SlideShare a Scribd company logo

Recomanacionsiannexoslopd

F
formaciotic

Consideracions sobre protecció de dades per a Centres i Serveis Educatius. Departament d'Educació.

Education
1 of 32
Download to read offline
Protecció de dades de caràcter personal per a centres i serveis educatius
INDEX INTRODUCCIÓ................................................................................................................................................................... 3 QUÈ ÉS LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL? ............................................................................ 3 LEGISLACIÓ ...................................................................................................................................................................... 3 PRINCIPIS, DRETS I OBLIGACIONS................................................................................................................................ 3 CONSIDERACIONS SOBRE PROTECCIÓ DE DADES PER A CENTRES I SERVEIS EDUCATIUS ............................ 5 1) LES DADES SÓN LES PERSONES.............................................................................................................................. 6 2) ABANS DE COMENÇAR, COMPROVEU QUE EL FITXER ESTÀ CREAT ................................................................. 7 3) SEMPRE INFORMEU I DEMANEU EL CONSENTIMENT ............................................................................................ 8 4) SOL·LICITEU NOMÉS DADES QUE SIGUIN ADEQUADES, PERTINENTS I NO EXCESSIVES AMB FINALITATS CONCRETES I ACTUALITZEU-LES ............................................................................................................................... 11 5) CANCEL·LEU LES DADES QUAN NO SIGUIN NECESSARIES I FEU-LO DE FORMA ADEQUADA .................... 12 6) FACILITEU L’EXERCICI DE DRETS “ARCO” ALS TITULARS DE LES DADES ..................................................... 13 7) NO CEDIU DADES SENSE ESTAR AUTORITZATS .................................................................................................. 14 8) DONEU COMPLIMENT AL DEURE DE SECRET....................................................................................................... 17 9) CAS QUE CONTRACTEU SERVEIS A EMPRESES, ELABOREU I REVISEU ELS CONTRACTES ....................... 18 10) ADOPTEU MESURES DE SEGURETAT .................................................................................................................. 19 ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 21 ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 22 ANNEX 2:CONCEPTES LOPD ........................................................................................................................................ 23 ANNEX 3: CONCEPTES RELATIUS A MESURES DE SEGURETAT ........................................................................... 23 ANNEX 4: MARC NORMATIU ......................................................................................................................................... 24 U ANNEX 5: RESUM DE MESURES DE SEGURETAT ..................................................................................................... 25 ANNEX 6: MODELS DE CLÀUSULES INFORMATIVES................................................................................................ 27 ANNEX 7: MODEL DE CLÀUSULA DE CONFIDENCIALITAT ...................................................................................... 28 ANNEX 8: MODELS DE CLÀUSULES PER A PRESTADORS DE SERVEIS ............................................................... 29 ANNEX 9: VIDEOVIGILÀNCIA EN CENTRES I SERVEIS EDUCATIUS ....................................................................... 30 ANNEX 10: VIDEOVIGILÀNCIA, RESUM NORMATIU ................................................................................................... 31 U 2
Introducció Què és la protecció de dades de caràcter personal? La protecció de dades és l'adaptació a la Societat de la Informació del dret fonamental a la protecció de l’honor, la intimitat personal i familiar i la pròpia imatge, inclòs per les Nacions Unides a la Declaració Universal dels Drets Humans (1948). És un dret fonamental, que busca protegir els ciutadans i el ple exercici dels seus drets davant les vulneracions que puguin procedir de la recollida, tractament i emmagatzemament de les seves dades personals per part tant d’entitats públiques com privades. Com a conseqüència d’aquest dret fonamental, l’ordenament jurídic espanyol i europeu, reconeix a les persones una sèrie de drets en relació a les seves dades personals que han de ser respectats per qualsevol entitat pública o privada que les tracti, tot imposant una sèrie d’obligacions formals i substantives que aquestes han de complir. Legislació La legislació sobre protecció de dades de caràcter personal està constituïda per les normes que regulen el registre, tractament i eliminació de les dades de les persones i són d'aplicació obligada per a totes les entitats públiques o privades que registren i tracten dades personals en qualsevol suport i format. Així, l'afectació de la normativa que regula el tractament de dades personals és molt extensa i a més està en constant desenvolupament ja que el seu vincle amb l'avenç de les noves tecnologies és directe. El dret fonamental a la protecció de dades de caràcter personal es configura a l’article 18.4 de la Constitució Espanyola i a l’article 31 de l’Estatut d’Autonomia de Catalunya, com a dret a l’autodeterminació informativa (STC 292/2000), i es desenvolupa mitjançant la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) ) i el seu reglament (Reial Decret 1720/2007). El ciutadà ha de poder saber i tenir control sobre qui utilitza les seves dades de caràcter personal, per a quina finalitat i a qui es faciliten aquestes dades, entre d’altres circumstàncies. Principis, drets i obligacions La Llei 15/1999, té per objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i la seva intimitat personal i familiar. És aplicable a totes les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat. Inclou, per tant, el tractament automatitzat i el no automatitzat de les dades de caràcter personal, es a dir, la informació en paper. 3
Estableix Principis, drets i obligacions: • Principis de la protecció de dades: o Principi de proporcionalitat: Les dades que es recullen han de ser adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats per als quals s'han obtingut. És a dir, les estrictament necessàries per a la finalitat de què es tracti. o Principi de finalitat: Les dades s’han de recollir per a finalitats determinades, explícites i legítimes. Les dades no es poden utilitzar per a finalitats distintes o incompatibles amb les van motivar el seu tractament. o Principi d’exactitud: Les dades s'han de mantenir actualitzades i han de respondre a la situació actual de la persona interessada. Si les dades són errònies, han de ser cancel·lades i substituïdes per les correctes en el termini de 10 dies des que es coneix la inexactitud. o Principi de conservació: Les dades han de ser emmagatzemades de manera que es permeti l’exercici del dret d’accés, excepte si han estat cancel·lades. Les dades es poden conservar durant un termini superior al necessari per assolir les finalitats que van motivar la seva recollida, sempre que no sigui possible identificar la persona interessada, és a dir, s’han de fer anònimes. o Principi de lleialtat i licitud: És prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits. o Principi de consentiment: El tractament de dades requereix del consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa. o Principi de seguretat: S’han d’adoptar les mesures organitzatives i tècniques necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat. • Principals Drets dels afectats: o Dret d’informació: Quan es recullin dades de caràcter personal ha d’informar-se a l’afectat de existència d’un fitxer, de la finalitat de la recollida, dels destinataris de la informació i de les dades necessàries per poder exercir el seus drets. o Dret a Accedir, Rectificar, Cancel·lar i Oposar-se al tractament de les dades que són de la seva propietat (ARCO), entre d’altres, i obliga a establir un procediment per a què els afectats puguin exercir aquests drets. o Dret a revocar el consentiment: El tractament de dades personals requereix el consentiment previ de la persona titular de les dades, excepte en els casos legalment previstos. La persona que ha donat el seu consentiment té dret a revocar-lo d'una manera senzilla i gratuïta. • Obligacions que han de complir els organismes o entitats de caràcter públic o privat que tracten dades de caràcter personal: • Tots els fitxers que contenen dades de caràcter personal, automatitzats i no automatitzats (en suport paper), s’han d’inscriure al Registre de Protecció de Dades. • La creació, modificació o supressió dels fitxers de les administracions públiques només es poden fer per mitja d’una disposició en el diari oficial corresponent. • El RD 1720/2007, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, determina les mesures de seguretat organitzatives i tècniques que han de ser adoptades. Aquestes mesures han d’estar recollides en un Document de seguretat, d’obligat compliment per a tot el personal amb accés a dades personals. • Els sistemes d’informació que contenen dades de caràcter personal han de ser auditats amb caràcter bianual. 4
Consideracions sobre protecció de dades per a centres i serveis educatius Els centres i els serveis educatius tracten informació del seu alumnat, del personal docent i d’administració i serveis, col·laboradors externs, pares i mares, tutors/res, professionals que presten serveis... Els tractaments de dades de caràcter personal necessaris per a la gestió dels processos en l’àmbit educatiu, l’ús de les tecnologies de la informació i la comunicació i la capacitat d’aquestes per a tractar grans volums de dades i, les diferències d’interpretació que pot suscitar l’aplicació de la normativa vigent en matèria de protecció de dades, aconsellen l’elaboració d’unes consideracions destinades als centres i serveis educatius. La finalitat d’aquest document és reflexionar sobre el tractament de dades de caràcter personal que es fa diàriament en els centres i serveis educatius i la posterior introducció en la dinàmica diària d’aquestes consideracions. Deu punts per a considerar: Us facilitem un conjunt de punts de contrast que us permetin revisar el marc d’actuacions envers el tractament de dades personals dels vostres centres i serveis educatius. 1) Les dades són de les persones 2) Abans de començar, comproveu que el fitxer està creat 3) Sempre informeu i demaneu el consentiment 4) Sol·liciteu només dades que siguin adequades, pertinents i no excessives amb finalitats concretes i actualitzeu-les 5) Cancel·leu les dades quan no siguin necessàries i feu-lo de forma adequada 6) Faciliteu l’exercici de drets “arco” als titulars de les dades 7) No cediu dades sense estar autoritzat 8) Doneu compliment al deure de secret 9) Cas que contracteu serveis a empreses, reviseu els contractes 10) Adopteu mesures de seguretat 5
1) Les dades són les persones Les dades personals (informació numèrica, alfanumèrica, imatges i veu) pertanyen a les persones a les que es refereixen i només elles poden decidir sobre les mateixes. El centres i serveis educatius NO sou els propietaris d’aquesta informació. Els seus titulars són: alumnat i llurs famílies, personal docent i d’administració i serveis, col·laboradors/es, monitors/es, proveïdors... us les faciliten per què pugueu oferir el millor servei d’educació. Sou responsables de vetllar per tal que la recollida, tractament i cessions es facin respectant la normativa vigent en matèria de protecció de dades de caràcter personal. L’Administració, ha de ser el màxim garant de la privacitat i del bon ús de les dades del ciutadans i tercers amb els que es relaciona; i no cal dir que l’entorn de funcionament de l’administració educativa amb la recollida i tractament sistemàtic de dades de menors comporta que haguem de complir amb la normativa d’aplicació d’una forma excel·lent. 6
2) Abans de començar, comproveu que el fitxer està creat És necessari que el fitxer que recollirà les dades de caràcter personal motiu de tractament estigui legalitzat i legitimat abans de la seva utilització, això vol dir que ha d’estar inscrit al Registre de Protecció de Dades de Catalunya. En el cas dels centres i serveis educatius i donat que no teniu personalitat jurídica diferenciada, el procés de creació passa per l’aprovació de la corresponent disposició de creació, modificació o supressió de fitxers en el DOGC signada pel Conseller/a d’Educació i la seva publicació al DOGC i posterior registre a l’APDCat. Des de l’aprovació de la darrera ordre de creació, modificació i supressió de fitxers, s’han creat nous fitxers i altres han experimentat modificacions diverses, derivades dels canvis organitzatius produïts durant aquest temps, i la implantació de nous sistemes d’informació. Per aquest motiu, el Departament està tramitant una nova ordre que recull la situació actual. Els fitxers a que fa referència aquest document són per tant els inclosos en aquesta nova disposició. Respecte dels centres educatius s’han inscrit al registre els següents fitxes: • Alumnat de centres educatius dependents del Departament d'Educació • Borsa de treball de centres educatius dependents del Departament d'Educació • Personal de centres educatius dependents del Departament d'Educació • Proveïdors de centres educatius dependents del Departament d'Educació la direcció del centre s’identifica com òrgan responsable en tots els casos. Respecte dels serveis educatius s’han inscrit els següents fitxers: • Serveis educatius • Personal de serveis educatius • Proveïdors de serveis educatius la direcció del servei educatiu s’identifica com a òrgan responsable en tots els casos. A la Intranet del Departament trobareu el detall i l’estructura d’aquests fitxers, i als annexos d’aquest document podeu consultar les recomanacions especifiques que heu de considerar si el vostre centre o servei educatiu disposa de sistemes de videovigilància. 7
3) Sempre informeu i demaneu el consentiment Informeu Quan sol·liciteu dades personals, amb independència de quin sigui el procediment de recollida de les dades emprat (formularis electrònics o en paper, telèfon...), sempre heu d’informar prèviament 1 : • de l’existència del fitxer o tractament que recollirà les dades • de la finalitat explícita de la recollida de les dades • de l’obligatorietat o no a subministrar les dades • de l’òrgan responsable d’aquest fitxer • de l’òrgan davant el qual es pot exercir els drets d’accés, rectificació, cancel·lació i oposició • de si hi ha cessió de dades i a qui En tot cas, si les dades es recullen mitjançant qüestionaris o impresos ha de constar-hi de forma clarament llegible la informació relativa al tractament de les dades que es vol portar a terme. La clàusula ha d’estar en un llenguatge senzill i comprensible per a la persona interessada (a la Intranet d’Educació trobareu models orientatius) I demaneu el consentiment Una vegada informat, l’interessat/da podrà o no, donar el seu consentiment. En general: el tractament de dades personals exigeix el consentiment inequívoc de la persona interessada 2 , llevat que la Llei disposi una altra cosa. S’estableixen un conjunt d’excepcions que, particularment, en el cas de les administracions públiques, comporta que la regla general es converteixi en l’excepció. En el cas dels centres i serveis educatius, la disposició addicional 23 de la Llei Orgànica 2/2006, de 3 de maig, d’Educació, es manifesta al respecte exposant que els centres podran recollir les dades personals que siguin necessàries per l’exercici de la seva funció educativa i orientadora. A aquest efecte, no és necessari el consentiment de l’afectat sempre que les dades es recullin per tal de desenvolupar aquestes funcions. Aquesta disposició també es manifesta al respecte de forma que, la incorporació d’un alumne a un centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Si l’ús de les dades no és específicament el de “funció educativa i orientadora” o bé les 1 En el cas dels més grans de catorze anys directament a la persona interessada, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys, als pares o tutors. 2 Es pot procedir al tractament de les dades dels més grans de catorze anys amb el seu consentiment, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys es requereix el consentiment dels pares o tutors. En cap cas es poden sol·licitar dades del menor que permetin obtenir informació sobre els altres membres del grup familiar, o sobre les característiques del mateix grup, com ara les dades relatives a l’activitat professional dels progenitors, informació econòmica, dades sociològiques o qualsevol altres, sense el consentiment dels titulars d’aquestes dades. No obstant això, es poden sol·licitar les dades d’identitat i adreça del pare, mare o tutor amb l’única finalitat d’obtenir l’autorització. 8
dades que es demanen no justifiquen aquesta funció cal demanar el consentiment de la persona interessada. El consentiment pot ser: ▪ tàcit, és un consentiment derivat de la falta d’actuació de l’interessat, “del seu silenci” ▪ exprés, és un consentiment que requereix d’una declaració clara i inequívoca de l’interessat, potser de forma escrita, verbal o utilitzar qualsevol altre mitja ▪ Quan les dades personals tractades facin referència a ideologia, afiliació sindical, religió o creences sempre s’haurà de demanar un consentiment “exprés” i “per escrit”. El tipus de consentiment està relacionat amb els nivells de seguretat de les dades: BÀSIC MITJÀ ALT Fitxers que continguin alguns dels següents Fitxers que continguin dades: Fitxers que continguin dades: tipus de dades, quan no constitueixen un perfil: • De perfil bàsic, que permetin obtenir un • Especialment protegits (ideologia, • Identificatius perfil de la persona creences, religió, origen racial, salut, • Característiques personals • Sobre infraccions penals i administratives afiliació sindical o vida sexual ) • Acadèmics i professionals • Recaptats amb finalitats policials • Lloc de treball i carrera administrativa Fitxers que tinguin com a responsables: • Violència de gènere • Informació comercial • Adm. Tributaries i competències • Ecònomic-financera tributaries. Fitxers que tinguin com a responsables: • Transaccions • Entitats financeres i competències • Operadors de serveis de financeres Seguretat Social i comunicacions, explotació de xarxes Fitxers amb finalitat exclusiva per a efectuar competències recaptatòries. públiques. pagaments als seus abonats: • De solvència patrimonial i crèdit • Amb dades especialment protegides ideologia, etc..) Fitxers per deures públics: • Amb dades de minusvalua Així doncs, • Per tractar dades de nivell bàsic i mitja, es considera vàlid el consentiment tàcit. • Si es tracta de dades relatives a la salut, origen racial i vida sexual, el consentiment ha de ser exprés. • Si les dades tractades relatives a ideologia, afiliació sindical, religió o creences és necessari el consentiment exprés i per escrit. No cal consentiment per tractar dades sensibles (salut) quan aquest sigui necessari per salvaguardar l’interès vital de la persona afectada. El consentiment es pot revocar sempre que hi hagi una causa justificada. La revocació no té efectes retroactius. D'altra banda, en aquells supòsits en què per portar a terme un determinat tractament no sigui necessari el consentiment, la persona afectada s'hi pot oposar al tractament. No s’ha de confondre el dret d’informació amb el consentiment de la persona interessada. El consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió. Consentiment per al tractament d’imatges i/o veu en relació a les activitats educatives • En el cas del consentiment pel tractament d’imatges i/o veu, tingueu en compte que: o Amb caràcter general, s’ha de consignar el període de validesa de les autoritzacions: un curs escolar, una etapa, un cicle, mentre estigui al centre educatiu...) o S’ha d’especificar explícitament els mitjans de difusió o entorns on es publicarà aquest material: anuari del centre, pàgina web del centre, intranet del centre, webs 9
del Departament d’Educació, publicacions, fires, jornades, exposicions, televisió local...o en entorns de distribució no controlats: YouTube... o Considereu la possibilitat que els consentiments poden ser totals o parcials, per exemple: sí, a publicar fotos en el recinte de centre i no a penjar-ho en pàgina web o en YouTube, etc. En el cas d’activitats de centre organitzades pels serveis educatius on hi participen alumnat, professorat, pares i mares..., l’autorització pel tractament d’imatges ha d’estar recollida en l’autorització del centre ja que aquesta activitat forma part del Pla anual de centre. L’àmbit d’aplicació del model orientatiu d’autorització que proporciona el Departament considera només les activitats educatives del centre educatiu, qualsevol altre tractament requereix d’un nou consentiment concret i explícit. Consentiment per sortides escolars • En el cas de les autoritzacions per sortides escolars: o S’ha de consignar el període de validesa d’aquesta autorització: una sortida en concret, totes les sortides del trimestre, del curs, del cicle... Amb caràcter general la direcció del centre o servei educatiu ha d’implementar un procediment de gestió de les autoritzacions i/o consentiments que atorguen els interessats que permetin una efectiva gestió dels mateixos. 10
4) Sol·liciteu només dades que siguin adequades, pertinents i no excessives amb finalitats concretes i actualitzeu-les Abans de sol·licitar dades, per exemple quan s’ha d’elaborar un formulari que hagi de contenir dades personals, cal fer un judici de proporcionalitat, idoneïtat i necessitat de les dades a recollir per tal que siguin adequades, pertinents i no excessives en relació a la finalitat concreta que es vol aconseguir. No es poden recollir dades que no estiguin directament relacionades amb les funcions educatives i orientadores, degudament expressades en la declaració del fitxer. La finalitat del tractament ha d’estar igualment expressada de forma concisa i concreta. És important assenyalar que conforme a l’article 16.2 de Constitució Espanyola, ningú pot ser obligat a declarar al respecte de la seva ideologia, religió o creences i que d’acord amb la LOPD, si es pretén recollir aquesta informació s’ha d’obtenir prèviament el consentiment i advertir l’interessat del seu dret a no facilitar la informació. Tenen consideració de dades de salut les relatives a la salut passada, present o futura, física o mental, d’una persona. Per tant, les dades de caire psicològic han de ser considerades dades especialment protegides i relatives a la salut de les persones. Les dades que recollim directament de l’interessat es consideren exactes. Les dades que es recullen han d’estar permanentment actualitzades i s’hauran de cancel·lar quan siguin obsoletes o la finalitat que va propiciar la seva recollida s’hagi aconseguit. Per tal de facilitar la tasca d’actualització, es pot atribuir aquesta càrrega al titular de les dades, incorporant el següent redactat a la clàusula informativa del formulari que utilitzi per proporcionar les seves dades: Li preguem que, en el supòsit de produir-se una modificació relativa a les seves dades personals, ens ho comuniqui per tal de mantenir- les degudament actualitzades . 11
5) Cancel·leu les dades quan no siguin necessaries i feu-lo de forma adequada Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancel·lades. Tingueu present que al llarg de tota l’etapa educativa es recullen una gran quantitat i diversitat de dades de caràcter personal que en finalitzar el tractament que va provocar la seva recollida han de ser cancel·lades. L’alumnat i llur família tenen dret a què el seu passat “sigui oblidat” i en tot cas són els únics amb “dret a decidir” a qui fer partícip de les seves situacions familiars, socials o culturals. Tot i que per la tipologia de les dades recollides en molts casos us sembli evident el període de validesa i els terminis de cancel·lació de les dades que recolliu, identifiqueu aquesta informació de forma clara i concisa i feu-la pública: els propietaris de les dades són els principals interessats. Els documents electrònics o en suport paper, que recullin dades relatives a situacions familiars, relacionats amb àmbit de salut, de règim alimentari, de pertinença a grups socials, de perfil professional i qualsevol altre que no conformi l’expedient de l’alumnat, han de ser destruïts, aplicant les mesures de seguretat adients a la sensibilitat de les dades que continguin. Si les dades a destruir es troben en suport paper, utilitzeu destructores de paper o encarregueu la destrucció a empreses del sector que us emetin el corresponent certificat de destrucció. Si les dades es troben en suport electrònic, utilitzeu destructores de suports electrònics o contacteu amb empreses que us emetin el corresponent certificat de destrucció. NO llenceu mai documents en suport paper que continguin dades de caràcter personal als contenidors de reciclatge de paper sense destruir-los prèviament (si cal, trenqueu-los a mà). NO llenceu mai suports electrònics que continguin o hagin pogut contenir dades de caràcter personal -per malmesos que estiguin- als contenidors de reciclatge sense destruir-los prèviament (si cal, trenqueu-los o ratlleu-los a ma). En tot cas, establiu internament els procediments de gestió, trasllat i destrucció dels suports que continguin dades de caràcter personal i feu-lo extensiu a tot el personal del vostre centre o servei educatiu. 12
