La ICO ha emitido una amonestación al Departamento de Educación de Reino Unido en relación a un mal uso de datos personales de menores.
Tras una investigación llevada a cabo sobre el uso por parte de Trust Systems Software UK Limited de una base datos con registros de aprendizaje de alumnos, la ICO ha considerado que el Departamento de Educación de Reino Unido no ha cumplido con la diligencia debida. La empresa de verificación, que operaba bajo el nombre Trustopia, empleaba dicha base de datos para comprobar si las personas que se creaban cuentas de juego en línea tenían más de 18 años. La utilización de esta base de datos con estos fines implicaba que los datos no se estaban tratando con el propósito inicial para el que fueron recogidos, de manera que se estaba infringiendo la normativa de protección de datos. Esta práctica se prolongó en el tiempo y se estima que afectó a 28 millones de menores. La ICO ha emitido así una amonestación al Departamento de Educación en consecuencia, y ha fijado una serie de medidas que deben implementarse para mejorar las prácticas de protección de datos y asegurar que los datos de los niños se protegen de manera adecuada. También se abrió una investigación a la empresa de verificación, que ya dejó de tener acceso a la base de datos y ahora se ha disuelto.
La investigación de la ICO se inició después de que el Departamento de Educación de Reino Unido comunicase una brecha de datos personales donde se describía un acceso no autorizado a la base de datos de registros de aprendizaje
El Departamento de Educación descubrió la brecha a través de un periódico y fue entonces cuando notificó la misma a la ICO. Por aquel entonces eran 12.000 las organizaciones que tenían acceso a la base de datos, incluida Trustopia. La investigación de la ICO reveló que Tristopia tivo acceso a la base de datos desde septiembre de 2018 hasta enero de 2020 y realizó 22.000 búsquedas con fines de verificación de edad durante ese período. Muchas de las organizaciones incluían escuelas, colegios, institutos, universidades y otros proveedores de educación. El principal propósito para acceder a estos registros debía ser la Verificación de las cualificaciones académicas y los requisitos de elegibilidad para recibir fondos. Sin embargo, según la ICO, la utilización de estos datos para ayudar a compañías de juego en línea es inaceptable. La ICO consideró que los procesos del Departamento de Educación a estos efectos eran insuficientes.
Desde entonces, el Departamento de Educación ha llevado a cabo una serie de pasos para mejorar sus prácticas de protección de datos.
La ICO ha llevado a cabo una serie de recomendaciones al Departamento de Educación de Reino Unido desde 2020, cuando una auditoria reveló fallas en sus políticas y prácticas. Si bien no se impuso una multa porque el dinero volvería al gobierno, la ICO destacó la gravedad de los errores de esta naturaleza y requirió al Departamento de Educación a corregirlos de manera urgente. La ICO reconoce que, desde el incidente, el Departamento de Educación ha revocado el acceso a la base de datos a 2.600 organizaciones y ha reforzado el proceso de registro. El Departamento de Educación también ha resuelto realizar comprobaciones para búsquedas excesivas en la base de datos y eliminar de manera proactiva a las organizaciones que no la utilizan.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.