1. Protecció de dades de
caràcter personal
per a centres i serveis educatius
2. INDEX
INTRODUCCIÓ................................................................................................................................................................... 3
QUÈ ÉS LA PROTECCIÓ DE DADES DE CARÀCTER PERSONAL? ............................................................................ 3
LEGISLACIÓ ...................................................................................................................................................................... 3
PRINCIPIS, DRETS I OBLIGACIONS................................................................................................................................ 3
CONSIDERACIONS SOBRE PROTECCIÓ DE DADES PER A CENTRES I SERVEIS EDUCATIUS ............................ 5
1) LES DADES SÓN LES PERSONES.............................................................................................................................. 6
2) ABANS DE COMENÇAR, COMPROVEU QUE EL FITXER ESTÀ CREAT ................................................................. 7
3) SEMPRE INFORMEU I DEMANEU EL CONSENTIMENT ............................................................................................ 8
4) SOL·LICITEU NOMÉS DADES QUE SIGUIN ADEQUADES, PERTINENTS I NO EXCESSIVES AMB FINALITATS
CONCRETES I ACTUALITZEU-LES ............................................................................................................................... 11
5) CANCEL·LEU LES DADES QUAN NO SIGUIN NECESSARIES I FEU-LO DE FORMA ADEQUADA .................... 12
6) FACILITEU L’EXERCICI DE DRETS “ARCO” ALS TITULARS DE LES DADES ..................................................... 13
7) NO CEDIU DADES SENSE ESTAR AUTORITZATS .................................................................................................. 14
8) DONEU COMPLIMENT AL DEURE DE SECRET....................................................................................................... 17
9) CAS QUE CONTRACTEU SERVEIS A EMPRESES, ELABOREU I REVISEU ELS CONTRACTES ....................... 18
10) ADOPTEU MESURES DE SEGURETAT .................................................................................................................. 19
ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 21
ANNEX 1: FIGURES CLAU LOPD .................................................................................................................................. 22
ANNEX 2:CONCEPTES LOPD ........................................................................................................................................ 23
ANNEX 3: CONCEPTES RELATIUS A MESURES DE SEGURETAT ........................................................................... 23
ANNEX 4: MARC NORMATIU ......................................................................................................................................... 24
U
ANNEX 5: RESUM DE MESURES DE SEGURETAT ..................................................................................................... 25
ANNEX 6: MODELS DE CLÀUSULES INFORMATIVES................................................................................................ 27
ANNEX 7: MODEL DE CLÀUSULA DE CONFIDENCIALITAT ...................................................................................... 28
ANNEX 8: MODELS DE CLÀUSULES PER A PRESTADORS DE SERVEIS ............................................................... 29
ANNEX 9: VIDEOVIGILÀNCIA EN CENTRES I SERVEIS EDUCATIUS ....................................................................... 30
ANNEX 10: VIDEOVIGILÀNCIA, RESUM NORMATIU ................................................................................................... 31
U
2
3. Introducció
Què és la protecció de dades de caràcter personal?
La protecció de dades és l'adaptació a la Societat de la Informació del dret fonamental a la
protecció de l’honor, la intimitat personal i familiar i la pròpia imatge, inclòs per les Nacions
Unides a la Declaració Universal dels Drets Humans (1948).
És un dret fonamental, que busca protegir els ciutadans i el ple exercici dels seus drets davant
les vulneracions que puguin procedir de la recollida, tractament i emmagatzemament de les
seves dades personals per part tant d’entitats públiques com privades.
Com a conseqüència d’aquest dret fonamental, l’ordenament jurídic espanyol i europeu,
reconeix a les persones una sèrie de drets en relació a les seves dades personals que han de
ser respectats per qualsevol entitat pública o privada que les tracti, tot imposant una sèrie
d’obligacions formals i substantives que aquestes han de complir.
Legislació
La legislació sobre protecció de dades de caràcter personal està constituïda per les normes
que regulen el registre, tractament i eliminació de les dades de les persones i són d'aplicació
obligada per a totes les entitats públiques o privades que registren i tracten dades personals
en qualsevol suport i format.
Així, l'afectació de la normativa que regula el tractament de dades personals és molt extensa i a
més està en constant desenvolupament ja que el seu vincle amb l'avenç de les noves
tecnologies és directe.
