ponencia de cristina gómez piqueras

1Agencia Española de Protección de Datos

PROTECCIÓN DE DATOS. APLICACIÓN PRÁCTICA PROTECCIÓN DE DATOS. APLICACIÓN PRÁCTICA PARA CENTROS DE EDUCACIÓNPARA CENTROS DE EDUCACIÓN OBLIGATORIA

CRISTINA GÓMEZ PIQUERAS

Granada, 21 de mayo de 2009


ÍNDICE

¿QUÉ ES LA PROTECCIÓN DE DATOS?.

NORMATIVA APLICABLE.

AGENCIA Y SUS FUNCIONES.

DERECHOS CONSTITUCIONALES: EDUCACIÓN Y PROTECCIÓN DE DATOS.

ÁMBITO EDUCATIVO

LEY ORGÁNICA DE EDUCACIÓN

OBLIGACIONES DEL COLEGIO/INSTITUTO/CONSEJERÍA DE EDUCACIÓN.

SUPUESTOS PRÁCTICOS.

PLAN DE OFICIO A LA ENSEÑANZA REGLADA NO UNIVERSITARIA


¿PROTECCIÓN DE DATOS?

NOS AFECTA A NIVEL PERSONAL (al contratar servicios nos piden el consentimiento para el uso de nuestros datos) Y PROFESIONAL (quien no trabaja con bases de datos).

LA PRIVACIDAD ESTÁ EN PELIGRO. (Cada vez es más fácil invadir la intimidad ajena mediante la utilización de nuevas tecnologías)


PECULIARIDADES DEL DERECHO A LA PROTECCIÓN DE DATOS

Su desconocimiento por parte del ciudadano.

Lo inadvertido de su vulneración (envío postal, llamada telefónica).

Su naturaleza de derecho fundamental.


¿QUÉ ES LA PROTECCIÓN DE DATOS?

VULNERACIÓN DE LA INTIMIDAD

VALOR ECONÓMICO DEL DATO / DIRECTIVA 95/46

DERECHO FUNDAMENTAL / PATRIMONIO / CONSTITUCIÓN EUROPEA


¿QUÉ ES LA PROTECCIÓN DE DATOS? (II)

DERECHO AUTÓNOMO. STC 292/2000.Poder de disposición y control sobre datos personales.Facultad de decidir sobre Qué datos ceder a un tercero. Qué datos se pueden recabar

Facultad de conocer Quién posee esos datos personales Para qué los posee

Facultad de oponerse a su posesión o uso Solicitando su rectificación o cancelación Revocando el consentimiento para su uso.


NORMATIVA APLICABLE

Artículo 18.4 de la Constitución Española.

LOPD (L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal)

RD 1720/2007, de 21 de diciembre, de desarrollo de la LOPD

Instrucciones de la AEPD

Normas de CCAA

Madrid: Ley 8/2001, de 13 de julio

Cataluña: Ley 5/2002, de 19 de abril

País Vasco: Ley 2/2004, de 25 de febrero.


Agencia Española de Protección de Datos

Ente de Derecho Público

Personalidad Jurídica Propia

Plena capacidad Pública y Privada

Independencia de las Administraciones Públicas en el ejercicio de sus funciones

Puestos de trabajo: Funcionarios y Contratados

Elabora y aprueba Anteproyecto de Presupuesto


Funciones de la Agencia Española de Protección de Datos

GENÉRICA DE SALVAGUARDA Y TUTELA: velar por el cumplimiento legislación de protección de datos y defensa de los derechos de los afectados

INTEGRACIÓN NORMATIVA o desarrollo reglamentario

CONSULTIVA de las normas en lo relativo a protección de datos.

INFORMATIVA: publicidad de ficheros, información a particulares.

