Ley de Derechos Educativos y Privacidad de la Familia (FERPA)

  • Artículo

Información general sobre FERPA

La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal de EE. UU. que protege la privacidad de los registros educativos de los estudiantes, incluida la información de identificación personal y directorio. FERPA se promulgó para garantizar que los padres y alumnos mayores de 18 años puedan acceder a esos registros, solicitar cambios en ellos y controlar la divulgación de información, excepto en casos específicos y limitados en los que FERPA permite la divulgación sin consentimiento.

La ley se aplica a las escuelas, distritos escolares y cualquier otra institución que reciba fondos del Departamento de Educación de LOS EE. UU., es decir, prácticamente todas las escuelas públicas K-12 y distritos escolares, así como la mayoría de las instituciones post-secundaria, tanto públicas como privadas.

La seguridad es fundamental para el cumplimiento con FERPA, que requiere la protección de la información de los estudiantes frente a divulgaciones no autorizadas. Las instituciones educativas que usan informática en la nube necesitan garantías contractuales de que un proveedor de tecnología administra adecuadamente los datos confidenciales de los alumnos.

Microsoft y FERPA

FERPA no requiere ni reconoce auditorías u otras certificaciones, por lo que cualquier institución académica que esté sujeta a FERPA debe evaluar por sí misma si y cómo afecta su uso de un servicio en la nube a su capacidad para cumplir con los requisitos de FERPA. En el Anexo de protección de datos (DPA) de los Términos de servicios en línea, Microsoft acepta ser designado como "oficial de la escuela" con "intereses educativos legítimos" en los datos de los clientes, tal como se define en FERPA. Los datos de los clientes incluirían los registros de alumnos proporcionados mediante el uso de Azure por parte de una escuela. Cuando Microsoft controla los registros educativos de los alumnos, Microsoft acepta cumplir las limitaciones y requisitos impuestos por 34 CFR 99.33(a) tal como lo hacen los funcionarios de la escuela. Microsoft ha publicado documentación de orientación para ayudar a los clientes de Azure a cumplir sus requisitos de cumplimiento de FERPA.

Servicios y plataformas en la nube dentro de Microsoft

Los servicios para los que Microsoft acepta ser designados como "oficiales de la escuela" con "intereses educativos legítimos" en los datos de los clientes incluyen:

  • Azure y Azure Government
  • Azure DevOps
  • Dynamics 365
  • Intune
  • Office 365, Office 365 gobierno de EE. UU., Office 365 Gobierno de EE. UU. - Alto y Office 365 defensa del gobierno de EE. UU.

Documentos de guía de Azure

Puede descargar los siguientes documentos para obtener ayuda para cumplir los requisitos de cumplimiento de FERPA:

Office 365 y FERPA

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Cumplimiento avanzado de Office 365 add-on, Office 365 Cloud App Security, Office 365 Grupos, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento Cumplimiento avanzado de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, harePoint Online, Skype Empresarial, Stream
GCC High Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial
DoD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial

Auditorías, informes y certificados de Office 365

FERPA no requiere ni reconoce auditorías ni certificaciones.

Preguntas más frecuentes

¿Por qué es importante FERPA?

Esta ley federal de EE. UU. exige la protección de la privacidad de los registros educativos de los estudiantes. También proporciona a los padres y estudiantes elegibles acceso a esos registros y la capacidad de corregirlos, así como ciertos derechos relacionados con la liberación de registros a terceros.

¿Qué implicaciones de cumplimiento tienen COPPA y CIPA en Azure?

COPPA y CIPA son leyes adicionales destinadas a proteger la privacidad de los niños; sin embargo, no son directamente aplicables a Azure. La Ley de Protección de La Privacidad En Línea de los Niños (COPPA) es una ley federal estadounidense promulgada para proteger la privacidad de los niños menores de 13 años. La Comisión Federal de Comercio (FTC) administra la COPPA. COPPA se aplica a los sitios web y servicios en línea dirigidos a los niños y estipula que estos sitios y servicios deben requerir el consentimiento de los padres para la recopilación y el uso de cualquier información personal perteneciente a los niños. Se promulgó la Ley de Protección de Internet de los Niños (CIPA) para abordar las preocupaciones sobre el acceso de los niños a contenidos dañinos a través de Internet. La Comisión Federal de Comunicaciones (FCC) emitió reglas de aplicación de CIPA y definió los requisitos para las escuelas y bibliotecas sujetas a CIPA. Los clientes con preguntas sobre COPPA y CIPA en el contexto de la adopción de Azure deben revisar la sección titulada Instituciones educativas en los Términos de servicios en línea DPA, donde se explica que los clientes son responsables de obtener cualquier consentimiento parental para el uso de Microsoft servicios en línea por parte del usuario final.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos