PROTECCIÓN DE DATOS. APLICACIÓN PRÁCTICA
       PARA CENTROS DE EDUCACIÓN OBLIGATORIA




                                ...
ÍNDICE


         ¿QUÉ ES LA PROTECCIÓN DE DATOS?.
         NORMATIVA APLICABLE.
         AGENCIA Y SUS FUNCIONES.
       ...
¿PROTECCIÓN DE DATOS?




     NOS AFECTA A NIVEL PERSONAL (al contratar
      servicios nos piden el consentimiento para...
PECULIARIDADES DEL DERECHO A LA
                       PROTECCIÓN DE DATOS



    • Su desconocimiento                  po...
¿QUÉ ES LA PROTECCIÓN DE DATOS?




     VULNERACIÓN DE LA INTIMIDAD

     VALOR ECONÓMICO DEL DATO / DIRECTIVA
     95/...
¿QUÉ ES LA PROTECCIÓN DE DATOS? (II)

     DERECHO AUTÓNOMO. STC 292/2000.
       Poder de disposición y control sobre dat...
NORMATIVA APLICABLE

     Artículo 18.4 de la Constitución Española.

     LOPD (L.O. 15/1999, de 13 de diciembre, de Pr...
Agencia Española de Protección de Datos



           Ente de Derecho Público

           Personalidad Jurídica Propia

...
Funciones de la Agencia Española de
                           Protección de Datos

     GENÉRICA DE SALVAGUARDA Y TUTELA...
AGENCIA ESPAÑOLA DE PROTECCIÓN
                            DE DATOS


                                           DIRECTOR
...
EDUCACIÓN/PROTECCIÓN DE DATOS
                           CONSTITUCIÓN



     Artículo 18.4: La Ley limitará el uso de la...
ÁMBITO EDUCATIVO


     Es un ámbito en el que se tratan millones de
      datos. Requiere un tratamiento masivo de datos...
LEY ORGÁNICA 2/2006, DE 3 DE MAYO,
                         DE EDUCACIÓN (I)

    DISPOSICIÓN ADICIONAL VIGESIMOTERCERA. D...
LEY ORGÁNICA 2/2006, DE 3 DE MAYO,
                         DE EDUCACIÓN (II)

    3. En el tratamiento de los datos del a...
RESPONSABILIDADES DEL
                                       COLEGIO/INSTITUTO



     INSCRIPCIÓN DEL FICHERO.
     INC...
IDENTIFICAR FICHEROS Y TRATAMIENTOS




     Lo primero que hay que hacer es comprobar qué
      ficheros vamos a manejar...
INSCRIPCIÓN DE FICHEROS PÚBLICOS


 CREACIÓN, MODIFICACIÓN, SUPRESIÓN
  Orden de creación del fichero, publicada en el Bo...
ORDEN DE CREACIÓN


         SENECA ALUMNOS (Andalucía)
         - Disposición general de creación, modificación o
       ...
SEGURIDAD DE LOS DATOS (I)


    Adopción medidas técnicas y organizativas para:
      * garantizar la seguridad de los da...
SEGURIDAD DE LOS DATOS (II)

Nivel alto:
  - Ideología      - Salud
  - Religión      - Vida sexual - Violencia de género
...
LOE


    DISPOSICIÓN ADICIONAL VIGESIMOTERCERA

    3. En el tratamiento de los datos del alumnado se
       aplicarán no...
CONSECUENCIAS



     Elaboración de un documento de seguridad
      (Consejería o cada centro).

     Implantación efec...
MEDIDAS DE SEGURIDAD CENTROS




     Los ficheros son mixtos: automatizados y en
      papel.
     En general, los dato...
MEDIDAS DE SEGURIDAD ACCESOS


     Ficheros manuales: Acceso a la documentación
       • Exclusivamente por personal aut...
SEGURIDAD DE LOS DATOS


    SENECA ALUMNOS
    Datos especialmente protegidos:
    Otros datos especialmente protegidos:
...
INFORMACIÓN EN LA RECOGIDA

     Existencia de un fichero o tratamiento

     Finalidad de la recogida

     Destinatar...
¿COMO SE INFORMA?


     Verbalmente o por medio                   de carteles, si se
      recogen los datos por parte  ...
CUANDO SE RECOGEN DATOS


     Solicitud de admisión en el centro.

     Cuando es admitido.