COOPERACIÓN INTERNACIONAL INSPECTORA E INSTRUCTORA


AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

DIRECTOR

SECRETARIA GENERAL

SUB. GENERAL DE REGISTRO

CONSEJO CONSULTIVO

SUB. GENERAL DE INSPECCIÓN

UNIDAD DE APOYO


EDUCACIÓN/PROTECCIÓN DE DATOSCONSTITUCIÓN

Artículo 18.4: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Artículo 27.1: Todos tienen el derecho a la educación. Se reconoce la libertad de enseñanza.

(derecho universal, gratuito y de calidad). HAY QUE RELACIONAR AMBOS DERECHOS Y

HACERLOS COMPATIBLES, BUSCANDO EL EQUILIBRIO.


ÁMBITO EDUCATIVO

Es un ámbito en el que se tratan millones de datos. Requiere un tratamiento masivo de datos para el cumplimiento de las funciones administrativas.

Se tratan, principalmente, datos de alumnos, profesores (personal docente y discente), y familiares de alumnos.

¿Qué tipo de datos se tratan? Identificativos, académicos, hábitos, circunstancias sociales (actividad orientadora), salud, pertenencia a minorías étnicas o sociales.

¿En qué ficheros? Tanto automatizados como en papel.


LEY ORGÁNICA 2/2006, DE 3 DE MAYO,DE EDUCACIÓN (I)

DISPOSICIÓN ADICIONAL VIGESIMOTERCERA. Datos personales de los alumnos.

1. Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos.

2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información a la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad, en los términos establecidos en la legislación sobre protección de datos. En todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso.


LEY ORGÁNICA 2/2006, DE 3 DE MAYO,DE EDUCACIÓN (II)

3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad y confidencialidad. El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo.

4. La cesión de los datos, incluidos los de carácter reservado, necesarios para el sistema educativo, se realizará preferentemente por vía telemática y estará sujeta a la legislación en materia de protección de datos de carácter personal, y las condiciones mínimas serán acordadas por el Gobierno con las Comunidades Autónomas en el seno de la Conferencia Sectorial de Educación.


RESPONSABILIDADES DEL COLEGIO/INSTITUTO

INSCRIPCIÓN DEL FICHERO. INCORPORAR MEDIDAS DE SEGURIDAD. INFORMACIÓN. CONSENTIMIENTO. CALIDAD DE DATOS. DERECHOS ACCESO, RECTIFICACIÓN Y

CANCELACIÓN. CONSENTIMIENTO PARA CESIÓN. CONFIDENCIALIDAD.


IDENTIFICAR FICHEROS Y TRATAMIENTOS

Lo primero que hay que hacer es comprobar qué ficheros vamos a manejar y quién va a ser el responsable del fichero y del tratamiento.

El responsable del fichero es quien tiene la competencia administrativa: Consejería de Educación. Es el obligado a publicar la norma de creación del fichero.

Responsable del tratamiento: cada Centro, Instituto o escuela. La inscripción del fichero la puede hacer la Consejería o cada Centro.


INSCRIPCIÓN DE FICHEROS PÚBLICOS

CREACIÓN, MODIFICACIÓN, SUPRESIÓN

Orden de creación del fichero, publicada en el Boletín de la CA.

Notificación a la AEPD o Agencia de la CA CONTENIDOS DE LA NOTIFICACIÓN

- Responsable del fichero

- Finalidad del fichero

- Ubicación del fichero

- Tipo de datos de carácter personal que contiene

- Medidas de seguridad

- Cesiones de datos que se prevean realizar

- Transferencias de datos que se prevean, etc…


ORDEN DE CREACIÓN

SENECA ALUMNOS (Andalucía) - Disposición general de creación, modificación o

supresión: - Diario oficial: BOLETIN DE LAS COMUNIDADES AUTONOMAS

- Número de publicación:156 - Fecha de publicación: 11-08-2006- Nombre de la disposición: Orden de 20 de

julio de 2006, por la que se regulan los ficheros automatizados con datos de carácter personal gestionados por la consejería.