6) Faciliteu l’exercici de drets “arco” als titulars de les dades S’ha de facilitar a la persona titular de les dades o al seu representant legal el dret a Accedir, Rectificar, Cancel·lar i Oposar-se al tractament de les seves dades personals. Heu d’informar- los al respecte de com exercir-los i facilitar-los impresos per a que puguin fer-ho. És important assenyalar que són drets independents. En tots el casos la prestació d’aquest servei és gratuïta i s’ha de remetre als terminis establerts per normativa. RECTIFICACIÓ I Dret exercit ACCÉS OPOSICIÓ CANCEL·LACIÓ Descripció del dret Dret de l’afectat a obtenir informació Dret de Rectificació: dret de l’afectat Dret de l’afectat a què no es porti a terme el sobre si les seves dades personals a què es modifiquin les dades que tractament de les seves dades de caràcter són objecte de tractament, la siguin inexactes o incompletes. persona o se cessi en el tractament quan finalitat del tractament i la concorrin els supòsits establerts al RLOPD. informació disponibles sobre l’origen Dret de Cancel·lació: dret de de les dades i les comunicacions l’afectat a què se suprimeixin les realitzades. dades que resultin ser inadequades o excessives Procediment Sol·licitud formulada per l’afectat o per representant acreditat, que ha de complir els següents requisits: • Nom i cognoms de l’interessat • Fotocòpia de document vàlid en dret que identifiqui a l’afectat (DNI, passaport, etc.) o, en el seu cas, de la persona que el representi, o instruments electrònics equivalents. • Petició concreta de la sol·licitud d’exercici del dret • Adreça a efectes de notificacions • Data i signatura del sol·licitant • En el seu cas, documentació acreditativa de la petició que es formula Termini contestació 1 mes natural a comptar des de la 10 dies hàbils a comptar des de la 10 dies hàbils a comptar des de la recepció de recepció de la sol·licitud recepció de la sol·licitud la sol·licitud Estimació petició Resolució expressa per part del Resolució expressa per part del Resolució expressa per part del centre/servei centre/servei educatiu comunicant a centre/servei educatiu comunicant a educatiu comunicant a l’afectat que s’ha l’afectat les dades disponibles, l’afectat que s’ha dut a terme la procedit a fer efectiu el seu dret d’oposició. l’origen de les mateixes, la finalitat rectificació o cancel·lació d eles del tractament i els cessionaris dades concretes citades per l’afectat. Desestimació petició Casos de desestimació: Casos de desestimació: Casos de desestimació: • Quan manqui algun dels • Quan manqui algun dels • Quan manqui algun dels requisits formals requisits formals del requisits formals del del procediment procediment procediment • Quan existeixi un supòsit de denegació • Quan l’afectat ja hagi exercit • Quan existeixi un supòsit de previst en una llei aquest dret en els 12 mesos denegació previst en una llei anterior a la sol·licitud si no • Quan les dades hagin de ser s’acredita un interès legítim conservades durant els • Quan existeixi un supòsit de terminis previstos a les lleis denegació previst en una llei aplicables, o en les relacions contractuals pertinents. Casos No es poden facilitar dades per telèfon • El dret d’accés a la informació és un dret personalíssim, i només pot ser exercit pel titular d’aquestes dades o el seu representant legal. • Per telèfon no es pot comprovar que la persona que està parlant i sol·licitant la informació és el titular d’aquestes dades. Només es pot demanar informació a través d’una sol·licitud. Només es pot cancel·lar/rectificar/oposar_se a un tractament a través d’una sol·licitud. El Departament d’Educació posa a disposició dels centres i serveis educatius el document Procediment per a l’exercici de drets i a la Intranet d’Educació trobareu els models orientatius de sol·licitud i de resposta. Adapteu el procediment al vostre àmbit d’actuació. 13
7) No cediu dades sense estar autoritzats Cessió: qualsevol comunicació de dades realitzada per una persona diferent al propietari de les dades. Aquest és un concepte ampli que abasta comunicacions, publicacions, consultes, interconnexions i transferències que facilitin l’accés, el tractament de les dades a un tercer diferent del propi interessat i la difusió. Només es podran cedir dades si de forma concurrent: • s’ha obtingut prèviament el consentiment de l’interessat • la cessió està directament relacionada amb les funcions de cedent i cessionari. No és necessari el consentiment previ de l’interessat quan la cessió està autoritzada en una Llei. En aquest sentit, la disposició addicional 23 de la Llei Orgànica 2/2006, de 3 de maig, d’Educació, també es manifesta al respecte de forma que, la incorporació d’un alumne a un centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Els serveis educatius poden compartir dades amb altres administracions i entitats públiques que col·laborin en les necessitats de suport a l’alumnat i que tinguin competències en matèria de protecció de menors, serveis socials, protecció de la salut i vigilància de l’escolarització obligatòria tal i com queda recollit en el fitxer Serveis educatius del l’Ordre d’actualització dels fitxers que contenen dades de caràcter personal gestionats pel Departament d’Educació. Publicitat de dades personals ▪ Internet , Intranet o Extranet Cal tenir en compte que Internet o les pàgines web/seus electròniques de les institucions públiques no tenen, per sí mateixes, la consideració de fonts accessibles al públic. La difusió de dades de caràcter personal a través d’Internet, ha de ser considerada com una cessió de dades a una pluralitat indeterminada de destinataris. En aquest sentit només és pertinent quan es realitza en el marc de les funcions que cada ens té atribuïdes i es compta amb el consentiment de l’afectat, o bé ho autoritza una norma amb rang de Llei. En general, les pàgines web de centres i serveis educatius accessibles a una pluralitat no determinada de destinataris no han de contenir informació que contingui dades de caràcter personal, si no es compta amb l’autorització expressa i explícita de l’interessat. Les intranets de centres i serveis educatius presenten la mateixa necessitat quant a consentiment de l’interessat i en tot cas han d’emprar sistemes d’identificació que permetin verificar la legitimació de la persona que pretengui accedir a les dades de caràcter personal d’acord amb el seu interès legítim. Recordeu que el consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió. Una cessió de dades és un nou tractament que requerirà l'obtenció d'un consentiment específic per dur-la a terme. En cas contrari, el consentiment és nul. 14
Pel que fa a la publicació de dades a través de pàgines web, l’Agència Catalana de Protecció de Dades ha elaborat una recomanació al respecte. El centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació: Recomanació 1/2008 sobre la difusió d'informació que contingui dades de caràcter personal a través d'Internet. • Taulells d’anuncis tradicionals o electrònics i de forma verbal Norma general: No donar publicar llistats que continguin dades personals si no s’ha obtingut el consentiment previ de l’interessat o bé hi ha una norma legal (Llei) que us habilita, per exemple: a) Llistes que continguin dades personals de l’alumnat, professorat, personal col·laborador, etc..., com.: Llistes amb el resultat de proves, avaluacions, etc... Llistes de persones que rebin subvencions, beques o altres tipus d’ajuts. Llistes d’alumnes que necessiten d’un règim alimentari específic Llistes d’alumnes que requereixen atenció especial Etc... b) Procés de preinscripció: No es poden publicar les llistes de les diferents fases del procés en ubicacions (físiques o electròniques) que permetin l’accés d’una pluralitat indeterminada de destinataris: No es poden disposar les llistes accessibles des del carrer per facilitar la consulta quan el centre està tancat. No es poden disposar directament en la pàgina web del centre sense mesures d’identificació prèvia que permeti acreditar la legitimitat necessària. Com a norma general, poden distingir dos tipus de procediments pel que fa a la publicitat i accés: • de concurrència competitiva: els interessats en el procediment competeixen entre sí per assolir un mateix fi, en general, són procediments administratius: preinscripció, concurs de trasllats, concurs de catedràtics, etc... . • sense concurrència competitiva: tot i que la finalitat a aconseguir sigui la mateixa, no hi ha competició, en general només cal acreditar positivament el criteris de valoració establerts: proves de nivell, exàmens, ajuts, subvencions, títols, certificacions,etc.... En el primer cas, només aquells que tinguin un interès legítim en el procediment poden accedir a les valoracions de la resta de participants, el consentiment es troba implícit en la seva participació i prevista a Llei 30/1992. L’accés i publicitat de les llistes ha d’estar restringida únicament als participants. Les dades incloses en les llistes han de ser les estrictament necessàries per complir amb la seva finalitat. En el segon cas, l’afectat és l’únic que té un interès legítim en els resultats que ha obtingut. No hi ha confecció de llistes per ser accedida per altres afectats, i tot i obtenir el consentiment per a fer-ho, l’accés sempre ha de ser restringit a l’afectat. Cessions de dades • Cessions de dades a cossos de seguretat: Es poden facilitar quan la sol·licitud sigui concreta i especifica (mai sol·licituds massives de dades), i: 15
a) Quedi degudament acreditat que l’obtenció de dades resulta necessària per a la prevenció d’un perill real i greu per a la seguretat pública o per a la repressió d’infraccions penals. b) Que la petició s’efectuï amb la deguda motivació, que acrediti la seva relació amb els supòsits exposats, deixant constància de la petició. La petició s’ha d’efectuar a través d’un suport documental que deixi constància. Es considera admissible l’expedició d’una ordre o un ofici elaborat per la pròpia Policia al càrrec de les actuacions. c) En casos de desprotecció social dels menors. Aquesta cessió pot produir-se per requeriment de la policia local als centres educatius o per pròpia iniciativa en detectar situacions de risc. • Cessió de dades a les AMPA: No podeu facilitar a l’AMPA les dades personals dels alumnes sense el consentiment dels pares, mares o tutors i tutores legals, es necessari el consentiment dels pares o tutors legals per a què pugueu cedir les dades, ja que aquesta cessió no es troba recollida en cap de les excepcions de la normativa vigent en matèria de protecció de dades. L’AMPA és una associació de que ha de declarar els seus propis fitxers i tractaments. El Reial Decret 202/1987, regula les Associacions de Pares i Mares dels Alumnes, estableix en el seu article 5 el procediment d’admissió dels associats i assenyala que serà en tot cas voluntària prèvia sol·licitud d’inscripció. Als associats no se’ls pot exigir més requisits que ser pare, mare o tutor legal de l’alumne matriculat al centre educatiu, abonar si és el cas les corresponents quotes, i acceptar expressament els corresponent estatuts. Es pot efectuar la sol·licitud d’adhesió a l’AMPA aprofitant el procés de matrícula, advertint del caràcter voluntari de la mateixa : per exemple, podeu afegir una casella a marcar, en els següents termes: Sol·licito voluntàriament l’adhesió a l’AMPA i autoritzo la cessió de les dades (identificatives, de contacte, bancàries,....) a l’AMPA amb la finalitat de (finalitat declarada per l’AMPA) La gestió del menjador és un cas excepcional, emparat per la signatura d’un conveni entre l’AMPA i el Departament. 16
8) Doneu compliment al deure de secret El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable. El seu incompliment és motiu d’aplicació de regim disciplinari. El Departament d’Educació ha establert les Funcions i obligacions del personal que té accés a dades de caràcter personal. És un document d’obligat coneixement i compliment per a tots els que intervenen en el tractament de dades de caràcter personal. Feu-lo extensiu a totes el personal i en tot cas, adapteu-lo al vostre centre o servei educatiu. Consciencieu i responsabilitzeu a tots aquells que de forma regular o incidental tinguin accés a dades personals. Cal dir que el personal funcionari ja s’hi troba obligat en virtut de la vigent normativa de funció pública i el personal contractat en règim laboral en virtut del Conveni col·lectiu del personal laboral de la Generalitat. En l’annex, us proposem diversos models de clàusules a incloure en contractes o a fer signar per aquells que tinguin contacte amb les dades personals del vostre àmbit de responsabilitat, com ara personal amb pràctiques, col·laboradors, monitors... 17
9) Cas que contracteu serveis a empreses, elaboreu i reviseu els contractes Amb caràcter general el centres i serveis educatius podeu contractar serveis de forma autònoma. Reviseu les clàusules contractuals i assegureu-vos que s’inclouen les obligacions de confidencialitat i seguretat de la informació a la que es pot tenir accés amb motiu de la prestació del servei. Serveis com la neteja, contractació de monitors, transport, càtering, activitats extraescolars, excursions, intercanvis...comporten l’accés regular o incidental i el tractament de dades personals que han d’estar degudament assegurades. S’entén per servei sense accés a dades personals, aquell que no implica directament aquest tractament, tot i que de manera accessòria o circumstancial es pugui donar, com per exemple, els serveis de neteja o manteniment d’instal·lacions. Altrament, un servei és d’accés a dades personals si la prestació d’aquest servei implica necessariament el seu tractament, per exemple un servei de transport escolar, un servei de menjador...En aquest darrer cas, la llei no considera que es produeixi una cessió de dades, el proveïdor esdevé segons la llei, encarregat del tractament, i està obligat a garantir la seguretat de les dades i dels tractaments d’acord amb les indicacions del responsable del fitxer, obligació que ha de quedar degudament formalitzada a través d’un contracte o conveni. Pel que fa a la contractació de serveis, l’Agència Catalana de Protecció de Dades ha elaborat una recomanació al respecte la Recomanació 1/2010 de l’Agència Catalana de Protecció de Dades, sobre l’encarregat del tractament en la prestació de serveis per compte d’entitats del sector públic de Catalunya. El centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació. L’objecte d’aquesta Recomanació és recollir, de forma sistematitzada, els criteris a tenir en compte des del punt de vista de la protecció de dades, en el moment d’externalitzar serveis que comportin el tractament de dades de caràcter personal que siguin responsabilitat de l’entitat adjudicadora del contracte. També s’ofereixen models de clàusules que recullen les obligacions i previsions convenients per tal de garantir la protecció de dades en la contractació o establiment d’acords amb terceres entitats. Es tracta, en qualsevol cas, de models orientatius que cal adequar a les peculiaritats de cada encàrrec. 18
10) Adopteu mesures de seguretat Adopteu mesures de seguretat que garanteixin la seguretat de les dades de caràcter personal que tracteu i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat. En aquest sentit el RD 1720/2007 (RLOPD), estableix les mesures de seguretat que han de complir tant els fitxers automatitzats com els manuals i determina tres nivells incrementals de seguretat: bàsic, mitja i alt, tal i com s’enunciava a es consideracions d’aquest document. Gestió d’identificadors i contrasenyes: • No compartiu identificadors i contrasenyes. • No anoteu les contrasenyes en papers, ni els deixeu al voltant dels equipaments. • Es aconsellable que les contrasenyes tinguin un mínim de 8 caràcters, que continguin lletres, números, majúscules, minúscules i símbols. • Les contrasenyes s’han de canviar de forma periòdica (al menys un cop l’any....). • Elaboreu un procediment de gestió d’usuaris. Accés i tractament de dades: • Únicament el personal autoritzat ha de tenir accés a les dades personals que requereixi, d’acord amb el seu perfil. • Les dades personals han d’estar fora de l’accés de persones no autoritzades. A tenir en compte: o les pantalles d’ordinador han d’estar orientades convenientment per tal que el personal no autoritzat no tingui accés visual o no deixar documents que continguin dades de caràcter personal en fotocopiadores, impressores, faxos i tanmateix a sobre la taula.... • S’ha de limitar explícitament l’accés als expedients dels alumnes. Correu electrònic: • Separeu les adreces de correu d’àmbit professional de les d’àmbit personal. • Tingueu cura amb la publicació de la adreça de correu en pàgines web, cadenes de correu electrònic i revelació a persones desconegudes. Us recomanem que utilitzeu una segona adreça d’ús personal per registrar-vos en pàgines web i per enviar/rebre correus no professionals. • No seguiu les cadenes de correu electrònic, són mitjans per recaptar adreces i fer-les servir per fer SPAM. • No faciliteu mai la contrasenya o pin per correu electrònic, no els introduïu a llocs web als quals s’hagi arribat a través d’un enllaç (cap entitat els demanarà d’aquesta forma). • Convé evitar el correu electrònic com a mitjà per a transmetre dades de caràcter personal d’alumnat, per exemple.. Si necessiteu utilitzar aquest mitjà, sempre que sigui possible, empreu inicials, un número de cas o d’expedient. Manteniment de dispositius: • Utilitzeu sistemes antivirus o antispam actualitzats. • Actualitzeu els sistemes i programes informàtics regularment. Els programes que no s’actualitzen són vulnerables a virus, intrusions,etc.... • Configureu els dispositius sense fils (bluetooh, wi-fi...) de manera segura per evitar l’accés de terceres persones. • Feu còpies de seguretat. 19
Custòdia i trasllat de documents (electrònics o en suport paper): • Els expedients que contenen dades personals han de romandre tancats en armaris amb clau quan no s’estigui treballant en ells o bé en habitacions que tinguin tancament (en qualsevol cas, recordeu no deixar les claus al pany per facilitar un ràpid accés, aquesta acció invalidaria la mesura). • Eviteu que els armaris o arxivadors que contenen dades de caràcter personal estiguin situats en àrees de fàcil accés o no vigilades. • Si porteu fora del centre de treball dades de caràcter personal en qualsevol suport i format, apliqueu mesures de seguretat per evitar l’accés o la manipulació per terceres persones. Recordeu que: o els documents en suport paper es poden perdre, fotocopiar, fotografiar, filmar... o els dispositius portàtils es poden perdre, copiar o reproduir... • Utilitzeu sistemes de xifrat en documents electrònics i dispositius portàtils. Destrucció de documents i suports: • Utilitzeu destructores de paper, CD, DVD,... o serveis de proveïdors amb certificat de destrucció. • Esborreu totes les dades dels discs de l’ordinador desmagnetitzant-los amb un imant, per exemple. • Apliqueu mesures de seguretat adients per evitar que terceres persones puguin recuperar o utilitzar dades d’aquests dispositius o suports. • Vigileu amb el reciclatge d’ordinadors, portàtils, PDA’s, USB... Documenteu les mesures organitzatives i tècniques adoptades i els procediments establerts a l’efecte, feu-los extensius i d’obligat compliment a tot el personal que tingui accés a dades personals. Aquest pot ser un inici del vostre Document de seguretat. 20
Protecció de dades de caràcter personal per a centres i serveis educatius Annexos 21
ANNEX 1: Figures clau LOPD Les figures clau que s’identifiquen en l’àmbit de la protecció de dades són: • Responsable del fitxer o del tractament: és qui decideix sobre la finalitat, el contingut i l’ús del tractament, encara que no les realitzi materialment. • Encarregat del tractament: tracta dades personals per compte del responsable del fitxer, en general a través d’una relació establerta en la prestació d’un servei. • Responsable de seguretat: persona designada pel responsable del fitxer per tal de controlar i coordinar les mesures de seguretat aplicades. • Interessat o afectat: persona física titular de les dades que siguin objecte del tractament. • Autoritats de control: són els ens de dret públic, amb personalitat jurídica pròpia i plena capacitat pública i privada, que actuen amb plena independència de les administracions públiques en l’exercici de les seves funcions. Les funcions principals de les autoritats de control són: • Registrar els fitxers que contenen dades de caràcter personal. • Vetllar pel compliment de la legislació sobre protecció de dades • Controlar-ne l’aplicació. • Inspeccionar els fitxers a què fa referència la Llei i recollir tota la informació que requereixin per al compliment de les seves comeses. • Informar i atendre reclamacions i peticions dels afectats • Sancionar i realitzar auditories d’ofici Tenen consideració d’autoritats de control, els òrgans corresponents de cada comunitat autònoma. L’àmbit de competència d’aquestes és el relatiu als fitxers de dades de caràcter personal creats o gestionats per les comunitats autònomes i per l’Administració local del seu àmbit territorial. En aquest sentit, l’autoritat de control competent en l’àmbit de centres i serveis educatius és l’Agència Catalana de Protecció de Dades. 22
ANNEX 2:Conceptes LOPD Afectat o interessat Persona física titular de les dades que siguin objecte del tractament Cessió o comunicació de dades Tota revelació de dades realitzada a una persona diferent de l'interessat. Tota manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual Consentiment de l'interessat l'interessat consenteix el tractament de les dades personals que li concerneixen. Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus Dada de caràcter personal relativa a persones físiques identificades o identificables Persona física o jurídica, pública o privada, o òrgan administratiu que, sol o conjuntament amb d’altres, tracti dades personals per compte del responsable del fitxer, com a conseqüència de Encarregat del tractament l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit d’actuació per a la prestació del servei. Tot conjunt organitzat de dades de caràcter personal que possibiliti l’accés a dades de conformitat Fitxer amb criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés. Qualsevol operació o procediment tècnic de caràcter automatitzat o no, que permeti la recollida, l’enregistrament, la conservació, l’elaboració, la modificació, la consulta, la utilització, la modificació, la Tractament de dades cancel·lació, el bloqueig o la supressió de dades, així com les cessions que resultin de comunicacions, consultes, interconnexions i transferències Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o conjuntament amb d’altres decideixi sobre la finalitat, el contingut i l’ús del tractament, encara que no Responsable del fitxer o tractament les realitzi materialment. Poden ser també responsables ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats. Els responsables dels tractaments o dels fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa, amb independència de quin sigui el seu sistema de tractament. ( article 79 del RDLOPD ) ANNEX 3: Conceptes relatius a mesures de seguretat Accessos a dades de caràcter personal autoritzats a un usuari per a la utilització dels diversos recursos. Si s’escau, Accessos autoritzats han d’incloure les autoritzacions o funcions que tingui atribuïdes un usuari per delegació del responsable del fitxer o tractament o del responsable de seguretat. Autentificació Procediment de comprovació de la identitat d’un usuari Informació confidencial, freqüentment constituïda per una cadena de caràcters, que pot ser usada en l’autenticació Contrasenya d’un usuari o en l’accés a un recurs. Control d’accés Mecanisme que, en funció de la identificació, un cop ja autenticada, permet accedir a dades o recursos. Còpia de seguretat Còpia de les dades d’un fitxer automatitzat en un suport que en possibiliti la recuperació. Fitxers de treball creats per usuaris o processos que siguin necessaris per a un tractament ocasional o com a pas Fitxers temporals intermedi durant la realització d’un tractament Identificació Procediment de reconeixement de la identitat d’un usuari. Incidència Qualsevol anomalia que afecti o pogués afectar la seguretat de les dades. Recurs Qualsevol part component d’un sistema d’informació. Persona o persones a les quals el responsable del fitxer ha assignat fonamentalment la funció de coordinar i Responsable de seguretat controlar les mesures de seguretat aplicables. Conjunt de fitxers, programes, suports i equips emprats per a l’emmagatzemament i tractament de dades de Sistema d’informació caràcter personal. Objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema Suport d’informació i sobre el qual es poden gravar o recuperar dades. Subjecte o procés autoritzat per accedir a dades o recursos. Tindran la consideració d’usuaris els processos que Usuari permetin accedir a dades o recursos sense identificació d’un usuari físic. Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. ( article 80 del RLOPD) 23
