23747140_sPlanteamos desde este artículo una situación real, que se ha dado en una escuela con un análisis de todas las partes intervinientes y la postura de más sentido común para solucionarla.
Situación de hecho:
La Escuela pide a los padres de los alumnos que compren para sus hijos una tablet para que la traigan a la escuela y realizar con ella las diferentes actividades propuestas por sus profesores.
La Escuela, una vez tiene las tablets de sus alumnos, recordemos que pagadas por los padres, decide instalar en ellas un MDM y además decide limitar el acceso de las tablets a la Red.

Áreas de conflicto
1. Los padres piden que se desbloqueen las tablets para que los hijos las usen normalmente en sus casas, sin limitación alguna.
2. La escuela pide a los padres que firmen un documento renunciando al derecho a la intimidad de sus hijos y así revisar periódica y aleatoriamente los contenidos de las tablets.

Análisis
1.¿Qué es un MDM?
Mobile Device Management (MDM) es un tipo de software que permite asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. La mayoría de las MDM permiten hacer instalación de aplicaciones, localización y rastreo de equipos, sincronización de archivos, reportes de datos y acceso a dispositivos, todo esto de manera remota.
Los MDMs simplifican la configuración inicial y su posterior supervisión, además de permitir la configuración sin necesidad de manipular físicamente los dispositivos.
Este tipo de software ayuda tanto a empresas como a centros educativos a implantar y configurar fácilmente dispositivos móviles como smartphones y tablets.
Información para Apple, aquí.

¿Qué funciones permite un MDM?
Instalación masiva de aplicaciones
Selección de aplicaciones
Rastreo satelital
Sincronización de Archivos
Bloqueo de funciones
Control de gastos
Borrado remoto
Aplicar contraseña

¿Cuál es el motivo de conflicto?10184477_s
Que sea el colegio quién configure las funcionalidades. Hay padres que quieren que se desbloqueen las tablets. Las han pagado los padres y, por tanto, son ellos quienes deciden si se configuran de manera limitada o no.
En este supuesto faltaría un documento por parte de la escuela que reflejara las características del MDM y la posibilidad de los padres de aceptar o no que se instale el mismo, con la advertencia de que todos los dispositivos serán monitorizados por la Escuela, aún cuando se los lleven a casa.

¿Puede un padre renunciar al Derecho a la Intimidad de su hijo? Dado que el MDM permite la geolocalización del dispositivo, ¿pueden los padres renunciar también a ese derecho en nombre de los hijos? Lo resolvemos más adelante.

No habría conflicto en este sentido si las tablets fueran compradas por la escuela y los padres abonaran mensualmente una parte proporcional en calidad de material. La configuración sería libre ya que es material propio de la escuela y, por tanto, siendo titulares del mismo, pueden decidir la orientación y usabilidad que le otorgan al soporte para mantener el “enfoque” educativo del centro, que en el fondo es motivo por el cual los padres inscriben a sus hijos en ese colegio, y no en otro.

2.Desde un punto de vista técnico ¿Cómo puede limitarse el acceso a la Red?
34744410_sPara navegar necesitamos 3 elementos:
I. Una IP – para pertenecer a una Red. Me dirá, por ejemplo, con el símil de un edificio, que yo vivo en una casa X.
II. Unos Servidores DNS, guía de teléfono para poder llamar. Me cambia el nombre de una persona a unos números.
III. La puerta de enlace o de salida = Router, que podría ser el teléfono.

a.La escuela puede negar el acceso a la Red de un soporte, teniendo en cuenta la dirección MAC de los soportes, de esta manera, aunque cambien de IP, el soporte seguirá sin poder acceder a la RED.
MAC son las siglas de Media Access Control y se refiere al control de acceso al medio físico. Es decir que, hablamos de una dirección física (también llamada dirección hardware), porque identifica físicamente a un elemento del hardware: insisto en que cada tarjeta de Red viene de fábrica con un número MAC distinto. Esto es lo que finalmente permite las transmisiones de datos entre ordenadores de la red, puesto que cada ordenador es reconocido mediante esa dirección MAC, de forma inequívoca.
La mitad de los bits de la dirección MAC son usados para identificar al fabricante de la tarjeta, y los otros 24 bits son utilizados para diferenciar cada una de las tarjetas producidas por ese fabricante.