     Para la ruta escolar...
CONSENTIMIENTO DEL INTERESADO (I)

 INEQUÍVOCO

 EXPRESO:                      origen racial
                           ...
CONSENTIMIENTO DEL INTERESADO (II)

                                          EXCEPCIONES
 Datos recogidos para funciones...
LOE. CONSENTIMIENTO




     La incorporación de un alumno a un centro
      docente supondrá el consentimiento para el
 ...
CONSENTIMIENTO


     Si los padres o tutores facilitan datos de salud
      para alguna finalidad (comedor) se entiende ...
CONSENTIMIENTO MENORES


    El Real Decreto 1720/2007, establece en el artículo 13:
    o 1. Podrá procederse al tratamie...
CONSENTIMIENTO MENORES (II)




     En el ámbito educativo, está muy presente la
      patria potestad, por lo que el co...
CALIDAD DE DATOS. LOE


     Los centros docentes podrán recabar los datos
      personales de su alumnado que sean neces...
CALIDAD DE LOS DATOS


Adecuados                                                determinadas
Pertinentes                ...
CALIDAD DE DATOS (II)


     Necesarios: la Administración tiene que hacer un
      esfuerzo por normalizar los impresos ...
DERECHOS DE LAS PERSONAS (I)



     DERECHOS PERSONALÍSIMOS

     DERECHOS INDEPENDIENTES

     FICHEROS AFECTADOS: AU...
DERECHOS DE LAS PERSONAS (II)


    Acceso:
            Solicitud de sus datos de carácter personal sometidos
          a ...
DERECHOS DE ACCESO

      DERECHO DE ACCESO LOPD: ARTÍCULO 15
      CONCEPTO
      PLAZO: 1 MES + 10 DÍAS
      FORMA DEL ...
DERECHO DE ACCESO EDUCACIÓN


     Se puede restringir el acceso a los menores,
      mayores de 14 años, de la informaci...
DERECHO DE RECTIFICACIÓN
                                      Y CANCELACIÓN


    CONCEPTO
    PLAZO: 10 DÍAS
    FORMA
 ...
CESIÓN DE DATOS

           CONSENTIMIENTO PREVIO DEL INTERESADO

Excepciones:
 autorizada en una Ley
 fuentes accesible...
CESIONES EDUCACIÓN

    Si en la convocatoria de un premio se establece
        que se dará publicidad al mismo, se puede...
CESIONES EDUCACIÓN (II)


     Horario de profesores-tutorías: se puede publicar
      en un espacio de internet para pad...
CESIONES EDUCACIÓN (III)




     Cesiones a órganos judiciales y Fiscalía esta
      exceptuado del consentimiento.
    ...
CESIONES EDUCACIÓN (IV)


     Desde la Consejería al Ministerio: cesiones
      habilitadas entre administraciones pero ...
ACCESO POR CUENTA DE TERCEROS


     Servicios de comedor, autobus, …
     El Centro puede prestar el servicio con sus
 ...
ACCESO POR CUENTA DE TERCEROS (II)

 Regulada en contrato
 Forma que permita acreditar su celebración y contenido
 Cont...
DEBER DE SECRETO O CONFIDENCIALIDAD
                                      DE LOS DATOS


    SUJETOS RESPONSABLES:
      -...
DEBER DE SECRETO. LOE


     El profesorado y el resto del personal que, en el
      ejercicio de sus funciones, acceda a...
SUPUESTOS PRÁCTICOS


     VIDEOVIGILANCIA
       • Se exige, para instalarlas en un centro
         educativo, que sea n...
SUPUESTOS PRÁCTICOS (II)

     FOTOS Y GRABACIONES EN LAS ESCUELAS:
       • Si lo hacen los padres, está excluido de la
...
SUPUESTOS PRÁCTICOS (III)


     REPARTIR NOTAS DE ALUMNOS ENTRE LOS
      MIEMBROS DEL CONSEJO ESCOLAR
       • No se de...
SUPUESTOS PRÁCTICOS (IV)

     DATOS DEL FICHERO EXTRAIDOS PARA LOS
      PROFESORES.
       • Si el colegio extrae datos...
SUPUESTOS PRÁCTICOS (V)


     PUBLICACIÓN EN INTERNET DE AYUDAS
      ESCOLARES.
       • Ya se ha indicado que toda la ...
PLAN DE OFICIO


     Plan sectorial de oficio a la enseñanza reglada no
      universitaria, de 29 de diciembre de 2006....
PLAN DE OFICIO (II)


     Autonomía organizativa, pedagógica y de gestión
      de los centros docentes, aunque la Admón...
PLAN DE OFICIO (III)


     Conclusiones:
       • No se facilita, en general, en los formularios la
         información...
PLAN DE OFICIO (IV)


          • Se custodian datos sensibles: de salud de los
            alumnos admitidos: alergias, i...
PLAN DE OFICIO (V)

          • Los centros utilizan programas informáticos
            distribuidos por el Ministerio de ...
PLAN DE OFICIO (VI)


          • Se debe fijar un procedimiento para la
            obtención de una copia de respaldo y ...
PLAN DE OFICIO (VII)


          • En los contratos de trabajo que se firmen con
            terceros,     incluir   una  ...
PLAN DE OFICIO (VIII)


          • En los contratos por cuenta de terceros, no
            están incluidas las exigencias...
CONCLUSIONES


 Altas garantías

Ampliación de responsables

Extensión concepto de fichero

Numerosos incumplimientos
...
WWW.AGPD.ES




                                                66
Agencia Española de Protección de Datos
Upcoming SlideShare
Loading in …5
×

Ponencia de Cristina Gómez Piqueras

2,052 views

Published on

Ponencia de Cristina Gómez Piqueras en el CEP de Granada. 21 de mayo de 2009.