El dret fonamental a la protecció de dades de caràcter personal es configura a l’article 18.4 de
la Constitució Espanyola i a l’article 31 de l’Estatut d’Autonomia de Catalunya, com a dret a
l’autodeterminació informativa (STC 292/2000), i es desenvolupa mitjançant la Llei Orgànica
15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) ) i el seu
reglament (Reial Decret 1720/2007).
El ciutadà ha de poder saber i tenir control sobre qui utilitza les seves dades de caràcter
personal, per a quina finalitat i a qui es faciliten aquestes dades, entre d’altres circumstàncies.
Principis, drets i obligacions
La Llei 15/1999, té per objecte garantir i protegir, pel que fa al tractament de les dades
personals, les llibertats públiques i els drets fonamentals de les persones físiques, i
especialment del seu honor i la seva intimitat personal i familiar.
És aplicable a totes les dades de caràcter personal registrades en suport físic, que les faci
susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors
públic i privat. Inclou, per tant, el tractament automatitzat i el no automatitzat de les dades de
caràcter personal, es a dir, la informació en paper.
3
4. Estableix Principis, drets i obligacions:
• Principis de la protecció de dades:
o Principi de proporcionalitat: Les dades que es recullen han de ser adequades,
pertinents i no excessives en relació amb l'àmbit i les finalitats per als quals s'han
obtingut. És a dir, les estrictament necessàries per a la finalitat de què es tracti.
o Principi de finalitat: Les dades s’han de recollir per a finalitats determinades,
explícites i legítimes. Les dades no es poden utilitzar per a finalitats distintes o
incompatibles amb les van motivar el seu tractament.
o Principi d’exactitud: Les dades s'han de mantenir actualitzades i han de
respondre a la situació actual de la persona interessada. Si les dades són errònies,
han de ser cancel·lades i substituïdes per les correctes en el termini de 10 dies des
que es coneix la inexactitud.
o Principi de conservació: Les dades han de ser emmagatzemades de manera que
es permeti l’exercici del dret d’accés, excepte si han estat cancel·lades. Les dades
es poden conservar durant un termini superior al necessari per assolir les finalitats
que van motivar la seva recollida, sempre que no sigui possible identificar la
persona interessada, és a dir, s’han de fer anònimes.
o Principi de lleialtat i licitud: És prohibeix la recollida de dades per mitjans
fraudulents, deslleials o il·lícits.
o Principi de consentiment: El tractament de dades requereix del consentiment
inequívoc de l’afectat, llevat que la llei disposi una altra cosa.
o Principi de seguretat: S’han d’adoptar les mesures organitzatives i tècniques
necessàries que garanteixin la seguretat de les dades de caràcter personal i
n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat.
• Principals Drets dels afectats:
o Dret d’informació: Quan es recullin dades de caràcter personal ha d’informar-se a
l’afectat de existència d’un fitxer, de la finalitat de la recollida, dels destinataris de la
informació i de les dades necessàries per poder exercir el seus drets.
o Dret a Accedir, Rectificar, Cancel·lar i Oposar-se al tractament de les dades que
són de la seva propietat (ARCO), entre d’altres, i obliga a establir un procediment
per a què els afectats puguin exercir aquests drets.
o Dret a revocar el consentiment: El tractament de dades personals requereix el
consentiment previ de la persona titular de les dades, excepte en els casos
legalment previstos. La persona que ha donat el seu consentiment té dret a
revocar-lo d'una manera senzilla i gratuïta.
• Obligacions que han de complir els organismes o entitats de caràcter públic o privat que
tracten dades de caràcter personal:
• Tots els fitxers que contenen dades de caràcter personal, automatitzats i no
automatitzats (en suport paper), s’han d’inscriure al Registre de Protecció de
Dades.
• La creació, modificació o supressió dels fitxers de les administracions públiques
només es poden fer per mitja d’una disposició en el diari oficial corresponent.
• El RD 1720/2007, pel qual s’aprova el Reglament de desplegament de la Llei
orgànica 15/1999, determina les mesures de seguretat organitzatives i tècniques
que han de ser adoptades. Aquestes mesures han d’estar recollides en un
Document de seguretat, d’obligat compliment per a tot el personal amb accés a
dades personals.
• Els sistemes d’informació que contenen dades de caràcter personal han de ser
auditats amb caràcter bianual.
