#Totara TXP

El RGPD fácil, cuidar de los datos de tus usuarios en tu plataforma elearning

1 de marzo de 2023
11 min

Por Daniel Ribes, Senior PHP Developer, en Actua Solutions

El RGPD es el reglamento europeo para regular la protección, tratamiento y circulación de datos personales que tiene que cumplir cualquier empresa de la Unión Europea o que tenga actividades comerciales en un país de la UE.

Seguro que en tu empresa ya se han adoptado las medidas y procedimientos para gestionarlo, pero el RGPD afecta especialmente a las plataformas de elearning por la cantidad y tipos de datos que éstas recopilan de los usuarios.

Por este motivo es importante tener claro cómo lo gestiona nuestra plataforma de elearning, así evitaremos que los procedimientos que exige esta legislación no se conviertan en un dolor de cabeza.

¿A qué nos enfrentamos? El RGPD define 3 categorías de datos:

  1. Datos de carácter personal
  2. Datos de categorías especiales
  3. Datos personales de naturaleza penal

Y regula 8 derechos de los usuarios con sus datos:

  1. Derecho de acceso
  2. Derecho de rectificación
  3. Derecho de oposición
  4. Derecho de supresión (al olvido)
  5. Derecho a la limitación del tratamiento
  6. Derecho a la portabilidad
  7. Derecho a no ser objeto de decisiones individuales automatizadas
  8. Derecho de información

Como puedes imaginar es fácil que en la plataforma elearning se recopilen muchos datos de la primera categoría “Datos de carácter personal” ya que son el grupo de datos que permiten identificar a una persona física: nombre, correo electrónico, teléfono, DNI, información laboral, información académica, etc. Datos que habitualmente conforman lo que llamamos el “perfil del usuario”.

Pero ¿Cómo se tratan estos datos más allá del uso funcional de la plataforma? Y especialmente ¿Cómo se garantizan los derechos de los usuarios con sus datos?

Este es un aspecto muy importante porque es básicamente sobre el que se sustenta el RGPD y si no lo tenemos bien resuelto nos exponemos no tan solo a sanciones administrativas por no cumplir la legislación, sino también al enorme volumen de trabajo que pueden llegar a generar manualmente los procesos que garantizan estos derechos.

Ejemplo:

Un usuario puede habitualmente acceder a su perfil en la plataforma, ver sus datos y realizar cambios, (derecho de acceso y derecho de modificación).

Pero ¿Tiene facilidad para suprimirlos? (derecho de olvido) ¿Tiene opción de negarse a que se recopilen? (derecho de información y derecho de oposición).

Un caso habitual, un usuario puede solicitarnos un fichero con todos los datos que almacena la plataforma (derecho de acceso y derecho de portabilidad), esto no solo afecta a los datos del perfil del usuario, sino también a componentes que añaden funcionalidad a la plataforma, como por ejemplo actividades de evaluación, comentarios en los foros, etc. ¿Está la plataforma preparada para generar este fichero?

Y es que habitualmente, al valorar una plataforma elearning, solo pensamos en las características funcionales relacionadas estrictamente con el aprendizaje: contenidos, seguimiento, reportes, plan formativo, evaluación del desempeño, etc. Pero ¿La plataforma está preparada para atender con facilidad todas las solicitudes de los usuarios referentes al tratamiento de sus datos? Debería estarlo.

Una plataforma elearning como Totara, dirigida al mundo corporativo, ofrece soluciones que combinan un alto grado de personalización con la posibilidad de automatización que nos ayuda a ahorrar trabajo relacionado con el RGPD.

¿Necesitas una plataforma que dé respuesta fácil a los requerimientos del RGPD?

Las Políticas del sitio. Informar al usuario de sus derechos.

Lo primero es informar al usuario de sus derechos, de qué datos se van a recopilar y el uso que se les dará.

Esto se realiza con las políticas del sitio, una página informativa que se presenta al usuario. Totara nos facilita crear una o múltiples políticas del sitio en función de las necesidades de nuestra organización. Cada política puede tener una o más confirmaciones de un usuario y estas se pueden revisar en su perfil del usuario.

Cualquier nueva política o modificación se mostrará al usuario la próxima vez que inicie sesión en la plataforma, con el fin de que de su consentimiento, sino lo hace se cerrará la sesión.