Published in: Education, Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,052
On SlideShare
0
From Embeds
0
Number of Embeds
162
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ponencia de Cristina Gómez Piqueras

  1. 1. PROTECCIÓN DE DATOS. APLICACIÓN PRÁCTICA PARA CENTROS DE EDUCACIÓN OBLIGATORIA CRISTINA GÓMEZ PIQUERAS Granada, 21 de mayo de 2009 1 Agencia Española de Protección de Datos
  2. 2. ÍNDICE ¿QUÉ ES LA PROTECCIÓN DE DATOS?. NORMATIVA APLICABLE. AGENCIA Y SUS FUNCIONES. DERECHOS CONSTITUCIONALES: EDUCACIÓN Y PROTECCIÓN DE DATOS. ÁMBITO EDUCATIVO LEY ORGÁNICA DE EDUCACIÓN OBLIGACIONES DEL COLEGIO/INSTITUTO/CONSEJERÍA DE EDUCACIÓN. SUPUESTOS PRÁCTICOS. PLAN DE OFICIO A LA ENSEÑANZA REGLADA NO UNIVERSITARIA 2 Agencia Española de Protección de Datos
  3. 3. ¿PROTECCIÓN DE DATOS?  NOS AFECTA A NIVEL PERSONAL (al contratar servicios nos piden el consentimiento para el uso de nuestros datos) Y PROFESIONAL (quien no trabaja con bases de datos).  LA PRIVACIDAD ESTÁ EN PELIGRO. (Cada vez es más fácil invadir la intimidad ajena mediante la utilización de nuevas tecnologías) 3 Agencia Española de Protección de Datos
  4. 4. PECULIARIDADES DEL DERECHO A LA PROTECCIÓN DE DATOS • Su desconocimiento por parte del ciudadano. • Lo inadvertido de su vulneración (envío postal, llamada telefónica). • Su naturaleza de derecho fundamental. 4 Agencia Española de Protección de Datos
  5. 5. ¿QUÉ ES LA PROTECCIÓN DE DATOS?  VULNERACIÓN DE LA INTIMIDAD  VALOR ECONÓMICO DEL DATO / DIRECTIVA 95/46  DERECHO FUNDAMENTAL / PATRIMONIO / CONSTITUCIÓN EUROPEA 5 Agencia Española de Protección de Datos
  6. 6. ¿QUÉ ES LA PROTECCIÓN DE DATOS? (II) DERECHO AUTÓNOMO. STC 292/2000. Poder de disposición y control sobre datos personales. Facultad de decidir sobre  Qué datos ceder a un tercero.  Qué datos se pueden recabar Facultad de conocer  Quién posee esos datos personales  Para qué los posee Facultad de oponerse a su posesión o uso  Solicitando su rectificación o cancelación  Revocando el consentimiento para su uso. 6 Agencia Española de Protección de Datos
  7. 7. NORMATIVA APLICABLE  Artículo 18.4 de la Constitución Española.  LOPD (L.O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal)  RD 1720/2007, de 21 de diciembre, de desarrollo de la LOPD  Instrucciones de la AEPD  Normas de CCAA  Madrid: Ley 8/2001, de 13 de julio  Cataluña: Ley 5/2002, de 19 de abril  País Vasco: Ley 2/2004, de 25 de febrero. 7 Agencia Española de Protección de Datos
  8. 8. Agencia Española de Protección de Datos  Ente de Derecho Público  Personalidad Jurídica Propia  Plena capacidad Pública y Privada  Independencia de las Administraciones Públicas en el ejercicio de sus funciones  Puestos de trabajo: Funcionarios y Contratados  Elabora y aprueba Anteproyecto de Presupuesto 8 Agencia Española de Protección de Datos
  9. 9. Funciones de la Agencia Española de Protección de Datos  GENÉRICA DE SALVAGUARDA Y TUTELA: velar por el cumplimiento legislación de protección de datos y defensa de los derechos de los afectados  INTEGRACIÓN NORMATIVA o desarrollo reglamentario  CONSULTIVA de las normas en lo relativo a protección de datos.  INFORMATIVA: publicidad de ficheros, información a particulares.  COOPERACIÓN INTERNACIONAL  INSPECTORA E INSTRUCTORA 9 Agencia Española de Protección de Datos
  10. 10. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DIRECTOR CONSEJO UNIDAD DE CONSULTIVO APOYO SUB. GENERAL SECRETARIA SUB. GENERAL DE REGISTRO GENERAL DE INSPECCIÓN 10 Agencia Española de Protección de Datos
  11. 11. EDUCACIÓN/PROTECCIÓN DE DATOS CONSTITUCIÓN  Artículo 18.4: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.  Artículo 27.1: Todos tienen el derecho a la educación. Se reconoce la libertad de enseñanza. (derecho universal, gratuito y de calidad).  HAY QUE RELACIONAR AMBOS DERECHOS Y HACERLOS COMPATIBLES, BUSCANDO EL EQUILIBRIO. 11 Agencia Española de Protección de Datos
  12. 12. ÁMBITO EDUCATIVO  Es un ámbito en el que se tratan millones de datos. Requiere un tratamiento masivo de datos para el cumplimiento de las funciones administrativas.  Se tratan, principalmente, datos de alumnos, profesores (personal docente y discente), y familiares de alumnos.  ¿Qué tipo de datos se tratan? Identificativos, académicos, hábitos, circunstancias sociales (actividad orientadora), salud, pertenencia a minorías étnicas o sociales.  ¿En qué ficheros? Tanto automatizados como en papel. 12 Agencia Española de Protección de Datos
  13. 13. LEY ORGÁNICA 2/2006, DE 3 DE MAYO, DE EDUCACIÓN (I) DISPOSICIÓN ADICIONAL VIGESIMOTERCERA. Datos personales de los alumnos. 1. Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos. 2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información a la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad, en los términos establecidos en la legislación sobre protección de datos. En todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso. 13 Agencia Española de Protección de Datos