SEGURIDAD DE LOS DATOS (I)

Adopción medidas técnicas y organizativas para:* garantizar la seguridad de los datos * evitar su:

- alteración- pérdida- tratamiento no autorizado- acceso no autorizado

Tener en cuenta:- estado de la tecnología- naturaleza de los datos almacenados- riesgos a los que están expuestos, provengan

de acción humana o medio físico/natural


SEGURIDAD DE LOS DATOS (II)

Nivel alto:

- Ideología - Salud

- Religión - Vida sexual - Violencia de género

- Creencias - Origen racial

- Recabados para fines policiales sin consentimiento de las personas

Nivel medio:

- Comisión de infracciones administrativas o penales

- Hacienda Pública

Nivel básico:

- Datos no incluidos en tipos anteriores.


LOE

DISPOSICIÓN ADICIONAL VIGESIMOTERCERA

3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad…


CONSECUENCIAS

Elaboración de un documento de seguridad (Consejería o cada centro).

Implantación efectiva de dichas medidas tanto en soporte papel como informatizadas (Consejería o cada centro).

Deben ser conocidas y aplicadas por todas las personas que utilizan el sistema (Consejería/Profesorado).


MEDIDAS DE SEGURIDAD CENTROS

Los ficheros son mixtos: automatizados y en papel.

En general, los datos especialmente protegidos están en ficheros papel.

Si se segregan los datos especialmente protegidos, se puede aplicar nivel básico al automatizado y nivel alto al fichero en papel. Se declara como un solo fichero con medidas de seguridad de nivel alto.


MEDIDAS DE SEGURIDAD ACCESOS

Ficheros manuales: Acceso a la documentación• Exclusivamente por personal autorizado

(Nadie tiene porque acceder a todos los datos).

• Si se utiliza por múltiples usuarios, hay que implantar mecanismos de identificación de cada acceso.

• Acceso por personas no autorizadas: debe quedar registrado dicho acceso según el procedimiento establecido en el Documento de Seguridad. (ej. bomberos)


SEGURIDAD DE LOS DATOS

SENECA ALUMNOSDatos especialmente protegidos:Otros datos especialmente protegidos:Datos de infracciones:Datos de carácter identificativo: DNI/NIF, dirección,

nombre y apellidos, telefóno.Otros tipos de datos: Datos de características

personales; datos académicos y profesionales; datos económicos financieros y de seguros;

Sistema de tratamiento: CONSECUENCA: Implantación de medidas básicas.

A mi criterio, debe modificarse


INFORMACIÓN EN LA RECOGIDA

Existencia de un fichero o tratamiento

Finalidad de la recogida

Destinatarios de la información.

Carácter obligatorio o facultativo de la respuesta

Consecuencias de la obtención

Posibilidad de ejercitar los derechos.

Identidad y dirección del responsable


¿COMO SE INFORMA?

Verbalmente o por medio de carteles, si se recogen los datos por parte de otra persona y el afectado se lo comunica verbalmente o por teléfono. (no es habitual en un centro educativo con menores de edad).

Por escrito, cuando se recogen los datos en un formulario, en papel o por internet.


CUANDO SE RECOGEN DATOS

Solicitud de admisión en el centro.

Cuando es admitido.

Para la ruta escolar, en su caso.

Para el comedor escolar, en su caso.

Para la obtención de becas, en su caso.

Otros supuestos: actividades psicopedagógicas..


CONSENTIMIENTO DEL INTERESADO (I)

INEQUÍVOCO

EXPRESO: origen racialsalud vida sexual

EXPRESO Y ESCRITO: ideología afiliación sindical religión creencias

REVOCABLE


CONSENTIMIENTO DEL INTERESADO (II)

EXCEPCIONES

Datos recogidos para funciones propias de las AAPP en el ámbito de sus competencias

Relación negocial, laboral o administrativa Tratamiento fines policiales necesarios prevención peligro de

seguridad pública o represión infracciones penales Fuentes de acceso público Datos especialmente protegidos si el tratamiento resulta

necesario: *Prevención o diagnóstico médico

* Prestación asistencia sanitaria

* Salvaguardar interés vital afectado incapacitado para consentir.