ANNEX 4: Marc normatiu Unió Europea • Carta del drets fonamentals de la Unió Europea (arts. 7 i 8) • Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circul.lació d'aquestes dades. Consell d’Europa • Convenció per a la salvaguarda dels drets humans i de les llibertats fonamentals Normativa espanyola • Constitució espanyola (arts. 10, 14, 16, 18, 20, 53 i 105) • Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE núm. 298, de 14.12.1999) • Reial decret 1720/2007, de 21 de desembre, de protecció de dades de caràcter personal (BOE núm. 17, de 19.01.2008) Disposicions adoptades per l’Agència Catalana de Protecció de Dades • Llei 5/2002 de l’Agència Catalana de Protecció de Dades • Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància. • Recomanació 1/2008 sobre la difusió d'informació que contingui dades de caràcter personal a través d'Internet. • Recomanació 1/2010 sobre l'encarregat del tractament en la prestació de serveis per compte d'entitats del sector públic de Catalunya. 24
ANNEX 5: Resum de Mesures de seguretat Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa vigent, amb independència de quin sigui el seu sistema de tractament. Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic. El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació. El document ha de contenir, com a mínim, els aspectes següents: a) Àmbit d’aplicació del document amb especificació detallada dels recursos protegits. b) Mesures, normes, procediments d’actuació, regles i estàndards encaminats a garantir el nivell de seguretat exigit en aquest Reglament. c) Funcions i obligacions del personal en relació amb el tractament de les dades de caràcter personal incloses en els fitxers. d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes d’informació que els tracten. e) Procediment de notificació, gestió i resposta davant les incidències. f) Els procediments de realització de còpies de seguretat i de recuperació de les dades en els fitxers o tractaments automatitzats. g) Les mesures que sigui necessari adoptar per al transport de suports i documents, així com per a la destrucció dels documents i suports o, si s’escau, la reutilització d’aquests últims. En cas que siguin aplicables als fitxers les mesures de seguretat de nivell mitjà o les mesures de seguretat de nivell alt, el document de seguretat ha de contenir a més: a) La identificació del responsable o responsables de seguretat. b) Els controls periòdics que s’han de realitzar per verificar el compliment del que disposa el document. Quan hi hagi un tractament de dades per compte de tercers, el document de seguretat ha de contenir la identificació dels fitxers o tractaments que es tractin en concepte d’encarregat amb referència expressa al contracte o document que reguli les condicions de l’encàrrec, així com la identificació del responsable i del període de vigència de l’encàrrec. En els casos en què dades personals d’un fitxer o tractament s’incorporin i es tractin de manera exclusiva en els sistemes de l’encarregat, el responsable ho ha d’anotar en el seu document de seguretat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte pel que fa a les dades incloses en recursos propis. El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis rellevants en el sistema d’informació, en el sistema de tractament que es fa servir, en la seva organització, en el contingut de la informació inclosa en els fitxers o tractaments o, si s’escau, com a conseqüència dels controls periòdics realitzats. En tot cas, s’entén que un canvi és rellevant quan pot repercutir en el compliment de les mesures de seguretat implantades. El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de les dades de caràcter personal. 25
26
ANNEX 6: Models de clàusules informatives En tot cas són models orientatius que s’han de concretar i adequar a cada cas particular. • Model de clàusula informativa, per tractaments que no contenen dades sensibles (consentiment tàcit): D’acord amb l’article e de la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a ( adreça del centre/servei educatiu ) • Model de clàusula informativa, per tractaments que contenen dades sensibles (consentiment exprés): D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer), i autoritza expressament al responsable del fitxer el tractament de les dades amb la finalitat indicada. Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a ( adreça del centre/servei educatiu ). • Model de clàusula informativa, per tractaments que no contenen dades sensibles, amb cessió (consentiment tàcit): D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable (òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer). Us informen que les vostres es cediran a (entitats determinades a la declaració del fitxer) amb la finalitat de (finalitat de la cessió). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a (adreça del centre/servei educatiu ) 27
ANNEX 7: Model de clàusula de confidencialitat • Model per a personal col·laborador del Departament d’Educació Model de clàusula de confidencialitat que podeu adaptar i fer signar a les persones que puguin tenir un accés a dades personals, com per exemple becaris, personal en pràctiques o col·laboradors temporals, monitors, etc....... El Sr./la Sra. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, partint de la relació contractual/laboral/............ que, de forma [continuada / temporal], manté amb el Departament d’Educació/ centre o servei educatiu/........... , d’acord amb la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD, es compromet a establir, complir i respectar les següents obligacions, respecte del tractament i gestió de les dades de caràcter personal a les quals tingui accés pel desenvolupament de la seva feina: 1. Mantenir absoluta confidencialitat, reserva i estricte secret professional respecte de la informació i/o dades de caràcter personal, responsabilitat l’Administració de la Generalitat de Catalunya, mitjançant el Departament d’Educació, que pugui conèixer en ocasió del compliment dels serveis prestats, i no divulgar-la, ni publicar, difondre o posar a disposició de tercers, bé directament o indirectament, sense el consentiment previ per escrit del Departament d’Educació, ni tan sols per la seva conservació. 2. Donar compliment a les mesures de seguretat i privacitat establertes pel Departament d’Educació i en especial del document Funcions i obligacions del personal respecte de la seva informació i les dades de caràcter personal. Observar i adoptar totes les mesures de seguretat que siguin necessàries per assegurar la confidencialitat, secret, disponibilitat i integritat de les dades de caràcter personal a les quals tingui accés, així com a observar i implementar en un futur les mesures de seguretat que siguin exigides per les lleis i els reglaments destinats a preservar el secret, la confidencialitat i la integritat en el tractament automatitzat o manual de la informació confidencial. 3. En el supòsit que, per qualsevol motiu relacionat amb el lloc de treball, entri en possessió d’informació confidencial, independentment del tipus de suport en què estigui, s’entén que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això atorgui cap dret de possessió o titularitat o còpia sobre la referida informació. Així mateix, s’hauran de retornar tots els suports o materials al Departament d’Educació/ centre o servei educatiu/..........., o destruir-los, immediatament després de la finalització de les tasques que n’han originat l’ús temporal, i en qualsevol cas, en el moment de finalització del projecte o de la relació laboral. 4. Aquesta obligació subsistirà fins i tot després de finalitzar la seva relació amb el Departament d’Educació/ centre o servei educatiu/............ ............., a .........de ......... de 20............ Signat.............. 28
ANNEX 8: Models de clàusules per a prestadors de serveis • Model de clàusula per als prestadors de serveis sense accés a dades personals: Es consideren serveis sense accés a dades aquells que implícitament no comporten tractament de dades de caràcter personal. L’accés a dades personals és accidental, com ara serveis de neteja, serveis de manteniment d’instal·lacions, etc... PROVEÏDOR manifesta haver estat degudament informat per part del .................................................... sobre la prohibició expressa d’accedir, visualitzar, copiar, gravar, alterar, comunicar i/o realitzar qualsevol acte que posi en perill o vulneri la confidencialitat i seguretat de les dades de caràcter personal de les que és responsable .................................................., a les quals PROVEÏDOR hagués accedit de forma involuntària o accidental amb motiu de l’execució del contracte de prestació de serveis formalitzat entre ambdues parts. Aquesta prohibició és extensible a la totalitat de les dades de caràcter personal responsabilitat de .........................................................................., amb independència del tipus de canal o suport amb que siguin tractades, essent responsable PROVEÏDOR de l’incompliment de tal prohibició per part dels seus treballadors. El deure de secret i confidencialitat subsistirà amb posterioritat a l’extinció del contracte. ............., a .........de ......... de 200... Signat.............. • Model de clàusula per als prestadors de serveis amb accés a dades personals: Es consideren serveis amb accés a dades aquells que implícitament comporten tractament de dades de caràcter personal, com ara contractació de serveis de monitors, serveis de transport, etc.... En tot cas el model és orientatiu i ha de concretar els aspectes relatius al tractament concret i fer referència explícita a les mesures de seguretat que cal observar. PROVEÏDOR accepta, mitjançant la seva signatura, el present compromís de confidencialitat i tractament de dades personals, subjecte als següents extrems: PROVEÏDOR mantindrà la més estricta reserva i confidencialitat sobre les dades personals contingudes en la documentació de la qual és responsable el.............................................................., i sobre les dades a les quals accedeixi amb motiu dels serveis prestats consistents en ******. En aquest sentit, PROVEÏDOR complirà adequadament i en tot moment les disposicions contingudes en la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (en endavant LOPD), així com en el Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD (en endavant RLOPD), i en qualsevol altra norma vigent o que en el futur pugui promulgar-se sobre aquesta matèria. En virtut del que disposa l’article 12 LOPD i els articles 20 a 22 i 82 del RLOPD, PROVEÏDOR serà considerat, amb caràcter general, com a encarregat del tractament de les dades de caràcter personal a les quals tingui accés per a la prestació dels seus serveis a l’Administració Pública de la Generalitat de Catalunya. En conseqüència, la transmissió de dades de caràcter personal que realitzi l’Administració Pública de la Generalitat de Catalunya en favor de PROVEÏDOR no tindrà, en cap cas, la consideració de comunicació de dades de caràcter personal, en els termes previstos en l’article 11 LOPD. El tractament de dades per part de PROVEÏDOR en qualitat d’encarregat del tractament, es produirà durant el període de prestació del servei contractat i aquestes dades únicament seran utilitzades per a les finalitats estrictament necessàries per a la prestació del servei esmentat. PROVEÏDOR únicament tractarà aquestes dades d’acord amb les instruccions del ........................................., no aplicarà o utilitzarà les dades amb una finalitat diferent a la que figuri en el present compromís, ni per a finalitats diferents a les necessàries per a la prestació del servei contractat; ni les comunicarà, ni tan sols per a la seva conservació, a altres persones sense la corresponent autorització. Les obligacions de confidencialitat establertes en el present compromís tindran una durada indefinida, i es mantindran en vigor amb posterioritat a la finalització de la relació entre el .................................... i PROVEÏDOR. Una vegada complerta la prestació de serveis, PROVEÏDOR haurà de retornar al ............................................. les dades de caràcter personal, així com qualsevol suport o document que incorpori dades personals fruit de la relació formalitzada entre ambdues parts. La devolució de les dades de caràcter personal per part de PROVEÏDOR es portarà a terme, si s’escau, en el format i en els suports utilitzats en aquest moment per PROVEÏDOR per emmagatzemar aquestes dades. D’igual manera, PROVEÏDOR es compromet, amb posterioritat a l’extinció de la relació contractual mantinguda amb el ..............................................................., a no conservar cap còpia de la informació. PROVEÏDOR no podrà subcontractar amb un tercer la realització de cap tractament que li hagués encomanat el ........................................................, llevat dels supòsits autoritzats per aquest de forma expressa. En aquests casos, la contractació s’efectuarà en nom i per compte del ........................................................ PROVEÏDOR manifesta que té implementades les mesures d’índole tècnica i organitzativa necessàries que garanteixen la seguretat de les dades de caràcter personal, i n’eviten l’alteració, pèrdua, tractament i/o accés no autoritzat, tenint en compte la naturalesa de les dades que tracta, que són de nivell ****** de seguretat, i els riscos als quals aquestes dades puguin estar exposades, tot això de conformitat amb el que disposa el RLOPD. En compliment del segon paràgraf de l’article 12.2 de la LOPD i atesa la naturalesa de les dades de caràcter personal que són objecte de tractament, PROVEÏDOR com a encarregat del tractament, aplicarà les mesures de seguretat que corresponguin: 1) En l’accés a tot tipus de fitxer amb dades de caràcter personal cal aplicar les mesures descrites de l’article 89 al 94 del RLOPD per tractaments automatitzats i de l’article 105 al 108 del RLOPD per a tractaments no automatitzats. 2) En l’accés a fitxers amb un nivell de seguretat mitjà cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus de fitxer i a més les mesures descrites de l’article 95 al 100 del RLOPD per tractaments automatitzats i de l’article 109 al 110 per a tractaments no automatitzats. 3) En l’accés a fitxers amb un nivell de seguretat alt cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus de fitxer, les descrites al punt 2 per a l’accés a fitxers de nivell mitjà i les mesures descrites de l’article 101 al 104 del RLOPD per tractaments automatitzats i de l’article 111 al 114 per a tractaments no automatitzats. PROVEÏDOR informarà al seu personal de les obligacions establertes en el present compromís sobre confidencialitat i realitzarà els advertiments i subscriurà els documents que siguin necessaris amb el seu personal, si en tenen, amb la finalitat d’assegurar el compliment d’aquestes obligacions. ...................., ............de.............de................ Signat: ................... 29
ANNEX 9: Videovigilància en centres i serveis educatius La protecció de dades, com qualsevol altre dret fonamental, no és absolut, és a dir està subjecte a límits, com per exemple, la seguretat pública o els drets de tercers. Però aquests límits han de reunir certes garanties per evitar que el dret desaparegui enfront dels altres drets i interessos en joc. Es especialment en aquest àmbit (tractament d’imatges/veu) on es poden veure afectats altres drets com la llibertat d’expressió, la llibertat de circulació, el dret a la no discriminació i especialment en l’àmbit educatiu el principi d’interès superior de l’Infant, que no pretén més que reforçar el dret dels infants al lliure desenvolupament de la seva personalitat . Els dubtes d’aplicació plantejats tant pels ciutadans com pels mateixos responsables del tractament per a donar compliment a les obligacions que actualment existeixen en aquest àmbit van donar com resultat la Instrucció 1/2009 de l’APDCat sobre el tractament de dades personals mitjançant sistemes de videovigilància. La Instrucció 1/2009, dona elements de judici als responsables, a l’hora de prendre la decisió sobre la implantació d’aquests sistemes. Amb aquest objectiu s’ha de destacar la previsió que fa la Instrucció d’elaborar una memòria amb caràcter previ a l’aprovació del fitxer, com a eina per fer una anàlisi completa i sistemàtica de les característiques del tractament que es vol dur a terme i de les circumstàncies concurrents, que compleixi no només una funció formal de motivació de la mesura sinó que permeti una avaluació acurada amb caràcter previ a la presa de la decisió, com una garantia per a la ciutadania i alhora com a una garantia de l’encert de la mesura per a la consecució de l’interès públic. Com podeu comprovar l’ordre de declaració no ha inclòs la declaració d’aquest fitxer per al cas de centres i serveis educatius. La disposició de creació requeria per la seva tramitació la presentació les memòries que justifiquen les instal·lacions dels sistemes de captació d’imatge i/o veu. Com sigui que el Departament no disposa d’aquesta informació, elaborarà un procediment que permetrà legalitzar i legitimar aquesta situació donant instruccions als centres i serveis educatius.. Fins la publicació de la instrucció, com a responsables de la instal·lació d’aquests sistemes, us recomanem: • Llegiu atentament la Instrucció 1/2009 de l’APDCat • Assegureu que l’empresa instal·ladora o de manteniment coneix la normativa a la que esteu sotmesos com administració pública que sou. • Els centres i serveis educatius que ja disposeu en l’actualitat d’aquest tipus d’instal·lacions: • Demaneu a l’empresa instal·ladora o de manteniment que complementin la memòria justificativa de la instal·lació i instal·leu els cartells informatius. • Si encara no disposeu d’aquest sistemes i penseu en instal·lar-ho: • Feu l’anàlisi previ que aconsella la Instrucció. • Contacteu amb una empresa instal·ladora i exposeu-li el requisits a que esteu sotmesos. Feu incloure en el servei la instal·lació els cartells informatius i la confecció de la memòria justificativa. Us subministrem un model base per tal que elaboreu la memòria i unes instruccions per poder complimentar. 30
ANNEX 10: Videovigilància, resum normatiu CAPTACIÓ D’IMATGE I/O VEU A TRAVÉS DE SISTEMES DE VIDEOVIGILÀNCIA Si el centre o servei educatiu disposa o vol disposar de sistemes de videovigilància heu de donar compliment al que disposa la: • Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància, dictada per l’Agència Catalana de protecció de Dades i publicada al DOGC núm. 5322- 19/02/2009. Legalització i legitimació del fitxer: Per poder iniciar la captació d’imatges cal haver creat, amb caràcter previ, el fitxer corresponent, d’acord amb el que estableix la normativa de protecció de dades de caràcter personal i la Instrucció, llevat que les imatges es captin sense que hi hagi emmagatzematge. S’ha de sol·licitar un informe a l’Agència Catalana de Protecció de Dades sobre l’adequació del tractament a la legislació en matèria de protecció de dades. La sol·licitud d’informe s’ha d’acompanyar de la proposta d’acord o de disposició. Proporcionalitat: Amb caràcter previ a la instal·lació, les persones responsables de la utilització de sistemes de videovigilància han de ponderar els diferents drets i béns jurídics en joc, analitzant: a) La necessitat d’utilitzar aquests sistemes. b) La idoneïtat de la instal·lació de sistemes de videovigilància per assolir la finalitat perseguida. c) El risc que pot suposar per als drets de les persones, ateses les característiques del sistema de videovigilància, les circumstàncies de la captació i les persones afectades. d) L’absència de mesures de vigilància alternatives que comportin un risc menor, en relació amb possibles intromissions en els drets fonamentals. Aquesta ponderació ha de quedar documentada en la memòria prevista d’acord amb l’article 10 de la Instrucció. Memòria Justificativa: Amb caràcter previ a la creació del fitxer, o a la posada en marxa del sistema de videovigilància, s’ha d’elaborar una Memòria Justificativa d’acord amb l’article 10 de la Instrucció. Deure d’informació: Les persones responsables del tractament d’imatges a través de càmeres fixes han d’informar de forma clara i permanent sobre l’existència de les càmeres mitjançant la col·locació dels cartells informatius que siguin necessaris per garantir-ne el coneixement per les persones afectades. Aquesta obligació és exigible igualment quan les imatges captades no siguin enregistrades. Els cartells informatius s’han de col·locar abans que comenci la captació d’imatges i veus, fins i tot si es tracta de proves, i només poden retirar-se un cop sigui desinstal·lat el sistema. Els cartells informatius s’han de col·locar en emplaçaments clarament visibles abans d’entrar en el camp de gravació de les càmeres. Conservació de les imatges: Amb caràcter general, es recomana no excedir el termini màxim d’un mes per cancel·lar les imatges tractades. 31
Procediment d’exercici de drets: Per a l’exercici dels drets d’accés, rectificació, cancel·lació i oposició, cal formular una sol·licitud adreçada al responsable del fitxer o, si escau, a l’encarregat del tractament, indicant el lloc, la data i l’hora aproximada, en franges no superiors a dues hores, en què la seva imatge va poder ser captada. La sol·licitud s’ha d’acompanyar d’una imatge de la persona sol·licitant que correspongui al període en què es va captar, de manera que permeti identificar-la. Per tal de comprovar la coincidència entre la imatge aportada i les imatges enregistrades, es poden utilitzar eines de reconeixement d’imatges. Si la imatge o la veu aportades no ofereix prou definició o elements per permetre la identificació, s’ha d’atorgar un termini d’esmena de 10 dies hàbils per poder aportar una altra imatge o gravació de la veu. Pot denegar-se la sol·licitud d’exercici dels drets d’accés, rectificació, cancel·lació o oposició quan no concorrin els requisits exigibles, o quan el nivell de coincidència entre la imatge o la veu aportada amb la sol·licitud i les que hagin estat objecte de tractament no permeti assegurar que aquesta darrera correspon a la persona interessada. També pot denegar-se quan no hagin estat enregistrades o ja hagin estat cancel·lades. Nivell de seguretat: La recollida i el tractament d’imatges de persones identificades o identificables requereix, amb caràcter general, el nivell de seguretat bàsic, sens perjudici que en determinats supòsits puguin ser d’aplicació les mesures de nivell mitjà o alt. Mesures de seguretat: La persona responsable del tractament ha d’adoptar les mesures tècniques i organitzatives necessàries que garanteixin l’autenticitat, la integritat i la confidencialitat de les imatges captades mitjançant sistemes de càmeres i que n’evitin l’alteració, pèrdua, accés indegut o tractament no autoritzat. La persona responsable del tractament ha d’informar les persones que tinguin accés a les imatges en exercici de les seves funcions que han d’observar el deure de secret, i que aquesta obligació subsisteix fins i tot després d’haver finalitzat la seva relació de servei. A les imatges, i si escau a les veus, obtingudes o tractades mitjançant sistemes digitals de videovigilància,fins i tot durant el període de proves, se’ls ha d’aplicar les mesures de seguretat tècniques i organitzatives previstes a la normativa de protecció de dades de caràcter personal per als fitxers o tractaments automatitzats, segons el nivell de seguretat establert. 32