  14. 14. LEY ORGÁNICA 2/2006, DE 3 DE MAYO, DE EDUCACIÓN (II) 3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad y confidencialidad. El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo. 4. La cesión de los datos, incluidos los de carácter reservado, necesarios para el sistema educativo, se realizará preferentemente por vía telemática y estará sujeta a la legislación en materia de protección de datos de carácter personal, y las condiciones mínimas serán acordadas por el Gobierno con las Comunidades Autónomas en el seno de la Conferencia Sectorial de Educación. 14 Agencia Española de Protección de Datos
  15. 15. RESPONSABILIDADES DEL COLEGIO/INSTITUTO  INSCRIPCIÓN DEL FICHERO.  INCORPORAR MEDIDAS DE SEGURIDAD.  INFORMACIÓN.  CONSENTIMIENTO.  CALIDAD DE DATOS.  DERECHOS ACCESO, RECTIFICACIÓN Y CANCELACIÓN.  CONSENTIMIENTO PARA CESIÓN.  CONFIDENCIALIDAD. 15 Agencia Española de Protección de Datos
  16. 16. IDENTIFICAR FICHEROS Y TRATAMIENTOS  Lo primero que hay que hacer es comprobar qué ficheros vamos a manejar y quién va a ser el responsable del fichero y del tratamiento.  El responsable del fichero es quien tiene la competencia administrativa: Consejería de Educación. Es el obligado a publicar la norma de creación del fichero.  Responsable del tratamiento: cada Centro, Instituto o escuela. La inscripción del fichero la puede hacer la Consejería o cada Centro. 16 Agencia Española de Protección de Datos
  17. 17. INSCRIPCIÓN DE FICHEROS PÚBLICOS  CREACIÓN, MODIFICACIÓN, SUPRESIÓN Orden de creación del fichero, publicada en el Boletín de la CA. Notificación a la AEPD o Agencia de la CA  CONTENIDOS DE LA NOTIFICACIÓN - Responsable del fichero - Finalidad del fichero - Ubicación del fichero - Tipo de datos de carácter personal que contiene - Medidas de seguridad - Cesiones de datos que se prevean realizar - Transferencias de datos que se prevean, etc… 17 Agencia Española de Protección de Datos
  18. 18. ORDEN DE CREACIÓN SENECA ALUMNOS (Andalucía) - Disposición general de creación, modificación o supresión: - Diario oficial: BOLETIN DE LAS COMUNIDADES AUTONOMAS - Número de publicación:156 - Fecha de publicación: 11-08-2006 - Nombre de la disposición: Orden de 20 de julio de 2006, por la que se regulan los ficheros automatizados con datos de carácter personal gestionados por la consejería. 18 Agencia Española de Protección de Datos
  19. 19. SEGURIDAD DE LOS DATOS (I) Adopción medidas técnicas y organizativas para: * garantizar la seguridad de los datos * evitar su: - alteración - pérdida - tratamiento no autorizado - acceso no autorizado Tener en cuenta: - estado de la tecnología - naturaleza de los datos almacenados - riesgos a los que están expuestos, provengan de acción humana o medio físico/natural 19 Agencia Española de Protección de Datos
  20. 20. SEGURIDAD DE LOS DATOS (II) Nivel alto: - Ideología - Salud - Religión - Vida sexual - Violencia de género - Creencias - Origen racial - Recabados para fines policiales sin consentimiento de las personas Nivel medio: - Comisión de infracciones administrativas o penales - Hacienda Pública Nivel básico: - Datos no incluidos en tipos anteriores. 20 Agencia Española de Protección de Datos
  21. 21. LOE DISPOSICIÓN ADICIONAL VIGESIMOTERCERA 3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad… 21 Agencia Española de Protección de Datos
  22. 22. CONSECUENCIAS  Elaboración de un documento de seguridad (Consejería o cada centro).  Implantación efectiva de dichas medidas tanto en soporte papel como informatizadas (Consejería o cada centro).  Deben ser conocidas y aplicadas por todas las personas que utilizan el sistema (Consejería/Profesorado). 22 Agencia Española de Protección de Datos
  23. 23. MEDIDAS DE SEGURIDAD CENTROS  Los ficheros son mixtos: automatizados y en papel.  En general, los datos especialmente protegidos están en ficheros papel.  Si se segregan los datos especialmente protegidos, se puede aplicar nivel básico al automatizado y nivel alto al fichero en papel. Se declara como un solo fichero con medidas de seguridad de nivel alto. 23 Agencia Española de Protección de Datos
  24. 24. MEDIDAS DE SEGURIDAD ACCESOS  Ficheros manuales: Acceso a la documentación • Exclusivamente por personal autorizado (Nadie tiene porque acceder a todos los datos). • Si se utiliza por múltiples usuarios, hay que implantar mecanismos de identificación de cada acceso. • Acceso por personas no autorizadas: debe quedar registrado dicho acceso según el procedimiento establecido en el Documento de Seguridad. (ej. bomberos) 24 Agencia Española de Protección de Datos
