Un panorama normativo cambiante: protección en la educación

Manejar las presiones de la protección en la educación no es una tarea fácil. Con un número creciente de alumnos en el sistema, recortes de fondos, casos de delitos y presiones para hacer un mayor uso de la tecnología avanzada, los líderes senior ya enfrentan una serie de desafíos para mantener o mejorar la seguridad de los estudiantes.

Varias instalaciones han integrado sistemas de seguridad avanzados como CCTV en las escuelas y control de acceso en las universidades para ayudar a aliviar la carga de mantener seguros a las personas y los activos. Con el aumento de las capacidades de esta tecnología y la adopción continua en aumento, el panorama regulatorio está evolucionando para coincidir, con organismos como la Oficina del Comisionado de Información (ICO) y ATL, The Education Union que actualizan las pautas relacionadas con las tecnologías de vigilancia.

Beneficiándose de una conectividad mejorada y una alta calidad de imagen, los sistemas de seguridad también están capturando grandes cantidades de datos. A partir de mayo de 2018, las organizaciones educativas deberán cumplir con la Reglamento general de protección de datos (GDPR), que reemplaza la Ley de Protección de Datos de 1998 y está diseñada para salvaguardar la forma en que las instituciones capturan, manejan y reportan la Información de Identificación Personal (PII). Si bien las organizaciones más grandes tienen equipos dedicados a los procesos regulatorios, responsables del inventario detallado de datos y proyectos de mapeo, uno solo puede comenzar a imaginar el alcance del desafío en el sector de la educación y particularmente para aquellos Academy Trusts que han asumido nuevas Academias en los últimos dos. años. De hecho, es probable que la adherencia sea un desafío para varias organizaciones, y los analistas de Gartner predicen que para fines de 2018, más del 50 por ciento de las empresas afectadas por el RGPD aún no lo cumplirán por completo.¹

Seguridad de datos en educación

Debido a la naturaleza a menudo sensible de la información capturada o procesada por los sistemas de educación, que van desde imágenes de niños hasta resultados de exámenes, es probable que el sector sea sometido rápidamente a un examen detenido. Bajo GDPR, las violaciones de datos deben informarse a las autoridades correspondientes dentro de las 72 horas y deben implementarse políticas sólidas de portabilidad de datos. Además de esto, las autoridades públicas también deben contratar a un delegado de protección de datos. La necesidad de encontrar e invertir en un miembro del personal para que cumpla con esta función internamente puede resultar un desafío, especialmente en un momento en que los presupuestos para escuelas, academias y universidades se están reduciendo. Por lo tanto, se espera que muchas organizaciones educativas busquen ayuda de terceros para administrar la seguridad de los datos, con conocimiento de las posibles sanciones por incumplimiento. Si bien la Ley de Protección de Datos vio multas máximas de hasta £ 500,000, GDPR conlleva multas de hasta € 20 millones o el 4% de la facturación anual del grupo de una institución (lo que sea más alto).

En última instancia, las regulaciones y los consejos abiertos al mercado están ahí para salvaguardar los datos de los estudiantes y el personal, además de simplificar los entornos regulatorios para las instituciones. Un elemento recurrente a lo largo de los diversos estándares y guías regulatorias es que todos los datos deben estar suficientemente protegidos para evitar una violación, incluida una consideración cuidadosa de la seguridad técnica, organizacional y física. Con el uso cada vez mayor de tecnología de seguridad de alta gama que a menudo está conectada a una infraestructura de TI más amplia, la realización de un chequeo integral de los sistemas relevantes será clave para garantizar la seguridad de las personas, los activos, los sistemas y los datos. En última instancia, esto demostrará que la institución educativa no solo gestiona eficazmente el riesgo organizativo, sino que también fomenta las mejores prácticas.

¹http://www.continuitycentral.com/index.php/news/erm-news/1960-many-organizations-are-unprepared-for-gdpr-gartner