Inspeccion Cloud Educacion

download Inspeccion Cloud Educacion

of 42

  • date post

    24-Feb-2018
  • Category

    Documents

  • view

    214
  • download

    0

Embed Size (px)

Transcript of Inspeccion Cloud Educacion

  • 7/24/2019 Inspeccion Cloud Educacion

    1/42

    Inspeccinsectorial

    de oficio sobreserviciosde

    cloud computingen el

    sector educativo

  • 7/24/2019 Inspeccion Cloud Educacion

    2/42

    Inspeccinsectorial

    de oficio sobreserviciosde

    cloud computingsector educativo

    en el

  • 7/24/2019 Inspeccion Cloud Educacion

    3/42

    ndice4 1. INTRODUCCIN

    7 2. OBJETIVOS

    8 3. CONCEPTOS BSICOS Y ESCENARIO DEL SECTOR EDUCATIVO EN EL MODELO DE

    CLOUD COMPUTING

    8 3.1 MODELO DE CLOUD COMPUTING

    9 3.2 DESCRIPCIN DE ESCENARIO

    12 4. ACTUACIONES REALIZADAS

    13 5. FUNCIONAMIENTO DEL SECTOR EDUCATIVO EN EL MODELO DE CLOUD COMPUTING

    13 5.1 ENTIDADES PRESTADORAS DE SERVICIOS DE INFRAESTRUCTURA DE NUBE (IAAS)14 5.2 ENTIDADES PRESTADORAS DE SERVICIOS DE SOFTWARE DE NUBE (SAAS)17 5.3 CENTROS EDUCATIVOS17 5.4 EDITORIALES17 5.5 PUNTO NEUTRO DEL INTEF18 5.6 OTROS SERVICIOS EN NUBE DE USO DIRECTO POR PARTE DE LOS CENTROS

    EDUCATIVOS Y LOS DOCENTES

    19 6. CONCLUSIONES

    19 6.1 TRATAMIENTOS DE DATOS PERSONALES23 6.2 CONTRATOS DE PRESTACIN DE SERVICIOS28 6.3 MEDIDAS DE SEGURIDAD

    32 7. RECOMENDACIONES

    32 7.1 LEGITIMACIN34 7.2 CONTRATOS DE PRESTACIN DE SERVICIOS

    37 7.3 MEDIDAS DE SEGURIDAD40 8. GLOSARIO DE TRMINOS

  • 7/24/2019 Inspeccion Cloud Educacion

    4/42

    44

    1. INTRODUCCIN

    La Ley Orgnica 2/2006, de 3 de mayo, de Educacin y en la Ley Orgnica 8/2013, de 28 de no-

    viembre, para la mejora de la calidad educativa destacan la necesidad de la utilizacin de tecnolo-gas de la informacin y de la comunicacin en los Centros educativos tanto en su faceta didcticacomo de organizacin y direccin de los Centros.

    Las estadsticas publicadas por el Ministerio de Educacin Cultura y Deporte hablan de aproxima-damente ocho millones de estudiantes no universitarios en Espaa en el curso 2012/2013, distri-buidos en unos 27.478 centros pblicos, 18.740 centros concertados y 8.738 centros privados, loque pone de manifiesto el volumen de datos que son susceptibles de ser objeto de tratamientos.Cabe indicar, adems, que la mayora de los alumnos son menores de edad y que las informacio-

    nes relativas a padres o tutores legales, profesores y empleados de los Centros educativos tambinson objeto de tratamiento.

    Al enorme volumen de datos objeto de tratamiento hay que aadir la tipologa de algunos delos datos que se recogen en este sector. Los Centros educativos disponen de datos especialmenteprotegidos sobre todo en lo que concierne a datos de salud y las herramientas informticas quese comienzan a utilizar en el sector educativo permiten obtener informacin sobre perfiles deaprendizaje.

    Es importante destacar que el almacenamiento masivo de datos de los alumnos permite obtenerinformacin y perfiles de una persona desde la temprana edad en que comienza la actividadescolar.

    Adems, las tecnologas de la informacin y de las comunicaciones han evolucionado hacia una lanueva forma de prestacin de servicios denominada Cloud Computing o Computacin en nube,que se define como un modelo que posibilita el acceso desde cualquier equipo y cualquier lugara un conjunto compartido de recursos, tales comocapacidades de proceso o de almacenamientode datos, aplicaciones, etc. permitiendo a aquellos que optan por utilizar este modelo reducir el

  • 7/24/2019 Inspeccion Cloud Educacion

    5/42

    55

    coste asociado a la implantacin de los sistemas de informacin. En el Cloud Computing los datosse encuentran en el proveedor del servicio de nube y se accede a travs de internet desde cualquierdispositivo (telfono mvil, ordenador personal, tableta), pudiendo estar el proveedor del servi-

    cio en cualquier lugar del mundo.El Centro educativo se configura en la sociedad actual como un conjunto de miembros donde laparticipacin es necesaria y, en este contexto, se est incrementando la utilizacin de los sistemasde informacin para potenciar la colaboracin de los distintos actores, utilizando este tipo desistemas como un recurso imprescindible para conseguir tanto conectividad entre ellos como fun-cionalidades que les permitan agilizar los procedimientos administrativos y de gestin utilizados.

    En los ltimos aos tambin se ha modificado de forma significativa la forma de impartir la edu -

    cacin debido a los avances tecnolgicos aplicados en este sector, lo que se denomina Tecnologaen la aulas, queproporciona herramientas de planificacin y desarrollo a travs de recursos tecno-lgicos con el fin de mejorar los procesos de enseanza y de aprendizaje buscando su efectividad.

    Los alumnos, nacidos ya en un mundo donde la tecnologa avanza a gran velocidad, utilizan losrecursos multimedia con gran facilidad, posibilitando el acceso a recursos educativos de apren -dizaje de forma personalizada, teniendo en cuenta sus propios objetivos y conocimientos, y agrupos creados para trabajar de forma colaborativa.

    Por otro lado, la utilizacin de estos recursos hace que los profesionales de la educacin puedanproporcionar a sus alumnos una dedicacin especfica dirigida a cada uno de ellos y al mismotiempo acometer las necesidades del grupo, mejorando la comunicacin entre todos los partici-pantes en el entorno educativo.

    La utilizacin de recursos informticos tanto para la gestin de los Centros educativos como parael aprendizaje ha supuesto la aparicin en el mercado de las Plataformas de Gestin Educativa ylas Plataformas de Aprendizaje.

    Las Plataformas de Gestin Educativa ponen a disposicin de los Centros educativos funcionalida-des de gestin y de comunicacin entre sus integrantes, recabando gran cantidad de datos.

    Las Plataformas de Aprendizaje, por su parte, ponen a disposicin de los profesores y alumnosdiferentes funcionalidades que favorecen el aprendizaje. Funcionalidades que varan desde la uti-lizacin de la pizarra digital ms sencilla, que consiste en un ordenador con videoproyector paraexhibir presentaciones y acceder a pginas web hasta el denominado Entorno Virtual de Apren-dizaje (EVA) o Virtual Learning Environment (VLE),sistema de software diseado para facilitar a

  • 7/24/2019 Inspeccion Cloud Educacion

    6/42

    66

    profesores la gestin de cursos virtuales para sus estudiantes, especialmente colaborando en laadministracin y desarrollo de los cursos.

    El Entorno Virtual de Aprendizajepermite la educacin a distancia y funciona como una ayuda ala clase presencial para complementar el estudio y las actividades acadmicas de los estudiantesfuera del aula. A medida que ha ido avanzando su implantacin se utiliza tambin para generarespacios de discusin o crear aulas virtuales que se comparten entre los integrantes del grupo parael desarrollo del aprendizaje.

    La Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos tiene por objeto garantizary proteger los derechos fundamentales de las personas fsicas en lo que concierne al tratamientode datos personales y, en este momento, en el que la educacin est viviendo una transformacin

    tanto en el terreno de gestin como en el terreno del aprendizaje, y se estn implantando en elsector tecnologas de informacin y comunicaciones basadas en las prestaciones de servicio denube, se hace necesario afianzar la confianza de aquellos cuyos datos personales van a ser tra-tados, garantizando la proteccin de los mismos e impulsando la seguridad jurdica de todos losintervinientes.

  • 7/24/2019 Inspeccion Cloud Educacion

    7/42

    77

    2. OBJETIVOS

    La Agencia Espaola de Proteccin de Datos es consciente de que en la actualidad el sector educa-

    tivo se encuentra inmerso en un cambio sustancial en el que nuevas tecnologas emergen y evolu-

    cionan muy rpidamente integrndose en las aulas. Si a ello unimos la especial vulnerabilidad delos menores, la gran cantidad de datos personales que se manejan en este sector y la idoneidadde la utilizacin del CloudComputing para soportar las plataformas educativas, el Director de laAgencia ha considerado oportuno realizar un Plan Sectorial de Oficio con el objetivo de verificar,dentro de las competencias que legalmente tiene atribuidas, el grado de cumplimiento de la nor-mativa de proteccin de datos de carcter personal, facilitar el cambio hacia el entorno digital ycontribuir al desarrollo de estos nuevos modelos en un marco respetuoso con los derechos de los

    afectados.Este Plan de Oficio pretende analizar la intervencin de los principales agentes implicados en lasprestaciones de servicio en nube dentro del sector educativo (Centros educativos como respon -sables de los tratamientos de datos, plataformas educativas como encargados del tratamiento yentidades que prestan servicios de alojamiento de datos como subencargadas del tratamiento),as como verificar las relaciones que se establecen entre las diferentes entidades.

    Por otro lado, puesto que los datos se encuentran en la nube, se considera relevante verificar lasgarantas adoptadas y, en particular, las medidas de seguridad implantadas por cada uno de losagentes con objeto de garantizar la seguridad e integridad de los datos evitando su alteracin,prdida, tratamiento o acceso no autorizado.