4
5. Consideracions sobre protecció de dades per a centres i serveis
educatius
Els centres i els serveis educatius tracten informació del seu alumnat, del personal docent i
d’administració i serveis, col·laboradors externs, pares i mares, tutors/res, professionals que
presten serveis...
Els tractaments de dades de caràcter personal necessaris per a la gestió dels processos en
l’àmbit educatiu, l’ús de les tecnologies de la informació i la comunicació i la capacitat
d’aquestes per a tractar grans volums de dades i, les diferències d’interpretació que pot suscitar
l’aplicació de la normativa vigent en matèria de protecció de dades, aconsellen l’elaboració
d’unes consideracions destinades als centres i serveis educatius.
La finalitat d’aquest document és reflexionar sobre el tractament de dades de caràcter personal
que es fa diàriament en els centres i serveis educatius i la posterior introducció en la dinàmica
diària d’aquestes consideracions.
Deu punts per a considerar:
Us facilitem un conjunt de punts de contrast que us permetin revisar el marc d’actuacions
envers el tractament de dades personals dels vostres centres i serveis educatius.
1) Les dades són de les persones
2) Abans de començar, comproveu que el fitxer està creat
3) Sempre informeu i demaneu el consentiment
4) Sol·liciteu només dades que siguin adequades, pertinents i no excessives
amb finalitats concretes i actualitzeu-les
5) Cancel·leu les dades quan no siguin necessàries i feu-lo de forma adequada
6) Faciliteu l’exercici de drets “arco” als titulars de les dades
7) No cediu dades sense estar autoritzat
8) Doneu compliment al deure de secret
9) Cas que contracteu serveis a empreses, reviseu els contractes
10) Adopteu mesures de seguretat
5
6. 1) Les dades són les persones
Les dades personals (informació numèrica, alfanumèrica, imatges i veu) pertanyen a les
persones a les que es refereixen i només elles poden decidir sobre les mateixes.
El centres i serveis educatius NO sou els propietaris d’aquesta informació. Els seus titulars són:
alumnat i llurs famílies, personal docent i d’administració i serveis, col·laboradors/es,
monitors/es, proveïdors... us les faciliten per què pugueu oferir el millor servei d’educació.
Sou responsables de vetllar per tal que la recollida, tractament i cessions es facin respectant la
normativa vigent en matèria de protecció de dades de caràcter personal.
L’Administració, ha de ser el màxim garant de la privacitat i del bon ús de les dades del
ciutadans i tercers amb els que es relaciona; i no cal dir que l’entorn de funcionament de
l’administració educativa amb la recollida i tractament sistemàtic de dades de menors comporta
que haguem de complir amb la normativa d’aplicació d’una forma excel·lent.
6
7. 2) Abans de començar, comproveu que el fitxer està creat
És necessari que el fitxer que recollirà les dades de caràcter personal motiu de tractament
estigui legalitzat i legitimat abans de la seva utilització, això vol dir que ha d’estar inscrit al
Registre de Protecció de Dades de Catalunya.
En el cas dels centres i serveis educatius i donat que no teniu personalitat jurídica diferenciada,
el procés de creació passa per l’aprovació de la corresponent disposició de creació, modificació
o supressió de fitxers en el DOGC signada pel Conseller/a d’Educació i la seva publicació al
DOGC i posterior registre a l’APDCat.
Des de l’aprovació de la darrera ordre de creació, modificació i supressió de fitxers, s’han creat
nous fitxers i altres han experimentat modificacions diverses, derivades dels canvis
organitzatius produïts durant aquest temps, i la implantació de nous sistemes d’informació. Per
aquest motiu, el Departament està tramitant una nova ordre que recull la situació actual. Els
fitxers a que fa referència aquest document són per tant els inclosos en aquesta nova
disposició.
Respecte dels centres educatius s’han inscrit al registre els següents fitxes:
• Alumnat de centres educatius dependents del Departament d'Educació
• Borsa de treball de centres educatius dependents del Departament
d'Educació
• Personal de centres educatius dependents del Departament d'Educació
• Proveïdors de centres educatius dependents del Departament d'Educació
la direcció del centre s’identifica com òrgan responsable en tots els casos.
Respecte dels serveis educatius s’han inscrit els següents fitxers:
• Serveis educatius
• Personal de serveis educatius
• Proveïdors de serveis educatius
la direcció del servei educatiu s’identifica com a òrgan responsable en tots els casos.
