Cómo su empresa puede limitar su responsabilidad por demandas de recopilación de datos en los EE. UU.

Cómo su empresa puede limitar su responsabilidad por demandas de recopilación de datos en los EE. UU.

Esta artículo fue publicado originalmente por Construido en.

UNAA medida que las familias y las escuelas de todo el país se adaptan a la nueva normalidad del aprendizaje remoto, los litigantes se dirigen a los tribunales alegando que las mismas tecnologías que hacen posible el aprendizaje remoto pueden estar recopilando de manera inadmisible los datos personales de los niños.

Las acusaciones de que las herramientas de aprendizaje remoto están violando la Ley de protección de la privacidad en línea para niños provienen de litigantes estatales y privados. COPPA requiere que los proveedores en línea que recopilan datos de niños menores de 13 años tomen medidas específicas para proteger esos datos, incluidas políticas de privacidad, consentimiento de los padres y prácticas razonables de seguridad de datos.

En el contexto de aprendizaje remoto, la Comisión Federal de Comercio tiene guía emitida declarando que las escuelas pueden consentir, en nombre de los padres, la recopilación de información personal de los estudiantes, siempre que la información se use para un propósito educativo autorizado por la escuela y no se use para ningún propósito comercial. Para que la escuela dé su consentimiento, el proveedor de aprendizaje remoto debe proporcionar a la escuela avisos que cumplan con COPPA de sus prácticas de recolección, uso y seguridad de datos.

En particular, la FTC basa esta excepción en el consentimiento de los padres en su Regla COPPA de 1999, que establece que COPPA “no impide que las escuelas actúen como intermediarias entre los operadores y las escuelas en el proceso de notificación y consentimiento, o que sirvan como padres. agente en el proceso ", pero aún no ha codificado expresamente la excepción. El verano pasado, la FTC solicitó comentarios adicionales sobre los contornos de la excepción en caso de que se codificara.

Si la información personal recopilada por el proveedor se usa únicamente para fines educativos autorizados por la escuela parece ser una base para una posible responsabilidad. en un demanda reciente traído por el fiscal general de Nuevo México, el estado afirmó que la plataforma educativa de Google recopiló información personal de los estudiantes para sus propios fines comerciales.

La queja afirma que la plataforma rastrea y monitorea las actividades de navegación web de los estudiantes con fines comerciales, como su propia mejora y desarrollo de productos. En su reciente solicitud de comentarios, la FTC buscó específicamente opiniones sobre si los operadores deberían poder usar o no los datos de los estudiantes para mejorar el producto.

COPPA no es el único jugador potencial en litigios de aprendizaje remoto. La Ley de privacidad de la información biométrica de Illinois (BIPA) proporciona otra trampa: los datos biométricos de un individuo, incluidos los escaneos de voz o faciales y los datos biométricos de los niños, no pueden ser recopilados o almacenados por una entidad privada sin obtener el consentimiento informado.

Otro demanda reciente presentada en un tribunal federal de California afirma que la plataforma educativa de Google recopila las huellas de voz únicas y los escaneos faciales de los estudiantes en violación de BIPA sin informar u obtener una autorización de los padres. A diferencia de COPPA, las restricciones de BIPA no se limitan a la actividad comercial. Si se recopilan identificadores biométricos, se requiere el consentimiento informado. Y, a diferencia de COPPA, no hay excepción para que las escuelas den su consentimiento para la recolección en nombre de los estudiantes.

El cambio rápido al aprendizaje remoto puede haber cogido desprevenido; de hecho, muchas escuelas en todo el país que inicialmente permitieron a los maestros usar la videoconferencia Zoom con fines educativos prohibieron abruptamente el uso de la plataforma después de Advertencias de la Oficina Federal de Investigaciones sobre sus funciones de seguridad. Afortunadamente, los proveedores de aprendizaje remoto pueden retrasar la propagación de litigios mediante la implementación de varias mejores prácticas:

Prohibir el uso / recopilación de datos más allá de los fines educativos autorizados.

Las plataformas deben evitar el uso de datos personales fuera del propósito educativo específico autorizado por la escuela. Hasta que la FTC brinde más claridad, los proveedores también deben evitar usar los datos individuales de los estudiantes para el desarrollo o la mejora interna del producto.

Implementar y proporcionar avisos COPPA

Incluso donde las escuelas puedan consentir en nombre de los estudiantes, la FTC recomienda que los padres reciban un aviso COPPA del proveedor. Los proveedores deben considerar exigir que las escuelas brinden estas divulgaciones a los padres como parte de los acuerdos de servicio de los proveedores con las escuelas.

Eliminar rutinariamente datos antiguos

Escuelas solo puede dar su consentimiento en nombre de los estudiantes si la escuela puede revisar y solicitar la eliminación de la información personal recopilada de sus estudiantes. Los proveedores deben considerar la implementación de políticas proactivas de eliminación de datos para garantizar que los datos de los estudiantes no se conserven más de lo necesario, lo que puede significar tan rápido como el final del año escolar.

Tenga cuidado con la configuración predeterminada

Evite la configuración predeterminada que pueda recopilar datos no educativos. Por ejemplo, la demanda presentada por el fiscal general de Nuevo México alega que la función de sincronización predeterminada de Google cargó automáticamente los hábitos de navegación en línea del estudiante al servidor de Google cuando los estudiantes iniciaron sesión en sus cuentas. Aunque existe una opción para desactivar la configuración de sincronización predeterminada, la queja alega que fue enterrada en entornos que los padres probablemente no verían. En el fondo, COPPA está diseñado para notificar a los padres y darles la opción de dar su consentimiento. Por lo tanto, no es suficiente proporcionar una forma de terminar la recolección: los proveedores deben obtener el consentimiento anterior a la colección

Considere las leyes estatales de privacidad

Aprendizaje a distancia Los proveedores también deben considerar las leyes estatales con respecto a los datos de los estudiantes. Arizona, por ejemplo, exige que los contratos con los proveedores incluyan disposiciones expresas que prohíban los usos secundarios de los datos de los estudiantes sin el consentimiento de los padres. A raíz de COVID-19, Connecticut renuncia temporalmente su ley de privacidad de datos de los estudiantes requiere que las escuelas y los proveedores firmen contratos por escrito para garantizar que los datos de los estudiantes no se utilizarán para ningún propósito fuera de los propósitos establecidos en los contratos. Vieron esto como necesario para garantizar que el aprendizaje remoto pudiera implementarse rápidamente a los estudiantes de Connecticut.

Como muestran estas demandas recientes, tanto los estados como el público esperan un alto nivel de responsabilidad con respecto a la información que se recopila mediante las plataformas de aprendizaje remoto, no es un pedido pequeño considerando la velocidad con que las escuelas han tenido que pasar al aprendizaje remoto debido a COVID-19. Independientemente de la responsabilidad potencial que puedan enfrentar los proveedores de aprendizaje remoto, la divulgación completa y directa de la recopilación de datos por parte del proveedor es la mejor manera de limitar la responsabilidad en las reclamaciones de privacidad.

Publicado el 27 de julio de 2020 – 13:00 UTC

Deja un comentario