Recommended

Planificació dels serveis socials.2 juny 2010
Planificació dels serveis socials.2 juny 2010Planificació dels serveis socials.2 juny 2010
Planificació dels serveis socials.2 juny 2010
Núria Fustier Garcia
 
L’aprenentatge d’una llengua basat en materials hipermèdia
L’aprenentatge d’una llengua basat en materials hipermèdiaL’aprenentatge d’una llengua basat en materials hipermèdia
L’aprenentatge d’una llengua basat en materials hipermèdia
lalonsomom
 
La entrevista
La entrevistaLa entrevista
La entrevista
Oswaldo Lomas
 
Análisis+..
Análisis+..Análisis+..
Análisis+..
practicadocente2011
 
Tatriko
TatrikoTatriko
Tatriko
Bolivar Tatiana
 
L'univers eva
L'univers evaL'univers eva
L'univers eva
sportdirigit
 
La llengua, fet social II
La llengua, fet social IILa llengua, fet social II
La llengua, fet social II
torrascat
 
Projecte
ProjecteProjecte
Projecte
formaciotic
 

Recommended

Planificació dels serveis socials.2 juny 2010
Planificació dels serveis socials.2 juny 2010Planificació dels serveis socials.2 juny 2010
Planificació dels serveis socials.2 juny 2010
Núria Fustier Garcia
 
L’aprenentatge d’una llengua basat en materials hipermèdia
L’aprenentatge d’una llengua basat en materials hipermèdiaL’aprenentatge d’una llengua basat en materials hipermèdia
L’aprenentatge d’una llengua basat en materials hipermèdia
lalonsomom
 
La entrevista
La entrevistaLa entrevista
La entrevista
Oswaldo Lomas
 
Análisis+..
Análisis+..Análisis+..
Análisis+..
practicadocente2011
 
Tatriko
TatrikoTatriko
Tatriko
Bolivar Tatiana
 
L'univers eva
L'univers evaL'univers eva
L'univers eva
sportdirigit
 
La llengua, fet social II
La llengua, fet social IILa llengua, fet social II
La llengua, fet social II
torrascat
 
