Protección de Datos

270 views

Published on

Pechakucha con algunos aspectos de interés sobre la Ley Orgánica de Protección de Datos (LOPD), recomendaciones de la Agencia Española de Protección de Datos y enlaces a las Guías para los Centros Educativos.

Published in: Education
  • Be the first to comment

  • Be the first to like this

Protección de Datos

  1. 1. PROTECCIÓN DE DATOS #PECHAKUCHA #AprendeINTEF #edudirectores Ezequiel García Navarro @ezequielgn
  2. 2. Ley Orgánica de Datos de Carácter Personal (LOPD) Normativa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. AEPD Agencia Española de Protección de Datos Organismo público encargado de velar por el cumplimiento de la LOPD, atender las reclamaciones, investigar y sancionar. www.agpd.es
  3. 3. Ley Orgánica de Datos de Carácter Personal (LOPD) TRATAMIENTO DE LA INFORMACIÓN Toda aquella empresa u organismo que posea información personal, tanto de sus empleados como de sus clientes o a quienes presta un servicio, datos que permitan identificar a una persona, en algún tipo de fichero o soporte digital etc., estarán sujetos a la LOPD. El tratamiento de la información, según la LOPD, incluye no sólo datos básicos o los que se recogen comúnmente en formularios, sino que afecta también a las fotografías personales, grabaciones (equipos de videovigilancia…), email, currículums, etc.
  4. 4. Empresas e Instituciones / Organismos públicos Nuevas obligaciones y conceptos: - Calidad y protección de la información - Acceso a la Información - Deber de secreto - Consentimiento. Esta nueva normativa introduce otros como el de rendición de cuentas o “Accountability” y el de Transparencia.
  5. 5. Recabar datos → Consentimiento → Inscripción de ficheros Toda empresa u organismo deberá informar a la persona de la que está obteniendo una información de que sus datos formarán parte de un fichero, inscrito en la AEPD, y deberá pedir el consentimiento de que los mismos serán utilizados para los fines para los que han sido recabados. Quienes posean ficheros con datos personales tiene que inscribirlos en la AEPD y de no hacerlo, será en sí mismo una infracción (hasta 40.000€) ayudaleyprotecciondatos.es/2015/07/09/como-inscribir-ficheros-con-el-nuevo-sistema-nota/ El consentimiento se especificará especialmente cuando se traten de datos sensibles: religión, salud, ideología, en el caso de menores de edad (o la autorización de un tutor legal), etc.
  6. 6. Facilidad de acceso a los datos personales - Permite a los ciudadanos tener un control más exhaustivo de sus datos personales. - Informarse sobre la utilización de sus datos personales. - Portabilidad de los datos: Un usuario podrá solicitar a un proveedor de servicios sus datos personales para trasladarlos al que decida derivar la contratación. Tratamiento de datos de menores de edad Establece la edad de los menores en menos de 13 años y el tratamiento de los datos de estos menores sólo podrá realizarse si el padre o tutor del menor ha otorgado su consentimiento previo.
  7. 7. Derechos Derechos de acceso, rectificación, cancelación, oposición… Toda aquella empresa u organismo que posea información personal, tiene que arbitrar el mecanismo para que las personas puedan ejercer el derecho de acceso, rectificación, cancelación, etc. sobre los datos que facilitaron en su día. Estamos hablando de que una persona quiera saber qué información se posee de ella, se oponga a recibir publicidad, revoque el consentimiento que antes le había dado, pida que se le borre del fichero...
  8. 8. Derecho al olvido Borrar nuestra huella digital Se mejora el derecho al olvido, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo impida. Una ventaja muy clara: podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona. Oposición a la “Creación de perfiles”, que consistan en examinar, de forma automatizada, determinados aspectos personales propios de esa persona física o analizar o predecir en particular su productividad profesional, su posición económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento
  9. 9. El deber de secreto / Cesión de datos Se debe garantizar que todos los trabajadores con acceso a datos personales mantengan un secreto profesional al respecto. Además de un compromiso firmado, se deben establecer protocolos para evitar que la información que manejan termine fuera de control o compartida, sea de manera intencionada, por error o por equivocación. Para ceder los datos a un tercero o permitir a este acceso a los mismos, se debe pedir un consentimiento al respecto. Si un tercero tiene acceso a los datos como prestador de un servicio para ti (servicios en la nube, administración, asistencia informática de equipos, red, servicios de limpieza o videovigilancia, etc.), no se necesita en este caso reflejarlo en el “consentimiento”, pero se debe firmar un contrato con estas empresas que regule las relaciones entre el responsable del fichero (su empresa) y el encargado del tratamiento de ese fichero (la otra empresa contratada) y las condiciones del acceso a esos datos, así como las responsabilidades de cada una de las partes.
  10. 10. Tipos de datos → Nivel de protección Nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Ejemplos: Nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc. Nivel medio de seguridad, se aplicará esta protección, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito. Ejemplos: Datos de personalidad, hábitos de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc. Nivel alto de seguridad es el que se aplica a los ficheros que contienen datos especialmente protegidos como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.