* Investigación concreta Fuerzas y Cuerpos de Seguridad


LOE. CONSENTIMIENTO

La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos … En todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso.

Se extiende a la función orientadora (D.A. 23, apartado final del primer párrafo)


CONSENTIMIENTO

Si los padres o tutores facilitan datos de salud para alguna finalidad (comedor) se entiende que han dado el consentimiento expreso para el tratamiento de esos datos con la finalidad concreta.

Excepción también de datos de salud: si un alumno o profesor tiene alguna patología que puede afectar a las personas que están en el Centro, se informa a los interesados que se relacionen con el enfermo para estar prevenidos. Ejemplo: enfermedades mentales, infecciosas como meningitis…


CONSENTIMIENTO MENORES

El Real Decreto 1720/2007, establece en el artículo 13:o 1. Podrá procederse al tratamiento de los datos de los

mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

o 2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.


CONSENTIMIENTO MENORES (II)

En el ámbito educativo, está muy presente la patria potestad, por lo que el consentimiento, en general, deben darlo los padres, aún habiendo cumplido aquellos los 14 años.

No puede depender de la voluntad del menor el control de las ausencias a clase, la obligación de escolarización, etc…


CALIDAD DE DATOS. LOE

Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos.


CALIDAD DE LOS DATOS

AdecuadosPertinentesNo excesivos

VeracesActualesExactos

Prohibición recogida

determinadas

Finalidades explícitas

legítimas

Contenido

fraudulenta

desleal

ilícita


CALIDAD DE DATOS (II)

Necesarios: la Administración tiene que hacer un esfuerzo por normalizar los impresos de recogida de datos y documentación en cada solicitud.

No se pueden usar para finalidades incompatibles, ej: envío de publicidad.

No excesivos o proporcionales, quizás no es necesario conocer la situación de otros hermanos que son ajenos al colegio; especificar el trabajo de los padres,… Cuidado con los comentarios que se incorporan en los ficheros por parte de los docentes


DERECHOS DE LAS PERSONAS (I)

DERECHOS PERSONALÍSIMOS

DERECHOS INDEPENDIENTES

FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL

GRATUITOS

SOLICITUD ANTE EL RESPONSABLE OBLIGACIONES DEL RESPONSABLE CONTESTACIÓN EXPRESA SUBSANACIÓN


DERECHOS DE LAS PERSONAS (II)

Acceso: Solicitud de sus datos de carácter personal sometidos

a tratamiento, origen, comunicaciones realizadas o que se prevén. Plazo contestación de un mes.

Rectificación y cancelación: En caso de datos inexactos o incompletos o de

tratamiento no ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días.

Oposición: El interesado se opone al tratamiento de sus datos,

salvo que una Ley prevea la inclusión de datos. Plazo contestación 10 días.

Indemnización: Por los daños o perjuicios causados como

consecuencia del incumplimiento de la Ley.


DERECHOS DE ACCESO

DERECHO DE ACCESO LOPD: ARTÍCULO 15CONCEPTOPLAZO: 1 MES + 10 DÍASFORMA DEL ACCESO

Soporte elegido por el reclamante: Visualización en pantalla, escrito, copia o fotocopia remitida por correo, telecopia, cualquier otro procedimiento adecuado

Legible Inteligible

CONTENIDO DE LA INFORMACIÓN Datos de base del afectado Los resultantes de cualquier elaboración o proceso

informático Origen de los datos Cesionarios de los datos Usos y finalidades para los que se almacenaron.


DERECHO DE ACCESO EDUCACIÓN

Se puede restringir el acceso a los menores, mayores de 14 años, de la información contenida en los expedientes psicopedagógicos que les puede perjudicar

Se puede restringir el acceso a los padres de lo que los hijos han dicho de ellos.

