Blog Banner - What Is FERPA Compliance

¿Qué es el cumplimiento de FERPA?

¿Qué es el cumplimiento de FERPA? El cumplimiento de FERPA se refiere a los requisitos que las instituciones académicas deben seguir al manejar datos sensibles de estudiantes, incluyendo información educativa e información personal identificable (PII). Estos requisitos cubren la ciberseguridad, medidas administrativas de privacidad y divulgaciones de derechos a padres y estudiantes.

¿Qué es la Ley de Derechos Educativos y Privacidad Familiar (FERPA)?

En 1974, el senador James Buckley patrocinó una enmienda para abordar incidentes (respaldados por evidencia) de que los registros estudiantiles estaban siendo mal utilizados en todo el país. Surgiendo al mismo tiempo que la desconfianza general hacia el gobierno tras el escándalo de Watergate, FERPA fue vista como un baluarte contra el uso indebido de información académica e institucional con fines nefastos por parte de otros.

La idea era que ciertos registros educativos contienen información personal identificable (PII). Como tal, FERPA incorpora derechos y protecciones específicos en la ley, todos los cuales se conectan a requisitos generales de cumplimiento normativo:

  • Consentimiento: Los estudiantes o sus padres/tutores legales pueden solicitar sus documentos educativos en cualquier momento. Las instituciones deben cumplir con estas solicitudes dentro de los 45 días. Estas partes también pueden solicitar cualquier enmienda a registros específicos.

    Los interesados pueden renunciar a este derecho, pero los estudiantes solo pueden hacerlo con orientación y asesoramiento. Los estudiantes deben proporcionar permiso por escrito antes de que las instituciones puedan distribuir documentos a otros.

  • Capacitación: Los maestros, administradores y proveedores externos deben ser capacitados para asegurar que los registros no se divulguen sin autorización. Además, los padres/tutores y estudiantes deben estar al tanto de sus derechos bajo FERPA por escrito anualmente.

  • Seguridad: Todos los datos privados regulados bajo FERPA deben ser protegidos para mantener la confidencialidad, integridad y disponibilidad. 

¿Qué registros están protegidos por FERPA?

FERPA 34 § 99.3 define los registros educativos sobre los cuales la ley tiene jurisdicción de la siguiente manera:

  • Información Educativa: Cualquier registro relacionado con calificaciones, transcripciones de cursos, registros financieros o de préstamos, evaluaciones de estudiantes, tareas o asistencia.

  • Información de Directorio: Estos registros se refieren a PII utilizada para identificar al estudiante con fines administrativos e incluyen direcciones, números de teléfono, fechas relacionadas con asistencia o inscripción, etc. Según FERPA, estos registros solo se mantienen privados a solicitud del estudiante.

En ambos casos, la información regulada debe ser rastreable al estudiante a través de algo como un identificador único, número de identificación estudiantil o número de Seguro Social.

¿Qué registros no están protegidos por FERPA?

Se crean varias formas de información durante el tiempo de un estudiante en una escuela o universidad, pero no se relacionan con la educación. Estos registros están exentos de las regulaciones de FERPA e incluyen:

  • Cualquier registro relacionado con la aplicación de la ley de la institución educativa
  • Registros de empleo para estudiantes contratados por la institución
  • Registros médicos relacionados con profesionales actuando en tal capacidad para la institución (servicios de asesoramiento, servicios de clínica de salud, etc.) para estudiantes de 18 años o más
  • Registros que la institución creó después de que el estudiante asistió a la institución
  • Evaluaciones realizadas durante la revisión por pares antes de la recopilación por estudiantes o administradores

Es importante notar que una vez que los estudiantes cumplen 18 años o asisten a la escuela más allá de K-12, sus padres o tutores ya no tienen derecho a ver documentos protegidos bajo el cumplimiento de FERPA sin autorización del estudiante.

¿Quiénes están excluidos de la jurisdicción de FERPA?

Las regulaciones de FERPA generalmente sostienen que los maestros, administradores y proveedores externos asociados con una institución educativa deben adherirse a las leyes de privacidad de datos. Sin embargo, hay algunas exenciones adicionales para el personal que cumple con ciertos criterios. 

Estas exenciones incluyen:

  • Maestros y funcionarios determinados a tener un interés educativo legítimo en los registros del estudiante
  • Contratistas subcontratados por la institución para servicios educativos
  • Otras instituciones donde el estudiante busca inscripción (por ejemplo, la transferencia de registros académicos para fines de verificación de rendimiento)
  • Partes conectadas a la ayuda financiera
  • Organizaciones que crean, implementan o mantienen evaluaciones a nivel institucional, programas de ayuda estudiantil o desarrollo de instrucción
  • Organizaciones de acreditación
  • Departamentos o instituciones obligadas a divulgar información basada en una citación o orden judicial
  • Interesados asociados con servicios de emergencia de salud o seguridad
  • Autoridades estatales y locales asociadas con sistemas de justicia juvenil

¿Cuáles son las mejores prácticas para asegurar el cumplimiento de FERPA?

Mantener las prácticas que garantizan el cumplimiento de datos con FERPA requiere una comprensión clara de cuándo y dónde los empleados y estudiantes interactúan con registros protegidos. Fundamentalmente, las mejores prácticas combinarán atención a los controles de ciberseguridad de TI y la implementación de medidas de monitoreo y capacitación. 