  11. 11. Tipos de datos → Nivel de protección DOCUMENTO DE SEGURIDAD donde se describen los protocolos y niveles de seguridad establecidos para los datos: Contraseñas informáticas confidenciales y que deben cambiarse regularmente, control de acceso a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones encriptadas, destrucción de documentos, cláusulas legales que deben firmar los trabajadores de su empresa que manejen estos datos…
  12. 12. Delegado de protección de datos Organizaciones e instituciones públicas. Empresas con más de 250 trabajadores. Empresas con menos de 250 empleados que necesiten un seguimiento sistemático y periódico de los datos personales tratados: - Para la monitorización o investigación de mercados. - De análisis de riesgos. - Crediticios o de solvencia patrimonial. - Que traten con datos catalogados de especialmente protegidos: Religiosos o de creencias. // Afiliación sindical. // Raciales. // Biométricos, si permiten identificar exhaustivamente a una persona. // Sexuales. // Salud. // Antecedentes penales o condenas.
  13. 13. Delegado de protección de datos La diferencia más notoria entre el Responsable de Seguridad (fitura anterior) y el Delegado de Protección de Datos (según la nueva normativa) es la exclusividad de éste último en sus funciones, el DPO ya no será como hasta ahora la persona que se designaba como Responsable de Seguridad al informático o se nombraba al administrativo de la empresa, en definitiva a personas con otras funciones y tareas.
  14. 14. Noficaciones sobre brechas de seguridad Obligatoriedad de avisarnos sobre lo que sucede con nuestro datos. Si el organismo o empresa sufre un robo o ataque a sus sistemas informáticos, afectando a nuestros datos personales, deberá informar de ello.
  15. 15. Infracciones → Leves a) No atender la solicitud del interesado de rectificación o cancelación b) No inscribir el fichero en el RGPD c) No informar al afectado (según Art. 5 LOPD) al recoger sus datos d) Incumplir el deber de secreto del Art. 10 LOPD
  16. 16. Infracciones → Graves a) Crear fichero de titularidad pública o iniciar la recogida de datos sin que la correspondiente disposición general haya sido publicada en el Boletín oficial b) Crear fichero de titularidad privada o iniciar la recogida de datos con finalidad distinta del objeto empresarial c) Recoger datos sin el consentimiento expreso del afectado d) Tratar o usar los datos conculcando principios de la LOPD o del RD 1720/2007 e) Impedir u obstaculizar ejercicio de los derechos de acceso y oposición f) Mantener datos inexactos, o no rectificarlos o cancelarlos cuando afecte derechos de las personas g) Vulnerar el deber de secreto sobre ficheros de nivel Medio h) Mantener los ficheros, locales, programas o equipos incumpliendo las condiciones de seguridad del RD 1720/2007 i) No proporcionar a la AEPD cuantos documentos sean requeridos o obstruir la inspección j) No inscribir el fichero en el RGPD, cuando haya sido requerido por la AEPD k) No informar al afectado según los Art. 5, 28 y 29 LOPD, si han sido recabados de persona distinta del afectado
  17. 17. Infracciones → Muy Graves a) Recoger datos en forma engañosa y fraudulenta b) Comunicar o ceder datos, fuera de los casos en que esté permitido c) Recabar y tratar datos especialmente protegidos sin consentimiento del afectado o excepción LOPD d) No cesar el uso o tratamiento ilegítimo de datos tras requerimiento de la AEPD o del afectado e) Transferencia temporal o definitiva de datos a países no homologados sin autorización de la AEPD f) Tratar datos de forma ilegítima o con menosprecio de principios y garantías, cuando se impida o se atente el ejercicio de derechos fundamentales g) Vulnerar el deber de secreto sobre datos especialmente protegidos o de nivel Alto h) No atender u obstaculizar sistemáticamente el ejercicio de derechos de acceso, rectificación, cancelación y oposición i) No atender sistemáticamente el deber de notificación al afectado de la inclusión en un fichero
  18. 18. Protección de Datos en Centros Educativos En los centros educativos hay que tener un especial cuidado con los datos: - Conviven adultos con menores - Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc. Responsabilidades: Equipo directivo, docentes, PAS y AMPA. Tipo de datos personales que tratan los colegios: Expediente académico (calificaciones, absentismo,etc.), Personal docente (fichero de profesores para gestión interna), Personal no docente (mantenimiento, limpieza…), Servicios adicionales (comedor, transporte, guardería…), Proveedores, Admisión de alumnos (matriculaciones, solicitudes…), Asesoramiento psicopedagógico, Otros según los servicios y características del centro (videovigilancia o control de accesos mediante huella dactilar, etc.)
  19. 19. Protección de Datos en Centros Educativos La Administración Educativa es quien tiene registrados los datos que centraliza de los centros educativos ante la AEPD. Especial atención en: - Página web del centro / blogs de aula / páginas web de docentes, perfiles públicos en redes sociales... - Solicitar el consentimiento a los tutores legales para el uso de imágenes de menores. - Utilización de aplicaciones educativas y de gestión de aula, almacenamiento de información en servicios en la nube, etc. (datos en servidores externos y fuera de nuestro control) - Publicación de listados oficiales con información personal en tablones situados en el centro y de acceso controlado.
  20. 20. Enlaces Agencia Española de Protección de Datos www.agpd.es www.tudecideseninternet.es/agpd1 http://ayudaleyprotecciondatos.es/2016/01/25/resumen-nuevo-reglamento-proteccion-datos/ http://ayudaleyprotecciondatos.es/2016/08/25/proteccion-de-datos-para-centros-educativos/ Guía Protección de Datos para Centros Educativos (Andalucía) Todas las imágenes by @ChemaMunozRosa https://www.flickr.com/photos/ 99559810@N03

×