Acceso a las calificaciones: a partir de los 16 años hay que hacer compatible el acceso a los padres a las notas de los hijos con respeto a la intimidad de los menores (la educación es obligatoria hasta los 16 años, pero la patria potestad se extiende hasta los 18).


DERECHO DE RECTIFICACIÓNY CANCELACIÓN

CONCEPTOPLAZO: 10 DÍASFORMA

a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativab) Derecho de cancelación: el interesado debe indicar si revoca el consentimiento otorgado- La cancelación da lugar al bloqueo de datos y posteriormente se cancelan

DENEGACIÓN: Los datos se mantendrán durante los plazos legalmente establecidos o pactados contractualmente. Ley 41/2002: al menos 5 años desde la última actuación médica.


CESIÓN DE DATOS

CONSENTIMIENTO PREVIO DEL INTERESADO

Excepciones: autorizada en una Ley fuentes accesibles al público relación jurídica cuyo desarrollo, cumplimiento y control implique

comunicación destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o

Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones entre AAPP con fines históricos, estadísticos o científicos datos salud necesarios para urgencia o estudios epidemiológicos cuando una AAPP elabora u obtiene datos con destino a otra


CESIONES EDUCACIÓN

Si en la convocatoria de un premio se establece que se dará publicidad al mismo, se puede hacer.

Es habitual informar de la concesión de ayudas, becas,… a través de internet. Es válido si se facilita información a quien tiene interés legítimo, por lo que será información con log y password, no en abierto.

Hay que cancelar la información cuando el procedimiento de ayudas haya finalizado y se haya conseguido la finalidad prevista.

Publicidad de las notas de los exámenes en el centro o la clase: estaría justificada por el derecho a la educación para ver la calificación en el entorno de un grupo.


CESIONES EDUCACIÓN (II)

Horario de profesores-tutorías: se puede publicar en un espacio de internet para padres, alumnos, profesores y tutores, no en abierto accesible a cualquiera.

Nunca se puede dar publicidad del motivo de la baja de un profesor o personal no docente.

Se podría poner a los alumnos que acuden a comedor una pegatina con la patología? Celiacos, diabéticos. En este caso, primaria el derecho a la salud y a la vida, pero conviene buscar fórmulas adecuadas para obtener el fin perseguido de la forma más discreta posible.


CESIONES EDUCACIÓN (III)

Cesiones a órganos judiciales y Fiscalía esta exceptuado del consentimiento.

Cesiones a Fuerzas y Cuerpos de seguridad del Estado: está exceptuado pero la información la tiene que pedir una persona autorizada para prevenir delitos (ámbito penal, no administrativo: no para botellón) y con una justificación.

Cesiones de un centro a otro en el que el alumno continuará la escolarización: si, con el expediente académico y el de orientación psicopedagógico.


CESIONES EDUCACIÓN (IV)

Desde la Consejería al Ministerio: cesiones habilitadas entre administraciones pero con funciones educativas.

Cesiones para fines estadísticos, estudios epidemiológicos o de salud pública: en general, con datos anonimizados o disociados.

Cesiones a las AMPAS: Se requiere el consentimiento de los padres o tutores.


ACCESO POR CUENTA DE TERCEROS

Servicios de comedor, autobus, … El Centro puede prestar el servicio con sus

propios medios (no es lo habitual) o por medio de contratos con terceros. Les va a ceder los datos de los alumnos que tomarán la ruta, de los que comerán con enfermedades que afecten a los alimentos.

Para realizar lícitamente esa cesión requerirá el consentimiento de los padres o la contratación de acuerdo con lo establecido en el artículo 12 de la LOPD.