A la Intranet del Departament trobareu el detall i l’estructura d’aquests fitxers, i als annexos
d’aquest document podeu consultar les recomanacions especifiques que heu de considerar si
el vostre centre o servei educatiu disposa de sistemes de videovigilància.
7
8. 3) Sempre informeu i demaneu el consentiment
Informeu
Quan sol·liciteu dades personals, amb independència de quin sigui el procediment de recollida
de les dades emprat (formularis electrònics o en paper, telèfon...), sempre heu d’informar
prèviament 1 :
• de l’existència del fitxer o tractament que recollirà les dades
• de la finalitat explícita de la recollida de les dades
• de l’obligatorietat o no a subministrar les dades
• de l’òrgan responsable d’aquest fitxer
• de l’òrgan davant el qual es pot exercir els drets d’accés, rectificació, cancel·lació i
oposició
• de si hi ha cessió de dades i a qui
En tot cas, si les dades es recullen mitjançant qüestionaris o impresos ha de constar-hi de
forma clarament llegible la informació relativa al tractament de les dades que es vol portar a
terme. La clàusula ha d’estar en un llenguatge senzill i comprensible per a la persona
interessada (a la Intranet d’Educació trobareu models orientatius)
I demaneu el consentiment
Una vegada informat, l’interessat/da podrà o no, donar el seu consentiment.
En general: el tractament de dades personals exigeix el consentiment inequívoc de la persona
interessada 2 , llevat que la Llei disposi una altra cosa.
S’estableixen un conjunt d’excepcions que, particularment, en el cas de les administracions
públiques, comporta que la regla general es converteixi en l’excepció.
En el cas dels centres i serveis educatius, la disposició addicional 23 de la Llei Orgànica
2/2006, de 3 de maig, d’Educació, es manifesta al respecte exposant que els centres podran
recollir les dades personals que siguin necessàries per l’exercici de la seva funció educativa
i orientadora. A aquest efecte, no és necessari el consentiment de l’afectat sempre que
les dades es recullin per tal de desenvolupar aquestes funcions.
Aquesta disposició també es manifesta al respecte de forma que, la incorporació d’un alumne a
un centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la
cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la
informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció
educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment
exprés. Si l’ús de les dades no és específicament el de “funció educativa i orientadora” o bé les
1
En el cas dels més grans de catorze anys directament a la persona interessada, excepte en els casos en què la Llei
exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de
catorze anys, als pares o tutors.
2
Es pot procedir al tractament de les dades dels més grans de catorze anys amb el seu consentiment, excepte en
els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas
dels menors de catorze anys es requereix el consentiment dels pares o tutors.
En cap cas es poden sol·licitar dades del menor que permetin obtenir informació sobre els altres membres del grup
familiar, o sobre les característiques del mateix grup, com ara les dades relatives a l’activitat professional dels
progenitors, informació econòmica, dades sociològiques o qualsevol altres, sense el consentiment dels titulars
d’aquestes dades. No obstant això, es poden sol·licitar les dades d’identitat i adreça del pare, mare o tutor amb l’única
finalitat d’obtenir l’autorització.
8
9. dades que es demanen no justifiquen aquesta funció cal demanar el consentiment de la
persona interessada.
El consentiment pot ser:
▪ tàcit, és un consentiment derivat de la falta d’actuació de l’interessat, “del seu silenci”
▪ exprés, és un consentiment que requereix d’una declaració clara i inequívoca de
l’interessat, potser de forma escrita, verbal o utilitzar qualsevol altre mitja
▪ Quan les dades personals tractades facin referència a ideologia, afiliació sindical, religió o
creences sempre s’haurà de demanar un consentiment “exprés” i “per escrit”.
El tipus de consentiment està relacionat amb els nivells de seguretat de les dades:
BÀSIC MITJÀ ALT
Fitxers que continguin alguns dels següents Fitxers que continguin dades: Fitxers que continguin dades:
tipus de dades, quan no constitueixen un perfil: • De perfil bàsic, que permetin obtenir un • Especialment protegits (ideologia,
• Identificatius perfil de la persona creences, religió, origen racial, salut,
• Característiques personals • Sobre infraccions penals i administratives afiliació sindical o vida sexual )
• Acadèmics i professionals • Recaptats amb finalitats policials
• Lloc de treball i carrera administrativa Fitxers que tinguin com a responsables: • Violència de gènere
• Informació comercial • Adm. Tributaries i competències
• Ecònomic-financera tributaries. Fitxers que tinguin com a responsables:
• Transaccions • Entitats financeres i competències • Operadors de serveis de
financeres Seguretat Social i comunicacions, explotació de xarxes
Fitxers amb finalitat exclusiva per a efectuar competències recaptatòries. públiques.
pagaments als seus abonats: • De solvència patrimonial i crèdit
• Amb dades especialment protegides
ideologia, etc..)