  • 7/24/2019 Inspeccion Cloud Educacion

    8/42

    88

    3. CONCEPTOS BSICOS Y ESCENARIO DEL SECTOREDUCATIVO EN EL MODELO DE CLOUD COMPUTING

    3.1 MODELO DE CLOUD COMPUTING

    En el modelo de Cloud Computing se utilizan diferentes criterios para definir las prestaciones deservicio que se pueden llevar a cabo:

    Tipologa de la nube: nube pblica / privada / hbrida

    Nube pblica. La infraestructura es propiedad de una tercera empresa (proveedor deservicios) que es compartida por varios clientes con los que se ha suscrito un contrato. Los

    servidores son mantenidos y gestionados por la entidad proveedora del servicio. El accesose realiza en forma remota generalmente a travs de internet.

    Nube Privada.La infraestructura es bajo demanda y gestionada para un solo cliente, pu-diendo ser propietarios/alquilados los servidores pero siempre de disponibilidad exclusiva(no compartidos).

    Nube Hbrida.Combina ambos modelos. Las nubes hbridas ofrecen un grado de depen-dencia del proveedor del servicio que vara segn la contratacin efectuada. Igual que en

    las nubes pblicas concurren varios clientes y el acceso se realiza a travs de internet.Tanto las nubes pblicas como las hbridas se basan en procesos de escalado, asignndose losrecursos segn las necesidades del cliente.

    Modalidades del servicio: Infraestructura / Software / Plataforma

    Infraestructura como Servicio (IaaS).El servicio proporcionado corresponde al almacena-miento, capacidad de proceso (mquinas) y servicios de red. Se suele utilizar tecnologa devirtualizacin.

  • 7/24/2019 Inspeccion Cloud Educacion

    9/42

    99

    Plataforma como Servicio (PaaS). El servicio proporciona un entorno de desarrollo y lasherramientas de programacin para que el cliente pueda desarrollar aplicaciones propias ycontrolarlas.

    Software como Servicio (SaaS).El servicio ofrecido consiste en una aplicacin informtica(software) que se utiliza por varios clientes. Estas aplicaciones son normalmente accesiblesa travs de navegadores web, desde cualquier ubicacin y dispositivo.

    Portabilidad de la informacin: abiertas / cerradas. Depende de la facilidad con que el usua-rio pueda portar sus datos desde un proveedor de cloud a otro, garantizando la disponibi-lidad e integridad de la informacin.

    Los proveedores de los servicios en nube pueden ser entidades ubicadas en el Espacio EconmicoEuropeo, pases que de una forma u otra garanticen un nivel adecuado de proteccin de datos, oterceros pases. Asimismo, dentro de los proveedores de servicios se encuentran multinacionalesque pueden contar o no con instalaciones dentro de Espaa.

    A su vez, los proveedores de servicios en nube pueden subcontratar a terceras empresas paracumplir con el objeto de la contratacin, las cuales pueden estar tambin ubicadas en diferentespases.

    Los clientes de los servicios en nube puede ser cualquier entidad pblica o privada.

    Por tanto, las distintas tipologas de nube y las diversas modalidades de servicios pueden implicaruna mayor o menor prdida de control por parte del cliente respecto del tratamiento de datospersonales del que es responsable.

    3.2 DESCRIPCIN DEL ESCENARIO

    En el sector educativo que utiliza el modelo Cloud Computing se han encontrado Plataformasde Gestin Educativa y Plataformas de Aprendizaje,y en muchos casos plataformas educa-tivas que ofertan ambas funciones simultneamente.

    Por la forma de prestar los servicios en nube encontramos Infraestructuras como Servicio IaaS- ySoftware como Servicio SaaS-.

    Estos servicios suelen prestarse por actores distintos, siendo lo ms usual que las empresas es-pecializadas en plataformas educativas subcontraten los servicios de infraestructura a entidadesespecializadas a su vez en dichos servicios.

  • 7/24/2019 Inspeccion Cloud Educacion

    10/42

    1010

    Generalmente nos encontramos con el siguiente escenario:

    ACCESO POR INTERNET DESDE UN NAVEGADOR o APP

    NUBESEXTERNAS

    (laaS)

    EDITORIAL-Plataforma

    LIBROS(SaaS)

    PUNTONEUTRO

    CENTROSEDUCATIVOS

    ALUMNOS / FAMILIAS

    PROFESORES

    Nubes de usodirecto para

    almacenamiento

    PLATAFORMAAPRENDIZAJE

    (SaaS)

    PLATAFORMADE GESTINEDUCATIVA

    (SaaS)

    NUBESEXTERNAS

    (laaS)

    NUBESEXTERNAS

    (laaS)

  • 7/24/2019 Inspeccion Cloud Educacion

    11/42

    1111

    Por tanto, en el sector de la educacin no universitaria se han encontrado los siguientes actores:

    Centros educativos, responsables de los ficheros y tratamientos, e integrados por profeso -

    res y personal administrativo, as como por los alumnos y sus padres o tutores (usuarios).Los Centros educativos utilizan las Plataformas de Gestin Educativa y/o Aprendizaje.

    Entidades que ofrecen Plataformas (SaaS) de Gestin Educativa y/o Aprendizaje a los Cen-tros educativos. Encargadas del tratamiento de los datos de los Centros.

    Entidades que prestan servicios de Infraestructura (IaaS) a las plataformas SaaS y actancomo prestadoras de servicios de las plataformas SaaS y subencargadas del tratamiento delos datos de los Centros educativos.

    Editoriales que ofrecen plataformas con acceso a libros y contenidos adicionales, con o sinfuncionalidad de Entorno Virtual de Aprendizaje (EVA), as como facilidad de acceso a suslibros electrnicos desde otras plataformas. En trminos generales actan como responsa-bles del fichero y del tratamiento de los datos personales cedidos o suministrados por losclientes.

    Proyecto Punto Neutro del Instituto Nacional de Tecnologas Educativas y de Formacindel Profesorado (INTEF) del Ministerio de Educacin, Cultura y Deporte, un catlogo derecursos educativos que facilita, entre otras funciones, el acceso annimo a los contenidos

    educativos de las editoriales.Los Centros educativos y los profesores tambin utilizan otros servicios bsicamente de almacena-miento (documentos, vdeos, etc.)

    Como ya se ha mencionado, las empresas especializadas en aplicaciones educativas utilizan losservicios de infraestructura de nube de entidades prestadoras de estos servicios, no habiendodesarrollado infraestructuras propias, si bien es cierto que algunas multinacionales, no especializa-das en educacin, ofrecen adems plataformas de aprendizaje utilizando su propia infraestructura

    de nube.

  • 7/24/2019 Inspeccion Cloud Educacion

    12/42

    1212

    4. ACTUACIONES REALIZADAS

    Una vez analizados los diferentes aspectos de los servicios prestados en el modelo de Cloud

    Computing y verificado el escenario donde se est actualmente desarrollando el sector educativono universitario con soluciones en nube se inici el Plan de Oficio remitiendo solicitudes de in -formacin a diferentes prestadores de servicios de cloud tanto de infraestructura (IaaS) como desoftware (SaaS), utilizando diferentes criterios con objeto de abarcar el mayor nmero de aspectosy realizando posteriormente doce inspecciones presenciales, obteniendo resultados en:

    Cuatro proveedores de servicio de Cloud Computing multinacionales que ofertan serviciosde Infraestructura (IaaS) y/o de Software en el entorno educativo (SaaS).

    Seis proveedores de servicio de Software (SaaS) especfico del entorno educativo y queofertan Plataformas Educativas de Gestin y/o Aprendizaje y sus correspondientes provee-dores de servicio de infraestructura, en su caso. Una de estas plataformas es propiedad dela Administracin de una Comunidad Autnoma.

    Tres colegios seleccionados por el tipo de servicios de cloud que utilizan.

    Dos editoriales que ofertan acceso a libros digitales a travs de sus propias plataformas.

    Proyecto Punto Neutro del Instituto Nacional de Tecnologas Educativas y de Formacin del

    Profesorado (INTEF) del Ministerio de Educacin, Cultura y Deporte.

  • 7/24/2019 Inspeccion Cloud Educacion

    13/42

    1313

    5. FUNCIONAMIENTO DEL SECTOR EDUCATIVOEN EL MODELO DE CLOUD COMPUTING

    5.1 ENTIDADES PRESTADORAS DE INFRAESTRUCTURA DE NUBE

    (IaaS)Dentro de las entidades que prestan servicios de infraestructura en nube en el sector de la educa-cin en Espaa encontramos grandes multinacionales tecnolgicas as como empresas espaolasde menor tamao especializadas en Centros de Proceso de Datos (CPD) que han evolucionado ala prestacin de sus servicios en nube. Las principales diferencias que se encuentran entre los ser-vicios ofrecidos por estos dos tipos de entidades son:

    La ubicacin de los datos. En el caso de las empresas espaolas se asegura normalmentesu ubicacin en territorio espaol y en el caso de contratar servidores dedicados son fsica-mente visibles o visitables para su gestin directa.

    El contrato suscrito. En el caso de las multinacionales el contrato suele consistir en la acep-tacin de las clusulas publicadas en internet, con menos posibilidad de negociacin, sibien en algunos casos las multinacionales firman contratos por escrito, sobre todo cuandoel volumen contratado es elevado.

    El grado de nube privada/pblica. Con carcter general, las multinacionales no ofrecennubes privadas como tales. Una nube privada es la que tiene dedicados, en exclusiva para elcliente, todos los recursos que ste est utilizando. Es decir, todos los servidores, equipos decomunicaciones, balanceadores y resto de componentes son contratados y dedicados. Laoferta de las multinacionales se basa comnmente en las mquinas virtuales (no fsicas) quepor contra ofrecen mayor flexibilidad con las posibles variaciones de la carga demandada.

    Los servicios ofrecidos en nube se basan generalmente en la virtualizacin de los recursos. Lavirtualizacin consiste en la simulacin, a travs de software, de un recurso determinado, de tal

  • 7/24/2019 Inspeccion Cloud Educacion

    14/42

    1414

    forma que se ofrece para su uso como si fuera un recurso fsico. As, se pueden crear mquinasvirtuales, a las que se asignan unas determinadas capacidades de computacin que se ejecutansobre una o varias mquinas fsicas. Las ventajas de la utilizacin de mquinas virtuales son evi -

    dentes, ya que facilitan enormemente la escalabilidad, eliminan dependencias y logran aislamientolgico entre las diferentes mquinas para una mejor separacin de los datos de diferentes clientes.

