se traten categorías de datos especiales o sensibles (origen racial, relativos a la salud y a la vida sexual, ideología, religión o creencias o afiliación sindical), además, deberá recogerse por escrito.

Los alumnos mayores de 14 años podrán prestar su consentimiento ellos mismos, mientras que para los menores de 14 años deberá recabarse el consentimiento de padres o tutores legales.

 

Como el consentimiento debe quedar registrado, lo habitual es recurrir a incluir la correspondiente cláusula en el mismo impreso o formulario en el que se van a recabar los datos (por ejemplo, en el formulario de matriculación), usando casillas para marcar el otorgamiento del consentimiento o mediante la firma.

El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia.

En cuanto a los profesores, más allá de cuando los profesores recogen datos personales de los alumnos en el ejercicio de sus funciones administrativas, también estarán legitimados para recoger datos personales de los alumnos directamente en el desempeño de sus labores docentes, por ejemplo, para evaluar ejercicios, dentro de las instrucciones o protocolos internos al respecto del centro.

Deber de informar

La protección de datos en centros educativos requiere cumplir con el deber de informar a los interesados (alumnos, padres o tutores legales y empleados del centro) de todo lo relativo al tratamiento de sus datos, en concreto se informará sobre:

El tratamiento de datos

La identidad del responsable del tratamiento, del Delegado de Protección de Datos (DPO) y del encargado o encargados del tratamiento

La finalidad del tratamiento

El plazo de conservación de los datos

Si los datos serán cedidos a terceros (identificando a los mismos)

Si se producirán transferencias internacionales de datos y las garantías de las mismas

La vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición)

Registro de actividades de tratamiento

Dado el volumen y las categorías de datos que manejan los centros educativos, el responsable del tratamiento está obligado a llevar un registro de actividades de tratamiento, de manera que por cada tratamiento de datos personales que se haga en el centro (listado de alumnos, nóminas de profesores, cámaras de seguridad, información referente a la salud, etc.), se deberá realizar el correspondiente registro de actividades de tratamiento, que recogerá la siguiente información:

Datos identificativos del responsable del tratamiento, del encargado o encargados del tratamiento y del DPO

La finalidad del tratamiento

La base legitimadora del tratamiento

Las categorías de datos e interesados afectados

Las categorías de destinatarios de los datos existentes o previstos

Las transferencias internacionales de datos (si procede)

El plazo de conservación de los datos

Descripción general de las medidas técnicas y organizativas de seguridad

Análisis de riesgos y evaluación de impacto

Una de las principales obligaciones en materia de protección de datos para centros educativos es llevar a cabo análisis de riesgos y, cuando sea necesario, la evaluación de impacto en protección de datos (EIPD).

Con carácter previo a cualquier tratamiento de datos, el centro realizará un análisis de riesgos, para determinar la posibilidad de que dicho riesgo se materialice y cómo afectaría a los interesados. Este análisis, además, se empleará para diseñar e implementar las medidas de seguridad necesarias para minimizar las probabilidades de materialización del riesgo y para reducir su impacto, si al final ocurre.

Hablamos aquí de riesgos que pongan en peligro la integridad, disponibilidad, fiabilidad y confidencialidad de los datos, tanto físicos como digitales, accidentales o intencionados.

La EIPD se deberá realizar cuando el tratamiento de datos personales afecte a datos sensibles y cuando del análisis de riesgos se determine que un nivel de riesgo alto para los derechos y libertades de los interesados, en caso de materializarse un riesgo o amenaza. La EIPD es un análisis de riesgos más en profundidad y centrado en ese impacto sobre la vida de los interesados.

Las conclusiones del análisis de riesgos y de la EIPD servirán a los centros educativos para diseñar e implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales que manejan. Estas medidas deben impedir el acceso de terceros no autorizados a los datos personales del centro, evitar su pérdida o destrucción o su filtración.

Cesión de datos a terceros

Cuando los centros educativos, para cumplir con algunas de sus funciones, deben contratar los servicios de terceros externos a los mismos (por ejemplo, servicio de comedor, servicio médico, de transporte, etc.) y estos tienen acceso a los datos personales de alumnos, padres o tutores y empleados del centro, se deberá firmar con ellos un contrato de encargo del tratamiento.

Este contrato debe recoger:

La obligación de tratar solo los datos personales cedidos por el responsable del tratamiento.

Que los datos no se utilizarán con finalidades diferentes a las previstas en el contrato, ni se comunicarán a otros.

Las medidas de seguridad implementadas o que debe implementar el encargado del tratamiento.