Fitxers per deures públics:
• Amb dades de minusvalua
Així doncs,
• Per tractar dades de nivell bàsic i mitja, es considera vàlid el consentiment tàcit.
• Si es tracta de dades relatives a la salut, origen racial i vida sexual, el consentiment ha
de ser exprés.
• Si les dades tractades relatives a ideologia, afiliació sindical, religió o creences és
necessari el consentiment exprés i per escrit.
No cal consentiment per tractar dades sensibles (salut) quan aquest sigui necessari per
salvaguardar l’interès vital de la persona afectada.
El consentiment es pot revocar sempre que hi hagi una causa justificada. La revocació no té
efectes retroactius.
D'altra banda, en aquells supòsits en què per portar a terme un determinat tractament no sigui
necessari el consentiment, la persona afectada s'hi pot oposar al tractament.
No s’ha de confondre el dret d’informació amb el consentiment de la persona interessada.
El consentiment obtingut per tractar les dades amb una finalitat determinada no
comporta de manera directa el consentiment per a la seva cessió.
Consentiment per al tractament d’imatges i/o veu en relació a les activitats educatives
• En el cas del consentiment pel tractament d’imatges i/o veu, tingueu en compte que:
o Amb caràcter general, s’ha de consignar el període de validesa de les autoritzacions:
un curs escolar, una etapa, un cicle, mentre estigui al centre educatiu...)
o S’ha d’especificar explícitament els mitjans de difusió o entorns on es publicarà
aquest material: anuari del centre, pàgina web del centre, intranet del centre, webs
9
10. del Departament d’Educació, publicacions, fires, jornades, exposicions, televisió
local...o en entorns de distribució no controlats: YouTube...
o Considereu la possibilitat que els consentiments poden ser totals o parcials, per
exemple: sí, a publicar fotos en el recinte de centre i no a penjar-ho en pàgina web o
en YouTube, etc.
En el cas d’activitats de centre organitzades pels serveis educatius on hi participen
alumnat, professorat, pares i mares..., l’autorització pel tractament d’imatges ha d’estar
recollida en l’autorització del centre ja que aquesta activitat forma part del Pla anual de
centre.
L’àmbit d’aplicació del model orientatiu d’autorització que proporciona el Departament
considera només les activitats educatives del centre educatiu, qualsevol altre tractament
requereix d’un nou consentiment concret i explícit.
Consentiment per sortides escolars
• En el cas de les autoritzacions per sortides escolars:
o S’ha de consignar el període de validesa d’aquesta autorització: una sortida en
concret, totes les sortides del trimestre, del curs, del cicle...
Amb caràcter general la direcció del centre o servei educatiu ha d’implementar un procediment
de gestió de les autoritzacions i/o consentiments que atorguen els interessats que permetin una
efectiva gestió dels mateixos.
10
11. 4) Sol·liciteu només dades que siguin adequades, pertinents i no
excessives amb finalitats concretes i actualitzeu-les
Abans de sol·licitar dades, per exemple quan s’ha d’elaborar un formulari que hagi de contenir
dades personals, cal fer un judici de proporcionalitat, idoneïtat i necessitat de les dades a
recollir per tal que siguin adequades, pertinents i no excessives en relació a la finalitat concreta
que es vol aconseguir.
No es poden recollir dades que no estiguin directament relacionades amb les funcions
educatives i orientadores, degudament expressades en la declaració del fitxer. La finalitat del
tractament ha d’estar igualment expressada de forma concisa i concreta.
És important assenyalar que conforme a l’article 16.2 de Constitució Espanyola, ningú pot ser
obligat a declarar al respecte de la seva ideologia, religió o creences i que d’acord amb la
LOPD, si es pretén recollir aquesta informació s’ha d’obtenir prèviament el consentiment i
advertir l’interessat del seu dret a no facilitar la informació.