    La gestin de los equipos la suele realizar la entidad que presta los servicios IaaS, si bien algunosaspectos se administran de forma compartida entre las entidades prestadoras de IaaS y prestado-ras de servicios SaaS.

    5.2 ENTIDADES PRESTADORAS DE SOFTWARE DE NUBE (Saas)

    Como ya se ha indicado, las entidades prestadoras de servicios de software ofertan a los Centroseducativos aplicaciones informticas estructuradas en mdulos para la gestin administrativa yplataformas de aprendizaje accesibles a travs de internet. Tal y como est evolucionando estesector, ambas plataformas se estn integrando para ofrecer soluciones globales.

    PLATAFORMAS DE GESTIN EDUCATIVA

    Las plataformas de gestin de los Centros educativos suelen estar compuestas de mdulos de

    contratacin independiente. Los tratamientos de datos realizados con estas plataformas incluyen: Almacenamiento de los datos identificativosde todos los integrantes del Sistema Educativo:alumnos, padres/tutores/pagadores, profesores y otros empleados del Centro.

    Gestin acadmica: seguimiento del alumno desde el proceso de preinscripcin y matricu-lacin, listas de clase y evaluacin (notas).

    Tratamientos complementarios relacionados con el transporte, comedor, incidencias decomportamiento de los alumnos (conducta y absentismo), y reuniones con padres, inclui-dos calendarios.

    Almacenamiento de datos mdicos y psicopedaggicos.

    Gestin Econmica y Administrativaen la que se incluyen los datos de facturacin y de lasactividades extra educativas. Se incluyen datos bancarios.

    Conectividad.Comunicaciones entre el Centro educativo y los alumnos/familias al propor-cionar herramientas de conectividad entre todos los integrantes del sistema.

  • 7/24/2019 Inspeccion Cloud Educacion

    15/42

    1515

    Generacin de Informes y Listadosas como documentacin oficial exigida por las Conseje-ras de Educacin de las distintas Comunidades Autnomas.

    Pasarelas a otras plataformas (Entorno Virtual de Aprendizaje, Libros digitales, PuntoNeutro)

    Por otra parte, se ha encontrado que la posibilidad de configuracin o personalizacin de lasplataformas a las necesidades y peculiaridades de los Centros educativos es muy variable, desdelas plataformas que permiten la configuracin total a plataformas rgidas que ofrecen una funcio-nalidad sencilla y fija.

    PLATAFORMAS DE APRENDIZAJE

    Las primeras Plataformas de Aprendizaje nacieron bajo el concepto de gestin de contenidos(Content Management Systems o CMS) y consisten en aplicaciones informticas que se utilizanprincipalmente para facilitar la gestin de pginas web y sus contenidos.

    Posteriormente, y ms especfico para el aprendizaje o e-learning aparecen en el mercado los sis -temas de gestin de aprendizaje (Learning Management Systems o LMS), aplicaciones web quepermiten implementar comunicaciones y el seguimiento del aprendizaje, permitiendo una mayorinteraccin entre los profesores y sus alumnos.

    Actualmente se ha producido la integracin de las herramientas anteriormente descritas. Los de-

    nominados sistemas de gestin de contenidos para el aprendizaje (Learning Content Manage-ment Systems o LCMS) permiten la creacin de objetos de aprendizaje, su publicacin en las websy el seguimiento de los usuarios que lo utilizan.

    Las Plataformas de Aprendizaje tienen como objetivo la creacin de un entorno de trabajo colabo-rativo entre el profesorado y el alumnado para facilitar la gestin de cursos virtuales. Permite seguirel progreso de los alumnos y puede ser gestionado por docentes y por los mismos estudiantes.

    Los servicios proporcionados generalmente incluyen control de acceso, elaboracin de contenidoseducativos, herramientas de comunicacin y la administracin de grupos. El acceso suele ser porinternet.

    Las Plataformas de Aprendizaje suelen estar compuestas de diferentes aplicaciones informticaspara Entornos Virtuales de Aprendizaje (EVA):

    Aulas Virtuales.Permiten a los docentes crear y gestionar de forma ntegra espacios virtua-les con sus alumnos. En estos espacios se incorporan contenidos educativos, actividades,

  • 7/24/2019 Inspeccion Cloud Educacion

    16/42

    1616

    tareas, evaluaciones, etc. permitiendo la conversacin privada entre los integrantes del AulaVirtual.

    El Aula Virtual permite al docente conocer, en cada momento, el avance de aprendizaje decada uno de sus alumnos (nmero de intentos en la resolucin de ejercicios, calificacionesobtenidas, estadsticas respecto de la media, etc.)

    En ocasiones las plataformas estn basadas en Moodle, software abierto de libre distribu-cin y completamente modificable y personalizable que ayuda a los educadores a crearcomunidades de aprendizaje online y contenidos educativos.

    Los profesores pueden crear cursos en la plataforma Moodle y dotarlos de actividades,pruebas y contenidos interactivos y multimedia, decidiendo cundo stos se hacen visiblespara los alumnos, y adems deciden si utilizan las facilidades de calificacin de la platafor-ma Moodle, ya que la correccin se puede hacer de forma automtica con la ventaja de serinstantnea.

    Libros electrnicos. Las editoriales han creado plataformas que ofertan contenidos digitalesque incluyen tanto las unidades didcticas del libro del alumno y del profesor junto conotros recursos didcticos e interactivos.

    Estas plataformas facilitan el acceso a los contenidos digitales de la editorial que el profesor

    puede personalizar con sus propios recursos, permitindole, si as lo desea, funcionalidadesde EVAque incluyen la gestin de los trabajos y el seguimiento de sus alumnos.

    Tanto el alumno como el profesor pueden acceder a ellas desde un navegador de internetdesde cualquier ubicacin.

    Las Plataformas de Aprendizaje pueden realizar las mismas funcionalidades de EVAdescar-gando los contenidos digitales de las editoriales (libros digitales) o sirviendo de pasarelas alas plataformas de las editoriales e incluyendo los resultados obtenidos en la informacin

    del alumno. Mediateca ofrece al profesor y sus alumnos un espacio para gestionar producciones mul-

    timedia (imgenes, vdeos educativos, audios) y dar la visibilidad deseada a sus produccio-nes, permitiendo definir para cada contenido el nivel de visibilidad, que puede variar desdela restriccin mxima (privado) a otros estados de visibilidad (alumnos del propio centro,pblicos).

  • 7/24/2019 Inspeccion Cloud Educacion

    17/42

    1717

    5.3 CENTROS EDUCATIVOS

    El Centro educativo es el responsable del fichero, decide sobre los tratamientos de datos y suscribe

    un contrato de prestacin de servicio SaaS con las empresas titulares de las plataformas educativas(que actan como encargados del tratamiento). stas a su vez suscriben un contrato de prestacinde servicio IaaS con las empresas que proporcionan la infraestructura, tambin como encargadosdel tratamiento y subencargados del tratamiento de los Centros educativos.

    5.4 EDITORIALES

    Como se ha mencionado, las editoriales mantienen sus propias plataformas con sus libros enformato electrnico, y como valor aadido los complementan con otros contenidos digitales, in-corporando incluso pequeos sistemas de aprendizaje, constituyendo as autnticas plataformasde gestin de contenidos para el aprendizaje (LCMS). Las editoriales ofrecen estas plataformascomo prestacin de servicio SaaS, utilizando a su vez infraestructuras como servicio en nube deterceras entidades.

    5.5 PUNTO NEUTRO DEL INTEFEl INTEF est impulsando un proyecto, que se encuentra en este momento implantado en Castilla-La Mancha, consistente en la creacin de un Punto Neutro de recursos educativos de pago, queincluye un catlogo de libros accesible para los diferentes actores (Consejeras de Educacin, pla-taformas educativas, editoriales, libreras, colegios y alumnos o padres). El Punto Neutro realizarlas funciones de nodo transaccional, es decir, de interconexin entre los actores citados.

    Al Punto Neutro le dotan de contenidos digitales las editoriales y los libreros, y es el encargado de

    su publicacin y de gestionar el acceso a los profesores para que puedan disear la mochila digitalde sus alumnos.

    Los libros digitales se adquieren en el punto de venta, ya sea la editorial o librera fsica o virtual,y una vez adquiridos el punto de venta confirma el pago al Punto Neutro el cual crea las licenciasde acceso con informacin de cada alumno, con los datos del mismo que han sido aportados porlas Consejeras de Educacin acogidas a este proyecto, y la propia licencia del producto. Es posiblela descarga de los libros digitales en la plataforma (de gestin Educativa o de Aprendizaje) queutilice el Centro educativo, as como el acceso on-line a los mismos.

  • 7/24/2019 Inspeccion Cloud Educacion

    18/42

    1818

    De esta manera, cuando el alumno accede a la plataforma de su Centro, con su cdigo de usuarioy contrasea, ya tiene asociado todos los libros digitales que va a utilizar (mochila digital).

    El objetivo ms destacable del Punto Neutro respecto de la proteccin de datos es la anonimiza -cin de los accesos, de tal manera que solo el Punto Neutro mantiene una relacin identificativade los profesores y alumnos asociados a las licencias de los libros adquiridos por el alumno queconfiguran su mochila digital.

    Las editoriales y libreros nicamente mantienen informacin sobre la licencia del producto, enla que no constan datos personales. Y el Punto Neutro gestiona las credenciales de los alumnosy profesores permitiendo que accedan a los contenidos digitales de las editoriales sin que stasconozcan la identidad del usuario.

    5.6 OTROS SERVICIOS DE USO DIRECTO POR PARTE DE LOSCENTROS EDUCATIVOS Y LOS DOCENTES

    Por ltimo, dentro del escenario descrito se han encontrado otros servicios utilizados por los Cen-tros educativos y por los docentes con otras finalidades, de almacenamiento de documentos orecursos multimedia, as como aplicaciones de correo electrnico, calendario, agenda, etc.