Projecte
ProjecteProjecte
Projecte
formaciotic
 
Carta MPLC
Carta MPLCCarta MPLC
Carta MPLC
formaciotic
 
Presentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavaraPresentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavara
formaciotic
 
Presentacio colonies
Presentacio coloniesPresentacio colonies
Presentacio colonies
formaciotic
 
El nostre treball diari
El nostre treball diariEl nostre treball diari
El nostre treball diari
formaciotic
 
Biblioteca alcover
Biblioteca alcoverBiblioteca alcover
Biblioteca alcover
formaciotic
 
Presentació kit ràdio
Presentació kit ràdioPresentació kit ràdio
Presentació kit ràdio
formaciotic
 
aaa
aaaaaa
aaa
formaciotic
 

More Related Content

More from formaciotic

Presentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavaraPresentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavara
formaciotic
 
Presentacio colonies
Presentacio coloniesPresentacio colonies
Presentacio colonies
formaciotic
 
Presentació kit ràdio
Presentació kit ràdioPresentació kit ràdio
Presentació kit ràdio
formaciotic
 

More from formaciotic (7)

Carta MPLC
Carta MPLCCarta MPLC
Carta MPLC
 
Presentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavaraPresentació gestió interna de la zer atzavara
Presentació gestió interna de la zer atzavara
 
Presentacio colonies
Presentacio coloniesPresentacio colonies
Presentacio colonies
 
El nostre treball diari
El nostre treball diariEl nostre treball diari
El nostre treball diari
 
Biblioteca alcover
Biblioteca alcoverBiblioteca alcover
Biblioteca alcover
 
Presentació kit ràdio
Presentació kit ràdioPresentació kit ràdio
Presentació kit ràdio
 