  25. 25. SEGURIDAD DE LOS DATOS SENECA ALUMNOS Datos especialmente protegidos: Otros datos especialmente protegidos: Datos de infracciones: Datos de carácter identificativo: DNI/NIF, dirección, nombre y apellidos, telefóno. Otros tipos de datos: Datos de características personales; datos académicos y profesionales; datos económicos financieros y de seguros; Sistema de tratamiento: CONSECUENCA: Implantación de medidas básicas. A mi criterio, debe modificarse 25 Agencia Española de Protección de Datos
  26. 26. INFORMACIÓN EN LA RECOGIDA  Existencia de un fichero o tratamiento  Finalidad de la recogida  Destinatarios de la información.  Carácter obligatorio o facultativo de la respuesta  Consecuencias de la obtención  Posibilidad de ejercitar los derechos.  Identidad y dirección del responsable 26 Agencia Española de Protección de Datos
  27. 27. ¿COMO SE INFORMA?  Verbalmente o por medio de carteles, si se recogen los datos por parte de otra persona y el afectado se lo comunica verbalmente o por teléfono. (no es habitual en un centro educativo con menores de edad).  Por escrito, cuando se recogen los datos en un formulario, en papel o por internet. 27 Agencia Española de Protección de Datos
  28. 28. CUANDO SE RECOGEN DATOS  Solicitud de admisión en el centro.  Cuando es admitido.  Para la ruta escolar, en su caso.  Para el comedor escolar, en su caso.  Para la obtención de becas, en su caso.  Otros supuestos: actividades psicopedagógicas.. 28 Agencia Española de Protección de Datos
  29. 29. CONSENTIMIENTO DEL INTERESADO (I)  INEQUÍVOCO  EXPRESO: origen racial salud vida sexual  EXPRESO Y ESCRITO: ideología afiliación sindical religión creencias  REVOCABLE 29 Agencia Española de Protección de Datos
  30. 30. CONSENTIMIENTO DEL INTERESADO (II) EXCEPCIONES  Datos recogidos para funciones propias de las AAPP en el ámbito de sus competencias  Relación negocial, laboral o administrativa  Tratamiento fines policiales necesarios prevención peligro de seguridad pública o represión infracciones penales  Fuentes de acceso público  Datos especialmente protegidos si el tratamiento resulta necesario: *Prevención o diagnóstico médico * Prestación asistencia sanitaria * Salvaguardar interés vital afectado incapacitado para consentir. * Investigación concreta Fuerzas y Cuerpos de Seguridad 30 Agencia Española de Protección de Datos
  31. 31. LOE. CONSENTIMIENTO  La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos … En todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso.  Se extiende a la función orientadora (D.A. 23, apartado final del primer párrafo) 31 Agencia Española de Protección de Datos
  32. 32. CONSENTIMIENTO  Si los padres o tutores facilitan datos de salud para alguna finalidad (comedor) se entiende que han dado el consentimiento expreso para el tratamiento de esos datos con la finalidad concreta.  Excepción también de datos de salud: si un alumno o profesor tiene alguna patología que puede afectar a las personas que están en el Centro, se informa a los interesados que se relacionen con el enfermo para estar prevenidos. Ejemplo: enfermedades mentales, infecciosas como meningitis… 32 Agencia Española de Protección de Datos
  33. 33. CONSENTIMIENTO MENORES El Real Decreto 1720/2007, establece en el artículo 13: o 1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. o 2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior. 33 Agencia Española de Protección de Datos
  34. 34. CONSENTIMIENTO MENORES (II)  En el ámbito educativo, está muy presente la patria potestad, por lo que el consentimiento, en general, deben darlo los padres, aún habiendo cumplido aquellos los 14 años.  No puede depender de la voluntad del menor el control de las ausencias a clase, la obligación de escolarización, etc… 34 Agencia Española de Protección de Datos
  35. 35. CALIDAD DE DATOS. LOE  Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos. 35 Agencia Española de Protección de Datos
  36. 36. CALIDAD DE LOS DATOS Adecuados determinadas Pertinentes Finalidades explícitas No excesivos legítimas Veraces Actuales Contenido Exactos Prohibición recogida fraudulenta desleal ilícita 36 Agencia Española de Protección de Datos
  37. 37. CALIDAD DE DATOS (II)  Necesarios: la Administración tiene que hacer un esfuerzo por normalizar los impresos de recogida de datos y documentación en cada solicitud.  No se pueden usar para finalidades incompatibles, ej: envío de publicidad.  No excesivos o proporcionales, quizás no es necesario conocer la situación de otros hermanos que son ajenos al colegio; especificar el trabajo de los padres,… Cuidado con los comentarios que se incorporan en los ficheros por parte de los docentes 37 Agencia Española de Protección de Datos