  • 7/24/2019 Inspeccion Cloud Educacion

    19/42

    1919

    6. CONCLUSIONES

    Debido a la extensin de las conclusiones alcanzadas y los diferentes aspectos a los que aludense ha optado por estructurarlas en apartados y subapartados para facilitar su lectura y prontalocalizacin.

    6.1 TRATAMIENTOS DE DATOS PERSONALES

    Tipologa de los datos. Todas las plataformas de gestin educativa examinadas, menos laplataforma cuya titularidad es de una administracin pblica, recaban y almacenan datos es-pecialmente protegidos como datos de salud (datos de alergias, medicamentos suministrados,

    reconocimientos mdicos y enfermedades declaradas por los padres), y datos del departamentode orientacin (datos psicopedaggicos), si bien algunas plataformas solo almacenan algunos deestos tipos de datos.

    El acceso a esta informacin est limitado al personal del Centro educativo, que ostenta los per-misos necesarios segn las funciones que desempea.

    Tambin tratan todas ellas datos acadmicos, generalmente las notas que se incorporan al expe-diente acadmico del alumno.

    Con las plataformas de aprendizaje los profesores pueden crear clases virtuales en las que incluyengrupos de alumnos, y a las cuales pueden dotar de actividades, pruebas y contenidos en general,decidiendo cundo stos se hacen visibles para los alumnos.

    Estas plataformas recogen datos de las pruebas intermedias realizadas a los alumnos, incluyendotems digitales evolutivos definidos por los profesores durante todo el curso, siendo ms suscepti-bles de la creacin de perfiles que los expedientes acadmicos convencionales. Estas plataformas

  • 7/24/2019 Inspeccion Cloud Educacion

    20/42

    2020

    de aprendizaje pueden adems tratar otros datos de las pruebas, como el nmero de intentospara completarla correctamente y el tiempo utilizado.

    Los profesores, adems, deciden si quieren utilizar las facilidades de calificacin de las platafor-mas. El profesor puede crear cuestionarios y pruebas con correccin automtica por parte la he -rramienta. Se puede incluso configurar el nmero de intentos del que el alumno dispone para laconsecucin de la prueba y su tiempo de duracin. Los alumnos pueden ver sus errores.

    Desde el punto de vista educativo, no cabe duda de las ventajas que ofrecen estas plataformas. Lacorreccin automtica de las pruebas conlleva la ventaja de ser instantnea, por lo que el profesordispone de informacin inmediata sobre los resultados que, junto con la informacin estadsticaque ofrecen, facilita enormemente la toma de decisiones en las aulas.

    Los alumnos de las plataformas de aprendizaje solo visualizan aquellos contenidos cuya visibilidadha establecido el profesor. No se ha encontrado ningn caso en el cual los alumnos visualicendatos de otros alumnos. Por su parte, los profesores slo acceden a los datos de sus propiosalumnos.

    Las plataformas de aprendizaje permiten la inclusin de contenidos libres (documentos, imgenesy vdeos) por parte de los alumnos y profesores, que se comparten entre ellos. No se han encon -trado normas internas en los Centros educativos que regulen los contenidos, aunque en algunos

    de los casos se ha visto que queda bajo la responsabilidad del profesor la revisin y el control delos contenidos que se comparten.

    Libros digitales e integracin de las funcionalidades

    En la actualidad estn conviviendo varias formas de acceso a los libros digitales, todas ellas basa-das en la adquisicin de una licencia de uso:

    Las editoriales ponen a disposicin de los usuarios una plataforma para la utilizacin de suslibros digitales, de tal manera que el alumno puede acceder al contenido del libro y realizar

    los ejercicios. Asimismo, el profesor interacta con los libros digitales de sus alumnos ycomprueba los resultados obtenidos.

    Los usuarios deben registrarse previamente en la plataforma de la editorial, accediendodirectamente a la misma. Los resultados de las pruebas efectuadas por los alumnos no seintegran en las plataformas educativas del Centro, conservndose en la editorial.

  • 7/24/2019 Inspeccion Cloud Educacion

    21/42

    2121

    Durante el proceso de registro, los usuarios deben aceptar las condiciones del servicio. Enla poltica de privacidad se suele especificar que, para el caso de menores de 14 aos, senecesita la autorizacin previa de los padres, que debern leer la poltica referida.

    En algunos casos la poltica de privacidad informa de la utilizacin de los datos personalespara el envo de comunicaciones comerciales, sin especificar los tipos de comunicacio-nes comerciales que pueden recibir los distintos usuarios (alumnos / padres o tutores /profesores).

    Algunas plataformas educativas que utilizan los Centros escolares pueden funcionar comopasarelas para el acceso a los libros digitales, de tal manera que tanto los profesores comolos alumnos interactan con la plataforma de la editorial de forma trasparente y sin necesi-

    dad de registro previo, ya que es la plataforma educativa la que identifica al usuario.Adems, en muchos de los casos, los resultados obtenidos en las diferentes pruebas conte-nidas en los libros digitales se integran dentro de la ficha del alumno.

    En ambas situaciones los datos del progreso de los alumnos y las pruebas que efectan en suslibros digitales quedan en la plataforma de la editorial.

    En algn caso las licencias de acceso a los libros digitales son adquiridas en bloque por parte de losCentros educativos para todos sus alumnos, detectndose casos en los cuales los Centros remiten

    a las editoriales las relaciones de los alumnos para los que va a adquirir la licencia y devolviendoestas al Centro educativo los nmeros de licencia que se integran en la plataforma.

    Este proceso est cambiando en la actualidad mediante la creacin, por parte de las editoriales, deplataformas ms modernas que incluyen ms procesos EVA, convirtindose en autnticas plata-formas de aprendizaje, y en las que la gestin de las licencias evoluciona a sistemas ms sencillos ydirectos, como el registro directo de los usuarios. En este proceso podran producirse tratamientosque deben tener las garantas de la LOPD. Adems, la introduccin del Punto Neutro del INTEF enel escenario, an en despliegue, est cambiando la forma de interactuar de los diferentes actores.

    Es destacable la misin del Punto Neutro del Ministerio de Educacin, Cultura y Deporte en rela -cin al tratamiento de datos de los alumnos por parte de las editoriales, anonimizando los acce -sos a los contenidos digitales de las editoriales y evitando as que stas conozcan la identidad delusuario y por tanto que traten datos personales que podran considerarse sensibles. Para realizaresa funcin, el Punto Neutro necesita disponer de los datos del alumnado y profesorado, queobtiene de las administraciones educativas.

  • 7/24/2019 Inspeccion Cloud Educacion

    22/42

    2222

    Por ltimo, se ha percibido una evolucin en las plataformas educativas en general encaminadahacia la oferta integrada de mltiples servicios. As, las plataformas de gestin educativa empie-zan a integrar entornos de aprendizaje y pasarelas a libros digitales, ya sea mediante su descarga

    o utilizando accesos online. Se aprecia claramente una evolucin del mercado hacia la oferta deplataformas con todas las funcionalidades integradas.

    Mensajera. Aunque normalmente las plataformas de gestin educativa analizadas incluyenmdulos de comunicacin entre los usuarios (mensajera interna), todas ellas impiden que lospadres puedan visualizar datos de otros padres, ni tan siquiera para la comunicacin entre ellos.

    Imgenes. Los Centros educativos tienen la posibilidad de almacenar imgenes y vdeos tantoen algunas de las plataformas educativas examinadas como directamente utilizando servicios de

    almacenamiento de nube externos de los que son responsables terceras entidades, y que en mu-chos casos se ofertan gratuitamente o a bajo coste, aplicando sus propias polticas de privacidad.

    En un Centro educativo analizado se ha encontrado la publicacin en la plataforma de gestineducativa de galeras de fotos y vdeos que se realizan a los alumnos, de tal forma que slo lospadres de los grupos de los nios retratados pueden verlas, e imposibilitando tcnicamente lacreacin de enlaces a las pginas web donde se encuentran las imgenes para su acceso gene-ral desde internet. Adems, de forma previa se solicitaba el consentimiento de los padres parala realizacin y publicacin de las fotos o grabaciones, recabndose de forma detallada en qu

    situaciones se permita la captacin de las imgenes de los nios y en cuales no (en el mbito deuna excursin, para un anuario, etc.)

    En otro Centro educativo analizado se separaban los tratamientos de imgenes con fines promo-cionales de los destinados exclusivamente a las familias, solicitando en el primer caso consenti-miento previo a los padres o tutores de los alumnos seleccionados para utilizar su imagen confines promocionales. En el segundo caso, tambin solicitaban permiso previo de tratamiento dela imagen de los alumnos, pero sin finalidades promocionales. En ese Centro utilizaban una nube

    externa

    para compartir vdeos, que slo podan ser visualizados utilizando usuario y contrasea.Se han encontrado plataformas que permiten la incorporacin de imgenes con varios niveles dis-tintos de visibilidad: pblico (para todos los usuarios de la plataforma), restringido (para usuariosde un aula virtual o un grupo determinado de usuarios) y privado (para un usuario determinado,que puede compartirlo con otro usuario).

    Herramientas de almacenamiento en nube de uso directo. De igual forma, adems deimgenes y vdeos, los Centros educativos suelen compartir documentos directamente mediante

  • 7/24/2019 Inspeccion Cloud Educacion

    23/42

    2323

    otras herramientas de almacenamiento en nube e incluso mediante herramientas ofimticas denube, para finalidades tanto educativas como organizativas, con el objetivo de posibilitar el accesoa los documentos desde distintas ubicaciones. Se ha detectado que, si bien no se almacenan en

    principio documentos con datos de carcter personal de los alumnos (ya que existen otros siste-mas informticos destinados a ello), cada profesor puede hacer uso de estos mecanismos comoestime oportuno, no estando generalmente establecidas normas internas al respecto de su uso.

    Los Centros utilizan en ocasiones otras aplicaciones en nube como el propio correo electrnicode los empleados y el calendario. El correo corporativo interno que suele estar nicamente ha -bilitado para el personal (no para alumnos o familias). Los calendarios en nube permiten creareventos sincronizados entre el personal as como gestionar reuniones, horarios, etc. Tampoco seha encontrado normativa interna especfica en los Centros educativos estudiados en relacin a lautilizacin de estos sistemas.

