Excepciones del RGPD en Moodle

Los términos y condiciones de uso son un canal unidireccional, de la institución al estudiante, en el que este último puede aceptar o declinar el contrato. En caso de aceptar, el estudiante puede ejercer sus derechos. De entre los derechos otorgados por el RGPD, el derecho a la oposición de tratamiento plantea una cuestión esencial, ¿puede

un estudiante objetar en un curso, pero no en otro? Esto se resume en cuestiones de granularidad en el anonimato, de manera que un mismo estudiante pueda querer ser anónimo en un curso y en otro no. La granularidad en los EVA es una de las cuestiones que se debate en la investigación como camino a continuar.

La anterior cuestión abre una serie de conversaciones con el consultor especialista en cuestiones de protección y confidencialidad de datos personales asignado por La Salle Campus Barcelona. Se plantea la cuestión y se detecta que esta granularidad se considera una excepción fuera de lo común.

D. Amo: …Solamente una última aclaración. En mi tesis indico que en Moodle un usuario puede aceptar distintos acuerdos legales y que estos acuerdos legales pueden estar asociados a un curso. Por tanto, podría ser que para cada curso el usuario tenga que aceptar un acuerdo legal con condiciones distintas. Entiende que el derecho a oposición le permitiría al usuario oponerse al tratamiento de un curso concreto ero permitirlo en otro, ¿o estoy equivocado?...

Consultor La Salle: …No sería demasiado lógico que una institución tuviera condiciones de uso en espacios distintos que difirieran o se contradijeran…. El único matiz que puede introducir el usuario es este derecho de oposición al tratamiento, que lo ejercen personas que tienen derecho a que su identidad sea preservada (por ejemplo, policías) o que hayan sufrido problemas de violencia de género... El derecho a la oposición al tratamiento, en su ejercicio, queda a criterio de cada persona, por tanto, podría exigir para un ámbito y no para otro ámbito…

(Consultor La Salle, comunicación personal, 20 de junio del 2019)

En la entrevista se evidencia que tal granularidad es posible y necesaria, pero que se consideran excepciones. No obstante, las excepciones deben ser solucionables. Para conocer el estado de la cuestión y cómo se aborda en Moodle se realizan dos pasos. El primero conocer qué funcionalidades dispone Moodle en cuanto al RGPD y el segundo contrastar el estado del tratamiento con un partner de Moodle.

III.2.1.1. Cómo Moodle se adecua al RGPD

Las soluciones aportadas por el propio Moodle en cuanto a la adaptación de su plataforma al RGPD son en formato de plugins. Por una parte, pone a disposición el plugin Policies (Téllez & Moodle HQ, 2018). Por otra parte, pone a disposición el plugin Data Privacy (Moodle HQ, Pataleta, & Monllaó, 2018). Ambos plugins resuelven algunos aspectos apuntados por el RGPD, sin embargo, tal y como se ha señalado, no permite que un usuario sea anónimo.

El plugin Policies proporciona:

• Un nuevo proceso de inicio de sesión de usuario.

• Definir múltiples políticas (sitio, privacidad, terceros).

• Realizar un seguimiento de los consentimientos del usuario.

• Gestionar las actualizaciones y versiones de las políticas.

El plugin Data Privacy proporciona:

• El flujo de trabajo para que los usuarios envíen solicitudes de acceso y borrado de datos.

• Opciones de procesado de las solicitudes de usuarios a los administradores del sitio y los delegados de protección de datos.

• Definir un periodo de retención de los datos almacenados en un sitio Moodle.

Los dos plugins ofrecidos por Moodle permiten las gestiones generales en cuestiones de protección de datos. No obstante, ofrecen una aproximación de todo o nada, donde los estudiantes solo tienen la opción de aceptar todas las condiciones si quieren entrar en la plataforma de aprendizaje. Las excepciones en Moodle no se pueden solucionar ya que no existe una funcionalidad que lo permita.

Tras analizar las soluciones aportadas por Moodle se realiza una entrevista con el partner de Moodle 3iPunt (“3iPunt,” 2019). En dicha sesión, se coincide en que Moodle no permite salvar las excepciones que plantea el RGPD (T. Llorach, comunicación personal, 3 de julio del 2019). En definitiva, es una característica no desarrollada en Moodle, los partners de Moodle son conscientes y se requiere una solución al respecto.

III.2.1.2. Propuesta de desarrollo

En consideración a la sección anterior, se propone una solución que resuelva el problema de la granularidad y excepciones en Moodle. Se selecciona desarrollar un plugin debido a las posibilidades de este formato en contraposición a otras, como sería la modificación de librerías del núcleo de Moodle o partes implicadas en el tratamiento de datos. Para el desarrollo del plugin se consideran las siguientes premisas:

• Modificar las bibliotecas del núcleo de Moodle crearía una versión alternativa de la plataforma, de la misma manera que modificar otras partes del código.

Se quiere evitar modificar el código fuente de Moodle.

• No se desea crear una nueva plataforma, o un parche de actualización, sino un añadido que resuelva el problema de forma fácil, incluido para gestores de Moodle de un perfil técnico bajo.

• Un plugin permite:

o Instalarse y desinstalarse a conveniencia por el administrador del sistema.

o Instalarse en pasadas, presentes y futuras instalaciones de Moodle.

o Una facilidad de mantenimiento superior del código a lo largo del tiempo.

o Publicarse en el repositorio de Moodle y llegar a más instalaciones que sufran del problema.

o Desarrollar un prototipo funcional en base a los dos plugins de privacidad de Moodle. Construir sobre unas funcionalidades ya testeadas es más rápido que desarrollar sin referencia.

Se añade que el formato plugin tiene mejor aceptación tanto para los administradores de Moodle como el mismo Moodle, que una modificación del núcleo. En definitiva, un plugin permite ser instalado y desinstalado a discreción de la institución educativa o del administrador.

El problema de la granularidad del RGPD en Moodle implica que un estudiante pueda ejercer el derecho de oposición al tratamiento en un curso, pero no en otro (ver III.2

Excepciones del RGPD en Moodle). La solución que se aporte debe abordar el tema de manera que:

• Se fácil de comprender por parte de los interesados (responsables de datos, delegado de protección de datos, institución educativa, administradores, profesores y estudiantes).

• Los interesados se sientan cómodos con la solución.

• La gestión y uso de la solución debe ser fácil de realizar por los interesados.

Se plantea otorgar a un estudiante una segunda identidad, puesto que permite que:

• Un estudiante tenga un alias que no lo identifique.

• Un estudiante actúe en el anonimato libremente y con normalidad.

• Profesores, responsables de los datos y delegados de protección de datos gestionen fácilmente las dobles identidades tanto dentro de Moodle como fuera.

• Se generen distintos niveles de anonimato, en los que incluso el profesor pudiera no saber la identidad real del estudiante que participa en su curso.

En este sentido, se ejecuta un proceso de experiencia de usuario para:

• Contrastar la idea del alias con agentes legales.

• Comprobar qué nivel de confianza confiere esta aproximación.

• Desarrollar el plugin a partir de la recolección de percepciones de distintos perfiles educativos.