  38. 38. DERECHOS DE LAS PERSONAS (I)  DERECHOS PERSONALÍSIMOS  DERECHOS INDEPENDIENTES  FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL  GRATUITOS  SOLICITUD ANTE EL RESPONSABLE  OBLIGACIONES DEL RESPONSABLE  CONTESTACIÓN EXPRESA  SUBSANACIÓN 38 Agencia Española de Protección de Datos
  39. 39. DERECHOS DE LAS PERSONAS (II) Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen, comunicaciones realizadas o que se prevén. Plazo contestación de un mes. Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días. Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la inclusión de datos. Plazo contestación 10 días. Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la Ley. 39 Agencia Española de Protección de Datos
  40. 40. DERECHOS DE ACCESO DERECHO DE ACCESO LOPD: ARTÍCULO 15 CONCEPTO PLAZO: 1 MES + 10 DÍAS FORMA DEL ACCESO  Soporte elegido por el reclamante: Visualización en pantalla, escrito, copia o fotocopia remitida por correo, telecopia, cualquier otro procedimiento adecuado  Legible  Inteligible CONTENIDO DE LA INFORMACIÓN  Datos de base del afectado  Los resultantes de cualquier elaboración o proceso informático  Origen de los datos  Cesionarios de los datos  Usos y finalidades para los que se almacenaron. 40 Agencia Española de Protección de Datos
  41. 41. DERECHO DE ACCESO EDUCACIÓN  Se puede restringir el acceso a los menores, mayores de 14 años, de la información contenida en los expedientes psicopedagógicos que les puede perjudicar  Se puede restringir el acceso a los padres de lo que los hijos han dicho de ellos.  Acceso a las calificaciones: a partir de los 16 años hay que hacer compatible el acceso a los padres a las notas de los hijos con respeto a la intimidad de los menores (la educación es obligatoria hasta los 16 años, pero la patria potestad se extiende hasta los 18). 41 Agencia Española de Protección de Datos
  42. 42. DERECHO DE RECTIFICACIÓN Y CANCELACIÓN CONCEPTO PLAZO: 10 DÍAS FORMA a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativa b) Derecho de cancelación: el interesado debe indicar si revoca el consentimiento otorgado - La cancelación da lugar al bloqueo de datos y posteriormente se cancelan DENEGACIÓN: Los datos se mantendrán durante los plazos legalmente establecidos o pactados contractualmente. Ley 41/2002: al menos 5 años desde la última actuación médica. 42 Agencia Española de Protección de Datos
  43. 43. CESIÓN DE DATOS CONSENTIMIENTO PREVIO DEL INTERESADO Excepciones:  autorizada en una Ley  fuentes accesibles al público  relación jurídica cuyo desarrollo, cumplimiento y control implique comunicación  destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones  entre AAPP con fines históricos, estadísticos o científicos  datos salud necesarios para urgencia o estudios epidemiológicos  cuando una AAPP elabora u obtiene datos con destino a otra 43 Agencia Española de Protección de Datos
  44. 44. CESIONES EDUCACIÓN  Si en la convocatoria de un premio se establece que se dará publicidad al mismo, se puede hacer.  Es habitual informar de la concesión de ayudas, becas,… a través de internet. Es válido si se facilita información a quien tiene interés legítimo, por lo que será información con log y password, no en abierto.  Hay que cancelar la información cuando el procedimiento de ayudas haya finalizado y se haya conseguido la finalidad prevista.  Publicidad de las notas de los exámenes en el centro o la clase: estaría justificada por el derecho a la educación para ver la calificación en el entorno de un grupo. Agencia Española de Protección de Datos 44
  45. 45. CESIONES EDUCACIÓN (II)  Horario de profesores-tutorías: se puede publicar en un espacio de internet para padres, alumnos, profesores y tutores, no en abierto accesible a cualquiera.  Nunca se puede dar publicidad del motivo de la baja de un profesor o personal no docente.  Se podría poner a los alumnos que acuden a comedor una pegatina con la patología? Celiacos, diabéticos. En este caso, primaria el derecho a la salud y a la vida, pero conviene buscar fórmulas adecuadas para obtener el fin perseguido de la forma más discreta posible. 45 Agencia Española de Protección de Datos
  46. 46. CESIONES EDUCACIÓN (III)  Cesiones a órganos judiciales y Fiscalía esta exceptuado del consentimiento.  Cesiones a Fuerzas y Cuerpos de seguridad del Estado: está exceptuado pero la información la tiene que pedir una persona autorizada para prevenir delitos (ámbito penal, no administrativo: no para botellón) y con una justificación.  Cesiones de un centro a otro en el que el alumno continuará la escolarización: si, con el expediente académico y el de orientación psicopedagógico. 46 Agencia Española de Protección de Datos