    Se ha detectado la existencia de aplicaciones disponibles para los profesores que les permitenorganizar las clases y que para ello registran datos personales de los alumnos, incluidas imgenesy calificaciones. Estas aplicaciones son independientes de las plataformas educativas y estn dis-ponibles para su descarga en cualquier dispositivo. No existen normas internas de utilizacin deestas herramientas en los Centros. Por otra parte, las terceras entidades que las comercializan obien carecen de polticas de privacidad o aplican sus propias polticas, todo ello al margen de la

    normativa utilizada en cada Centro escolar.En el caso de una multinacional que oferta servicios de nube tanto de IaaS como SaaS, y conrespecto a alguno de los servicios que ofrece, las clusulas aplicables no estn disponibles en supgina web y por tanto no son visibles para el usuario final si el Centro no se las traslada.

    Otros tratamientos. No se han encontrado tratamientos sobre datos de los alumnos con otrasfinalidades distintos a los descritos. No se han encontrado la utilizacin de tcnicas de minera dedatos, ni cesiones de datos a terceros.

    6.2 CONTRATOS DE PRESTACIN DE SERVICIOS

    En este escenario general, el Centro educativo es el responsable del fichero, la entidad de la plata-forma educativa (SaaS) un encargado del tratamiento y la entidad prestadora de los servicios de In-fraestructura (IaaS) un subencargado. Existe por tanto una relacin Centro educativo SaaS IaaS

  • 7/24/2019 Inspeccion Cloud Educacion

    24/42

    2424

    regulada por dos tipos contratos: el contrato entre el Centro y la plataforma educativa SaaS y elcontrato entre esta ltima y la Infraestructura IaaS.

    1. Contrato entre plataformas SaaS - IaaS

    Hay que tener en cuenta que durante las actuaciones de investigacin se han encontrado tresmodelos de Infraestructuras IaaS atendiendo a carcter pblico/privado de la nube.

    Infraestructuras completamente privadas en las cuales la contratacin se reduce a un aloja-miento de los servidores, propiedad de la entidad que presta los servicios SaaS. La empresade infraestructura bsicamente presta los locales donde se ubican los servidores facilitandola conectividad a internet y el suministro elctrico.

    Infraestructuras con servidores alquilados y dedicados en exclusiva al cliente (entidad dela plataforma SaaS), suministrando la empresa de infraestructura IaaS los equipos y suadministracin.

    Infraestructuras de nube pblica, que proporcionan capacidades escalables de nube en lasque los recursos fsicos suelen ser compartidos. Aunque en los tres casos se utilizan tcnicasde virtualizacin, las infraestructuras de nube pblica suelen utilizar estas tcnicas de talmodo que a los clientes nicamente se les ofertan recursos virtuales y no fsicos.

    Las nubes IaaS de los dos primeros casos son y se comercializan como nubes privadas, y las plata-formas educativas (SaaS) que las utilizan las contratan como tales infraestructuras privadas. Ahorabien, dado que una plataforma SaaS creada utilizando una IaaS privada es compartida entre todoslos Centros educativos que utilizan la plataforma, el carcter privado se pierde a ese nivel, al ser laplataforma SaaS compartida por diversos clientes. Se ha detectado que algunas plataformas edu-cativas que utilizan IaaS privadas se ofertan a su vez como plataformas SaaS privadas a los Centroseducativos, no pudiendo considerase a dicho nivel como tales nubes privadas.

    1.1) Contrato.Con carcter general se ha encontrado que en el primer y segundo caso

    se celebran contratos de prestacin de servicios por escrito. En cambio, en el tercer caso,las plataformas SaaS aceptan las condiciones generales de contratacin publicadas por lasmultinacionales de servicios IaaS en sus pginas web.

    En estos contratos, en general, la plataforma SaaS figura como responsable del tratamientoy la entidad prestadora de IaaS como encargado, siendo no obstante los Centros educati -vos los autnticos responsables de los datos, detectndose por tanto una cierta confusinsobre los roles desempeados por las entidades en los contratos. Hay que indicar que las

  • 7/24/2019 Inspeccion Cloud Educacion

    25/42

    2525

    plataformas SaaS contratan normalmente los servicios de infraestructuras IaaS antes deofrecer su producto a los Centros educativos. Se hace notar tambin que la plataformaSaaS mantiene un solo contrato con la infraestructura IaaS.

    Con carcter general, los contratos contienen clusulas de proteccin de datos, incluidoslos casos de aceptacin por internet de las condiciones generales. En ocasiones son lasadendas o anexos especficos de proteccin de datos que se suscriben de forma separa-da pero de forma opcional los que completan los contratos con las clusulas adecuadas.Todos los contratos o adendas examinados incluyen clusulas respecto a la limitacin deltratamiento a las finalidades establecidas y conforme a las instrucciones del contratante, ascomo en relacin a la devolucin o destruccin de los datos a la finalizacin del contrato,las medidas de seguridad, y clausulas relativas a la confidencialidad y la no cesin de datos

    a terceros.1.2) Informacin.Todas las entidades analizadas mantienen sus clusulas y condicionesgenerales de los servicios publicadas en sus webs de forma accesible al pblico en general.

    1.3) Ubicacin de los datos.Otra diferencia sustancial entre los tres modelos de in-fraestructuras se refiere a la ubicacin de los datos, habindose detectado que en los dosprimeros casos los datos se suelen encontrar en territorio espaol o, en algn caso, en pa-ses de la Unin Europea. Las empresas multinacionales normalmente declaran la ubicacin

    de los datos en la Unin Europea. No obstante, algunas multinacionales dejan abierta laposibilidad de que los datos se ubiquen en cualquier pas donde tengan instalaciones. Enestos casos, cuando los datos se ubican en Estados Unidos o terceros pases no reconocidoscon el nivel adecuado, las garantas que se proporcionan son las de los principios de PuertoSeguro, si los proveedores estn adheridos a dichos principios, o las previstas en contratosapropiados.

    2. Contrato Centro educativo Plataforma SaaS

    2.1) Contrato.Los Centros educativos firman generalmente un contrato de prestacinde servicios con las plataformas SaaS, en el cual se define el Centro como titular y respon-sable de los datos y la plataforma SaaS como encargado del tratamiento. Solo en uno delos casos examinados, correspondiente a la plataforma examinada perteneciente a unaadministracin autonmica, los Centros educativos (pblicos, privados o concertados) nofirman ningn tipo de contrato de prestacin de servicios.

  • 7/24/2019 Inspeccion Cloud Educacion

    26/42

    2626

    Por otro lado, tambin se ha encontrado un Centro educativo con tres delegaciones condistintas ubicaciones que ha implementado una plataforma de aprendizaje utilizando in-fraestructuras propias, que se puede considerar una nube al ofrecer la misma funcionalidad

    y acceso por internet de forma ubicua a los usuarios. Esta nube alcanza el grado ms altode carcter privado, no precisando ningn tipo de contrato.

    2.2) Finalidad.Con carcter general, en los contratos examinados se hace mencin ex-presa al artculo 12 de la LOPD y, aunque se ha detectado algn contrato en el que noconsta mencin expresa al mismo, en todos los contratos o en sus anexos de proteccin dedatos se especifica que nicamente se tratarn los datos conforme al artculo 12 de la LOPDy, en particular, que el encargado no los utilizar para finalidades distintas a las estipuladas.

    Slo en uno de los casos examinados la plataforma solicita consentimiento para una fina-

    lidad publicitaria (emisin de comunicaciones comerciales) que figura en el clausulado delcontrato suscrito con los Centros educativos. No obstante, no consta que los afectadospresten su consentimiento para la realizacin de comunicaciones comerciales.

    2.3) Subencargados.Con carcter general, en todos los contratos o anexos se especi-fica la entidad subencargada que va a realizar la prestacin de servicios de infraestructura(IaaS), los servicios subcontratados, as como la ubicacin de los datos. No obstante, se hanencontrado las siguientes excepciones:

    En el caso de una plataforma nacional, no se hace referencia a posibles subcontratacio-nes ni a la ubicacin de los datos, aunque s existe subcontratacin de infraestructuraIaaS con un Centro de Proceso de Datos (CPD) ubicado en territorio nacional.

    En el caso de otra plataforma que se ha acogido a las condiciones generales para laprestacin de servicios de nube de una multinacional, en el contrato con los Centroseducativos no se especifica la entidad subencargada, los servicios subcontratados ni laubicacin de los datos.

    Tambin se ha encontrado una plataforma de una multinacional en la que los datos sefragmentan y se cifran, sin precisar la ubicacin de los datos, almacenndolos en dife-rentes CPD de la entidad con distintas ubicaciones. En este mismo caso existen subcon-trataciones a empresas del grupo para la prestacin de servicios de CPD, para las cualesel cliente presta su autorizacin en los contratos, indicndose que la entidad facilitar alcliente la informacin sobre los terceros subcontratistas slo si lo solicitan.

  • 7/24/2019 Inspeccion Cloud Educacion

    27/42

    2727

    En la mayora de los contratos se deja abierta la posibilidad de las subcontrataciones, solicitandola autorizacin en las condiciones generales de contratacin, y con el compromiso de la formaliza-cin de un contrato con el subcontratista en los mismos trminos que el contrato de encargado,

    avisndose con anterioridad al Centro educativo y solicitando su conformidad.2.4) Seguridad. En todos los contratos examinados se hace referencia a las medidas deseguridad que deben ser implementadas por el encargado del tratamiento.

    No obstante, en un contrato de una plataforma SaaS espaola, as como en un contrato deuna multinacional, no constan las garantas directamente en el contrato sino en los anexosde proteccin de datos, cuya firma es opcional.

    2.5) Finalizacin contrato.Con carcter general, en los contratos o anexos se estipula

    que los datos de carcter personal sern destruidos o devueltos al responsable una vezcumplida la prestacin contractual.