aaa
aaaaaa
aaa
 

Recomanacionsiannexoslopd

  • 1. Protecció de dades de caràcter personal per a centres i serveis educatius
  • 2. INDEX INTRODUCCIÓ................................................................................................................................................................... 3 QUÈ ÉS LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL? ............................................................................ 3 LEGISLACIÓ ...................................................................................................................................................................... 3 PRINCIPIS, DRETS I OBLIGACIONS................................................................................................................................ 3 CONSIDERACIONS SOBRE PROTECCIÓ DE DADES PER A CENTRES I SERVEIS EDUCATIUS ............................ 5 1) LES DADES SÓN LES PERSONES.............................................................................................................................. 6 2) ABANS DE COMENÇAR, COMPROVEU QUE EL FITXER ESTÀ CREAT ................................................................. 7 3) SEMPRE INFORMEU I DEMANEU EL CONSENTIMENT ............................................................................................ 8 4) SOL·LICITEU NOMÉS DADES QUE SIGUIN ADEQUADES, PERTINENTS I NO EXCESSIVES AMB FINALITATS CONCRETES I ACTUALITZEU-LES ............................................................................................................................... 11 5) CANCEL·LEU LES DADES QUAN NO SIGUIN NECESSARIES I FEU-LO DE FORMA ADEQUADA .................... 12 6) FACILITEU L’EXERCICI DE DRETS “ARCO” ALS TITULARS DE LES DADES ..................................................... 13 7) NO CEDIU DADES SENSE ESTAR AUTORITZATS .................................................................................................. 14 8) DONEU COMPLIMENT AL DEURE DE SECRET....................................................................................................... 17 9) CAS QUE CONTRACTEU SERVEIS A EMPRESES, ELABOREU I REVISEU ELS CONTRACTES ....................... 18 10) ADOPTEU MESURES DE SEGURETAT .................................................................................................................. 19 ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 21 ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 22 ANNEX 2:CONCEPTES LOPD ........................................................................................................................................ 23 ANNEX 3: CONCEPTES RELATIUS A MESURES DE SEGURETAT ........................................................................... 23 ANNEX 4: MARC NORMATIU ......................................................................................................................................... 24 U ANNEX 5: RESUM DE MESURES DE SEGURETAT ..................................................................................................... 25 ANNEX 6: MODELS DE CLÀUSULES INFORMATIVES................................................................................................ 27 ANNEX 7: MODEL DE CLÀUSULA DE CONFIDENCIALITAT ...................................................................................... 28 ANNEX 8: MODELS DE CLÀUSULES PER A PRESTADORS DE SERVEIS ............................................................... 29 ANNEX 9: VIDEOVIGILÀNCIA EN CENTRES I SERVEIS EDUCATIUS ....................................................................... 30 ANNEX 10: VIDEOVIGILÀNCIA, RESUM NORMATIU ................................................................................................... 31 U 2
  • 3. Introducció Què és la protecció de dades de caràcter personal? La protecció de dades és l'adaptació a la Societat de la Informació del dret fonamental a la protecció de l’honor, la intimitat personal i familiar i la pròpia imatge, inclòs per les Nacions Unides a la Declaració Universal dels Drets Humans (1948). És un dret fonamental, que busca protegir els ciutadans i el ple exercici dels seus drets davant les vulneracions que puguin procedir de la recollida, tractament i emmagatzemament de les seves dades personals per part tant d’entitats públiques com privades. Com a conseqüència d’aquest dret fonamental, l’ordenament jurídic espanyol i europeu, reconeix a les persones una sèrie de drets en relació a les seves dades personals que han de ser respectats per qualsevol entitat pública o privada que les tracti, tot imposant una sèrie d’obligacions formals i substantives que aquestes han de complir. Legislació La legislació sobre protecció de dades de caràcter personal està constituïda per les normes que regulen el registre, tractament i eliminació de les dades de les persones i són d'aplicació obligada per a totes les entitats públiques o privades que registren i tracten dades personals en qualsevol suport i format. Així, l'afectació de la normativa que regula el tractament de dades personals és molt extensa i a més està en constant desenvolupament ja que el seu vincle amb l'avenç de les noves tecnologies és directe. El dret fonamental a la protecció de dades de caràcter personal es configura a l’article 18.4 de la Constitució Espanyola i a l’article 31 de l’Estatut d’Autonomia de Catalunya, com a dret a l’autodeterminació informativa (STC 292/2000), i es desenvolupa mitjançant la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) ) i el seu reglament (Reial Decret 1720/2007). El ciutadà ha de poder saber i tenir control sobre qui utilitza les seves dades de caràcter personal, per a quina finalitat i a qui es faciliten aquestes dades, entre d’altres circumstàncies. Principis, drets i obligacions La Llei 15/1999, té per objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i la seva intimitat personal i familiar. És aplicable a totes les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat. Inclou, per tant, el tractament automatitzat i el no automatitzat de les dades de caràcter personal, es a dir, la informació en paper. 3
  • 4. Estableix Principis, drets i obligacions: • Principis de la protecció de dades: o Principi de proporcionalitat: Les dades que es recullen han de ser adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats per als quals s'han obtingut. És a dir, les estrictament necessàries per a la finalitat de què es tracti. o Principi de finalitat: Les dades s’han de recollir per a finalitats determinades, explícites i legítimes. Les dades no es poden utilitzar per a finalitats distintes o incompatibles amb les van motivar el seu tractament. o Principi d’exactitud: Les dades s'han de mantenir actualitzades i han de respondre a la situació actual de la persona interessada. Si les dades són errònies, han de ser cancel·lades i substituïdes per les correctes en el termini de 10 dies des que es coneix la inexactitud. o Principi de conservació: Les dades han de ser emmagatzemades de manera que es permeti l’exercici del dret d’accés, excepte si han estat cancel·lades. Les dades es poden conservar durant un termini superior al necessari per assolir les finalitats que van motivar la seva recollida, sempre que no sigui possible identificar la persona interessada, és a dir, s’han de fer anònimes. o Principi de lleialtat i licitud: És prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits. o Principi de consentiment: El tractament de dades requereix del consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa. o Principi de seguretat: S’han d’adoptar les mesures organitzatives i tècniques necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat. • Principals Drets dels afectats: o Dret d’informació: Quan es recullin dades de caràcter personal ha d’informar-se a l’afectat de existència d’un fitxer, de la finalitat de la recollida, dels destinataris de la informació i de les dades necessàries per poder exercir el seus drets. o Dret a Accedir, Rectificar, Cancel·lar i Oposar-se al tractament de les dades que són de la seva propietat (ARCO), entre d’altres, i obliga a establir un procediment per a què els afectats puguin exercir aquests drets. o Dret a revocar el consentiment: El tractament de dades personals requereix el consentiment previ de la persona titular de les dades, excepte en els casos legalment previstos. La persona que ha donat el seu consentiment té dret a revocar-lo d'una manera senzilla i gratuïta. • Obligacions que han de complir els organismes o entitats de caràcter públic o privat que tracten dades de caràcter personal: • Tots els fitxers que contenen dades de caràcter personal, automatitzats i no automatitzats (en suport paper), s’han d’inscriure al Registre de Protecció de Dades. • La creació, modificació o supressió dels fitxers de les administracions públiques només es poden fer per mitja d’una disposició en el diari oficial corresponent. • El RD 1720/2007, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, determina les mesures de seguretat organitzatives i tècniques que han de ser adoptades. Aquestes mesures han d’estar recollides en un Document de seguretat, d’obligat compliment per a tot el personal amb accés a dades personals. • Els sistemes d’informació que contenen dades de caràcter personal han de ser auditats amb caràcter bianual. 4
  • 5. Consideracions sobre protecció de dades per a centres i serveis educatius Els centres i els serveis educatius tracten informació del seu alumnat, del personal docent i d’administració i serveis, col·laboradors externs, pares i mares, tutors/res, professionals que presten serveis... Els tractaments de dades de caràcter personal necessaris per a la gestió dels processos en l’àmbit educatiu, l’ús de les tecnologies de la informació i la comunicació i la capacitat d’aquestes per a tractar grans volums de dades i, les diferències d’interpretació que pot suscitar l’aplicació de la normativa vigent en matèria de protecció de dades, aconsellen l’elaboració d’unes consideracions destinades als centres i serveis educatius. La finalitat d’aquest document és reflexionar sobre el tractament de dades de caràcter personal que es fa diàriament en els centres i serveis educatius i la posterior introducció en la dinàmica diària d’aquestes consideracions. Deu punts per a considerar: Us facilitem un conjunt de punts de contrast que us permetin revisar el marc d’actuacions envers el tractament de dades personals dels vostres centres i serveis educatius. 1) Les dades són de les persones 2) Abans de començar, comproveu que el fitxer està creat 3) Sempre informeu i demaneu el consentiment 4) Sol·liciteu només dades que siguin adequades, pertinents i no excessives amb finalitats concretes i actualitzeu-les 5) Cancel·leu les dades quan no siguin necessàries i feu-lo de forma adequada 6) Faciliteu l’exercici de drets “arco” als titulars de les dades 7) No cediu dades sense estar autoritzat 8) Doneu compliment al deure de secret 9) Cas que contracteu serveis a empreses, reviseu els contractes 10) Adopteu mesures de seguretat 5
  • 6. 1) Les dades són les persones Les dades personals (informació numèrica, alfanumèrica, imatges i veu) pertanyen a les persones a les que es refereixen i només elles poden decidir sobre les mateixes. El centres i serveis educatius NO sou els propietaris d’aquesta informació. Els seus titulars són: alumnat i llurs famílies, personal docent i d’administració i serveis, col·laboradors/es, monitors/es, proveïdors... us les faciliten per què pugueu oferir el millor servei d’educació. Sou responsables de vetllar per tal que la recollida, tractament i cessions es facin respectant la normativa vigent en matèria de protecció de dades de caràcter personal. L’Administració, ha de ser el màxim garant de la privacitat i del bon ús de les dades del ciutadans i tercers amb els que es relaciona; i no cal dir que l’entorn de funcionament de l’administració educativa amb la recollida i tractament sistemàtic de dades de menors comporta que haguem de complir amb la normativa d’aplicació d’una forma excel·lent. 6
  • 7. 2) Abans de començar, comproveu que el fitxer està creat És necessari que el fitxer que recollirà les dades de caràcter personal motiu de tractament estigui legalitzat i legitimat abans de la seva utilització, això vol dir que ha d’estar inscrit al Registre de Protecció de Dades de Catalunya. En el cas dels centres i serveis educatius i donat que no teniu personalitat jurídica diferenciada, el procés de creació passa per l’aprovació de la corresponent disposició de creació, modificació o supressió de fitxers en el DOGC signada pel Conseller/a d’Educació i la seva publicació al DOGC i posterior registre a l’APDCat. Des de l’aprovació de la darrera ordre de creació, modificació i supressió de fitxers, s’han creat nous fitxers i altres han experimentat modificacions diverses, derivades dels canvis organitzatius produïts durant aquest temps, i la implantació de nous sistemes d’informació. Per aquest motiu, el Departament està tramitant una nova ordre que recull la situació actual. Els fitxers a que fa referència aquest document són per tant els inclosos en aquesta nova disposició. Respecte dels centres educatius s’han inscrit al registre els següents fitxes: • Alumnat de centres educatius dependents del Departament d'Educació • Borsa de treball de centres educatius dependents del Departament d'Educació • Personal de centres educatius dependents del Departament d'Educació • Proveïdors de centres educatius dependents del Departament d'Educació la direcció del centre s’identifica com òrgan responsable en tots els casos. Respecte dels serveis educatius s’han inscrit els següents fitxers: • Serveis educatius • Personal de serveis educatius • Proveïdors de serveis educatius la direcció del servei educatiu s’identifica com a òrgan responsable en tots els casos. A la Intranet del Departament trobareu el detall i l’estructura d’aquests fitxers, i als annexos d’aquest document podeu consultar les recomanacions especifiques que heu de considerar si el vostre centre o servei educatiu disposa de sistemes de videovigilància. 7
  • 8. 3) Sempre informeu i demaneu el consentiment Informeu Quan sol·liciteu dades personals, amb independència de quin sigui el procediment de recollida de les dades emprat (formularis electrònics o en paper, telèfon...), sempre heu d’informar prèviament 1 : • de l’existència del fitxer o tractament que recollirà les dades • de la finalitat explícita de la recollida de les dades • de l’obligatorietat o no a subministrar les dades • de l’òrgan responsable d’aquest fitxer • de l’òrgan davant el qual es pot exercir els drets d’accés, rectificació, cancel·lació i oposició • de si hi ha cessió de dades i a qui En tot cas, si les dades es recullen mitjançant qüestionaris o impresos ha de constar-hi de forma clarament llegible la informació relativa al tractament de les dades que es vol portar a terme. La clàusula ha d’estar en un llenguatge senzill i comprensible per a la persona interessada (a la Intranet d’Educació trobareu models orientatius) I demaneu el consentiment Una vegada informat, l’interessat/da podrà o no, donar el seu consentiment. En general: el tractament de dades personals exigeix el consentiment inequívoc de la persona interessada 2 , llevat que la Llei disposi una altra cosa. S’estableixen un conjunt d’excepcions que, particularment, en el cas de les administracions públiques, comporta que la regla general es converteixi en l’excepció. En el cas dels centres i serveis educatius, la disposició addicional 23 de la Llei Orgànica 2/2006, de 3 de maig, d’Educació, es manifesta al respecte exposant que els centres podran recollir les dades personals que siguin necessàries per l’exercici de la seva funció educativa i orientadora. A aquest efecte, no és necessari el consentiment de l’afectat sempre que les dades es recullin per tal de desenvolupar aquestes funcions. Aquesta disposició també es manifesta al respecte de forma que, la incorporació d’un alumne a un centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Si l’ús de les dades no és específicament el de “funció educativa i orientadora” o bé les 1 En el cas dels més grans de catorze anys directament a la persona interessada, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys, als pares o tutors. 2 Es pot procedir al tractament de les dades dels més grans de catorze anys amb el seu consentiment, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys es requereix el consentiment dels pares o tutors. En cap cas es poden sol·licitar dades del menor que permetin obtenir informació sobre els altres membres del grup familiar, o sobre les característiques del mateix grup, com ara les dades relatives a l’activitat professional dels progenitors, informació econòmica, dades sociològiques o qualsevol altres, sense el consentiment dels titulars d’aquestes dades. No obstant això, es poden sol·licitar les dades d’identitat i adreça del pare, mare o tutor amb l’única finalitat d’obtenir l’autorització. 8
  • 9. dades que es demanen no justifiquen aquesta funció cal demanar el consentiment de la persona interessada. El consentiment pot ser: ▪ tàcit, és un consentiment derivat de la falta d’actuació de l’interessat, “del seu silenci” ▪ exprés, és un consentiment que requereix d’una declaració clara i inequívoca de l’interessat, potser de forma escrita, verbal o utilitzar qualsevol altre mitja ▪ Quan les dades personals tractades facin referència a ideologia, afiliació sindical, religió o creences sempre s’haurà de demanar un consentiment “exprés” i “per escrit”. El tipus de consentiment està relacionat amb els nivells de seguretat de les dades: BÀSIC MITJÀ ALT Fitxers que continguin alguns dels següents Fitxers que continguin dades: Fitxers que continguin dades: tipus de dades, quan no constitueixen un perfil: • De perfil bàsic, que permetin obtenir un • Especialment protegits (ideologia, • Identificatius perfil de la persona creences, religió, origen racial, salut, • Característiques personals • Sobre infraccions penals i administratives afiliació sindical o vida sexual ) • Acadèmics i professionals • Recaptats amb finalitats policials • Lloc de treball i carrera administrativa Fitxers que tinguin com a responsables: • Violència de gènere • Informació comercial • Adm. Tributaries i competències • Ecònomic-financera tributaries. Fitxers que tinguin com a responsables: • Transaccions • Entitats financeres i competències • Operadors de serveis de financeres Seguretat Social i comunicacions, explotació de xarxes Fitxers amb finalitat exclusiva per a efectuar competències recaptatòries. públiques. pagaments als seus abonats: • De solvència patrimonial i crèdit • Amb dades especialment protegides ideologia, etc..) Fitxers per deures públics: • Amb dades de minusvalua Així doncs, • Per tractar dades de nivell bàsic i mitja, es considera vàlid el consentiment tàcit. • Si es tracta de dades relatives a la salut, origen racial i vida sexual, el consentiment ha de ser exprés. • Si les dades tractades relatives a ideologia, afiliació sindical, religió o creences és necessari el consentiment exprés i per escrit. No cal consentiment per tractar dades sensibles (salut) quan aquest sigui necessari per salvaguardar l’interès vital de la persona afectada. El consentiment es pot revocar sempre que hi hagi una causa justificada. La revocació no té efectes retroactius. D'altra banda, en aquells supòsits en què per portar a terme un determinat tractament no sigui necessari el consentiment, la persona afectada s'hi pot oposar al tractament. No s’ha de confondre el dret d’informació amb el consentiment de la persona interessada. El consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió. Consentiment per al tractament d’imatges i/o veu en relació a les activitats educatives • En el cas del consentiment pel tractament d’imatges i/o veu, tingueu en compte que: o Amb caràcter general, s’ha de consignar el període de validesa de les autoritzacions: un curs escolar, una etapa, un cicle, mentre estigui al centre educatiu...) o S’ha d’especificar explícitament els mitjans de difusió o entorns on es publicarà aquest material: anuari del centre, pàgina web del centre, intranet del centre, webs 9
  • 10. del Departament d’Educació, publicacions, fires, jornades, exposicions, televisió local...o en entorns de distribució no controlats: YouTube... o Considereu la possibilitat que els consentiments poden ser totals o parcials, per exemple: sí, a publicar fotos en el recinte de centre i no a penjar-ho en pàgina web o en YouTube, etc. En el cas d’activitats de centre organitzades pels serveis educatius on hi participen alumnat, professorat, pares i mares..., l’autorització pel tractament d’imatges ha d’estar recollida en l’autorització del centre ja que aquesta activitat forma part del Pla anual de centre. L’àmbit d’aplicació del model orientatiu d’autorització que proporciona el Departament considera només les activitats educatives del centre educatiu, qualsevol altre tractament requereix d’un nou consentiment concret i explícit. Consentiment per sortides escolars • En el cas de les autoritzacions per sortides escolars: o S’ha de consignar el període de validesa d’aquesta autorització: una sortida en concret, totes les sortides del trimestre, del curs, del cicle... Amb caràcter general la direcció del centre o servei educatiu ha d’implementar un procediment de gestió de les autoritzacions i/o consentiments que atorguen els interessats que permetin una efectiva gestió dels mateixos. 10
  • 11. 4) Sol·liciteu només dades que siguin adequades, pertinents i no excessives amb finalitats concretes i actualitzeu-les Abans de sol·licitar dades, per exemple quan s’ha d’elaborar un formulari que hagi de contenir dades personals, cal fer un judici de proporcionalitat, idoneïtat i necessitat de les dades a recollir per tal que siguin adequades, pertinents i no excessives en relació a la finalitat concreta que es vol aconseguir. No es poden recollir dades que no estiguin directament relacionades amb les funcions educatives i orientadores, degudament expressades en la declaració del fitxer. La finalitat del tractament ha d’estar igualment expressada de forma concisa i concreta. És important assenyalar que conforme a l’article 16.2 de Constitució Espanyola, ningú pot ser obligat a declarar al respecte de la seva ideologia, religió o creences i que d’acord amb la LOPD, si es pretén recollir aquesta informació s’ha d’obtenir prèviament el consentiment i advertir l’interessat del seu dret a no facilitar la informació. Tenen consideració de dades de salut les relatives a la salut passada, present o futura, física o mental, d’una persona. Per tant, les dades de caire psicològic han de ser considerades dades especialment protegides i relatives a la salut de les persones. Les dades que recollim directament de l’interessat es consideren exactes. Les dades que es recullen han d’estar permanentment actualitzades i s’hauran de cancel·lar quan siguin obsoletes o la finalitat que va propiciar la seva recollida s’hagi aconseguit. Per tal de facilitar la tasca d’actualització, es pot atribuir aquesta càrrega al titular de les dades, incorporant el següent redactat a la clàusula informativa del formulari que utilitzi per proporcionar les seves dades: Li preguem que, en el supòsit de produir-se una modificació relativa a les seves dades personals, ens ho comuniqui per tal de mantenir- les degudament actualitzades . 11
  • 12. 5) Cancel·leu les dades quan no siguin necessaries i feu-lo de forma adequada Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancel·lades. Tingueu present que al llarg de tota l’etapa educativa es recullen una gran quantitat i diversitat de dades de caràcter personal que en finalitzar el tractament que va provocar la seva recollida han de ser cancel·lades. L’alumnat i llur família tenen dret a què el seu passat “sigui oblidat” i en tot cas són els únics amb “dret a decidir” a qui fer partícip de les seves situacions familiars, socials o culturals. Tot i que per la tipologia de les dades recollides en molts casos us sembli evident el període de validesa i els terminis de cancel·lació de les dades que recolliu, identifiqueu aquesta informació de forma clara i concisa i feu-la pública: els propietaris de les dades són els principals interessats. Els documents electrònics o en suport paper, que recullin dades relatives a situacions familiars, relacionats amb àmbit de salut, de règim alimentari, de pertinença a grups socials, de perfil professional i qualsevol altre que no conformi l’expedient de l’alumnat, han de ser destruïts, aplicant les mesures de seguretat adients a la sensibilitat de les dades que continguin. Si les dades a destruir es troben en suport paper, utilitzeu destructores de paper o encarregueu la destrucció a empreses del sector que us emetin el corresponent certificat de destrucció. Si les dades es troben en suport electrònic, utilitzeu destructores de suports electrònics o contacteu amb empreses que us emetin el corresponent certificat de destrucció. NO llenceu mai documents en suport paper que continguin dades de caràcter personal als contenidors de reciclatge de paper sense destruir-los prèviament (si cal, trenqueu-los a mà). NO llenceu mai suports electrònics que continguin o hagin pogut contenir dades de caràcter personal -per malmesos que estiguin- als contenidors de reciclatge sense destruir-los prèviament (si cal, trenqueu-los o ratlleu-los a ma). En tot cas, establiu internament els procediments de gestió, trasllat i destrucció dels suports que continguin dades de caràcter personal i feu-lo extensiu a tot el personal del vostre centre o servei educatiu. 12