Algunas mejores prácticas incluyen:

  • Cifrado: Para prevenir la divulgación no autorizada durante el uso o transmisión, todos los registros protegidos deben ser cifrados mientras se almacenan o están en tránsito.

  • Seguridad Perimetral y Controles Internos: Las instituciones con sistemas de TI que contienen registros protegidos deben implementar seguridad de firewall y software anti-malware para prevenir el acceso no autorizado a los datos.

  • Gestión de Políticas de Control de Acceso: Los administradores deben implementar controles de acceso claros para limitar la divulgación de información a partes autorizadas. Estos privilegios de acceso deben ser basados en roles, con procedimientos claros para otorgar y revocar acceso basados en eventos como promoción o terminación de empleados.

  • Monitoreo y Registro: Para prevenir el acceso no autorizado, los sistemas de TI que contienen datos sensibles deben monitorear y registrar eventos a nivel de registro y usuario para asegurar la seguridad e integridad.

  • Divulgaciones a Interesados: Los padres/tutores y estudiantes deben recibir actualizaciones anuales sobre sus derechos bajo FERPA. Además, los interesados deben poder optar por no participar en funciones opcionales relacionadas con sus datos, incluyendo la personalización de software o plataformas.

  • Capacitación Continua: Los empleados administrativos, maestros y contratistas deben recibir educación relacionada con sus obligaciones bajo FERPA. 

¿Cuáles son las sanciones por no cumplir con FERPA?

Al igual que muchos otros tipos de regulaciones, existen sanciones por no cumplir con FERPA. Además, es común que las instituciones divulguen accidentalmente información a partes no autorizadas si sus empleados no están debidamente capacitados sobre sus obligaciones. 

Algunas formas en que una institución educativa puede violar las regulaciones de FERPA incluyen:

  • Compartir cartas de recomendación con instituciones no educativas (como empresas privadas)
  • Fallo por parte de un proveedor en asegurar sistemas que contienen información confidencial
  • Enviar accidentalmente correos electrónicos que contienen información académica a partes no autorizadas
  • Publicar calificaciones en un tablero público y conectar esas calificaciones a datos identificables de estudiantes
  • Proporcionar información académica o de directorio por teléfono a una parte no autorizada

Bajo FERPA, sin embargo, los estudiantes o padres afectados no pueden demandar a una institución que expuso su información. Solo el Departamento de Educación de EE. UU. puede presentar una demanda contra estas instituciones como acciones de cumplimiento. Estas acciones de cumplimiento pueden incluir (pero, hasta la fecha, no han incluido) sanciones financieras. 

El personal individual que infrinja FERPA puede encontrarse:

  • Excluido del acceso a recursos institucionales relacionados con sus trabajos, incluyendo acceso a plataformas educativas o registros de estudiantes

  • Procesado individualmente bajo códigos penales relacionados con robo o fraude

  • Despedido de su posición en la institución

Además, una institución que no siga el cumplimiento de FERPA y no muestre intención de hacerlo puede enfrentar una pérdida total de financiamiento federal.

Apoya tus Obligaciones de Cumplimiento de FERPA con la Red de Contenido Privado de Kiteworks

FERPA, como cualquier otro estándar de la industria, espera plenamente que las instituciones cumplan con las obligaciones de proteger los datos privados de los usuarios. Esto significa implementar plataformas seguras, sistemas de comunicación privados y prácticas regulares de monitoreo y mantenimiento. 

Para el sector educativo afectado por FERPA, mantener los datos privados confidenciales es crucial. Pero los ciberdelincuentes y los estados nacionales deshonestos no facilitan esto. A principios de este año, SentinelOne encontró que las instituciones educativas son la industria más atacada cuando se trata de ciberataques y los números año tras año aumentaron un 44%. Esto coloca a las instituciones educativas en riesgo, tanto en términos de ciberataques como de incumplimiento como FERPA. 

Para abordar estos desafíos, la Red de Contenido Privado de Kiteworks unifica, rastrea, controla y asegura cada envío y compartición de contenido sensible como PII de estudiantes e información de salud protegida (PHI). La plataforma Kiteworks emplea un enfoque de confianza cero basado en políticas de contenido para rastrear y controlar quién puede acceder al contenido, quién puede verlo y editarlo, y a quién se puede enviar. Las capacidades de gobernanza y seguridad en Kiteworks incluyen cifrado potente, registro de auditoría inmutable y hardware seguro. 

Uno de los aspectos que ciertas instituciones pueden encontrar particularmente útil es el alojamiento en la nube de tenencia única en los recursos de Infraestructura como Servicio (IaaS) de una organización, o alojado como una instancia privada de tenencia única por Kiteworks en la nube por el servidor de Kiteworks Cloud.

Esto significa que no hay tiempo de ejecución compartido, bases de datos o repositorios compartidos, recursos compartidos, o potencial de violaciones o ataques entre nubes. 

Las instituciones educativas que necesitan ayuda para proteger datos privados y asegurar el cumplimiento con regulaciones como FERPA pueden programar una demostración personalizada de la Red de Contenido Privado de Kiteworks.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks