IA generativa y protección de datos de menores: implicaciones para la ciberseguridad educativa

Hace apenas unas semanas se volvió viral la noticia de que unos estudiantes de un instituto de Puertollano (Ciudad Real) han sido investigados por crear y difundir fotomontajes de contenido sexual en los que aparecían alumnas y profesoras del centro, utilizando herramientas de inteligencia artificial generativa (IA) para generar imágenes falsas y explícitas a partir de fotos reales extraídas de redes sociales. En total, la Policía Nacional ha identificado 61 víctimas, de las cuales al menos 22 son menores de edad.

Sucesos como este no hacen sino aumentar la preocupación acerca del uso que se hace de la inteligencia artificial, y peor aún, del uso que hacen los menores de la inteligencia artificial dentro de los propios centros educativos, pues vemos que en ocasiones como esta ni profesores ni alumnos se libran de los riesgos asociados a la IA.

Siendo un tema tan preocupantes como es, nos hemos puesto en contacto con Atico34, firma referente en asesoramiento legal sobre IA y LOPD, con el objetivo de arrojar un poco de luz acerca de los riesgos que la IA generativa puede ocasionar para la protección de datos de menores y qué pueden hacer los centros docentes en favor de la ciberseguridad educativa.

¿Qué riesgos puede suponer la IA generativa para los datos personales de los menores de edad?

La IA generativa puede afectar de manera especialmente delicada a la protección de datos de los menores de edad, tanto por la naturaleza de los datos implicados como por la vulnerabilidad jurídica y social de los menores. 

Una de las mayores amenazas es la creación de imágenes, vídeos o audios manipulados (deepfakes) a partir de datos reales de menores, como fotos de redes sociales, grabaciones escolares, etc. Tal y como indican desde Atico34 esto supone “una vulneración del derecho a la propia imagen y la intimidad, más si se trata de la difusión no autorizada de contenido sexualizado o humillante, o que se utiliza para prácticas que pueden tener consecuencias psicológicas y sociales graves como el ciberacoso, la extorsión, o la marginación escolar”.

El uso de IAs como Grok o ChatGPT en entornos educativos plantea riesgos graves para la protección de datos de menores, desde exposición a contenido inadecuado hasta el uso indebido de sus datos personales.

Otro de los riesgos potenciales es el uso no autorizado de datos personales para entrenamiento de sistemas o modelos de IA. Estos sistemas podrían ser entrenados con datos recopilados sin consentimiento, incluyendo fotografías públicas o compartidas por terceros sin el conocimiento del menor ni de sus padres.

Desde Atico34 aclaran que “usar datos sin consentimiento vulnera el principio de licitud y transparencia del RGPD. No hay que olvidar que el tratamiento de los datos de un menor de edad sólo podrá fundamentarse en su consentimiento cuando sea mayor de 14 años, de lo contrario, será necesario el consentimiento de los titulares de la patria potestad o tutela. Además, el tratamiento debe ser claro, informado, y respetar el RGPD y la LOPDGDD”.

El problema se acrecenta cuando se hace patente que algunas de las IAs más usadas por los menores en la actualidad, caso de Grok, no ofrecen las restricciones necesarias. Por ejemplo, el propio Elon Musk plantea que su herramienta puede ser usada para iniciar relaciones sentimentales o sexuales, e incluso ofrece sugerencias sexuales muy explícitas sin comprobar si el usuario es menor de edad.

Asimismo, la IA generativa suscita muchas otras dudas. Por ejemplo, una vez que un contenido se genera y se difunde con IA, es prácticamente imposible eliminarlo por completo, lo que choca con el derecho al olvido y supone una pérdida de control de los datos. Por otro lado, las tecnologías generativas implican modelos cada vez más complejos y difícilmente auditables, lo que dificulta aspectos básicos de la ley de protección de datos como determinar quién es el responsable del tratamiento o aplicar el principio de responsabilidad proactiva.

¿Qué pueden hacer los centros docentes para mejorar la ciberseguridad educativa?

Los centros educativos juegan un papel crucial en la protección de datos personales de profesores, alumnos y familias, especialmente en un contexto cada vez más digitalizado y con riesgos como el uso indebido de la IA generativa, las redes sociales, el ciberacoso o las filtraciones de datos.

En primer lugar, deben establecer un Plan de Protección de Datos y Seguridad Digital acorde al RGPD y a la LOPDGDD, a partir del cual crear y mantener protocolos claros sobre el uso seguro de dispositivos, redes, plataformas y aplicaciones educativas. Desde Atico34 destacan la importancia del Delegado de Protección de Datos (DPO) y recuerdan que “nombrar un Delegado de Protección de Datos es obligatorio por ley para los centros públicos y más que recomendable para los privados, ya que es precisamente la figura que se encarga de velar por el cumplimiento de las normativas de protección de datos en los centros educativos”.

El problema es que este plan o política de protección de datos y seguridad digital para centros educativos requiere conocimientos, además de recursos técnicos y humanos, para ser ejecutado. Por ejemplo, a través del uso de plataformas educativas verificadas y conformes al RGPD o de la implementación de infraestructuras y plataformas que permitan asegurar redes Wi-Fi con cifrado fuerte, mantener actualizados los sistemas operativos y antivirus, aplicar la autenticación por doble factor, realizar copias de seguridad o gestionar controles de acceso por perfiles.

También resulta clave la formación continua de docentes y personal. Lo ideal sería formar al profesorado en buenas prácticas digitales, detección de amenazas como phishing o malware, gestión segura de plataformas de aula virtual y evaluaciones online, etc. Pero, siendo justos, ¿no sería esto cargar de demasiada responsabilidad a los propios docentes? ¿Acaso se pretende que el profesor se convierta también en un experto en protección de datos o IA? La realidad es que, en este sentido, los docentes deben aportar un mínimo pero, a nivel general, los centros necesitan ayuda externa.

La importancia de las consultoras LOPD para la protección de datos en centros educativos

La principal ventaja que ofrecen las legaltech como Grupo Atico34 para la protección de datos en centros educativos es que “contamos con las infraestructuras, las herramientas y el equipo jurídico necesario para garantizar tanto el cumplimiento de la normativa de protección de datos e inteligencia artificial, como la formación en la materia del profesorado y el alumnado”, apuntan desde la consultora.

Otro factor decisivo, como ya se ha comentado, es la obligatoriedad del Delegado de Protección de Datos. En caso de no existir un DPO interno, los centros se ven obligados por normativa a contratar los servicios de una empresa de protección de datos externa que pueda proporcionar este perfil profesional.

Ya como conclusión, y volviendo al tema original del artículo, desde Atico34 no quieren dejar pasar la oportunidad de remarcar que “tanto los centros docentes como las empresas del sector nos encontramos en un escenario de cambio, lleno de riesgos y oportunidades, y ante el auge imparable de la inteligencia artificial no hay otra alternativa que adaptarse a ella, lo que en nuestro caso significa evolucionar hacia un perfil profesional mucho más adaptado a las nuevas tecnologías y a las exigencias de las nuevas normativas sobre IA”.