  • 13. 6) Faciliteu l’exercici de drets “arco” als titulars de les dades S’ha de facilitar a la persona titular de les dades o al seu representant legal el dret a Accedir, Rectificar, Cancel·lar i Oposar-se al tractament de les seves dades personals. Heu d’informar- los al respecte de com exercir-los i facilitar-los impresos per a que puguin fer-ho. És important assenyalar que són drets independents. En tots el casos la prestació d’aquest servei és gratuïta i s’ha de remetre als terminis establerts per normativa. RECTIFICACIÓ I Dret exercit ACCÉS OPOSICIÓ CANCEL·LACIÓ Descripció del dret Dret de l’afectat a obtenir informació Dret de Rectificació: dret de l’afectat Dret de l’afectat a què no es porti a terme el sobre si les seves dades personals a què es modifiquin les dades que tractament de les seves dades de caràcter són objecte de tractament, la siguin inexactes o incompletes. persona o se cessi en el tractament quan finalitat del tractament i la concorrin els supòsits establerts al RLOPD. informació disponibles sobre l’origen Dret de Cancel·lació: dret de de les dades i les comunicacions l’afectat a què se suprimeixin les realitzades. dades que resultin ser inadequades o excessives Procediment Sol·licitud formulada per l’afectat o per representant acreditat, que ha de complir els següents requisits: • Nom i cognoms de l’interessat • Fotocòpia de document vàlid en dret que identifiqui a l’afectat (DNI, passaport, etc.) o, en el seu cas, de la persona que el representi, o instruments electrònics equivalents. • Petició concreta de la sol·licitud d’exercici del dret • Adreça a efectes de notificacions • Data i signatura del sol·licitant • En el seu cas, documentació acreditativa de la petició que es formula Termini contestació 1 mes natural a comptar des de la 10 dies hàbils a comptar des de la 10 dies hàbils a comptar des de la recepció de recepció de la sol·licitud recepció de la sol·licitud la sol·licitud Estimació petició Resolució expressa per part del Resolució expressa per part del Resolució expressa per part del centre/servei centre/servei educatiu comunicant a centre/servei educatiu comunicant a educatiu comunicant a l’afectat que s’ha l’afectat les dades disponibles, l’afectat que s’ha dut a terme la procedit a fer efectiu el seu dret d’oposició. l’origen de les mateixes, la finalitat rectificació o cancel·lació d eles del tractament i els cessionaris dades concretes citades per l’afectat. Desestimació petició Casos de desestimació: Casos de desestimació: Casos de desestimació: • Quan manqui algun dels • Quan manqui algun dels • Quan manqui algun dels requisits formals requisits formals del requisits formals del del procediment procediment procediment • Quan existeixi un supòsit de denegació • Quan l’afectat ja hagi exercit • Quan existeixi un supòsit de previst en una llei aquest dret en els 12 mesos denegació previst en una llei anterior a la sol·licitud si no • Quan les dades hagin de ser s’acredita un interès legítim conservades durant els • Quan existeixi un supòsit de terminis previstos a les lleis denegació previst en una llei aplicables, o en les relacions contractuals pertinents. Casos No es poden facilitar dades per telèfon • El dret d’accés a la informació és un dret personalíssim, i només pot ser exercit pel titular d’aquestes dades o el seu representant legal. • Per telèfon no es pot comprovar que la persona que està parlant i sol·licitant la informació és el titular d’aquestes dades. Només es pot demanar informació a través d’una sol·licitud. Només es pot cancel·lar/rectificar/oposar_se a un tractament a través d’una sol·licitud. El Departament d’Educació posa a disposició dels centres i serveis educatius el document Procediment per a l’exercici de drets i a la Intranet d’Educació trobareu els models orientatius de sol·licitud i de resposta. Adapteu el procediment al vostre àmbit d’actuació. 13
  • 14. 7) No cediu dades sense estar autoritzats Cessió: qualsevol comunicació de dades realitzada per una persona diferent al propietari de les dades. Aquest és un concepte ampli que abasta comunicacions, publicacions, consultes, interconnexions i transferències que facilitin l’accés, el tractament de les dades a un tercer diferent del propi interessat i la difusió. Només es podran cedir dades si de forma concurrent: • s’ha obtingut prèviament el consentiment de l’interessat • la cessió està directament relacionada amb les funcions de cedent i cessionari. No és necessari el consentiment previ de l’interessat quan la cessió està autoritzada en una Llei. En aquest sentit, la disposició addicional 23 de la Llei Orgànica 2/2006, de 3 de maig, d’Educació, també es manifesta al respecte de forma que, la incorporació d’un alumne a un centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Els serveis educatius poden compartir dades amb altres administracions i entitats públiques que col·laborin en les necessitats de suport a l’alumnat i que tinguin competències en matèria de protecció de menors, serveis socials, protecció de la salut i vigilància de l’escolarització obligatòria tal i com queda recollit en el fitxer Serveis educatius del l’Ordre d’actualització dels fitxers que contenen dades de caràcter personal gestionats pel Departament d’Educació. Publicitat de dades personals ▪ Internet , Intranet o Extranet Cal tenir en compte que Internet o les pàgines web/seus electròniques de les institucions públiques no tenen, per sí mateixes, la consideració de fonts accessibles al públic. La difusió de dades de caràcter personal a través d’Internet, ha de ser considerada com una cessió de dades a una pluralitat indeterminada de destinataris. En aquest sentit només és pertinent quan es realitza en el marc de les funcions que cada ens té atribuïdes i es compta amb el consentiment de l’afectat, o bé ho autoritza una norma amb rang de Llei. En general, les pàgines web de centres i serveis educatius accessibles a una pluralitat no determinada de destinataris no han de contenir informació que contingui dades de caràcter personal, si no es compta amb l’autorització expressa i explícita de l’interessat. Les intranets de centres i serveis educatius presenten la mateixa necessitat quant a consentiment de l’interessat i en tot cas han d’emprar sistemes d’identificació que permetin verificar la legitimació de la persona que pretengui accedir a les dades de caràcter personal d’acord amb el seu interès legítim. Recordeu que el consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió. Una cessió de dades és un nou tractament que requerirà l'obtenció d'un consentiment específic per dur-la a terme. En cas contrari, el consentiment és nul. 14
  • 15. Pel que fa a la publicació de dades a través de pàgines web, l’Agència Catalana de Protecció de Dades ha elaborat una recomanació al respecte. El centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació: Recomanació 1/2008 sobre la difusió d'informació que contingui dades de caràcter personal a través d'Internet. • Taulells d’anuncis tradicionals o electrònics i de forma verbal Norma general: No donar publicar llistats que continguin dades personals si no s’ha obtingut el consentiment previ de l’interessat o bé hi ha una norma legal (Llei) que us habilita, per exemple: a) Llistes que continguin dades personals de l’alumnat, professorat, personal col·laborador, etc..., com.: Llistes amb el resultat de proves, avaluacions, etc... Llistes de persones que rebin subvencions, beques o altres tipus d’ajuts. Llistes d’alumnes que necessiten d’un règim alimentari específic Llistes d’alumnes que requereixen atenció especial Etc... b) Procés de preinscripció: No es poden publicar les llistes de les diferents fases del procés en ubicacions (físiques o electròniques) que permetin l’accés d’una pluralitat indeterminada de destinataris: No es poden disposar les llistes accessibles des del carrer per facilitar la consulta quan el centre està tancat. No es poden disposar directament en la pàgina web del centre sense mesures d’identificació prèvia que permeti acreditar la legitimitat necessària. Com a norma general, poden distingir dos tipus de procediments pel que fa a la publicitat i accés: • de concurrència competitiva: els interessats en el procediment competeixen entre sí per assolir un mateix fi, en general, són procediments administratius: preinscripció, concurs de trasllats, concurs de catedràtics, etc... . • sense concurrència competitiva: tot i que la finalitat a aconseguir sigui la mateixa, no hi ha competició, en general només cal acreditar positivament el criteris de valoració establerts: proves de nivell, exàmens, ajuts, subvencions, títols, certificacions,etc.... En el primer cas, només aquells que tinguin un interès legítim en el procediment poden accedir a les valoracions de la resta de participants, el consentiment es troba implícit en la seva participació i prevista a Llei 30/1992. L’accés i publicitat de les llistes ha d’estar restringida únicament als participants. Les dades incloses en les llistes han de ser les estrictament necessàries per complir amb la seva finalitat. En el segon cas, l’afectat és l’únic que té un interès legítim en els resultats que ha obtingut. No hi ha confecció de llistes per ser accedida per altres afectats, i tot i obtenir el consentiment per a fer-ho, l’accés sempre ha de ser restringit a l’afectat. Cessions de dades • Cessions de dades a cossos de seguretat: Es poden facilitar quan la sol·licitud sigui concreta i especifica (mai sol·licituds massives de dades), i: 15
  • 16. a) Quedi degudament acreditat que l’obtenció de dades resulta necessària per a la prevenció d’un perill real i greu per a la seguretat pública o per a la repressió d’infraccions penals. b) Que la petició s’efectuï amb la deguda motivació, que acrediti la seva relació amb els supòsits exposats, deixant constància de la petició. La petició s’ha d’efectuar a través d’un suport documental que deixi constància. Es considera admissible l’expedició d’una ordre o un ofici elaborat per la pròpia Policia al càrrec de les actuacions. c) En casos de desprotecció social dels menors. Aquesta cessió pot produir-se per requeriment de la policia local als centres educatius o per pròpia iniciativa en detectar situacions de risc. • Cessió de dades a les AMPA: No podeu facilitar a l’AMPA les dades personals dels alumnes sense el consentiment dels pares, mares o tutors i tutores legals, es necessari el consentiment dels pares o tutors legals per a què pugueu cedir les dades, ja que aquesta cessió no es troba recollida en cap de les excepcions de la normativa vigent en matèria de protecció de dades. L’AMPA és una associació de que ha de declarar els seus propis fitxers i tractaments. El Reial Decret 202/1987, regula les Associacions de Pares i Mares dels Alumnes, estableix en el seu article 5 el procediment d’admissió dels associats i assenyala que serà en tot cas voluntària prèvia sol·licitud d’inscripció. Als associats no se’ls pot exigir més requisits que ser pare, mare o tutor legal de l’alumne matriculat al centre educatiu, abonar si és el cas les corresponents quotes, i acceptar expressament els corresponent estatuts. Es pot efectuar la sol·licitud d’adhesió a l’AMPA aprofitant el procés de matrícula, advertint del caràcter voluntari de la mateixa : per exemple, podeu afegir una casella a marcar, en els següents termes: Sol·licito voluntàriament l’adhesió a l’AMPA i autoritzo la cessió de les dades (identificatives, de contacte, bancàries,....) a l’AMPA amb la finalitat de (finalitat declarada per l’AMPA) La gestió del menjador és un cas excepcional, emparat per la signatura d’un conveni entre l’AMPA i el Departament. 16
  • 17. 8) Doneu compliment al deure de secret El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable. El seu incompliment és motiu d’aplicació de regim disciplinari. El Departament d’Educació ha establert les Funcions i obligacions del personal que té accés a dades de caràcter personal. És un document d’obligat coneixement i compliment per a tots els que intervenen en el tractament de dades de caràcter personal. Feu-lo extensiu a totes el personal i en tot cas, adapteu-lo al vostre centre o servei educatiu. Consciencieu i responsabilitzeu a tots aquells que de forma regular o incidental tinguin accés a dades personals. Cal dir que el personal funcionari ja s’hi troba obligat en virtut de la vigent normativa de funció pública i el personal contractat en règim laboral en virtut del Conveni col·lectiu del personal laboral de la Generalitat. En l’annex, us proposem diversos models de clàusules a incloure en contractes o a fer signar per aquells que tinguin contacte amb les dades personals del vostre àmbit de responsabilitat, com ara personal amb pràctiques, col·laboradors, monitors... 17
  • 18. 9) Cas que contracteu serveis a empreses, elaboreu i reviseu els contractes Amb caràcter general el centres i serveis educatius podeu contractar serveis de forma autònoma. Reviseu les clàusules contractuals i assegureu-vos que s’inclouen les obligacions de confidencialitat i seguretat de la informació a la que es pot tenir accés amb motiu de la prestació del servei. Serveis com la neteja, contractació de monitors, transport, càtering, activitats extraescolars, excursions, intercanvis...comporten l’accés regular o incidental i el tractament de dades personals que han d’estar degudament assegurades. S’entén per servei sense accés a dades personals, aquell que no implica directament aquest tractament, tot i que de manera accessòria o circumstancial es pugui donar, com per exemple, els serveis de neteja o manteniment d’instal·lacions. Altrament, un servei és d’accés a dades personals si la prestació d’aquest servei implica necessariament el seu tractament, per exemple un servei de transport escolar, un servei de menjador...En aquest darrer cas, la llei no considera que es produeixi una cessió de dades, el proveïdor esdevé segons la llei, encarregat del tractament, i està obligat a garantir la seguretat de les dades i dels tractaments d’acord amb les indicacions del responsable del fitxer, obligació que ha de quedar degudament formalitzada a través d’un contracte o conveni. Pel que fa a la contractació de serveis, l’Agència Catalana de Protecció de Dades ha elaborat una recomanació al respecte la Recomanació 1/2010 de l’Agència Catalana de Protecció de Dades, sobre l’encarregat del tractament en la prestació de serveis per compte d’entitats del sector públic de Catalunya. El centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació. L’objecte d’aquesta Recomanació és recollir, de forma sistematitzada, els criteris a tenir en compte des del punt de vista de la protecció de dades, en el moment d’externalitzar serveis que comportin el tractament de dades de caràcter personal que siguin responsabilitat de l’entitat adjudicadora del contracte. També s’ofereixen models de clàusules que recullen les obligacions i previsions convenients per tal de garantir la protecció de dades en la contractació o establiment d’acords amb terceres entitats. Es tracta, en qualsevol cas, de models orientatius que cal adequar a les peculiaritats de cada encàrrec. 18
  • 19. 10) Adopteu mesures de seguretat Adopteu mesures de seguretat que garanteixin la seguretat de les dades de caràcter personal que tracteu i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat. En aquest sentit el RD 1720/2007 (RLOPD), estableix les mesures de seguretat que han de complir tant els fitxers automatitzats com els manuals i determina tres nivells incrementals de seguretat: bàsic, mitja i alt, tal i com s’enunciava a es consideracions d’aquest document. Gestió d’identificadors i contrasenyes: • No compartiu identificadors i contrasenyes. • No anoteu les contrasenyes en papers, ni els deixeu al voltant dels equipaments. • Es aconsellable que les contrasenyes tinguin un mínim de 8 caràcters, que continguin lletres, números, majúscules, minúscules i símbols. • Les contrasenyes s’han de canviar de forma periòdica (al menys un cop l’any....). • Elaboreu un procediment de gestió d’usuaris. Accés i tractament de dades: • Únicament el personal autoritzat ha de tenir accés a les dades personals que requereixi, d’acord amb el seu perfil. • Les dades personals han d’estar fora de l’accés de persones no autoritzades. A tenir en compte: o les pantalles d’ordinador han d’estar orientades convenientment per tal que el personal no autoritzat no tingui accés visual o no deixar documents que continguin dades de caràcter personal en fotocopiadores, impressores, faxos i tanmateix a sobre la taula.... • S’ha de limitar explícitament l’accés als expedients dels alumnes. Correu electrònic: • Separeu les adreces de correu d’àmbit professional de les d’àmbit personal. • Tingueu cura amb la publicació de la adreça de correu en pàgines web, cadenes de correu electrònic i revelació a persones desconegudes. Us recomanem que utilitzeu una segona adreça d’ús personal per registrar-vos en pàgines web i per enviar/rebre correus no professionals. • No seguiu les cadenes de correu electrònic, són mitjans per recaptar adreces i fer-les servir per fer SPAM. • No faciliteu mai la contrasenya o pin per correu electrònic, no els introduïu a llocs web als quals s’hagi arribat a través d’un enllaç (cap entitat els demanarà d’aquesta forma). • Convé evitar el correu electrònic com a mitjà per a transmetre dades de caràcter personal d’alumnat, per exemple.. Si necessiteu utilitzar aquest mitjà, sempre que sigui possible, empreu inicials, un número de cas o d’expedient. Manteniment de dispositius: • Utilitzeu sistemes antivirus o antispam actualitzats. • Actualitzeu els sistemes i programes informàtics regularment. Els programes que no s’actualitzen són vulnerables a virus, intrusions,etc.... • Configureu els dispositius sense fils (bluetooh, wi-fi...) de manera segura per evitar l’accés de terceres persones. • Feu còpies de seguretat. 19
  • 20. Custòdia i trasllat de documents (electrònics o en suport paper): • Els expedients que contenen dades personals han de romandre tancats en armaris amb clau quan no s’estigui treballant en ells o bé en habitacions que tinguin tancament (en qualsevol cas, recordeu no deixar les claus al pany per facilitar un ràpid accés, aquesta acció invalidaria la mesura). • Eviteu que els armaris o arxivadors que contenen dades de caràcter personal estiguin situats en àrees de fàcil accés o no vigilades. • Si porteu fora del centre de treball dades de caràcter personal en qualsevol suport i format, apliqueu mesures de seguretat per evitar l’accés o la manipulació per terceres persones. Recordeu que: o els documents en suport paper es poden perdre, fotocopiar, fotografiar, filmar... o els dispositius portàtils es poden perdre, copiar o reproduir... • Utilitzeu sistemes de xifrat en documents electrònics i dispositius portàtils. Destrucció de documents i suports: • Utilitzeu destructores de paper, CD, DVD,... o serveis de proveïdors amb certificat de destrucció. • Esborreu totes les dades dels discs de l’ordinador desmagnetitzant-los amb un imant, per exemple. • Apliqueu mesures de seguretat adients per evitar que terceres persones puguin recuperar o utilitzar dades d’aquests dispositius o suports. • Vigileu amb el reciclatge d’ordinadors, portàtils, PDA’s, USB... Documenteu les mesures organitzatives i tècniques adoptades i els procediments establerts a l’efecte, feu-los extensius i d’obligat compliment a tot el personal que tingui accés a dades personals. Aquest pot ser un inici del vostre Document de seguretat. 20
  • 21. Protecció de dades de caràcter personal per a centres i serveis educatius Annexos 21
  • 22. ANNEX 1: Figures clau LOPD Les figures clau que s’identifiquen en l’àmbit de la protecció de dades són: • Responsable del fitxer o del tractament: és qui decideix sobre la finalitat, el contingut i l’ús del tractament, encara que no les realitzi materialment. • Encarregat del tractament: tracta dades personals per compte del responsable del fitxer, en general a través d’una relació establerta en la prestació d’un servei. • Responsable de seguretat: persona designada pel responsable del fitxer per tal de controlar i coordinar les mesures de seguretat aplicades. • Interessat o afectat: persona física titular de les dades que siguin objecte del tractament. • Autoritats de control: són els ens de dret públic, amb personalitat jurídica pròpia i plena capacitat pública i privada, que actuen amb plena independència de les administracions públiques en l’exercici de les seves funcions. Les funcions principals de les autoritats de control són: • Registrar els fitxers que contenen dades de caràcter personal. • Vetllar pel compliment de la legislació sobre protecció de dades • Controlar-ne l’aplicació. • Inspeccionar els fitxers a què fa referència la Llei i recollir tota la informació que requereixin per al compliment de les seves comeses. • Informar i atendre reclamacions i peticions dels afectats • Sancionar i realitzar auditories d’ofici Tenen consideració d’autoritats de control, els òrgans corresponents de cada comunitat autònoma. L’àmbit de competència d’aquestes és el relatiu als fitxers de dades de caràcter personal creats o gestionats per les comunitats autònomes i per l’Administració local del seu àmbit territorial. En aquest sentit, l’autoritat de control competent en l’àmbit de centres i serveis educatius és l’Agència Catalana de Protecció de Dades. 22
  • 23. ANNEX 2:Conceptes LOPD Afectat o interessat Persona física titular de les dades que siguin objecte del tractament Cessió o comunicació de dades Tota revelació de dades realitzada a una persona diferent de l'interessat. Tota manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual Consentiment de l'interessat l'interessat consenteix el tractament de les dades personals que li concerneixen. Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus Dada de caràcter personal relativa a persones físiques identificades o identificables Persona física o jurídica, pública o privada, o òrgan administratiu que, sol o conjuntament amb d’altres, tracti dades personals per compte del responsable del fitxer, com a conseqüència de Encarregat del tractament l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit d’actuació per a la prestació del servei. Tot conjunt organitzat de dades de caràcter personal que possibiliti l’accés a dades de conformitat Fitxer amb criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés. Qualsevol operació o procediment tècnic de caràcter automatitzat o no, que permeti la recollida, l’enregistrament, la conservació, l’elaboració, la modificació, la consulta, la utilització, la modificació, la Tractament de dades cancel·lació, el bloqueig o la supressió de dades, així com les cessions que resultin de comunicacions, consultes, interconnexions i transferències Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o conjuntament amb d’altres decideixi sobre la finalitat, el contingut i l’ús del tractament, encara que no Responsable del fitxer o tractament les realitzi materialment. Poden ser també responsables ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats. Els responsables dels tractaments o dels fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa, amb independència de quin sigui el seu sistema de tractament. ( article 79 del RDLOPD ) ANNEX 3: Conceptes relatius a mesures de seguretat Accessos a dades de caràcter personal autoritzats a un usuari per a la utilització dels diversos recursos. Si s’escau, Accessos autoritzats han d’incloure les autoritzacions o funcions que tingui atribuïdes un usuari per delegació del responsable del fitxer o tractament o del responsable de seguretat. Autentificació Procediment de comprovació de la identitat d’un usuari Informació confidencial, freqüentment constituïda per una cadena de caràcters, que pot ser usada en l’autenticació Contrasenya d’un usuari o en l’accés a un recurs. Control d’accés Mecanisme que, en funció de la identificació, un cop ja autenticada, permet accedir a dades o recursos. Còpia de seguretat Còpia de les dades d’un fitxer automatitzat en un suport que en possibiliti la recuperació. Fitxers de treball creats per usuaris o processos que siguin necessaris per a un tractament ocasional o com a pas Fitxers temporals intermedi durant la realització d’un tractament Identificació Procediment de reconeixement de la identitat d’un usuari. Incidència Qualsevol anomalia que afecti o pogués afectar la seguretat de les dades. Recurs Qualsevol part component d’un sistema d’informació. Persona o persones a les quals el responsable del fitxer ha assignat fonamentalment la funció de coordinar i Responsable de seguretat controlar les mesures de seguretat aplicables. Conjunt de fitxers, programes, suports i equips emprats per a l’emmagatzemament i tractament de dades de Sistema d’informació caràcter personal. Objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema Suport d’informació i sobre el qual es poden gravar o recuperar dades. Subjecte o procés autoritzat per accedir a dades o recursos. Tindran la consideració d’usuaris els processos que Usuari permetin accedir a dades o recursos sense identificació d’un usuari físic. Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. ( article 80 del RLOPD) 23
