Nueva ley de protección de datos de los estudiantes en Utah

La Ley de Protección de Datos Personales de Estudiantes en Línea de Utah o SOPIPA, también conocida como SB 207, es una ley de privacidad de datos de estudiantes que se aprobó en el estado estadounidense de Utah en 2016 y posteriormente se modificó en 2018. De forma muy similar a otras leyes de protección de datos de estudiantes que se han aprobado en todo el país en la última década, como la Student Online Personal Information Protection Act o SOPIPA de California, la SB 207 de Utah se aprobó para proteger la información personal y la privacidad de los estudiantes matriculados dentro de las instituciones educativas ubicadas en el estado. En este sentido, la ley establece diversas normas destinadas a proteger los datos personales que los estudiantes de Utah comparten con educadores, administradores escolares y terceros relacionados durante el proceso educativo.

¿Cómo define la ley a los funcionarios escolares?

Según la ley SB 207 de Utah, un funcionario escolar se define como “un empleado o agente de una entidad educativa, si la entidad educativa ha autorizado al empleado o agente a solicitar o recibir datos de estudiantes en nombre de la entidad educativa.” Por el contrario, la ley define a un tercero contratista como “una persona que: (a) no es una entidad educativa; y b) en virtud de un contrato con una entidad educativa, recopila o recibe datos de los alumnos para proporcionar un producto o servicio, tal como se describe en el contrato, si el producto o servicio no está relacionado con la fotografía escolar, anuarios, anuncios de graduación o un producto o servicio similar.”

¿Cuáles son las obligaciones de los funcionarios escolares y los contratistas en virtud de la ley?

En virtud de las disposiciones de la ley SB 207 de Utah, las responsabilidades de los funcionarios escolares y los contratistas de terceros en lo que respecta a la protección de la información personal de los alumnos dentro del estado incluyen, entre otras, las siguientes

• Se prohíbe a los funcionarios escolares y a los terceros contratistas utilizar la información personal obtenida de los alumnos con fines de publicidad dirigida.
• Los responsables de los centros escolares y los contratistas externos sólo pueden recabar información personal con el consentimiento expreso por escrito. Además, cuando recojan información personal, los funcionarios de los centros escolares y los contratistas externos también deben proporcionar tanto a los estudiantes como a sus padres o tutores un aviso de recogida en forma de documento independiente, que incluya las categorías específicas de información personal que se van a recoger, así como las intenciones de dicha información. Además, estos avisos de recogida deben actualizarse anualmente.
• En el caso de que se produzca una violación de datos, los funcionarios escolares y los contratistas de terceros son responsables de proporcionar notificación a todas las personas y partes afectadas.
• Los consejos escolares del estado de Utah que emplean a funcionarios escolares y contratistas externos son responsables de establecer un grupo asesor sobre la política de datos de los alumnos encargado de realizar una amplia gama de tareas relacionadas con la protección de datos de los alumnos, incluida la propuesta y promulgación de legislación futura, así como la preparación y el mantenimiento de planes de gobernanza de datos de los alumnos, entre otras responsabilidades.
• Los consejos escolares del estado de Utah son responsables de designar a los responsables de los datos de los alumnos para que actúen como principal punto de contacto para todos los grupos consultivos sobre la política de datos de los alumnos.

¿Qué elementos de los datos están protegidos por la ley?

En virtud de las disposiciones de la ley SB 207 de Utah, algunas de las categorías de datos personales relativos a los alumnos del Estado que están protegidas por la ley son las siguientes

• Números de la seguridad social.
• Calificaciones y expedientes académicos.
• Registros de matriculación de alumnos.
• Datos sobre salud y discapacidad.
• Nombre y apellidos.
• Nombres de los familiares de los alumnos.
• Los números de teléfono.
• Direcciones de correo electrónico.
• Direcciones físicas.
• Identificadores biométricos.
• Credenciales de acceso a redes sociales.
• Números de cliente guardados en cookies en línea.
• Registros de dependencia de menores.
• Números de identificación de estudiantes.

¿Cuáles son las sanciones por infringir las disposiciones de la ley SB 207 de Utah?

En lo que respecta a la aplicación de la ley, los funcionarios escolares y los terceros contratistas que infrinjan la SB 207 de Utah están sujetos a una serie de sanciones y penas. Dichas sanciones incluyen

• Una sanción civil de hasta 25.000 dólares.
• Una indemnización por daños y perjuicios a los alumnos o a los padres, según el alcance y la gravedad de la infracción.
• Una orden judicial para pagar los gastos relacionados con la notificación a todos los estudiantes y padres en caso de que se produzca una violación de datos.
• Una orden judicial para pagar los gastos en los que pueda incurrir una institución educativa como resultado del uso no autorizado o la adquisición de información de los estudiantes.
• Una orden judicial que impida a los funcionarios escolares y a terceros contratistas celebrar futuros contratos con instituciones educativas dentro del estado de Utah.

Gracias a las disposiciones de la SB 207 de Utah, los padres que envían a sus hijos a la escuela dentro del estado pueden estar seguros de que los funcionarios de la escuela y los contratistas de terceros se enfrentarán a fuertes castigos en caso de que no protejan la información personal y la privacidad de sus respectivos estudiantes. Es más, a diferencia de muchas otras leyes de privacidad del país, la SB 207 de Utah también ofrece tanto a los alumnos como a los padres la oportunidad de reclamar una indemnización por daños y perjuicios en caso de que se viole alguno de sus derechos en virtud de la ley. Como tal, la ley 207 de Utah proporciona a los estudiantes del estado un nivel significativo de protección en lo que respecta al uso, acceso y difusión no autorizados de su información personal.