Así, conociendo las direcciones MAC de los dispositivos, el Centro escolar podrá limitar el acceso a Internet de algunas de ellas, configurando en el router únicamente aquellas que se decida que tengan acceso al exterior. Esta acción se realiza sobre todo cuando se utilizan redes WiFi, de manera que, aunque se conozca la clave de la misma, si los soportes no están incluidos en la lista del Router, éste no te dará una dirección IP y por tanto, no navegarás ni estarás en la Red.
También podría limitarse el acceso a Internet desde el Router. Hay algunos routers a los que puedes poner listas de no acceso a determinadas páginas. Los filtros que tienen los routers para limitar la navegación son muy pobres, y poco efectivos ya que la lista la se ha de mantener de forma manual.
La navegación también se puede limitar con un Proxy, que es como un Router, en el sentido de que es una puerta de “salida” pero sólo para navegación web. Si el Centro Educativo facilita una IP, pero no DNS, ni puerta de enlace, se puede configurar el navegador del soporte para que utilice el Proxy. En éste se limitarán los dominios, las webs o los contenidos que quiera filtrarse así como poder tener un registro de las webs a las que se accede.
En este caso, y tratándose del Centro Escolar, desde que se procede a la instalación del MDM, se podrá limitar el acceso a la Red y a determinados contenidos de todos los dispositivos que lo tengan instalado.
A modo de ejemplo, Apple nos lo cuenta.

3.Similitud de la situación con BYOD (Bring Your Own Device) nube
Asimilando la situación a una empresa, la problemática de llevar el propio dispositivo se centra sobre todo en:
– la falta de control sobre los accesos a la Red que se hace desde los propios dispositivos
– el riesgo que supone manejar información confidencial de la empresa
– la instalación de aplicaciones con malware
Para la disminución de riesgos las empresas deberían crear Compliance Programs (Programas de cumplimiento interno) en los que se formularan:
a. políticas organizativas:
– protocolos de preservación de la privacidad y la seguridad de la información corporativa. Definiendo las normas de uso de los dispositivos BYOD que los empleados deberán aceptar. Establecer, a su vez, el proceso que debería el empleado, para el caso de una empresa, para devolver la información cuando deje la empresa.
– las instalaciones permitidas y las no permitidas
– la necesidad del uso de un MDM para asegurar que las políticas de seguridad y conexión se ejecuten en la empresa.
b. políticas técnicas:
– políticas de contraseñas
– habilitaciones de cifrados
– actualización de aplicaciones
No hay muchas Sentencias que definan este tipo de situaciones de una manera taxativa, sin embargo, se impone el sentido común y la necesidad de regular esta situación a la normativa marcada por la empresa.
En el supuesto de la escuela, ésta es la que marca las normas, que debe firmar el alumno aceptándolas, pero, si es menor de edad, debe firmar el adulto en su nombre. Por tanto, deberá el padre / madre / tutor, renunciar a la libre disposición de su privacidad e intimidad y privacidad sobre un dispositivo que NO es de la escuela y que podrá, realizar seguimientos del mismo de forma remota.

¿Cómo salvar esa disponibilidad sobre la privacidad del menor por parte de la escuela?
Lo único que podría “encajar” sería que la tableta fuera de la Escuela. Que formara parte del Plan Educativo como un material más que se les da a los niños. Siendo material del Centro Educativo, puede poner las “normas de uso” del mismo, como si fuera el empresario que cede los ordenadores y smartphones a sus empleados para el desarrollo de su trabajo, incluso puede monitorizar y hacer seguimiento de productividad. En este caso, sí que podríamos apoyar sin dudar las normas de disponibilidad de los soportes.
Lo más delicado de esta situación es que los soportes no son del Centro Educativo y para implementar un MDM se pide a los padres que autoricen la limitación y accedan al seguimiento. Jurídicamente, poniéndonos en “lo más grave” estaríamos imponiendo la renunciabilidad de los derechos fundamentales del menor. Ah! ¿Que el menor tiene Derechos Fundamentales? ¿No?
¿Priman los intereses o la visión educativa de los padres sobre los derechos de los menores? Aquí hay un gran punto de debate. ¿Dónde están los límites a la educación de los padres y dónde empiezan los derechos propios del/ la niñ@?