ACCESO POR CUENTA DE TERCEROS (II)

Regulada en contrato Forma que permita acreditar su celebración y contenido Contenido:

Finalidad de la prestación Medidas de seguridad Tratamiento del encargado:

- conforme a las instrucciones del responsable- no los aplicará o utilizará con fin distinto - no los comunicará

Finalización: datos destruidos o devueltos Incumplimiento del contrato:

encargado = responsable del tratamiento


DEBER DE SECRETO O CONFIDENCIALIDAD DE LOS DATOS

SUJETOS RESPONSABLES:

- Responsable del fichero/tratamiento

- Quienes intervengan en cualquier fase del tratamiento

OBJETO:

- El secreto profesional

- Deber de guardar los datos

- Mantenimiento de estas obligaciones después de finalizar su relación con el titular del fichero


DEBER DE SECRETO. LOE

El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo.

España es un país mediterráneo, en el que somos comunicativos. A veces, un docente necesita pedir asesoramiento a compañeros sobre algún problema con un alumno. En estos caso, debemos concienciarnos de que no es necesario identificar al menor.


SUPUESTOS PRÁCTICOS

VIDEOVIGILANCIA• Se exige, para instalarlas en un centro

educativo, que sea necesaria (ej. Actos vandálicos, apuñalamientos), idónea y proporcionalidad, es decir, que no haya otra forma de conseguir el mismo objetivo con un medio menos invasivo para la intimidad.

HUELLA DIGITAL• Se exigen las mismas características que para

la instalación de las cámaras de videovigilancia. Se ha informado desfavorablemente para entrar en el comedor o entrar en el colegio.


SUPUESTOS PRÁCTICOS (II)

FOTOS Y GRABACIONES EN LAS ESCUELAS: • Si lo hacen los padres, está excluido de la

normativa de protección de datos ya que es de uso doméstico, pero podría denunciarse por la Ley 1/1982.

• Si las toma el Centro, debe contar con el consentimiento de los padres. También para ponerlo en internet, con clave y password siempre.

USO DEL MÓVIL DE LOS PADRES• Si los padres lo han facilitado y han

consentido en su uso, se puede hacer con las finalidades solicitadas, ej. Comunicar absentismo.


SUPUESTOS PRÁCTICOS (III)

REPARTIR NOTAS DE ALUMNOS ENTRE LOS MIEMBROS DEL CONSEJO ESCOLAR• No se deben facilitar los datos personales de

los alumnos para analizar las dificultades específicas e impulsar las mejoras necesarias.

NOTAS A PADRES SEPARADOS• Si ambos comparten la patria potestad de los

menores, se puede facilitar las calificaciones, informes… a los dos, independientemente de quien tenga la custodia.


SUPUESTOS PRÁCTICOS (IV)

DATOS DEL FICHERO EXTRAIDOS PARA LOS PROFESORES.• Si el colegio extrae datos del fichero de

alumnos, para dárselos a cada profesor por grupos, y éste los mecaniza para la gestión del horario, para poner las notas… puede hacerse ya que la finalidad es la misma del fichero.

GRABACIÓN DE NIÑAS DE 7 AÑOS CON FALDAS MUY CORTAS EN UN BAILE• Un padre solicitó que se cancelasen las

imágenes de su hija. El colegio tuvo que hacerlo.


SUPUESTOS PRÁCTICOS (V)

PUBLICACIÓN EN INTERNET DE AYUDAS ESCOLARES.• Ya se ha indicado que toda la información de

becas, ayudas de comedor… debe facilitarse a quien tenga un interés, es decir, a los solicitantes. No se puede hacer público en abierto, tiene que facilitarse una clave a los solicitantes o facilitar la información a los afectados en administración, tutoría, despacho del Director…


PLAN DE OFICIO

Plan sectorial de oficio a la enseñanza reglada no universitaria, de 29 de diciembre de 2006.

Se realizan para velar y comprobar el cumplimiento de la normativa de protección de datos en un sector. Se hace un estado de situación tratando de sensibilizar al sector.

Se estudian colegios públicos, institutos de enseñanza secundaria, centros privados y privados concertados (en Andalucía se vio uno de cada uno de ellos).