  47. 47. CESIONES EDUCACIÓN (IV)  Desde la Consejería al Ministerio: cesiones habilitadas entre administraciones pero con funciones educativas.  Cesiones para fines estadísticos, estudios epidemiológicos o de salud pública: en general, con datos anonimizados o disociados.  Cesiones a las AMPAS: Se requiere el consentimiento de los padres o tutores. 47 Agencia Española de Protección de Datos
  48. 48. ACCESO POR CUENTA DE TERCEROS  Servicios de comedor, autobus, …  El Centro puede prestar el servicio con sus propios medios (no es lo habitual) o por medio de contratos con terceros. Les va a ceder los datos de los alumnos que tomarán la ruta, de los que comerán con enfermedades que afecten a los alimentos.  Para realizar lícitamente esa cesión requerirá el consentimiento de los padres o la contratación de acuerdo con lo establecido en el artículo 12 de la LOPD. 48 Agencia Española de Protección de Datos
  49. 49. ACCESO POR CUENTA DE TERCEROS (II)  Regulada en contrato  Forma que permita acreditar su celebración y contenido  Contenido:  Finalidad de la prestación  Medidas de seguridad  Tratamiento del encargado: - conforme a las instrucciones del responsable - no los aplicará o utilizará con fin distinto - no los comunicará  Finalización: datos destruidos o devueltos  Incumplimiento del contrato: encargado = responsable del tratamiento 49 Agencia Española de Protección de Datos
  50. 50. DEBER DE SECRETO O CONFIDENCIALIDAD DE LOS DATOS SUJETOS RESPONSABLES: - Responsable del fichero/tratamiento - Quienes intervengan en cualquier fase del tratamiento OBJETO: - El secreto profesional - Deber de guardar los datos - Mantenimiento de estas obligaciones después de finalizar su relación con el titular del fichero 50 Agencia Española de Protección de Datos
  51. 51. DEBER DE SECRETO. LOE  El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo.  España es un país mediterráneo, en el que somos comunicativos. A veces, un docente necesita pedir asesoramiento a compañeros sobre algún problema con un alumno. En estos caso, debemos concienciarnos de que no es necesario identificar al menor. 51 Agencia Española de Protección de Datos
  52. 52. SUPUESTOS PRÁCTICOS  VIDEOVIGILANCIA • Se exige, para instalarlas en un centro educativo, que sea necesaria (ej. Actos vandálicos, apuñalamientos), idónea y proporcionalidad, es decir, que no haya otra forma de conseguir el mismo objetivo con un medio menos invasivo para la intimidad.  HUELLA DIGITAL • Se exigen las mismas características que para la instalación de las cámaras de videovigilancia. Se ha informado desfavorablemente para entrar en el comedor o entrar en el colegio. 52 Agencia Española de Protección de Datos
  53. 53. SUPUESTOS PRÁCTICOS (II)  FOTOS Y GRABACIONES EN LAS ESCUELAS: • Si lo hacen los padres, está excluido de la normativa de protección de datos ya que es de uso doméstico, pero podría denunciarse por la Ley 1/1982. • Si las toma el Centro, debe contar con el consentimiento de los padres. También para ponerlo en internet, con clave y password siempre.  USO DEL MÓVIL DE LOS PADRES • Si los padres lo han facilitado y han consentido en su uso, se puede hacer con las finalidades solicitadas, ej. Comunicar absentismo. 53 Agencia Española de Protección de Datos
  54. 54. SUPUESTOS PRÁCTICOS (III)  REPARTIR NOTAS DE ALUMNOS ENTRE LOS MIEMBROS DEL CONSEJO ESCOLAR • No se deben facilitar los datos personales de los alumnos para analizar las dificultades específicas e impulsar las mejoras necesarias.  NOTAS A PADRES SEPARADOS • Si ambos comparten la patria potestad de los menores, se puede facilitar las calificaciones, informes… a los dos, independientemente de quien tenga la custodia. 54 Agencia Española de Protección de Datos
  55. 55. SUPUESTOS PRÁCTICOS (IV)  DATOS DEL FICHERO EXTRAIDOS PARA LOS PROFESORES. • Si el colegio extrae datos del fichero de alumnos, para dárselos a cada profesor por grupos, y éste los mecaniza para la gestión del horario, para poner las notas… puede hacerse ya que la finalidad es la misma del fichero.  GRABACIÓN DE NIÑAS DE 7 AÑOS CON FALDAS MUY CORTAS EN UN BAILE • Un padre solicitó que se cancelasen las imágenes de su hija. El colegio tuvo que hacerlo. 55 Agencia Española de Protección de Datos
  56. 56. SUPUESTOS PRÁCTICOS (V)  PUBLICACIÓN EN INTERNET DE AYUDAS ESCOLARES. • Ya se ha indicado que toda la información de becas, ayudas de comedor… debe facilitarse a quien tenga un interés, es decir, a los solicitantes. No se puede hacer público en abierto, tiene que facilitarse una clave a los solicitantes o facilitar la información a los afectados en administración, tutoría, despacho del Director… 56 Agencia Española de Protección de Datos