    A los efectos de portabilidad de los datos, todas las plataformas examinadas mantienendisponibles para sus clientes, en todo momento, los datos personales incluidos en la pla-taforma. En muchos casos esta disponibilidad se limita a la extraccin de los datos en unformato plano, debiendo el Centro educativo, para completar la portabilidad, realizar pro-cedimientos adicionales para el formateo o adaptacin de los datos a los nuevos sistemas.

    Las entidades SaaS no especifican en el contrato con los Centros la forma de portabilidadofertada, el tiempo en que se van a mantener los datos despus de la finalizacin del con-trato, ni qu procedimientos tienen establecidos ante una contingencia (por ejemplo laquiebra de la empresa responsable de la plataforma). No obstante, todas las plataformasanalizadas cancelan los datos en un periodo comprendido entre 15 y 60 das despus dela finalizacin de la relacin contractual y todas ellas manifiestan que con anterioridad ala cancelacin se han asegurado de que la informacin ya se encuentre disponible en elCentro escolar.

    Con carcter general las plataformas educativas analizadas no emiten certificados de des-truccin de datos al finalizar la relacin con el Centro educativo, salvo una de ellas que sque lo emite y otra que nicamente lo realiza si lo solicita el Centro.

    Solamente una plataforma obliga a la firma de un acuse de recibo por parte del Centro enel momento de la devolucin de los datos.

  • 7/24/2019 Inspeccion Cloud Educacion

    28/42

    2828

    3. Aspectos comunes a ambos tipos de contratos

    3.1) Versiones. Se ha encontrado que las entidades generan frecuentemente nuevasversiones de contratos y condiciones relativas a proteccin de datos con el nimo general

    de mejorar el cumplimiento normativo, quedando en ocasiones contratos suscritos concondiciones que no son las actuales de la compaa y que incluso no cumplen correc-tamente con la normativa. Esta situacin sucede con mayor frecuencia en las entidadesmultinacionales cuando no existe un contrato sino que los clientes se han adherido a lascondiciones generales de contratacin publicadas en las pginas web.

    3.2) Naturaleza de los datos.En muy pocos contratos analizados se especifica la na-turaleza de los datos a tratar, de forma que permita identificar el tipo de medidas de se-

    guridad que deben ser implantadas por cada uno de los agentes involucrados (IaaS, SaaSy Centros escolares).

    Tambin se ha constatado que en uno de los casos analizados, en las condiciones acepta-das entre la plataforma SaaS e IaaS, se exige una conducta diligente por parte de la plata -forma SaaS para que se proporcione, entre otros aspectos, avisos de privacidad adecuadosa los usuarios finales y de obtener cualquier consentimiento necesario para el tratamiento.En este mismo caso se establece en los contratos que el Centro deber comunicar a losusuarios del sistema la existencia de la plataforma SaaS.

    6.3 MEDIDAS DE SEGURIDAD

    Uno de los problemas detectados con mayor frecuencia es el reparto de responsabilidades entrelos diferentes actores del escenario en cuanto a la proteccin de datos de carcter personal, quese constata claramente en relacin con las medidas de seguridad que deben implementarse.

    Se ha detectado en algunos casos que las entidades intervinientes entienden que son las otras en-

    tidades sobre las que recae la responsabilidad de la implementacin de las medidas de seguridad,indicando por ejemplo las entidades de servicios IaaS que no tienen visin global y que no sabenqu tipologa de datos almacena el cliente, que es el que decide sobre ello, o los Centros educati-vos indicando que no son expertos en seguridad y que ese no es su negocio.

    Sin embargo, la responsabilidad es claramente compartida. Por ejemplo las medidas de seguridadfsica corresponden en su mayora a la entidad que presta los servicios de infraestructura. Y los

  • 7/24/2019 Inspeccion Cloud Educacion

    29/42

    2929

    aspectos de seguridad relacionados con la gestin de usuarios corresponden tanto a la plataformaSaaS como a los Centros educativos.

    Se han detectado casos en los cuales no todas las partes conocen la tipologa de los datos trata-

    dos. La entidad prestadora de los servicios de infraestructura no suele conocer el tipo de datosque el cliente final almacena, desconociendo por tanto el nivel de proteccin que debe adoptar.

    El art. 12 de la LOPD establece que en el contrato se estipularn las medidas de seguridad a quese refiere el artculo 9 de esta Ley, que el encargado del tratamiento est obligado a implementar.No obstante, en los contratos analizados, siempre se hace mencin a las medidas de seguridadpero no a quin corresponde su implementacin.

    Gestin de usuarios. Con carcter general las plataformas SaaS entregan al Centro educativo

    un usuario con permisos de administrador para la gestin de sus usuarios, delegando as esa res-ponsabilidad en el Centro.

    Las plataformas disponen de las facilidades necesarias para que los Centros puedan generar loscdigos y las contraseas asociadas de sus propios usuarios, as como distribuirlas sin la visualiza-cin de las contraseas por parte administrador.

    En algunos casos examinados no se fuerza al cambio de la contrasea en el primer acceso de losusuarios.

    Todas las plataformas de gestin educativa definen varios roles de usuario que incluyen los depadre, alumno, profesor y empleado del centro, permitiendo la asignacin de perfiles con permi-sos diferentes para cada uno de los roles de usuario (profesor, tutor, director del Centro, coordi -nador, administrativo, mdico, orientador, etc.).

    Con carcter general, la mayor parte de las plataformas implementan mecanismos para limitar laposibilidad de intentar reiteradamente el acceso no autorizado al sistema.

    Discriminacin de los accesos e independencia de los datos. En la mayora de las plata-

    formas examinadas se define un dominio o subdominio de internet para cada Centro educativo,de tal forma que los accesos para cada centro se realizan introduciendo el nombre de un dominiodiferente en la barra de direcciones del navegador. No obstante, en una de las plataformas exami-nadas no se definen dominios diferentes para cada centro, sino que el acceso se realiza mediantela introduccin de un cdigo especfico del centro en la direccin URL, compartiendo todos loscentros el mismo dominio.

  • 7/24/2019 Inspeccion Cloud Educacion

    30/42

    3030

    Adems, la mayor parte de las plataformas SaaS crean una base de datos distinta por cada unode los Centros educativos, consiguiendo de esta forma cierto aislamiento de los datos e indepen-dencia lgica, si bien normalmente todos acceden a una misma instancia de la aplicacin (hay

    una sola aplicacin ejecutndose a la vez a la que acceden todos los Centros). Normalmente estoscomparten las mquinas fsicas y virtuales, as como los elementos fsicos de comunicaciones delas plataformas.

    Slo una de las plataformas examinadas comparte las bases de datos con todos los Centros, sibien utiliza un mecanismo que dota de independencia lgica a cada uno de ellos, utilizando basesde datos lgicas independientes. Adems, se accede a travs de internet utilizando un subdominiodiferente para cada uno.

    Acceso mediante mvil. La mayora de las plataformas han desarrollado, o estn en procesode desarrollar, aplicaciones para mvil (apps) para el acceso a la aplicacin, si bien suelen ofreceruna versin reducida de la misma. En los casos en los cuales se encuentra ya implementada, elacceso se realiza de forma cifrada. Se ha detectado que en algunas plataformas SaaS solamentese solicita la introduccin del par usuario y clave al acceder la primera vez a la aplicacin desde unmvil determinado.

    Otros tipos de accesos detectados. En una de las plataformas se detect la utilizacin deweb services que facilitaban la descarga masiva de datos de los Centros educativos, si bien los

    web services slo se encontraban habilitados para unos pocos Centros y bajo solicitud. Los webservicesse utilizan generalmente para facilitar el intercambio de datos entre distintas aplicacioneso equipos a travs de internet, y permiten el acceso a los datos de una plataforma utilizando m -todos o funciones definidos en la misma y que pueden ser invocados desde otra aplicacin o unpequeo programa creado al efecto.

    Este tipo de acceso permite a cualquier usuario de un Centro educativo e incluso un tercero,utilizando nicamente identificadores genricos del centro, soslayar las medidas de seguridad yacceder a todos los datos generados por el Centro, no quedndose reflejados los accesos en loslogs. Este problema de seguridad se agravaba debido a la publicacin en la pgina web de la en-tidad, accesible para todo el pblico en general, de ejemplos de utilizacin de estos web services.

    Registro de accesos. Todas las plataformas ponen a disposicin de los Centros herramientaspara la gestin del registro de acceso a los datos, delegando su gestin en estos.

    Copias de seguridad. Con carcter general tanto la plataforma SaaS como la infraestructuraIaaS realizan copias de seguridad de los datos de carcter personal. En la mayora de los casos no

  • 7/24/2019 Inspeccion Cloud Educacion

    31/42

    3131

    se especifica en los contratos la ubicacin de las mismas. Las periodicidades de realizacin de lascopias s se suelen especificar por contrato, aunque en el caso de una multinacional no consta nise ha conseguido averiguar dicha periodicidad.

    Con carcter general, las plataformas SaaS proporcionan las herramientas necesarias para efectuarlas recuperaciones de los datos a partir de las copias de seguridad, si bien esta recuperacin puederealizarse por parte del Centro educativo o por parte de la plataforma. Las propias IaaS realizan co-pias de seguridad y en ocasiones facilitan tambin herramientas para la recuperacin de los datos.

    Cifrado. En todos los casos los accesos a las plataformas SaaS por internet se realizan estable-ciendo un canal seguro mediante el cifrado de los datos con el protocolo https.

    Auditoras. Normalmente las entidades prestadoras de plataformas educativas realizan audito-

    ras bienales limitndolas a sus plataformas SaaS, dejando la responsabilidad a los Centros escola-res para que realicen las auditoras pertinentes.

  • 7/24/2019 Inspeccion Cloud Educacion

    32/42

    3232

    7. RECOMENDACIONES

    Las recomendaciones que se formulan a continuacin son directrices para la correcta aplicacinde la LOPD.

    En el caso de los Centros pblicos dependientes de las Consejeras autonmicas la aplicacin delas recomendaciones podr llevarse a cabo por stas o por los propios Centros atendiendo a lascompetencias y funciones que tengan atribuidas.