Ha sido el plan más amplio efectuado por la Agencia, por el nº de centros inspeccionados y la cantidad de datos que se tratan.


PLAN DE OFICIO (II)

Autonomía organizativa, pedagógica y de gestión de los centros docentes, aunque la Admón de la CA debe establecer el marco general en el que se debe desenvolver la actividad educativa.

Se exceptuaron del plan los centros que imparten enseñanzas artísticas, de idiomas o deportivas, y los que imparten sólo educación infantil.

Se facilitó a todas las CCAA el informe de conclusiones y sólo alegaron Andalucía, Valencia y Castilla-La Mancha


PLAN DE OFICIO (III)

Conclusiones:• No se facilita, en general, en los formularios la

información exigida en el art. 5 de la LOPD.• No se pide el consentimiento para fotos en

anuarios, excursiones, etc…• Se recaban datos excesivos (se solucionaría

con formularios normalizados y la misma documentación para cada solicitud).

• No se cancelan los datos cuando han dejado de ser necesarios (las CCAA deberían dar instrucciones obre archivo y mantenimiento de datos). Algunos centros han guardado expedientes completos desde 1940.


PLAN DE OFICIO (IV)

• Se custodian datos sensibles: de salud de los alumnos admitidos: alergias, intolerancias, asma…, sentencias de separación o divorcio de los padres separados.

• Al no incorporan en los formularios la información del artículo 5 de la LOPD, no dan la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, ni tampoco tienen los centros un procedimiento para atender tales solicitudes.

• Seis CCAA no tenían inscrito ningún fichero de tratamiento de datos personales de alumnos, o la inscripción no es completa.


PLAN DE OFICIO (V)

• Los centros utilizan programas informáticos distribuidos por el Ministerio de Educación: “Escuela” y el “IES2000”. Si se usan conexiones a internet se deben extremar las medidas de seguridad para evitar ataques al sistema y minimizar los riesgos de fugas de información.

• En general, no existe documento de seguridad. Las Consejerías de Educación deben elaborarlos e informar de ello al personal.

• No hay gestión de incidencias ni control de accesos, cuando se tratan datos especialmente protegidos. Tampoco está implementado un control de soportes.


PLAN DE OFICIO (VI)

• Se debe fijar un procedimiento para la obtención de una copia de respaldo y de recuperación de datos.

• Hay que nombrar responsable de seguridad.• Se tienen que realizar auditorias cada 2 años y

han de estar a disposición de la AGPD.• Las transmisiones de datos que se realicen

por redes de telecomunicaciones deben efectuarse cifradas, por ej. Cuando se manden datos por correo electrónico.

• Debe recordarse al personal que presta servicio en centros escolares la obligación de sigilo.


PLAN DE OFICIO (VII)

• En los contratos de trabajo que se firmen con terceros, incluir una cláusula de confidencialidad.

• Se realizan muchas cesiones: a la Comisión de escolarización, a la Consejería de Educación, a la Consejería de Sanidad, a la Universidad, a la Tesorería Gral de la SS (los alumnos de 3º de ESO y sgtes para la gestión del seguro escolar obligatorio), … La mayoría están habilitadas por Ley, en los demás casos debe contar el Centro con el consentimiento expreso de los afectados o tutores.


PLAN DE OFICIO (VIII)

• En los contratos por cuenta de terceros, no están incluidas las exigencias del artículo 12 de la LOPD.

• Apenas se realizan transferencias internacionales de datos, salvo dos centros que ofertan a sus alumnos más brillantes la modalidad de bachillerato internacional. Han de pedir consentimiento a los afectados o firmar un contrato de prestación de servicios


CONCLUSIONES

Altas garantías

Ampliación de responsables

Extensión concepto de fichero

Numerosos incumplimientos

Mejorable confidencialidad de AAPP


WWW.AGPD.ES

ponencia de cristina gómez piqueras

Education