  57. 57. PLAN DE OFICIO  Plan sectorial de oficio a la enseñanza reglada no universitaria, de 29 de diciembre de 2006.  Se realizan para velar y comprobar el cumplimiento de la normativa de protección de datos en un sector. Se hace un estado de situación tratando de sensibilizar al sector.  Se estudian colegios públicos, institutos de enseñanza secundaria, centros privados y privados concertados (en Andalucía se vio uno de cada uno de ellos).  Ha sido el plan más amplio efectuado por la Agencia, por el nº de centros inspeccionados y la cantidad de datos que se tratan. 57 Agencia Española de Protección de Datos
  58. 58. PLAN DE OFICIO (II)  Autonomía organizativa, pedagógica y de gestión de los centros docentes, aunque la Admón de la CA debe establecer el marco general en el que se debe desenvolver la actividad educativa.  Se exceptuaron del plan los centros que imparten enseñanzas artísticas, de idiomas o deportivas, y los que imparten sólo educación infantil.  Se facilitó a todas las CCAA el informe de conclusiones y sólo alegaron Andalucía, Valencia y Castilla-La Mancha 58 Agencia Española de Protección de Datos
  59. 59. PLAN DE OFICIO (III)  Conclusiones: • No se facilita, en general, en los formularios la información exigida en el art. 5 de la LOPD. • No se pide el consentimiento para fotos en anuarios, excursiones, etc… • Se recaban datos excesivos (se solucionaría con formularios normalizados y la misma documentación para cada solicitud). • No se cancelan los datos cuando han dejado de ser necesarios (las CCAA deberían dar instrucciones obre archivo y mantenimiento de datos). Algunos centros han guardado expedientes completos desde 1940. 59 Agencia Española de Protección de Datos
  60. 60. PLAN DE OFICIO (IV) • Se custodian datos sensibles: de salud de los alumnos admitidos: alergias, intolerancias, asma…, sentencias de separación o divorcio de los padres separados. • Al no incorporan en los formularios la información del artículo 5 de la LOPD, no dan la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, ni tampoco tienen los centros un procedimiento para atender tales solicitudes. • Seis CCAA no tenían inscrito ningún fichero de tratamiento de datos personales de alumnos, o la inscripción no es completa. 60 Agencia Española de Protección de Datos
  61. 61. PLAN DE OFICIO (V) • Los centros utilizan programas informáticos distribuidos por el Ministerio de Educación: “Escuela” y el “IES2000”. Si se usan conexiones a internet se deben extremar las medidas de seguridad para evitar ataques al sistema y minimizar los riesgos de fugas de información. • En general, no existe documento de seguridad. Las Consejerías de Educación deben elaborarlos e informar de ello al personal. • No hay gestión de incidencias ni control de accesos, cuando se tratan datos especialmente protegidos. Tampoco está implementado un control de soportes. 61 Agencia Española de Protección de Datos
  62. 62. PLAN DE OFICIO (VI) • Se debe fijar un procedimiento para la obtención de una copia de respaldo y de recuperación de datos. • Hay que nombrar responsable de seguridad. • Se tienen que realizar auditorias cada 2 años y han de estar a disposición de la AGPD. • Las transmisiones de datos que se realicen por redes de telecomunicaciones deben efectuarse cifradas, por ej. Cuando se manden datos por correo electrónico. • Debe recordarse al personal que presta servicio en centros escolares la obligación de sigilo. 62 Agencia Española de Protección de Datos
  63. 63. PLAN DE OFICIO (VII) • En los contratos de trabajo que se firmen con terceros, incluir una cláusula de confidencialidad. • Se realizan muchas cesiones: a la Comisión de escolarización, a la Consejería de Educación, a la Consejería de Sanidad, a la Universidad, a la Tesorería Gral de la SS (los alumnos de 3º de ESO y sgtes para la gestión del seguro escolar obligatorio), … La mayoría están habilitadas por Ley, en los demás casos debe contar el Centro con el consentimiento expreso de los afectados o tutores. 63 Agencia Española de Protección de Datos
  64. 64. PLAN DE OFICIO (VIII) • En los contratos por cuenta de terceros, no están incluidas las exigencias del artículo 12 de la LOPD. • Apenas se realizan transferencias internacionales de datos, salvo dos centros que ofertan a sus alumnos más brillantes la modalidad de bachillerato internacional. Han de pedir consentimiento a los afectados o firmar un contrato de prestación de servicios 64 Agencia Española de Protección de Datos
  65. 65. CONCLUSIONES  Altas garantías Ampliación de responsables Extensión concepto de fichero Numerosos incumplimientos  Mejorable confidencialidad de AAPP 65 Agencia Española de Protección de Datos
  66. 66. WWW.AGPD.ES 66 Agencia Española de Protección de Datos

×