Tenen consideració de dades de salut les relatives a la salut passada, present o futura, física o
mental, d’una persona. Per tant, les dades de caire psicològic han de ser considerades dades
especialment protegides i relatives a la salut de les persones.
Les dades que recollim directament de l’interessat es consideren exactes. Les dades que es
recullen han d’estar permanentment actualitzades i s’hauran de cancel·lar quan siguin
obsoletes o la finalitat que va propiciar la seva recollida s’hagi aconseguit.
Per tal de facilitar la tasca d’actualització, es pot atribuir aquesta càrrega al titular de les dades,
incorporant el següent redactat a la clàusula informativa del formulari que utilitzi per
proporcionar les seves dades:
Li preguem que, en el supòsit de produir-se una modificació relativa a les seves dades personals, ens ho comuniqui per tal de mantenir-
les degudament actualitzades .
11
12. 5) Cancel·leu les dades quan no siguin necessaries i feu-lo de forma
adequada
Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries
o pertinents per a la finalitat per a la qual han estat recollides o registrades.
No han de ser conservades de manera que permetin identificar l’interessat durant un període
superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o
registrades.
Les dades de caràcter personal han de ser emmagatzemades de manera que permetin
l’exercici del dret d’accés, llevat que siguin legalment cancel·lades.
Tingueu present que al llarg de tota l’etapa educativa es recullen una gran quantitat i diversitat
de dades de caràcter personal que en finalitzar el tractament que va provocar la seva recollida
han de ser cancel·lades.
L’alumnat i llur família tenen dret a què el seu passat “sigui oblidat” i en tot cas són els únics
amb “dret a decidir” a qui fer partícip de les seves situacions familiars, socials o culturals. Tot i
que per la tipologia de les dades recollides en molts casos us sembli evident el període de
validesa i els terminis de cancel·lació de les dades que recolliu, identifiqueu aquesta informació
de forma clara i concisa i feu-la pública: els propietaris de les dades són els principals
interessats.
Els documents electrònics o en suport paper, que recullin dades relatives a situacions familiars,
relacionats amb àmbit de salut, de règim alimentari, de pertinença a grups socials, de perfil
professional i qualsevol altre que no conformi l’expedient de l’alumnat, han de ser destruïts,
aplicant les mesures de seguretat adients a la sensibilitat de les dades que continguin.
Si les dades a destruir es troben en suport paper, utilitzeu destructores de paper o encarregueu
la destrucció a empreses del sector que us emetin el corresponent certificat de destrucció.
Si les dades es troben en suport electrònic, utilitzeu destructores de suports electrònics o
contacteu amb empreses que us emetin el corresponent certificat de destrucció.
NO llenceu mai documents en suport paper que continguin dades de caràcter personal als
contenidors de reciclatge de paper sense destruir-los prèviament (si cal, trenqueu-los a mà).
NO llenceu mai suports electrònics que continguin o hagin pogut contenir dades de caràcter
personal -per malmesos que estiguin- als contenidors de reciclatge sense destruir-los
prèviament (si cal, trenqueu-los o ratlleu-los a ma).
En tot cas, establiu internament els procediments de gestió, trasllat i destrucció dels suports
que continguin dades de caràcter personal i feu-lo extensiu a tot el personal del vostre centre o
servei educatiu.
12
13. 6) Faciliteu l’exercici de drets “arco” als titulars de les dades
S’ha de facilitar a la persona titular de les dades o al seu representant legal el dret a Accedir,
Rectificar, Cancel·lar i Oposar-se al tractament de les seves dades personals. Heu d’informar-
los al respecte de com exercir-los i facilitar-los impresos per a que puguin fer-ho. És important
assenyalar que són drets independents. En tots el casos la prestació d’aquest servei és
gratuïta i s’ha de remetre als terminis establerts per normativa.
RECTIFICACIÓ I
Dret exercit ACCÉS OPOSICIÓ
CANCEL·LACIÓ
Descripció del dret
Dret de l’afectat a obtenir informació Dret de Rectificació: dret de l’afectat Dret de l’afectat a què no es porti a terme el
sobre si les seves dades personals a què es modifiquin les dades que tractament de les seves dades de caràcter
són objecte de tractament, la siguin inexactes o incompletes. persona o se cessi en el tractament quan
finalitat del tractament i la concorrin els supòsits establerts al RLOPD.
informació disponibles sobre l’origen Dret de Cancel·lació: dret de
de les dades i les comunicacions l’afectat a què se suprimeixin les
realitzades. dades que resultin ser inadequades
o excessives
Procediment
Sol·licitud formulada per l’afectat o per representant acreditat, que ha de complir els següents requisits:
• Nom i cognoms de l’interessat
• Fotocòpia de document vàlid en dret que identifiqui a l’afectat (DNI, passaport, etc.) o, en el seu cas, de la
persona que el representi, o instruments electrònics equivalents.
