Los 11 Principios de la ISO 29187: Un Estándar para la Confianza en Sistemas E-learning

Por Sandra Sturla*, Diseñadora Instruccional del Centro de Innovación Latinoamericana en Tecnología Educativa – CILTE

En la era del e-learning y las plataformas educativas sofisticadas, los datos de los estudiantes (calificaciones, progreso, patrones de estudio e incluso biometría) se han convertido en activos valiosos.

Sin un marco de protección claro, esta riqueza de información representa un riesgo de privacidad significativo. Para abordar este desafío global, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) publicaron la norma ISO/IEC 29187-1:2013.

ISO/IEC 29187-1:2013: El Marco de Referencia

Este estándar proporciona un marco de referencia y un modelo para la identificación de los requisitos de protección de la privacidad en cualquier actividad o norma de Tecnología de la Información para el Aprendizaje, la Educación y la Formación (AEF).

No se trata de un manual técnico de cómo construir una base de datos, sino de un conjunto de principios fundamentales que deben guiar cualquier «Transacción de Aprendizaje», es decir, el conjunto de actividades que se inician para lograr un objetivo educativo.

Los 11 Principios Rectores de la Privacidad

El corazón de la norma son once principios que cualquier proveedor de AEF (universidades, escuelas o desarrolladores de LMS) debe incorporar para proteger al individuo (el aprendiz):

1. Prevención de Daños: Diseñar la protección para prevenir el uso indebido de la información personal.
2. Responsabilidad (Accountability): El proveedor de AEF es responsable y debe ser capaz de demostrar el cumplimiento de los principios.
3. Identificación de Propósitos: Los fines de la recopilación de datos deben identificarse y deben ser el objetivo explícito de la transacción de aprendizaje.
4. Consentimiento Informado: Se requiere el consentimiento explícito e informado del aprendiz para la recopilación y cualquier uso secundario de sus datos.
5. Limitación de la Recolección: La recopilación de datos debe ser limitada y sólo la estrictamente necesaria para cumplir el propósito especificado.
6. Limitación de Uso, Divulgación y Retención: Los datos no deben usarse ni divulgarse para otros fines, ni retenerse por más tiempo del necesario, sin consentimiento o requisito legal.
7. Precisión (Accuracy): La información personal debe ser tan precisa, completa y actualizada como sea necesario para los fines para los que se utiliza.
8. Salvaguardias: El proveedor debe implementar procedimientos y salvaguardias apropiadas (técnicas y organizativas) para proteger la información según su nivel de sensibilidad.
9. Apertura (Openness): Las políticas de gestión de la información personal deben ser transparentes, estar disponibles y ser de fácil acceso al público.
10. Acceso Individual: El aprendiz tiene derecho a saber si un proveedor de AEF posee información personal sobre él y a solicitar el acceso y la corrección de dicha información.
11. Impugnación del Cumplimiento: El individuo tiene derecho a cuestionar y desafiar el cumplimiento de los requisitos de protección de la privacidad por parte del proveedor de AEF.

El Pilar de la Implementación: Privacidad desde el Diseño

La pregunta clave es: ¿Cómo se implementan estos principios en la práctica? La respuesta reside en el concepto moderno de Privacidad desde el Diseño (Privacy by Design o PbD).

La Privacidad desde el Diseño es un enfoque proactivo que exige que la protección de la información personal se integre de forma nativa en la arquitectura y el diseño de los sistemas, servicios y procesos tecnológicos, desde la fase inicial de desarrollo. No es una característica que se añade al final; es un componente fundamental.

PbD Aplicada a un LMS:

1. Por Defecto (Default): El sistema debe venir con la configuración más estricta de privacidad. Por ejemplo, la visibilidad del perfil de un estudiante en un LMS debe ser privada por defecto, y solo el estudiante puede optar por hacerla pública.
2. Minimización de Datos: El diseño del sistema debe limitar la recolección de datos al mínimo necesario (Principio 5 de la ISO). Si una plataforma solo necesita un correo electrónico, el campo para el número de teléfono simplemente no debe existir.
3. Integración Total: La seguridad (cifrado, control de acceso) debe ser una capa intrínseca de la plataforma y no un módulo externo.

Al adoptar la Privacidad desde el Diseño, las instituciones no solo cumplen con la letra del estándar ISO/IEC 29187-1, sino que también construyen una base de confianza con sus estudiantes, un elemento crucial para el éxito de cualquier programa de educación digital.

Conclusión

La norma ISO/IEC 29187-1:2013 y el concepto de Privacidad desde el Diseño son indispensables para el futuro de la educación. El estándar proporciona el «qué» (los 11 principios éticos), mientras que el PbD proporciona el «cómo» (la metodología de ingeniería). Juntos, garantizan que, mientras la tecnología impulsa el aprendizaje, la privacidad y los derechos del estudiante nunca se queden atrás.

 

Referencias

Organización Internacional de Normalización (ISO) & Comisión Electrotécnica Internacional (IEC). (2013). Information technology — Identification of privacy protection requirements pertaining to learning, education and training (LET) — Part 1: Framework and reference model (ISO/IEC 29187-1:2013). Recuperado de https://www.iso.org/standard/45266.html

Agencia Española de Protección de Datos (AEPD). (2020). Guía: Privacidad desde el Diseño. Recuperado de https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf

 

 

* Sandra es Profesora de Inglés y Especialista en Tecnología Educativa con formación y desempeño en espacios y temas relacionados con la Neurosicoeducación,el Diseño Universal para el Aprendizaje y la Educación a Distancia. Es maestranda del Máster en Ciencia, Tecnología e Innovación de la UNRN. Es miembro de distintas organizaciones educativas a nivel internacional y se desempeña como docente a nivel terciario y universitario. Es parte del equipo de Cilte desde el 2022.