Los centros educativos ocupan una posición especial en nuestra sociedad; les confiamos a nuestros hijos e hijas para que forjan su futuro. A medida que un número cada vez mayor avanza hacia la digitalización, escuelas, colegios, institutos y universidades se enfrentan a un nuevo reto: ¿cómo proteger la vida digital de su alumnado?

Muchas de las organizaciones especializadas en impartir formación han empezado a reevaluar las decisiones precipitadas que se tomaron durante las primeras semanas de la pandemia de coronavirus. Ante la necesidad de un rápido despliegue de la tecnología para la educación en casa, muchos recurrieron a los grandes gigantes de la tecnología como Microsoft, Google y Amazon en busca de soluciones. Ahora surgen preguntas en torno a la privacidad.

Hay un problema fundamental: los servicios en la nube de Estados Unidos, como son por ejemplo los que prestan Microsoft o Google, simplemente no cumplen con la normativa de privacidad de la Unión Europea. Los europeos han utilizado Microsoft 365 y han confiado en él durante mucho tiempo, pero en los últimos dos años las prácticas en la gestión de datos realizadas por la empresa han sido objeto de un gran escrutinio, un examen a fondo cuyos resultados interesan no sólo a particulares, también a organizaciones públicas y empresas.

Amenaza para la infancia
Debido a leyes como la Cloud Act y a los programas de vigilancia del gobierno estadounidense, las empresas tecnológicas como Microsoft deben proporcionar acceso a los datos de los ciudadanos europeos, incluso si esos datos están alojados en la UE. Esta práctica supone una gran amenaza para la privacidad de los datos de los ciudadanos europeos. Especialmente cuando hablamos de menores de edad.

Las empresas tecnológicas como Microsoft se deben supeditar a la legislación estadounidense, como la Ley Cloud. Esta norma, que regula la vigilancia y la transferencia de datos europeos que entran en EEUU, otorga a los gobiernos de ese país un acceso completo a los datos de los extranjeros, lo que supone una gran amenaza para la privacidad de los datos de los ciudadanos europeos.

A pesar de los esfuerzos que en julio de 2020 llevaron a la firma de un acuerdo de privacidad transatlántico, llamado Privacy Shield, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó contra aquel pacto. ¿El motivo? No cumple con los derechos de privacidad europeos y el RGPD (Reglamento General de Protección de datos o GDPR, por sus siglas en inglés).

La sentencia de TJUE se mantiene hasta el día de hoy. Sin embargo, seguimos viendo Microsoft 365 en la UE, cuando su uso con datos personales acarrea un importante riesgo de incumplimiento para gobiernos, centros de formación y empresas. El uso de los servicios en la nube de EEUU con datos sensibles no solo supone un riesgo de multas importantes, según el RGPD, sino que pone a los datos de empleados, estudiantes y clientes en riesgo de transferencias ilegales, manipulación y pérdida.

Microsoft 365, prohibido
Varios países han empezado a tomar medidas para proteger los datos de sus empleados y estudiantes. Por ejemplo, En Baden-Württemberg, un Estado al suroeste de Alemania, Microsoft 365 está definitivamente prohibido. Esto es así después de que fracasara una operación piloto para probar las configuraciones y normas de protección de datos de 365. Ahora, tienen un plan para alejarse de Microsoft y apostar por soluciones competentes en materia de datos, como son Nextcloud, Moodle y BigBlueButton.

Los gobiernos sueco y holandés también han llegado a sus propias conclusiones sobre las fugas de datos de los servicios en la nube estadounidenses y el cumplimiento del reglamento europeo sobre protección de datos. En los Países Bajos, un informe del Ministerio de Justicia señalaba que el uso de la solución de Microsoft “suponía un alto riesgo para la privacidad de los usuarios”. En Suecia, la oficina de contratación pública confirmó que el uso de servicios prestados por entidades controladas por EEUU supone una infracción del reglamento europeo, tanto es así que no se pueden utilizar para información confidencial ni datos personales.

Por este motivo, los centros educativos europeos han gravitado hacia el autoalojamiento en una plataforma de colaboración como solución a este problema. Por ejemplo, en Suecia, la NREN (organización nacional de investigación y educación) trabaja con su proveedor Safespring para ofrecer al sector académico sueco, de más de 750.000 usuarios, una nube privada personalizada bajo el nombre de Sunet Drive. En Francia, una organización pública de servicios digitales, SIB, ofrece una nube gestionada localmente para 33.000 alumnos y 2.500 profesores de centros de enseñanza media en Bretaña. Del mismo modo, Luxemburgo despliega la plataforma de código abierto Nextcloud a 15.000 profesores, y la ciudad de Berna la proporciona a sus escuelas. Esta solución de código abierto y alojada localmente ofrece a los centros educativos un control total sobre los datos de sus alumnos. Y se ha convertido en el principal competidor de las grandes empresas tecnológicas en el ámbito de la educación.

Está claro que los centros educativos han empezado a abordar su problema de cumplimiento normativo. También en España, varios institutos se empiezan a alejar de Microsoft y Google. El Ayuntamiento de Barcelona ha decidido dejar de utilizar productos de esas empresas en los colegios, a fin de proteger a los alumnos. Y en Canarias, los abogados Luis Fajardo y Manuela Battaglini advierten de los riesgos de entregar datos sensibles de los estudiantes a una empresa que “hace negocio” con ellos.

Al desplegar plataformas locales de código abierto como Nextcloud, Moodle, Collabora y otras, los gobiernos de la Unión Europea están devolviendo los datos de sus hijos a las costas europeas. Y con ello están salvaguardando su futuro.

Alba Mayoral Pacheco es directora regional de Marketing en Nextcloud (en Twitter, @nextcloudesp) empresa alemana que desarrolla software de código y que ofrece servicios para el alojamiento de archivos en la nube a particulares, empresas y organizaciones públicas.