  • 24. ANNEX 4: Marc normatiu Unió Europea • Carta del drets fonamentals de la Unió Europea (arts. 7 i 8) • Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circul.lació d'aquestes dades. Consell d’Europa • Convenció per a la salvaguarda dels drets humans i de les llibertats fonamentals Normativa espanyola • Constitució espanyola (arts. 10, 14, 16, 18, 20, 53 i 105) • Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (BOE núm. 298, de 14.12.1999) • Reial decret 1720/2007, de 21 de desembre, de protecció de dades de caràcter personal (BOE núm. 17, de 19.01.2008) Disposicions adoptades per l’Agència Catalana de Protecció de Dades • Llei 5/2002 de l’Agència Catalana de Protecció de Dades • Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància. • Recomanació 1/2008 sobre la difusió d'informació que contingui dades de caràcter personal a través d'Internet. • Recomanació 1/2010 sobre l'encarregat del tractament en la prestació de serveis per compte d'entitats del sector públic de Catalunya. 24
  • 25. ANNEX 5: Resum de Mesures de seguretat Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa vigent, amb independència de quin sigui el seu sistema de tractament. Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic. El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació. El document ha de contenir, com a mínim, els aspectes següents: a) Àmbit d’aplicació del document amb especificació detallada dels recursos protegits. b) Mesures, normes, procediments d’actuació, regles i estàndards encaminats a garantir el nivell de seguretat exigit en aquest Reglament. c) Funcions i obligacions del personal en relació amb el tractament de les dades de caràcter personal incloses en els fitxers. d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes d’informació que els tracten. e) Procediment de notificació, gestió i resposta davant les incidències. f) Els procediments de realització de còpies de seguretat i de recuperació de les dades en els fitxers o tractaments automatitzats. g) Les mesures que sigui necessari adoptar per al transport de suports i documents, així com per a la destrucció dels documents i suports o, si s’escau, la reutilització d’aquests últims. En cas que siguin aplicables als fitxers les mesures de seguretat de nivell mitjà o les mesures de seguretat de nivell alt, el document de seguretat ha de contenir a més: a) La identificació del responsable o responsables de seguretat. b) Els controls periòdics que s’han de realitzar per verificar el compliment del que disposa el document. Quan hi hagi un tractament de dades per compte de tercers, el document de seguretat ha de contenir la identificació dels fitxers o tractaments que es tractin en concepte d’encarregat amb referència expressa al contracte o document que reguli les condicions de l’encàrrec, així com la identificació del responsable i del període de vigència de l’encàrrec. En els casos en què dades personals d’un fitxer o tractament s’incorporin i es tractin de manera exclusiva en els sistemes de l’encarregat, el responsable ho ha d’anotar en el seu document de seguretat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte pel que fa a les dades incloses en recursos propis. El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis rellevants en el sistema d’informació, en el sistema de tractament que es fa servir, en la seva organització, en el contingut de la informació inclosa en els fitxers o tractaments o, si s’escau, com a conseqüència dels controls periòdics realitzats. En tot cas, s’entén que un canvi és rellevant quan pot repercutir en el compliment de les mesures de seguretat implantades. El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de les dades de caràcter personal. 25
  • 26. 26
  • 27. ANNEX 6: Models de clàusules informatives En tot cas són models orientatius que s’han de concretar i adequar a cada cas particular. • Model de clàusula informativa, per tractaments que no contenen dades sensibles (consentiment tàcit): D’acord amb l’article e de la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a ( adreça del centre/servei educatiu ) • Model de clàusula informativa, per tractaments que contenen dades sensibles (consentiment exprés): D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer), i autoritza expressament al responsable del fitxer el tractament de les dades amb la finalitat indicada. Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a ( adreça del centre/servei educatiu ). • Model de clàusula informativa, per tractaments que no contenen dades sensibles, amb cessió (consentiment tàcit): D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable (òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer). Us informen que les vostres es cediran a (entitats determinades a la declaració del fitxer) amb la finalitat de (finalitat de la cessió). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a (adreça del centre/servei educatiu ) 27
  • 28. ANNEX 7: Model de clàusula de confidencialitat • Model per a personal col·laborador del Departament d’Educació Model de clàusula de confidencialitat que podeu adaptar i fer signar a les persones que puguin tenir un accés a dades personals, com per exemple becaris, personal en pràctiques o col·laboradors temporals, monitors, etc....... El Sr./la Sra. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, partint de la relació contractual/laboral/............ que, de forma [continuada / temporal], manté amb el Departament d’Educació/ centre o servei educatiu/........... , d’acord amb la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD, es compromet a establir, complir i respectar les següents obligacions, respecte del tractament i gestió de les dades de caràcter personal a les quals tingui accés pel desenvolupament de la seva feina: 1. Mantenir absoluta confidencialitat, reserva i estricte secret professional respecte de la informació i/o dades de caràcter personal, responsabilitat l’Administració de la Generalitat de Catalunya, mitjançant el Departament d’Educació, que pugui conèixer en ocasió del compliment dels serveis prestats, i no divulgar-la, ni publicar, difondre o posar a disposició de tercers, bé directament o indirectament, sense el consentiment previ per escrit del Departament d’Educació, ni tan sols per la seva conservació. 2. Donar compliment a les mesures de seguretat i privacitat establertes pel Departament d’Educació i en especial del document Funcions i obligacions del personal respecte de la seva informació i les dades de caràcter personal. Observar i adoptar totes les mesures de seguretat que siguin necessàries per assegurar la confidencialitat, secret, disponibilitat i integritat de les dades de caràcter personal a les quals tingui accés, així com a observar i implementar en un futur les mesures de seguretat que siguin exigides per les lleis i els reglaments destinats a preservar el secret, la confidencialitat i la integritat en el tractament automatitzat o manual de la informació confidencial. 3. En el supòsit que, per qualsevol motiu relacionat amb el lloc de treball, entri en possessió d’informació confidencial, independentment del tipus de suport en què estigui, s’entén que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això atorgui cap dret de possessió o titularitat o còpia sobre la referida informació. Així mateix, s’hauran de retornar tots els suports o materials al Departament d’Educació/ centre o servei educatiu/..........., o destruir-los, immediatament després de la finalització de les tasques que n’han originat l’ús temporal, i en qualsevol cas, en el moment de finalització del projecte o de la relació laboral. 4. Aquesta obligació subsistirà fins i tot després de finalitzar la seva relació amb el Departament d’Educació/ centre o servei educatiu/............ ............., a .........de ......... de 20............ Signat.............. 28
  • 29. ANNEX 8: Models de clàusules per a prestadors de serveis • Model de clàusula per als prestadors de serveis sense accés a dades personals: Es consideren serveis sense accés a dades aquells que implícitament no comporten tractament de dades de caràcter personal. L’accés a dades personals és accidental, com ara serveis de neteja, serveis de manteniment d’instal·lacions, etc... PROVEÏDOR manifesta haver estat degudament informat per part del .................................................... sobre la prohibició expressa d’accedir, visualitzar, copiar, gravar, alterar, comunicar i/o realitzar qualsevol acte que posi en perill o vulneri la confidencialitat i seguretat de les dades de caràcter personal de les que és responsable .................................................., a les quals PROVEÏDOR hagués accedit de forma involuntària o accidental amb motiu de l’execució del contracte de prestació de serveis formalitzat entre ambdues parts. Aquesta prohibició és extensible a la totalitat de les dades de caràcter personal responsabilitat de .........................................................................., amb independència del tipus de canal o suport amb que siguin tractades, essent responsable PROVEÏDOR de l’incompliment de tal prohibició per part dels seus treballadors. El deure de secret i confidencialitat subsistirà amb posterioritat a l’extinció del contracte. ............., a .........de ......... de 200... Signat.............. • Model de clàusula per als prestadors de serveis amb accés a dades personals: Es consideren serveis amb accés a dades aquells que implícitament comporten tractament de dades de caràcter personal, com ara contractació de serveis de monitors, serveis de transport, etc.... En tot cas el model és orientatiu i ha de concretar els aspectes relatius al tractament concret i fer referència explícita a les mesures de seguretat que cal observar. PROVEÏDOR accepta, mitjançant la seva signatura, el present compromís de confidencialitat i tractament de dades personals, subjecte als següents extrems: PROVEÏDOR mantindrà la més estricta reserva i confidencialitat sobre les dades personals contingudes en la documentació de la qual és responsable el.............................................................., i sobre les dades a les quals accedeixi amb motiu dels serveis prestats consistents en ******. En aquest sentit, PROVEÏDOR complirà adequadament i en tot moment les disposicions contingudes en la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (en endavant LOPD), així com en el Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD (en endavant RLOPD), i en qualsevol altra norma vigent o que en el futur pugui promulgar-se sobre aquesta matèria. En virtut del que disposa l’article 12 LOPD i els articles 20 a 22 i 82 del RLOPD, PROVEÏDOR serà considerat, amb caràcter general, com a encarregat del tractament de les dades de caràcter personal a les quals tingui accés per a la prestació dels seus serveis a l’Administració Pública de la Generalitat de Catalunya. En conseqüència, la transmissió de dades de caràcter personal que realitzi l’Administració Pública de la Generalitat de Catalunya en favor de PROVEÏDOR no tindrà, en cap cas, la consideració de comunicació de dades de caràcter personal, en els termes previstos en l’article 11 LOPD. El tractament de dades per part de PROVEÏDOR en qualitat d’encarregat del tractament, es produirà durant el període de prestació del servei contractat i aquestes dades únicament seran utilitzades per a les finalitats estrictament necessàries per a la prestació del servei esmentat. PROVEÏDOR únicament tractarà aquestes dades d’acord amb les instruccions del ........................................., no aplicarà o utilitzarà les dades amb una finalitat diferent a la que figuri en el present compromís, ni per a finalitats diferents a les necessàries per a la prestació del servei contractat; ni les comunicarà, ni tan sols per a la seva conservació, a altres persones sense la corresponent autorització. Les obligacions de confidencialitat establertes en el present compromís tindran una durada indefinida, i es mantindran en vigor amb posterioritat a la finalització de la relació entre el .................................... i PROVEÏDOR. Una vegada complerta la prestació de serveis, PROVEÏDOR haurà de retornar al ............................................. les dades de caràcter personal, així com qualsevol suport o document que incorpori dades personals fruit de la relació formalitzada entre ambdues parts. La devolució de les dades de caràcter personal per part de PROVEÏDOR es portarà a terme, si s’escau, en el format i en els suports utilitzats en aquest moment per PROVEÏDOR per emmagatzemar aquestes dades. D’igual manera, PROVEÏDOR es compromet, amb posterioritat a l’extinció de la relació contractual mantinguda amb el ..............................................................., a no conservar cap còpia de la informació. PROVEÏDOR no podrà subcontractar amb un tercer la realització de cap tractament que li hagués encomanat el ........................................................, llevat dels supòsits autoritzats per aquest de forma expressa. En aquests casos, la contractació s’efectuarà en nom i per compte del ........................................................ PROVEÏDOR manifesta que té implementades les mesures d’índole tècnica i organitzativa necessàries que garanteixen la seguretat de les dades de caràcter personal, i n’eviten l’alteració, pèrdua, tractament i/o accés no autoritzat, tenint en compte la naturalesa de les dades que tracta, que són de nivell ****** de seguretat, i els riscos als quals aquestes dades puguin estar exposades, tot això de conformitat amb el que disposa el RLOPD. En compliment del segon paràgraf de l’article 12.2 de la LOPD i atesa la naturalesa de les dades de caràcter personal que són objecte de tractament, PROVEÏDOR com a encarregat del tractament, aplicarà les mesures de seguretat que corresponguin: 1) En l’accés a tot tipus de fitxer amb dades de caràcter personal cal aplicar les mesures descrites de l’article 89 al 94 del RLOPD per tractaments automatitzats i de l’article 105 al 108 del RLOPD per a tractaments no automatitzats. 2) En l’accés a fitxers amb un nivell de seguretat mitjà cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus de fitxer i a més les mesures descrites de l’article 95 al 100 del RLOPD per tractaments automatitzats i de l’article 109 al 110 per a tractaments no automatitzats. 3) En l’accés a fitxers amb un nivell de seguretat alt cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus de fitxer, les descrites al punt 2 per a l’accés a fitxers de nivell mitjà i les mesures descrites de l’article 101 al 104 del RLOPD per tractaments automatitzats i de l’article 111 al 114 per a tractaments no automatitzats. PROVEÏDOR informarà al seu personal de les obligacions establertes en el present compromís sobre confidencialitat i realitzarà els advertiments i subscriurà els documents que siguin necessaris amb el seu personal, si en tenen, amb la finalitat d’assegurar el compliment d’aquestes obligacions. ...................., ............de.............de................ Signat: ................... 29
  • 30. ANNEX 9: Videovigilància en centres i serveis educatius La protecció de dades, com qualsevol altre dret fonamental, no és absolut, és a dir està subjecte a límits, com per exemple, la seguretat pública o els drets de tercers. Però aquests límits han de reunir certes garanties per evitar que el dret desaparegui enfront dels altres drets i interessos en joc. Es especialment en aquest àmbit (tractament d’imatges/veu) on es poden veure afectats altres drets com la llibertat d’expressió, la llibertat de circulació, el dret a la no discriminació i especialment en l’àmbit educatiu el principi d’interès superior de l’Infant, que no pretén més que reforçar el dret dels infants al lliure desenvolupament de la seva personalitat . Els dubtes d’aplicació plantejats tant pels ciutadans com pels mateixos responsables del tractament per a donar compliment a les obligacions que actualment existeixen en aquest àmbit van donar com resultat la Instrucció 1/2009 de l’APDCat sobre el tractament de dades personals mitjançant sistemes de videovigilància. La Instrucció 1/2009, dona elements de judici als responsables, a l’hora de prendre la decisió sobre la implantació d’aquests sistemes. Amb aquest objectiu s’ha de destacar la previsió que fa la Instrucció d’elaborar una memòria amb caràcter previ a l’aprovació del fitxer, com a eina per fer una anàlisi completa i sistemàtica de les característiques del tractament que es vol dur a terme i de les circumstàncies concurrents, que compleixi no només una funció formal de motivació de la mesura sinó que permeti una avaluació acurada amb caràcter previ a la presa de la decisió, com una garantia per a la ciutadania i alhora com a una garantia de l’encert de la mesura per a la consecució de l’interès públic. Com podeu comprovar l’ordre de declaració no ha inclòs la declaració d’aquest fitxer per al cas de centres i serveis educatius. La disposició de creació requeria per la seva tramitació la presentació les memòries que justifiquen les instal·lacions dels sistemes de captació d’imatge i/o veu. Com sigui que el Departament no disposa d’aquesta informació, elaborarà un procediment que permetrà legalitzar i legitimar aquesta situació donant instruccions als centres i serveis educatius.. Fins la publicació de la instrucció, com a responsables de la instal·lació d’aquests sistemes, us recomanem: • Llegiu atentament la Instrucció 1/2009 de l’APDCat • Assegureu que l’empresa instal·ladora o de manteniment coneix la normativa a la que esteu sotmesos com administració pública que sou. • Els centres i serveis educatius que ja disposeu en l’actualitat d’aquest tipus d’instal·lacions: • Demaneu a l’empresa instal·ladora o de manteniment que complementin la memòria justificativa de la instal·lació i instal·leu els cartells informatius. • Si encara no disposeu d’aquest sistemes i penseu en instal·lar-ho: • Feu l’anàlisi previ que aconsella la Instrucció. • Contacteu amb una empresa instal·ladora i exposeu-li el requisits a que esteu sotmesos. Feu incloure en el servei la instal·lació els cartells informatius i la confecció de la memòria justificativa. Us subministrem un model base per tal que elaboreu la memòria i unes instruccions per poder complimentar. 30
  • 31. ANNEX 10: Videovigilància, resum normatiu CAPTACIÓ D’IMATGE I/O VEU A TRAVÉS DE SISTEMES DE VIDEOVIGILÀNCIA Si el centre o servei educatiu disposa o vol disposar de sistemes de videovigilància heu de donar compliment al que disposa la: • Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància, dictada per l’Agència Catalana de protecció de Dades i publicada al DOGC núm. 5322- 19/02/2009. Legalització i legitimació del fitxer: Per poder iniciar la captació d’imatges cal haver creat, amb caràcter previ, el fitxer corresponent, d’acord amb el que estableix la normativa de protecció de dades de caràcter personal i la Instrucció, llevat que les imatges es captin sense que hi hagi emmagatzematge. S’ha de sol·licitar un informe a l’Agència Catalana de Protecció de Dades sobre l’adequació del tractament a la legislació en matèria de protecció de dades. La sol·licitud d’informe s’ha d’acompanyar de la proposta d’acord o de disposició. Proporcionalitat: Amb caràcter previ a la instal·lació, les persones responsables de la utilització de sistemes de videovigilància han de ponderar els diferents drets i béns jurídics en joc, analitzant: a) La necessitat d’utilitzar aquests sistemes. b) La idoneïtat de la instal·lació de sistemes de videovigilància per assolir la finalitat perseguida. c) El risc que pot suposar per als drets de les persones, ateses les característiques del sistema de videovigilància, les circumstàncies de la captació i les persones afectades. d) L’absència de mesures de vigilància alternatives que comportin un risc menor, en relació amb possibles intromissions en els drets fonamentals. Aquesta ponderació ha de quedar documentada en la memòria prevista d’acord amb l’article 10 de la Instrucció. Memòria Justificativa: Amb caràcter previ a la creació del fitxer, o a la posada en marxa del sistema de videovigilància, s’ha d’elaborar una Memòria Justificativa d’acord amb l’article 10 de la Instrucció. Deure d’informació: Les persones responsables del tractament d’imatges a través de càmeres fixes han d’informar de forma clara i permanent sobre l’existència de les càmeres mitjançant la col·locació dels cartells informatius que siguin necessaris per garantir-ne el coneixement per les persones afectades. Aquesta obligació és exigible igualment quan les imatges captades no siguin enregistrades. Els cartells informatius s’han de col·locar abans que comenci la captació d’imatges i veus, fins i tot si es tracta de proves, i només poden retirar-se un cop sigui desinstal·lat el sistema. Els cartells informatius s’han de col·locar en emplaçaments clarament visibles abans d’entrar en el camp de gravació de les càmeres. Conservació de les imatges: Amb caràcter general, es recomana no excedir el termini màxim d’un mes per cancel·lar les imatges tractades. 31
  • 32. Procediment d’exercici de drets: Per a l’exercici dels drets d’accés, rectificació, cancel·lació i oposició, cal formular una sol·licitud adreçada al responsable del fitxer o, si escau, a l’encarregat del tractament, indicant el lloc, la data i l’hora aproximada, en franges no superiors a dues hores, en què la seva imatge va poder ser captada. La sol·licitud s’ha d’acompanyar d’una imatge de la persona sol·licitant que correspongui al període en què es va captar, de manera que permeti identificar-la. Per tal de comprovar la coincidència entre la imatge aportada i les imatges enregistrades, es poden utilitzar eines de reconeixement d’imatges. Si la imatge o la veu aportades no ofereix prou definició o elements per permetre la identificació, s’ha d’atorgar un termini d’esmena de 10 dies hàbils per poder aportar una altra imatge o gravació de la veu. Pot denegar-se la sol·licitud d’exercici dels drets d’accés, rectificació, cancel·lació o oposició quan no concorrin els requisits exigibles, o quan el nivell de coincidència entre la imatge o la veu aportada amb la sol·licitud i les que hagin estat objecte de tractament no permeti assegurar que aquesta darrera correspon a la persona interessada. També pot denegar-se quan no hagin estat enregistrades o ja hagin estat cancel·lades. Nivell de seguretat: La recollida i el tractament d’imatges de persones identificades o identificables requereix, amb caràcter general, el nivell de seguretat bàsic, sens perjudici que en determinats supòsits puguin ser d’aplicació les mesures de nivell mitjà o alt. Mesures de seguretat: La persona responsable del tractament ha d’adoptar les mesures tècniques i organitzatives necessàries que garanteixin l’autenticitat, la integritat i la confidencialitat de les imatges captades mitjançant sistemes de càmeres i que n’evitin l’alteració, pèrdua, accés indegut o tractament no autoritzat. La persona responsable del tractament ha d’informar les persones que tinguin accés a les imatges en exercici de les seves funcions que han d’observar el deure de secret, i que aquesta obligació subsisteix fins i tot després d’haver finalitzat la seva relació de servei. A les imatges, i si escau a les veus, obtingudes o tractades mitjançant sistemes digitals de videovigilància,fins i tot durant el període de proves, se’ls ha d’aplicar les mesures de seguretat tècniques i organitzatives previstes a la normativa de protecció de dades de caràcter personal per als fitxers o tractaments automatitzats, segons el nivell de seguretat establert. 32