Los colegios y universidades están entre las principales instituciones que fiscaliza la Autoridad Nacional de Protección de Datos (ANPD), entidad que depende del Ministerio de Justicia y Derechos Humanos (Minjus), dada la sensibilidad de los datos que manejan. Solo en 2024 se fiscalizaron 454 entidades públicas y privadas, 100 de las cuales eran entidades educativas y sitios web. Atendiendo a ello, eBIZ e IALaw organizaron un eBIZ Campus sobre el Nuevo Reglamento de la Ley de Protección de Datos Personales que acaba de entrar en vigencia el mes pasado.
La presentación estuvo a cargo de Fátima Toche Vega, socia y gerente legal del estudio IALaw, quien consideró que esta modificación del reglamento que entró en vigor el 30 de marzo del 2025 ha sido integral. «Si bien mantiene muchos aspectos del reglamento anterior, yo creo que ha sido una modificación bastante profunda, no necesariamente de temas novedosos, sino de criterios que ya utilizaba la autoridad de datos personales en los procedimientos sancionadores», comentó.
Entre las modificaciones más relevantes comentó que hay algunas mejoras en las definiciones que se manejan. En el caso de «Datos Personales» ahora se incluye la información numérica, alfanumérica, gráfica, fotográfica y acústica, hábitos personales de localización, identificadores en línea, y cualquier otro tipo de dato concerniente a aspectos físicos, económicos, culturales o sociales, incluyendo hasta tatuajes.
Los colegios y universidades, dada la delicadeza de los datos que manejan de sus alumnos, deberán tener un oficial de datos personales, quien será el punto de enlace entre la ANPD y ellos. En el caso de colegios católicos, que pertenecen a una misma congregación religiosa, podrían tener un único oficial de datos personales, aclaró, porque basta con un representes por grupo empresarial.
En relación con los incidentes de seguridad de datos ahora se considera a cualquier vulneración que pueda ocasionar destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada de dichos datos. Además, dijo, los responsables deben notificar a la autoridad dentro de las 48 horas posteriores a haber tomado conocimiento del incidente que generé la exposición de grandes volúmenes de datos, más aún si son datos sensibles, como por ejemplo condiciones de salud.
Remarcó que la notificación se realiza cuando se tiene conocimiento de la brecha y se ha comprobado que existe y no se trata de una falsa alarma. «A veces la empresa no se entera hasta que alguien lo notifica en redes sociales o en la dark web y hay que verificar la veracidad de las acusaciones», señaló al tiempo de remarcar la importancia de hacer una pericia técnica para ver si realmente hay una fuga de información.
Fátima Toche alertó que no está detallado a qué se le puede considerar gran volumen de datos, pero, en su interpretación, los colegios sí entran en la categoría de quienes deben notificar si sucede un incidente que afecte sus bases de datos en las 48 horas desde que tienen constancia de la brecha, sobre todo porque manejan datos sensibles de menores de edad y su exposición afecta sus derechos fundamentales.
Los centros educativos, explicó, han de elaborar un informe incluyendo un reporte de las posibles consecuencias del incidente de seguridad y las medidas adoptadas o propuestas por el titular de la base de datos para poner remedio a la violación de seguridad. Al interno se debe registrar una especie de bitácora de todos los incidentes, incluso los que no requieren ser notificados, por si se da una fiscalización de la ANPD. También se debe informar al titular del dato que ha sido expuesto, incluyendo los padres cuando se trata de menores. Y si se publica el Reglamento de la Ley de Confianza Digital, es posible que también deban enviarlo al registro nacional de incidentes del Centro Nacional de Seguridad Digital (CNSD).
Dado que el reglamento incluye el principio de responsabilidad proactiva, pueden tener un atenuante de responsabilidad en las sanciones si es que se acredita que se realizaron los mejores esfuerzos para cumplir con la normativa. Esa responsabilidad proactiva se demuestra a través de las evaluaciones de impacto a la Protección de Datos Personales. Es algo facultativo, pero si el colegio termina siendo objeto de una investigación puede ser de gran ayuda.
No se especifica cómo debe ser el informe por elaborar, aclaró, pero la referencia son los reportes de impacto que se realizan en distintos países del mundo, como México, Argentina o España, que toman como referencia la ISO 27005. Se ha de incluir la descripción del tratamiento previsto, es decir, cómo voy a utilizar estos datos para la gestión del servicio educativo, porqué los necesito, cómo superviso su manejo y si tengo suficientes medidas de protección. «Todos deberían tener la ISO 27001. La norma no te obliga a tener un ISO, pero si cumples con los requisitos de la ISO 27001, cumples con las medidas de seguridad que te pide la norma», acotó.
«Si bien mantiene muchos aspectos del reglamento anterior, yo creo que ha sido una modificación bastante profunda, no necesariamente de temas novedosos, sino de criterios que ya utilizaba la autoridad de datos personales en los procedimientos sancionadores», comentó Fátima Toche.
Aclaró que, si se contrata una plataforma de terceros para el almacenamiento de información de sus alumnos o trabajadores, la institución educativa sigue siendo la responsable de estos: si ocurre una fuga, el colegio será sancionado. Es importante, dijo, tener un buen contrato con ese proveedor para asegurarse que adopte todas las medidas de seguridad que exige el reglamento. Ese tercero los tiene que informar rápidamente si hay algún incidente de seguridad para poder cumplir con notificar la brecha a la ANPD.
Un nuevo cargo
Los colegios y universidades, dada la delicadeza de los datos que manejan de sus alumnos, deberán tener un oficial de datos personales, quien será el punto de enlace entre la ANPD y ellos. En el caso de colegios católicos, que pertenecen a una misma congregación religiosa, podrían tener un único oficial de datos personales, aclaró, porque basta con un representes por grupo empresarial.
Dicho oficial debe ser entendido en la materia, pero no necesita dedicarse de manera exclusiva a dicho cargo, sino que puede realizar también otras labores en la institución educativa. Además, señaló Fátima Toche, se puede contratar a un tercero, externo a la organización, para que realice la labor de informar y asesorar a la institución educativa. También deberá verificar el cumplimiento del reglamento y prestar atención a los riesgos asociados al tratamiento de los datos, buscando siempre mejorar su protección con políticas adecuadas de gestión de accesos y privilegios, incluyendo procedimientos de identificación y autenticación.
El oficial debe verificar que se cumpla con el principio de transparencia y de responsabilidad proactiva, es decir que se cumpla con el estándar y hagan los mejores esfuerzos para informar al alumno y los docentes sobre cómo se usan los datos personales y qué medidas de seguridad se adoptan para protegerlos. Así mismo, explicó que se deberá informar a los ciudadanos si se usa un programa automático que maneja los datos, incluido el software que elabora perfiles o programas de inteligencia artificial (IA).
En cuanto a sus obligaciones formativas, está colaborar con el fomento del conocimiento del derecho a la Protección de Datos Personales de niñas, niños y adolescentes, incluyendo buscar que sea una materia de la currícula del colegio. En relación a la portabilidad de datos, esta será obligatoria cuando un niño cambia de colegio, citó como ejemplo Fátima Toche, siempre que se tengan los medios para hacerlo de forma digital, de lo contrario el oficial deberá demostrar que es inviable con los recursos que se maneja.