    7.1 LEGITIMACIN

    1. Como regla general, el tratamiento de los datos por parte de los Centros educativos para eldesarrollo de su actividad se encuentra amparado por las previsiones de la legislacin estataly autonmica y las consiguientes relaciones jurdicas que se derivan de ella.

    No obstante, algunos supuestos (como la difusin pblica en internet de imgenes de losalumnos) exigiran el consentimiento de los afectados o sus representantes legales.

    2. Las empresas encargadas del tratamiento slo podrn remitir comunicaciones comercialesdirigidas a los usuarios de los Centros educativos cuando hayan obtenido su consentimien-to, sin que esta autorizacin pueda ser otorgada por el Centro.

    En el caso de que dichas comunicaciones se realicen a travs de medios de comunicacinelectrnica, el consentimiento debe ser expreso.

    El envo de comunicaciones comerciales a menores de catorce aos debe contar con elconsentimiento previo de sus padres o tutores.

  • 7/24/2019 Inspeccion Cloud Educacion

    33/42

    3333

    3. El Centro educativo debe asegurarse de la existencia del consentimiento de los usuarios delos sistemas de correo interno para la visualizacin de sus datos por parte de otros usuariosdel correo.

    4. Cuando el Centro preste el servicio de adquisicin de libros digitales de forma centralizaday para ello remita la relacin de los alumnos con datos personales a las editoriales, deberinformar de dicha comunicacin de datos y de las finalidades de la cesin.

    5. Es especialmente recomendable que los contenidos que los alumnos publican en las aulasvirtuales sean supervisados peridicamente por responsables de la creacin de la misma(profesores), con objeto de evitar contenidos malintencionados.

    Los contenidos de acceso pblico que contengan datos personales (como fotografas, vdeos

    o grabaciones de voz) deben contar con el consentimiento del titular de los datos, o de susrepresentantes legales en caso de menores de catorce aos, no pudiendo los responsablesdel Centro escolar o los profesores consentir el tratamiento de datos en nombre de terceros.

    Se considera una buena prctica que los contenidos de acceso pblico hayan sido revisadosy autorizados por un responsable (profesor) antes de su publicacin, incluyendo un proce-dimiento que permita acreditar la autorizacin prestada y la identificacin del usuario queha realizado la publicacin.

    6. Los Centros educativos solo podrn permitir la utilizacin de herramientas de almacena-miento en nube independientes de las plataformas educativas si renen las garantas pre-vistas en la normativa de proteccin de datos. En tal caso debern establecer unas normasque garanticen el adecuado tratamiento de los datos personales.

    La utilizacin de aplicaciones por los profesores en dispositivos personales (tableta, mvil,etc.) deben garantizar la poltica de privacidad definida por el Centro escolar con las garan-tas establecidas en la normativa de proteccin de datos.

    7. Respecto de los derechos ARCO, se debera establecer un procedimiento colaborativo entreel responsable y los encargados y subencargados del tratamiento que permita la atencindiligente de los derechos de acceso, rectificacin, cancelacin y oposicin.

    8. Legitimacin del tratamiento por las editoriales

    Las editoriales carecen de legitimacin para el tratamiento de los datos personales parafines distintos de los previstos en la licencia del servicio (ej. resultado de pruebas, perfiles,publicidad) por lo que tendrn que recabar el consentimiento especfico.

  • 7/24/2019 Inspeccion Cloud Educacion

    34/42

    3434

    Al finalizar la relacin establecida entre el usuario y la editorial, los datos personales y losdatos de valoracin basadas en los tratamientos debern ser cancelados.

    7.2 CONTRATOS DE PRESTACIN DE SERVICIOS

    9. Las prestaciones de servicio que se han descrito suponen el acceso a los datos por cuentade terceros, por lo que debe estar regulado en un contrato que debe constar por escrito oen alguna otra forma que permita acreditar su celebracin y contenido, en el que se espe -cifique la finalidad de los tratamientos de datos y se haga referencia a lo estipulado en losartculos 9 y 12 de la LOPD.

    Cuando no exista un contrato por escrito, como en los casos en los que los prestadoresde servicios se acojan a las condiciones publicadas en la web del proveedor de servicios, laplataforma SaaS deber poder acreditar su celebracin y un contenido mnimo indicandoexpresamente que, como encargado del tratamiento, nicamente utilizar los datos con-forme a las instrucciones del responsable del tratamiento, no los aplicar o utilizar con unfin distinto al definido en la contratacin, no los comunicar a terceros, adoptar la medi-das de seguridad exigibles y devolver los datos a la finalizacin del contrato.

    Para facilitar el cumplimiento de esta ltima recomendacin, los prestadores de servicio

    debern publicar las condiciones generales y las clusulas de confidencialidad y proteccinde datos en la web, identificando en los contratos la versin a que se acogen y siendo con-veniente mantener accesibles todas las versiones de los mismos. Tambin sera una buenaprctica establecer un procedimiento que permita la notificacin de las nuevas versiones alos clientes que mantienen un contrato en vigor.

    Las adendas o anexos especficos de proteccin de datos que se ofrecen opcionalmentedeben suscribirse con carcter obligatorio.

    10. El responsable del fichero tiene que asegurarse del cumplimiento de la LOPD por lo que,cuando existan subcontrataciones, en los contratos entre la plataforma SaaS y el Centroeducativo se debern especificar claramente los servicios subcontratados, as como los pro-cedimientos para conocer las empresas subencargadas del tratamiento, su ubicacin y laubicacin de los datos personales. Esta obligacin puede cumplirse mediante la publicacinde las distintas ubicaciones en la pgina web del proveedor del servicio.

  • 7/24/2019 Inspeccion Cloud Educacion

    35/42

    3535

    La utilizacin de tcnicas como la fragmentacin o cifrado no excluye la aplicacin de lanormativa de proteccin de datos.

    En la subcontratacin es necesaria la formalizacin de un contrato entre el encargado y el

    subcontratista por un medio que permita acreditar los trminos del mismo, incorporandolas garantas antes citadas para los encargados del tratamiento. Esta prctica debe hacerseextensible a las subcontrataciones que se realizan con empresas del mismo grupo o filiales.

    El encargado del tratamiento debe asumir por contrato que las subcontrataciones realiza-das ofrecen las mismas garantas jurdicas que las asumidas en el contrato con el respon-sable del fichero.

    Se considera una buena prctica que en el contrato entre la plataforma SaaS y la IaaS se in-

    cluyera una clusula del tipo la empresa prestadora del servicio de infraestructura IaaS sersubencargada del tratamiento en caso de que la entidad contratante realice tratamiento dedatos para un tercero como encargado.

    11. El Centro educativo deber recabar informacin sobre la ubicacin de los datos. Si los datosse encuentran ubicados en Estados que forman parte del Espacio Econmico Europeo (Es-tados miembros de la Unin Europea ms Islandia, Liechtenstein y Noruega), no existir unatransferencia internacional de datos, siendo suficiente la firma del contrato con el encarga-do del tratamiento.

    Si se ubican en Estados o territorios que la Comisin Europea ha declarado que ofrecen unnivel adecuado de proteccin o en empresas adheridas a los principios de Puerto Seguroen Estados Unidos (consultar en http://www.agpd.es) deber notificarse a la Agencia Espa-ola de Proteccin de Datos la transferencia internacional de datos que supone. En estossupuestos debe reiterarse que siempre ser necesario suscribir un contrato de prestacin deservicios conforme al artculo 12 de la LOPD, y si el proveedor de servicios radicado en Esta-dos Unidos fuera a transferir los datos personales a un tercer pas deber aportar garantas

    por escrito para ofrecer, como mnimo, el mismo nivel de proteccin requerido.Cuando los datos se ubiquen en otros estados, con carcter previo se deber solicitar alDirector de la Agencia Espaola de Proteccin de Datos autorizacin para su transferenciainternacional, para lo que se habrn de presentar las garantas suficientes, que podrn de-rivarse, en particular, de clusulas contractuales apropiadas.

    http://www.agpd.es/http://www.agpd.es/
  • 7/24/2019 Inspeccion Cloud Educacion

    36/42

    3636

    12. Se debera especificar por contrato la naturaleza de los datos para poder definir e imple-mentar las medidas de seguridad adecuadas y este nivel de proteccin debe transmitirse alo largo de todos los contratos establecidos con los subencargados.

    Los ficheros y tratamientos de datos que contengan datos relativos a la salud, religin,creencias y origen racial debern implementar medidas de seguridad de nivel alto.

    Los ficheros y tratamientos de datos personales que ofrezcan una definicin de las carac-tersticas o de la personalidad y que permiten evaluar determinados aspectos de la perso-nalidad o del comportamiento debern implementar medidas de seguridad de nivel medio(por ejemplo, calificaciones escolares, resultados de pruebas intermedias, tems digitalesevolutivos).

    Los contratos suscritos deben especificar claramente las responsabilidades de todos los in-tervinientes en la prestacin de los servicios de nube, tanto los clientes como las entidadesque actan como encargados y subencargados del tratamiento. Por ejemplo, se deben de-terminar las responsabilidades sobre las medidas de seguridad que deben implementarse.

    13. El Centro educativo debe tener la opcin de exigir al encargado del tratamiento la portabi-lidad de la informacin a sus propios sistemas, o a otro nuevo encargado de tratamiento,con garantas de la integridad de la informacin.

    A tal efecto debe facilitarse informacin al responsable respecto de la manera de recuperarlos datos, de forma que quede garantizada contractualmente la portabilidad.

    Se debe informar del periodo de retencin de datos antes de su destruccin por finalizacindel contrato.

    El Centro debe poder conocer el procedimiento establecido para la recuperacin de losdatos en caso de posibles contingencias que puedan producirse tanto en las entidadesencargadas del tratamiento como en los subencargados.

    Al finalizar la contratacin el encargado del tratamiento tiene que garantizar al responsablede fichero el borrado seguro de los datos personales donde se encuentren alojados de talforma que se impida su reutilizacin. Adems, deber asegurar el bloqueo o borrado detodos los usuarios para imposibilitar el acceso a la plataforma educativa.