Totara también permite que los usuarios cambien su decisión y vuelvan a dar su consentimiento o quitarlo en cualquiera de las políticas que se les aplican.

Esto da total facilidad a los administradores de la plataforma y garantiza a los usuarios el derecho de información y el derecho de oposición.

Gestión de las “Políticas de Privacidad” en Totara, en este ejemplo vemos diferentes versiones que se han usado en diferentes momentos, y con hasta 5 idiomas diferentes (Columna Translations).

 

Acceder y modificar.

Una vez el usuario ha accedido a la plataforma, en su perfil de usuario puede ver y modificar los datos básicos de carácter personal que recopila Totara pero además en su perfil es donde tiene acceso a una sección de datos de usuario que le muestra un informe de todos los tipos de datos que se recopilan a través de todas las funcionalidades de Totara y la cantidad de estos.

En esta sección un usuario puede ver en cuántos contenidos de un foro aparece o cuántos registros de tracking de SCORM existen de él. El usuario tiene autonomía para acceder y consultarlo con lo que sin ninguna intervención por nuestra parte ya resolvemos los derechos a la información, acceso y modificación.

Exportar y eliminar.

A partir del momento en que la plataforma almacena datos de un usuario, este mismo y ejerciendo su derecho a la portabilidad puede solicitarnos una exportación de todos sus datos. O si por ejemplo se trata de un empleado que abandona nuestra organización puede solicitarnos incluso una purga de datos, es decir una eliminación completa de sus datos ejerciendo su derecho al olvido.

Ambos procesos pueden implicar significativo trabajo administrativo si la plataforma que usamos no lo tiene bien resuelto. Totara nos permite fácilmente personalizar y automatizar estos dos procesos.

En el caso de la exportación de datos disponemos de la funcionalidad tipo de exportación de datos de usuario con la se puede configurar cómo se va a realizar esta exportación, alternativamente también podemos configurarlo para que en el perfil del usuario aparezca una opción para solicitar esta exportación, de esta manera el usuario dispondrá de autonomía para solicitar la exportación.

Cuando se realice la exportación, que por el volumen de datos no es inmediata, Totara genera un fichero ZIP que contiene un JSON estructurado con todos los datos y que se pone al alcance del usuario durante los próximos 5 días posteriores a la solicitud.

En el caso de la eliminación de datos, el funcionamiento es similar, Totara nos permite definir el tipo de purga de datos, el alcance que tendrá y automatizar cuándo va a ocurrir. Por ejemplo de manera automática cuando un usuario sea puesto en modo suspendido, o cuando se elimine de la plataforma.

Todos estos procesos son fácilmente configurables desde las opciones de administración de Totara.

Detalle de la creación de un “tipo de exportación de datos” en el que Totara permite definir con exactitud el tipo de exportación de datos que ponemos al alcance del usuario.

Alguien tiene que gestionar todo esto.

Aplicando el RGPD debe existir en nuestra organización la figura del DPD (Delegado de Protección de Datos) alguien responsable de asegurar que se aplican los procesos correctos y que atiende las solicitudes de los usuarios. Por ejemplo quien se asegura de que se atienda una solicitud de exportación de datos y su siguiente descarga por parte del usuario.

En Totara se puede configurar un usuario administrador con roles de acceso a estas funcionalidades, que asuma estas tareas y sea el encargado de configurar los Tipos de exportación, purga y decidir el proceso de datos que queda al alcance del usuario así como auditar las solicitudes recibidas y el estado de las mismas.

Sin fricción para nadie.

En resumen: las implicaciones que tiene el RGPD pueden pasar inadvertidas hasta el momento en que algún usuario decide ejercer sus derechos, en ese momento las facilidades de las que dispongamos en nuestra plataforma elearning pueden significar la diferencia entre tener un serio problema administrativo o no tener que preocuparnos por apenas nada.

Si no podemos atender correctamente la solicitud de nuestros usuarios o debemos resolver manualmente algunos procesos causaremos fricción en el uso de nuestra plataforma.

Tener resueltos estos procesos en la manera en que lo hace Totara nos da más tranquilidad y se convierte en una de esas key feature a tener en cuenta, que en un principio son casi invisibles, pero a medio y largo plazo nos facilitan mucho más la vida y dan tranquilidad a nuestro departamento de Compliance.

¿Necesitas asesoramiento sobre el RGPD en tu plataforma elearning? Contáctanos.