• Petició concreta de la sol·licitud d’exercici del dret
• Adreça a efectes de notificacions
• Data i signatura del sol·licitant
• En el seu cas, documentació acreditativa de la petició que es formula
Termini contestació
1 mes natural a comptar des de la 10 dies hàbils a comptar des de la 10 dies hàbils a comptar des de la recepció de
recepció de la sol·licitud recepció de la sol·licitud la sol·licitud
Estimació petició
Resolució expressa per part del Resolució expressa per part del Resolució expressa per part del centre/servei
centre/servei educatiu comunicant a centre/servei educatiu comunicant a educatiu comunicant a l’afectat que s’ha
l’afectat les dades disponibles, l’afectat que s’ha dut a terme la procedit a fer efectiu el seu dret d’oposició.
l’origen de les mateixes, la finalitat rectificació o cancel·lació d eles
del tractament i els cessionaris dades concretes citades per
l’afectat.
Desestimació petició
Casos de desestimació: Casos de desestimació: Casos de desestimació:
• Quan manqui algun dels • Quan manqui algun dels • Quan manqui algun dels requisits formals
requisits formals del requisits formals del del procediment
procediment procediment • Quan existeixi un supòsit de denegació
• Quan l’afectat ja hagi exercit • Quan existeixi un supòsit de previst en una llei
aquest dret en els 12 mesos denegació previst en una llei
anterior a la sol·licitud si no • Quan les dades hagin de ser
s’acredita un interès legítim conservades durant els
• Quan existeixi un supòsit de terminis previstos a les lleis
denegació previst en una llei aplicables, o en les relacions
contractuals pertinents.
Casos
No es poden facilitar dades per telèfon
• El dret d’accés a la informació és un dret personalíssim, i només pot ser exercit
pel titular d’aquestes dades o el seu representant legal.
• Per telèfon no es pot comprovar que la persona que està parlant i sol·licitant la
informació és el titular d’aquestes dades.
Només es pot demanar informació a través d’una sol·licitud.
Només es pot cancel·lar/rectificar/oposar_se a un tractament a través d’una
sol·licitud.
El Departament d’Educació posa a disposició dels centres i serveis educatius el document
Procediment per a l’exercici de drets i a la Intranet d’Educació trobareu els models
orientatius de sol·licitud i de resposta. Adapteu el procediment al vostre àmbit d’actuació.
13
14. 7) No cediu dades sense estar autoritzats
Cessió: qualsevol comunicació de dades realitzada per una persona diferent al
propietari de les dades. Aquest és un concepte ampli que abasta comunicacions,
publicacions, consultes, interconnexions i transferències que facilitin l’accés, el tractament
de les dades a un tercer diferent del propi interessat i la difusió.
Només es podran cedir dades si de forma concurrent:
• s’ha obtingut prèviament el consentiment de l’interessat
• la cessió està directament relacionada amb les funcions de cedent i cessionari.
No és necessari el consentiment previ de l’interessat quan la cessió està autoritzada en una
Llei.
En aquest sentit, la disposició addicional 23 de la Llei Orgànica 2/2006, de 3 de maig,
d’Educació, també es manifesta al respecte de forma que, la incorporació d’un alumne a un
centre educatiu suposa el consentiment per al tractament de les seves dades i, si s’escau, la
cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la
informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció
educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment
exprés.
Els serveis educatius poden compartir dades amb altres administracions i entitats públiques
que col·laborin en les necessitats de suport a l’alumnat i que tinguin competències en matèria
de protecció de menors, serveis socials, protecció de la salut i vigilància de l’escolarització
obligatòria tal i com queda recollit en el fitxer Serveis educatius del l’Ordre d’actualització dels
fitxers que contenen dades de caràcter personal gestionats pel Departament d’Educació.
Publicitat de dades personals
▪ Internet , Intranet o Extranet
Cal tenir en compte que Internet o les pàgines web/seus electròniques de les institucions
públiques no tenen, per sí mateixes, la consideració de fonts accessibles al públic.