    Se considera una buena prctica que a la finalizacin del contrato se asegure la destruccino devolucin de los datos con un certificado de destruccin o con un acuse de recibo.

  • 7/24/2019 Inspeccion Cloud Educacion

    37/42

    3737

    14. Con carcter general se deberan incluir garantas contractuales respecto de las solicitudesde informacin realizadas a los prestadores de servicio de nube por autoridades de tercerospases (encargados y subencargados del tratamiento), asegurando que no se atendern las

    peticiones que no estn habilitadas por una norma legal y notificando previamente al clientesalvo que exista una ley que disponga lo contrario.

    15. Las plataformas educativas que utilicen recursos compartidos para los Centros educativosde los cuales son encargados del tratamiento debern ofertarse como nubes pblicas ocomunitarias.

    7.3 MEDIDAS DE SEGURIDAD

    16. El Centro escolar deber tener la debida diligencia para que el encargado del tratamientoy, en su caso, los subencargados garanticen el cumplimiento de las medidas de seguridadexigibles.

    En la Gua para Clientes que contraten servicios de Cloud Computingpublicada por estaAgencia para asegurarse del cumplimiento de las medidas de seguridad por parte del en-cargado, se exponen diversos ejemplos:

    que la plataforma educativa disponga de una certificacin de seguridad adecuada, que se acuerde que un tercero independiente audite las medidas de seguridad identifi-

    cndolo e indicando los estndares que aplicar,

    que el Centro solicite informacin sobre cmo se auditarn las medidas de seguridad,

    que el Centro sea informado sobre las incidencias de seguridad que afecten a los datospersonales as como de las medidas adoptadas para resolverlas.

    Deben establecerse procedimientos de colaboracin entre el responsable y los encargadosy subencargados de tratamiento para la implantacin y mantenimiento de las medidas deseguridad, ya que la responsabilidad puede ser, en muchos casos, compartida, por lo quedeben delimitarse contractualmente las responsabilidades de cada uno de ellos.

    El Centro educativo debe adoptar las medidas necesarias para que todos los usuarios delsistema sean conocedores de las polticas del Centro en materia de seguridad.

    http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud.pdfhttp://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud.pdf
  • 7/24/2019 Inspeccion Cloud Educacion

    38/42

    3838

    17. El Reglamento de Proteccin de Datos de Carcter Personal obliga a la elaboracin de unDocumento de Seguridad que recoja las medidas tcnicas y organizativas de obligado cum-plimiento para todo el personal que accede a los datos personales.

    En el caso de que las medidas de seguridad tengan que ser de nivel medio o alto el Centroescolar deber disponer de un Responsable de Seguridad que se identificar en el Docu-mento de Seguridad.

    18. Copias de Respaldo y Recuperacin. En los contratos suscritos se debe especificar la periodi-cidad de las copias de seguridad, el responsable de su realizacin y de la restauracin de lasbases de datos para que el Centro educativo tenga conocimiento del efectivo cumplimientode la normativa de proteccin de datos

    Cuando sean exigibles medidas de seguridad de nivel alto, la plataforma educativa debergarantizar que la copia de seguridad se encuentre en un lugar diferente a la ubicacin delas bases de datos originales.

    19. Gestin de Usuarios. El Centro educativo debe asegurar la debida adecuacin de los per-misos de acceso a datos personales segn el perfil de cada usuario. Para ello, la plataformaeducativa deber colaborar para facilitar la adecuada asignacin de perfiles.

    El responsable del fichero tiene que garantizar la confidencialidad e integridad de las con -

    traseas tanto en la asignacin, como en su distribucin y almacenamiento.El almacenamiento de las contraseas debe realizarse cifrado o utilizar un procedimientoque permita que las contrasea se almacenen de forma ininteligible.

    Cuando las contraseas se distribuyan por correo electrnico debe de establecerse un me -canismo de control que garantice que el receptor del correo sea el titular y exija el cambiode contrasea en el primer acceso.

    Debern implementarse mecanismos que obliguen al cambio de contrasea con cierta pe-

    riodicidad, que en ningn caso ser superior a un ao.En entornos de tratamiento con niveles de seguridad medio y alto es obligatorio establecerun sistema que limite el intento de accesos no autorizados.

    Se considera una buena prctica que el Centro escolar conciencie a sus usuarios sobre lospeligros de la utilizacin de contraseas que no sean lo suficientemente robustas.

  • 7/24/2019 Inspeccion Cloud Educacion

    39/42

    3939

    20. Otros aspectos de las Medidas de Seguridad. El responsable de la plataforma educativa, queacta como encargado del tratamiento de los datos de los Centros, tiene que establecer me-canismos que aseguren que nicamente el responsable del fichero acceda a su informacin,

    garantizando la independencia de los datos.Las plataformas educativas con medidas de seguridad de nivel alto debern establecer parala trasmisin de los datos un canal seguro mediante el cifrado, o bien utilizar un procedi-miento que garantice que la informacin no sea inteligible.

    Cuando se tengan que aplicar las medidas de seguridad de nivel alto es obligatorio que seregistren los accesos realizados a los datos, incluidos los accesos denegados, guardando laidentificacin del usuario, el registro accedido, la fecha y la hora y almacenndose al menosdurante dos aos. Se deber revisar esta informacin como mnimo una vez al mes por elResponsable de Seguridad.

    La utilizacin de sistemas de acceso masivo a los datos, tales como web services, debenrealizarse bajo la misma poltica de seguridad que el resto de los procedimientos incluidosen la plataforma.

    21. En las apps para mviles sera conveniente que se solicitar la identificacin y autenticacindel usuario en cada uno de los accesos a la aplicacin, no quedndose almacenada en eldispositivo la identificacin suministrada en el primer acceso.

    Como medida de seguridad adicional, sera una buena prctica que los accesos desde appsse asociasen a los dispositivos, de tal manera que si un usuario se identifica en la plataformaa travs de otro dispositivo distinto al habitual se le solicite una autenticacin adicional.

    22. Dado que la gestin de las medidas de seguridad implementadas es una responsabilidadcompartida entre los Centros y las plataformas educativas, los primeros tienen la obligacinde realizar las auditoras respecto de las medidas de seguridad que administran.

    Asimismo, debern asegurarse de que tanto el encargado del tratamiento como los su-bencargados, en su caso, realicen las auditoras exigidas en la normativa de proteccin dedatos.

  • 7/24/2019 Inspeccion Cloud Educacion

    40/42

    4040

    8. GLOSARIO DE TRMINOS

    CMS(Content Management System): Sistema de Gestin de Contenidos. Son aplicaciones infor-mticas que se utilizan principalmente para facilitar la creacin y gestin de contenidos de pginas

    web de cualquier mbito.Cloud Computing (Computacin en nube): propuesta tecnolgica que permite ofrecer comoservicio a travs de internet todo lo que puede ofrecer un sistema informtico en general.

    CPD: Centro de Proceso de Datos. Son los locales en los que se ubican los recursos informticosde una organizacin, ya sea para uso propio o para ofrecerlos como servicio.

    EVA: Entorno Virtual de Aprendizaje. Espacios virtuales donde se incorporan contenidos educati-vos, actividades, tareas, evaluaciones e incluso facilita la comunicacin entre los usuarios.

    IaaS(Infrastructure as a Service): infraestructura como servicio, donde el servicio contratado con-siste bsicamente en almacenamiento, capacidad de proceso (mquinas) y servicios de red, parala consecucin de una infraestructura en nube con el objeto de utilizarla con aplicaciones propiaso directamente sirvindose de su capacidad de almacenamiento, proceso y conectividad.

    INTEF: Instituto Nacional de Tecnologas Educativas y de Formacin del Profesorado del Ministeriode Educacin, Cultura y Deporte.

    LCMS(Learning Content Management Systemso LCMS): sistemas de gestin de contenidos parael aprendizaje. Combinan los sistemas LMS y CMS, permitiendo la creacin y reutilizacin de con-tenidos (objetos de aprendizaje), su publicacin en las webs y el seguimiento de los usuarios quelos utilizan.

    LMS(Learning Management Systems):Sistemas de Gestin de Aprendizaje, que permiten imple-mentar comunicaciones y el seguimiento de acciones de formacin, permitiendo interaccin entrelos profesores y sus alumnos.

  • 7/24/2019 Inspeccion Cloud Educacion

    41/42

    4141

    LOPD: Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

    MOODLE: software abierto de distribucin libre, completamente modificable y personalizableque ayuda a los educadores a crear Entornos Virtuales de aprendizaje (EVA).

    Nube:metfora que alude aunespacio virtual en internet en el cual se localizan los datos, apli-caciones o mquinas virtuales, accesibles desde cualquier ubicacin o dispositivo.

    PaaS(Platform as a Service): Plataforma como Servicio. El servicio contratado consiste en un en-torno de desarrollo y las herramientas de programacin para que el cliente pueda desarrollar ygestionar aplicaciones propias en nube.

    Plataformas de Aprendizaje: permiten lacreacin de entornos de trabajo colaborativos entreel profesorado y el alumnado facilitando la gestin de cursos virtuales o Entornos Virtuales de

    aprendizaje (EVA).Plataformas de Gestin Educativa: ofrecenfuncionalidades que permiten gestionar los pro-cedimientos administrativos a los Centros educativos y la comunicacin entre los diferentes inte-grantes del Centro.

    SaaS(Software as a Service): Software como Servicio, donde el servicio contratado consiste enuna aplicacin informtica (software) prestada en nube.

    Virtualizacin: simulacin a travs de software de un recurso informtico determinado, siendoutilizable y visible como si fuera el recurso fsico en cuestin.

    VLE (Virtual Learning Environment): Entorno Virtual de Aprendizaje (ver EVA).

    Web Services: tecnologa que sirve para intercambiar datos entre diferentes equipos y aplica-ciones, de tal modo que incluso aplicaciones desarrolladas con distintas tecnologas y sobre pla-taformas distintas, pueden utilizar web servicespara intercambiar datos a travs de redes comointernet.

  • 7/24/2019 Inspeccion Cloud Educacion

    42/42

    www.agpd.es

    http://www.agpd.es/http://www.agpd.es/