Qué se hará con los datos una vez cumplida la finalidad del tratamiento o el plazo de conservación.

Cabe señalar que no se considerarán encargados del tratamiento a las personas físicas que tengan acceso a los datos personales de alumnos, padres o tutores y empleados en su condición de empleados del centro o de la Administración educativa responsables del tratamiento (por ejemplo, los profesores que pueden acceder a los datos de sus alumnos no son encargados del tratamiento).

Deber de confidencialidad

Todo el personal del centro educativo que haya tenido acceso a datos personales tiene el deber de guardar secreto sobre los mismos, no publicarlos, difundirlos o filtrarlos, bien por intereses personales o en beneficio de terceros o bien de manera accidental. Este deber se prolongará una vez finalizada la relación contractual con el centro.

Para asegurar el cumplimiento del deber de confidencialidad, se puede recurrir a la inclusión de una cláusula de confidencialidad en el contrato de los empleados, en la que, además, se explicarán las consecuencias de no cumplir con este deber.

Bloqueo de datos

Puesto que hay determinados casos en que los datos personales de alumnos y exalumnos, así como de empleados y exempleados del centro educativo deben conservarse, incluso cuando se haya cumplido la finalidad para la que fueron recabados, se deberá proceder al bloqueo de dichos datos, de manera que no serán eliminados, pero no podrán usarse o accederse a ellos, salvo que así lo requiera una administración pública o las autoridades judiciales en el ejercicio de sus funciones.

Designación de Delegado de Protección de Datos

Con independencia de si son centros educativos públicos o privados, estos están obligados a designar o contratar un DPO, que se ocupará, entre otras funciones, de supervisar el cumplimiento de la normativa, asesorar al responsable del tratamiento y actuar como enlace entre la AEPD y el propio centro.

Esta obligatoriedad del delegado de protección de datos puede cumplirse designando un empleado del centro como tal o contratando los servicios de un DPO externo, por ejemplo, a través de una consultoría externa especializada en protección de datos.

Notificación de brechas de seguridad

En el caso de que se produzca un incidente de seguridad que dejé al descubierto o provoque la filtración de los datos personales de alumnos, padres o tutores o personal del centro educativo y pueda suponer un riesgo para sus derechos y libertades, este deberá informar, en un plazo no superior a 72 horas, a la AEPD y a los propios interesados cuyos datos se hayan visto afectados.

Otras consideraciones sobre protección de datos en centros educativos

Esta guía de protección de datos en centros educativos no estaría completa si, aparte de las obligaciones y requisitos que hemos visto que deben cumplir en materia de protección de datos los centros educativos, no mencionáramos las siguientes consideraciones, relacionadas con cómo y dónde pueden los centros educativos o su personal publicar datos personales.

 

¿Qué tipo de datos pueden publicar los centros educativos?

De acuerdo a la Ley de Protección de Datos, los centros educativos pueden publicar los siguientes datos personales:

– Listas de admitidos:

Se puede publicar la lista de alumnos admitidos siempre y cuando se haga de una manera que no suponga un acceso indiscriminado la información:

Publicación en tablones dentro del centro.

A través de una página web de acceso restringido.

Esta publicación deberá recoger solo el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.

Esta información, no obstante, estará disponible para los interesados que ejerzan su derecho a reclamar.

– Notas de alumnos:

A diferencia de lo que ocurre en la educación universitaria, la publicación de notas en los centros educativos no está regulada y, por lo tanto, es un tema en el que es habitual que surjan dudas.

Para resolver estas dudas, la guía de protección de datos en centros educativos de la AEPD nos da algunas directrices, que resumimos a continuación:

Como norma general, las notas de los alumnos solo se deben facilitar a los propios alumnos y sus padres, evitando su exposición pública en tablones de anuncios o comunicándolas de forma oral en la clase.

Si las notas se comunican a través de una plataforma digital, estas solo deberían ser accesibles para los propios alumnos, sus padres o tutores.

En el caso de que el alumno fuese mayor de edad, los padres podrán solicitar el acceso a las notas cuando estos corran con los gastos educativos o de alimentos (en el caso de padres separados), ya que se considera que existe un interés legítimo de los padres derivado del mantenimiento de sus hijos mayores de edad.

– Beneficiarios de becas:

En estos casos hay que poner en valor dos situaciones:

Si la beca está fundada en una situación de discapacidad de los beneficiarios.

Si la beca puede afectar a la esfera íntima del afectado.

En estos casos, se podrá publicar solamente mediante el número identificador de la solicitud que solo el afectado conoce.

