El Departamento de Educación (DfE) recibió una reprimenda, pero escapó de una multa regulatoria de £ 10 millones por una violación de datos que vio una base de datos de información personal en poder de 28 millones de personas mal utilizada por una organización de terceros durante un período “prolongado” entre septiembre 2018 y enero 2020.
La base de datos del Servicio de registros de aprendizaje (LRS) contiene el nombre completo, la fecha de nacimiento, el género y los logros de aprendizaje y capacitación de 28 millones de personas de 14 años en adelante, así como direcciones de correo electrónico y nacionalidad en algunos casos.
Se conserva durante 66 años, lo que significa que en el momento de la infracción podría haber contenido datos sobre alumnos que estaban en la escuela a principios de la década de 1950, y lo utilizan más de 12 600 organizaciones, en su mayoría proveedores educativos, para verificar varias funciones, como las calificaciones académicas de los futuros estudiantes, o la elegibilidad de financiación.
El DfE dio acceso al LRS a Trust Systems Software UK, que cotizaba como Trustopia, una empresa de selección de empleo, que procedió a utilizar la base de datos para crear un servicio de verificación de edad que se ofreció a las empresas de juegos de azar en línea para confirmar que sus clientes eran mayores de edad. 18
Según la ley de protección de datos, esto constituyó una infracción porque los datos no se estaban utilizando para su propósito original.
“Nadie necesita convencerse de que una base de datos de los registros de aprendizaje de los alumnos que se utiliza para ayudar a las empresas de apuestas es inaceptable”, dijo el comisionado de información John Edwards. “Nuestra investigación encontró que los procesos implementados por el Departamento de Educación fueron lamentables. Los datos estaban siendo mal utilizados, y el Departamento ni siquiera sabía que había un problema hasta que un periódico nacional les informó.
“Todos tenemos el derecho absoluto de esperar que nuestros departamentos del gobierno central traten los datos que tienen sobre nosotros con el máximo respeto y seguridad. Más aún cuando se trata de la información de 28 millones de niños”.
La Oficina del Comisionado de Información (ICO) inició una investigación luego de que el DfE le notificara un acceso no autorizado a la base de datos de LRS, gracias a una denuncia en un diario dominical. La investigación encontró que Trustopia tuvo acceso sin restricciones a los datos desde septiembre de 2018 hasta enero de 2020, tiempo en el que realizó búsquedas en 22,000 estudiantes. El DfE confirmó además que Trustopia nunca había brindado capacitación educativa financiada por el gobierno.
El ICO dijo que descubrió que el DfE había seguido otorgando a Trustopia acceso a la base de datos de LRS después de que la compañía le informara que era el nuevo nombre comercial de un proveedor de capacitación llamado Edududes.
El ICO dictaminó que, a través de sus acciones, la DfE no cumplió con su deber de usar y compartir los datos de los niños de manera “justa, legal y transparente”, no impidió el acceso no autorizado a los mismos, no los supervisó adecuadamente y no los detuvo. utilizado por razones incompatibles con fines educativos.
Sin embargo, reconoció que desde entonces el DfE ha fortalecido sus procedimientos sobre quién tiene acceso a la base de datos de LRS, revocando el acceso a más de 2600 organizaciones y mejorando el proceso de registro. Ahora también ha comenzado a realizar comprobaciones de búsquedas “excesivas” en los datos, y está anulando de forma proactiva las organizaciones que están no usándolo Dijo que el DfE se había comprometido de manera proactiva con el ICO durante una auditoría y estaba mejorando su enfoque general de protección de datos.
Una investigación simultánea de Trustopia descubrió que ya no tenía acceso a la base de datos y había eliminado el caché de datos que contenía en archivos temporales. Sin embargo, desde que la organización se disolvió mediante huelga obligatoria en mayo de 2022, no ha sido posible responsabilizar a sus directores.
El DfE se ha librado de una multa de 10 millones de libras bajo un nuevo compromiso de ICO para reducir las multas a las organizaciones del sector público en particular. La base de este nuevo arreglo, que se está probando durante un período de dos años, es que imponer multas al sector público no afecta a los accionistas o directores de la misma manera que lo haría en el sector privado, desvía dinero de la provisión. de los servicios públicos, y castiga efectivamente al contribuyente, no a los perpetradores, en una violación de datos.
“Esta fue una violación grave de la ley, y habría justificado una multa de 10 millones de libras esterlinas en este caso específico”, dijo Edwards.
“He tomado la decisión de no emitir esa multa, ya que todo el dinero pagado en multas se devuelve al gobierno, por lo que el impacto habría sido mínimo. Pero eso no debe restar valor a la gravedad de los errores que hemos destacado, ni a la urgencia con la que el Departamento de Educación los debe abordar”.
La semana pasada, el ICO dijo que estaba reduciendo a £50,000 una multa de £500,000 impuesta a la Oficina del Gabinete en relación con la violación de datos de Honores de Año Nuevo 2019/20, sobre la misma base.
Este incidente vio un archivo publicado en el sitio web Gov.uk que contiene los nombres y direcciones no redactadas de 1,000 de los homenajeados. Se accedió a ella casi 4.000 veces durante un período de dos horas y 21 minutos, antes de ser retirada.
“El ICO es un regulador pragmático, proporcionado y efectivo, que se enfoca en hacer una diferencia en la vida de las personas”, dijo Edwards.
“Si bien considero que la multa original fue proporcionada en todas las circunstancias de este caso debido al impacto potencial en las personas afectadas por la infracción, reconozco las presiones económicas actuales que enfrentan los organismos públicos y el hecho de que, en ciertos casos, las multas puede ser menos crítico para lograr la disuasión”.