4.Los derechos del menorMenor
a. LO 5/2010, de 22 junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal en la Disposición Final Segunda se modifica la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Donde se hace referencia a que, conforme al art. 18,1 de la Constitución, los derechos al honor, a la intimidad personal y familiar y a la propia imagen tienen el rango de fundamentales, y hasta tal punto aparecen realzados en el texto constitucional que el art. 20,4 dispone que el respeto de tales derechos constituya un límite al ejercicio de las libertades de expresión que el propio precepto reconoce y protege con el mismo carácter de fundamentales.

Los derechos garantizados por la ley han sido encuadrados por la doctrina jurídica más autorizada entre los derechos de la personalidad, calificación de la que obviamente se desprende el carácter de irrenunciable, irrenunciabilidad referida con carácter genérico a la protección civil que la ley establece.
Las entradas en el ámbito de la intimidad tendrán que ser consentidas por el propio interesado.
El otorgamiento del consentimiento cuando se trate de menores o incapacitados es objeto de las prescripciones contenidas en el art. 3.
Artículo 3
1. El consentimiento de los menores e incapaces deberá presentarse por ellos mismos si sus condiciones de madurez lo permiten, de acuerdo con la legislación civil.
2. En los restantes casos, el consentimiento habrá de otorgarse mediante escrito por su representante legal, quien estará obligado a poner en conocimiento previo del Ministerio Fiscal el consentimiento proyectado. Si en el plazo de ocho días el Ministerio Fiscal se opusiere, resolverá el juez.

Vamos a imaginar que el/la menor, cuando se lleva la tableta a casa, se hace unas fotografías en ropa interior y las almacena en el dispositivo, que en realidad es suyo. Tiene instalado un MDM que es monitorizado a cualquier hora, por cualquier persona… ¿qué va a ocurrir con esa fotografía cuyo seguimiento puede hacer tercero?
Otro punto de debate más para valorar la decisión…

chat menoresb. Según la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de Modificación Parcial del Código Civil y de la Ley de Enjuiciamiento Civil.
“Artículo 4. Derecho al honor, a la intimidad y a la propia imagen
1. Los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen. Este derecho comprende también la inviolabilidad del domicilio familiar y de la correspondencia, así como del secreto de las comunicaciones. (…)
5. Los padres o tutores y los poderes públicos respetarán estos derechos y los protegerán frente a posibles ataques de terceros.”
Parece que sí, que los menores tienen Derechos.
A mayor abundamiento, preservan los derechos de los menores: Constitución Española 1978,Artículo 10.2; Artículo 20.1.4;
Artículo 39 CE: “4. Los niños gozarán de la protección prevista en los acuerdos internacionales que velan por sus derechos”
El artículo 12 de la Declaración Universal de Derechos Humanos, aprobada en Nueva York el 10 de diciembre de 1948
Artículo 12
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

El artículo 8 de la Convención Europea para la Salvaguarda de los Derechos del Hombre y de las Libertades Fundamentales firmada en Roma en 4 de noviembre de 1950, ratificada por España, y Ratificado su Texto por las Cortes Generales (B.O.E. de 10 de octubre de 1979)

ARTÍCULO 8 Derecho al respeto a la vida privada y familiar
1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia

El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos de 19 de diciembre de 1966, ratificado por España (B.O.E. de 20 de abril de 1977)
Artículo 17
1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación.
2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.

Concluyendo, lógico que haya padres que quieran que se desinstale el MDM para que sus hijos puedan utilizar la tablet de forma libre cuando la llevan a casa, y más siendo propia.
Siendo garantistas, obligar al padre/madre o tutor/a a renunciar a los derechos a la intimidad y a las comunicaciones de los menores a fin de desarrollar el Plan Educativo previsto, no ha lugar.
Diferente sería, que el soporte fuera de la Escuela y tuviera un destino claro y definido, y cuyo uso estuviera sometido a determinada normativa aceptada por los padres.

Derechos de los padres que sí quieren el MDM ordenador con multicosas

Y qué ocurre con los Derechos de los padres que sí que dan consentimiento para la instalación del MDM? Podemos encontrar la fórmula para que la Escuela garantice la seguridad del menor, y a la vez se le exonere de responsabilidades por ilícitos cometidos por los empleados de la misma respecto a la privacidad de los menores?