– Imágenes y videos:

 

Es habitual que los centros docentes, con motivo de eventos o celebraciones, recojan imágenes de alumnos, profesores y familiares. Pero ¿qué dice la ley de protección de datos en centros educativos respecto a la captación y publicación de imágenes en estas situaciones? Hay diferentes casuísticas que debemos tener en cuenta.

Primero, señalar que cuando el consentimiento para la captación y publicación de imágenes sea necesario, los alumnos mayores de 14 años podrán darlo ellos mismos, mientras que para los menores de 14 años, será necesario que el consentimiento lo den sus padres o tutores legales.

Así, cuando las imágenes o vídeos se capten con fines educativos, como pueden ser trabajos o evaluaciones, no será necesario recabar el consentimiento. Sí lo será cuando esas imágenes vayan a ser publicadas en la web del centro.

Los profesores podrán grabar a sus alumnos siempre y cuando la finalidad esté relacionada con la actividad docente y dichas imágenes solo estén accesibles para los propios alumnos, sus padres o tutores legales, aparte del propio profesor.

Si las imágenes las captan padres o tutores legales u otros familiares en el desarrollo de un evento escolar, al tratarse de un uso doméstico, la normativa de protección de datos no es de aplicación.

¿Dónde y cómo publicar los datos personales?

¿Dónde se pueden publicar datos personales y cómo hacerlo de acuerdo a la normativa de protección de datos para centros educativos?

– Tablón de anuncios:

Se pueden publicar listas de admitidos, notas y cualquier otra información similar en los tablones de anuncios de centro, cuando esta información deba estar disponible de forma pública. Si bien, esta publicación debe realizarse de manera proporcionada, es decir, sin que suponga un acceso indiscriminado a la misma (los tablones deben estar en el interior del centro o una web de acceso restringido) y solo deberá recoger el resultado final del baremo o contener ningún dato relativo a la situación particular de cada familia.

Una vez que ya no sean necesarios, estos listados se deberán retirar de los tablones.

– Página web y redes sociales:

Es habitual que la web de un centro educativo cuente con información referida a las actividades que desarrolla y los servicios que ofrece.

Debido a esto, en algunas ocasiones incluyen información que contiene datos de carácter personal de empleados del centro y los alumnos, por lo que se deben considerar y aplicar las obligaciones de la ley de protección de datos en centros educativos, en especial en lo que se refiere al consentimiento de los interesados.

Así mismo, si se van a subir fotografías o vídeos a la web del centro o las redes sociales, será necesario recabar el consentimiento expreso de los interesados (alumnos, padres o tutores legales, profesores y cualquier otro personal del centro). Además, se les proveerá de la siguiente información:

Datos que se van a publicar.

Redes sociales en las que se van a utilizar.

Finalidad de uso.

Quién puede acceder a los datos.

Plazo durante el que se van a conservar las imágenes, así como los criterios para su eliminación.

En el caso de que un profesor quiera usar las imágenes en su blog personal, al margen de la función de docencia, deberán siempre solicitar el consentimiento expreso de alumnos o padres o tutores legales, siendo el profesor el responsable del tratamiento.

– Otros medios:

Si en el centro se han instalado cámaras de videovigilancia, esta instalación debe responder a un interés legítimo del centro en mantener la seguridad e integridad de las personas e instalación. Y deberá tener en cuenta lo siguiente:

Su colocación debe ser proporcional, es decir, que la finalidad perseguida no se pueda conseguir por otros medios menos intrusivos y que la instalación de cámaras de seguridad ofrezca más beneficios que perjuicios (por ejemplo, velar por la seguridad física o psicológica de los menores).

Informar de su existencia mediante el distintivo correspondiente, donde debe figurar la información que exige la normativa de protección de datos.

No podrán colocarse nunca en zonas íntimas o donde se espere privacidad, como aseos o vestuarios.

Sanciones por no cumplir la normativa de protección de datos en centros educativos

No cumplir con la normativa de protección de datos en centros educativos es motivo de sanción. La cuantía de estas sanciones se determina con relación a la gravedad de las mismas, de acuerdo con las infracciones recogidas en la LOPD, de manera que:

Las infracciones leves.

Las infracciones graves.

Las infracciones muy graves (volumen de facturación, la cuantía que resulte superior).

¿Necesitas ayuda con la Ley de Protección de Datos en tu centro educativo?

Si después de leer esta guía de protección de datos en centros educativos aún tienes dudas o necesitas ayuda para su correcta aplicación, no dudes en ponerte en contacto con notariadigital@outlook.com , nuestro equipo de profesionales expertos en protección de datos te ayudarán y asesorarán en todo cuanto necesites.