 La Escuela, en este caso, es privada y con un proyecto educativo marcado por la interacción entre el Centro Educativo y la Familia del menor. En ningún caso quiere hacer diferencias entre sus alumnos, a quiénes asume el compromiso de acompañar en su crecimiento y desarrollo educativo. El planteamiento de la Escuela se centraría en la necesidad de preservar la seguridad y la privacidad del menor en sus accesos a la Red con el objetivo de cumplir las expectativas educativas que tienen los padres del Centro.
Partimos entonces de la base de que, el producto y servicio que ofrece la Escuela es exclusivo de éstos y que, por el hecho de estar inscritos en ésta, aceptan el objetivo y la línea de trabajo con los menores. Añadimos que ésta es una forma de dosificar o filtrar los contenidos no formativos que pueden resultar inapropiados a la integridad moral del menor.
Cómo salvarlo jurídicamente? Se podría articular un documento por parte del centro, diciendo:
– Quién es el responsable de esa base de datos, con nombre y apellidos
– Información que se almacenará
– En qué casos se monitorizará
– Qué perfil tendrá el MDM
– Que el MDM estará sólo activo durante el periodo escolar
– Que al terminar el periodo escolar se desinstalará. ( puede hacerse remotamente para todos los soportes)
– Que se eliminará el contenido de la Base de Datos
– Se garantizará que el Centro cumple con las garantías de la LOPD
– Se garantizará la existencia de Compliance Programs (Programas de Cumplimiento normativo interno) garantizando la formación de todos los trabajadores que traten la información de los menores.

Fundamentamos la decisión en los siguientes artículos de la LO 1/1996 de 15 de enero, reformada en julio de 2015 y vigente desde el 16 de agosto de 2015.

Artículo 2 Interés superior del menor 

1. Todo menor tiene derecho a que su interés superior sea valorado y considerado como primordial en todas las acciones y decisiones que le conciernan, tanto en el ámbito público como privado. En la aplicación de la presente ley y demás normas que le afecten, así como en las medidas concernientes a los menores que adopten las instituciones, públicas o privadas, los Tribunales, o los órganos legislativos primará el interés superior de los mismos sobre cualquier otro interés legítimo que pudiera concurrir.Las limitaciones a la capacidad de obrar de los menores se interpretarán de forma restrictiva y, en todo caso, siempre en el interés superior del menor.

Artículo 5 Derecho a la información 

1.  Los menores tienen derecho a buscar, recibir y utilizar la información adecuada a su desarrollo.

Se prestará especial atención a la alfabetización digital y mediática, de forma adaptada a cada etapa evolutiva, que permita a los menores actuar en línea con seguridad y responsabilidad y, en particular, identificar situaciones de riesgo derivadas de la utilización de las nuevas tecnologías de la información y la comunicación así como las herramientas y estrategias para afrontar dichos riesgos y protegerse de ellos.

Fuentes Consultadas

Artículos técnicos:

Qué es una MAC: http://www.internetmania.net/int0/int55.htm
Cómo limitar una red wifi para ciertos dispositivos: http://www.batanga.com/tech/13540/como-limitar-una-red-de-wifi-para-ciertos-dispositivos
Apple – Configuración de un MDM para Centro Educativo: http://www.apple.com/es/education/it/mdm/

Legislativas:
Constitución Española de 1978;

LO 5/2010, de 22 junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal en la Disposición Final Segunda se modifica la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen;

Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de Modificación Parcial del Código Civil y de la Ley de Enjuiciamiento Civil;

Declaración Universal de Derechos Humanos, aprobada en Nueva York el 10 de diciembre de 1948;

Convención Europea para la Salvaguarda de los Derechos del Hombre y de las Libertades Fundamentales firmada en Roma en 4 de noviembre de 1950, ratificada por España, y Ratificado su Texto por las Cortes Generales (B.O.E. de 10 de octubre de 1979);

Pacto Internacional de Derechos Civiles y Políticos de 19 de diciembre de 1966, ratificado por España (B.O.E. de 20 de abril de 1977)

Judiciales:
Jdo. de Primera Instancia nº 7, Gijón, S 7-2-2013, nº 30/2013, nº autos 791/2012.

Artículos jurídicos:
1. “Trabajando con nuestros dispositivos personales (BYOD)”
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Trabajando_dispositivos_personales_BYOD_ciberseguridad_empresas
2.”Uso de dispositivos móviles privados con finalidades empresariales Bring Your Own Device -BYOD-” Por Rocío de Rosselló Moreno
http://tecnologia.elderecho.com/tecnologia/ciberseguridad/Uso-Bring-Your-Own-Device_11_635680003.html

Agradecimientos por participación a:

J.M.Lobo, A.F.Z, Fiscalía de Cibercriminalidad, Unai Mieza.