La difusió de dades de caràcter personal a través d’Internet, ha de ser considerada com una
cessió de dades a una pluralitat indeterminada de destinataris. En aquest sentit només és
pertinent quan es realitza en el marc de les funcions que cada ens té atribuïdes i es compta
amb el consentiment de l’afectat, o bé ho autoritza una norma amb rang de Llei.
En general, les pàgines web de centres i serveis educatius accessibles a una pluralitat
no determinada de destinataris no han de contenir informació que contingui dades de
caràcter personal, si no es compta amb l’autorització expressa i explícita de l’interessat.
Les intranets de centres i serveis educatius presenten la mateixa necessitat quant a
consentiment de l’interessat i en tot cas han d’emprar sistemes d’identificació que permetin
verificar la legitimació de la persona que pretengui accedir a les dades de caràcter personal
d’acord amb el seu interès legítim.
Recordeu que el consentiment obtingut per tractar les dades amb una finalitat determinada no
comporta de manera directa el consentiment per a la seva cessió. Una cessió de dades és un
nou tractament que requerirà l'obtenció d'un consentiment específic per dur-la a terme. En cas
contrari, el consentiment és nul.
14
15. Pel que fa a la publicació de dades a través de pàgines web, l’Agència Catalana de Protecció
de Dades ha elaborat una recomanació al respecte. El centres i serveis educatius esteu
inclosos en el seu àmbit d’aplicació: Recomanació 1/2008 sobre la difusió d'informació que
contingui dades de caràcter personal a través d'Internet.
• Taulells d’anuncis tradicionals o electrònics i de forma verbal
Norma general: No donar publicar llistats que continguin dades personals si no s’ha obtingut
el consentiment previ de l’interessat o bé hi ha una norma legal (Llei) que us habilita,
per exemple:
a) Llistes que continguin dades personals de l’alumnat, professorat, personal col·laborador,
etc..., com.:
Llistes amb el resultat de proves, avaluacions, etc...
Llistes de persones que rebin subvencions, beques o altres tipus d’ajuts.
Llistes d’alumnes que necessiten d’un règim alimentari específic
Llistes d’alumnes que requereixen atenció especial
Etc...
b) Procés de preinscripció: No es poden publicar les llistes de les diferents fases del procés
en ubicacions (físiques o electròniques) que permetin l’accés d’una pluralitat indeterminada
de destinataris:
No es poden disposar les llistes accessibles des del carrer per facilitar la consulta
quan el centre està tancat.
No es poden disposar directament en la pàgina web del centre sense mesures
d’identificació prèvia que permeti acreditar la legitimitat necessària.
Com a norma general, poden distingir dos tipus de procediments pel que fa a la publicitat i
accés:
• de concurrència competitiva: els interessats en el procediment competeixen entre sí
per assolir un mateix fi, en general, són procediments administratius: preinscripció,
concurs de trasllats, concurs de catedràtics, etc... .
• sense concurrència competitiva: tot i que la finalitat a aconseguir sigui la mateixa,
no hi ha competició, en general només cal acreditar positivament el criteris de
valoració establerts: proves de nivell, exàmens, ajuts, subvencions, títols,
certificacions,etc....
En el primer cas, només aquells que tinguin un interès legítim en el procediment poden accedir
a les valoracions de la resta de participants, el consentiment es troba implícit en la seva
participació i prevista a Llei 30/1992. L’accés i publicitat de les llistes ha d’estar restringida
únicament als participants. Les dades incloses en les llistes han de ser les estrictament
necessàries per complir amb la seva finalitat.
En el segon cas, l’afectat és l’únic que té un interès legítim en els resultats que ha obtingut. No
hi ha confecció de llistes per ser accedida per altres afectats, i tot i obtenir el consentiment per
a fer-ho, l’accés sempre ha de ser restringit a l’afectat.
Cessions de dades
• Cessions de dades a cossos de seguretat: Es poden facilitar quan la sol·licitud sigui
concreta i especifica (mai sol·licituds massives de dades), i:
15
16. a) Quedi degudament acreditat que l’obtenció de dades resulta necessària per a la
prevenció d’un perill real i greu per a la seguretat pública o per a la repressió
d’infraccions penals.
b) Que la petició s’efectuï amb la deguda motivació, que acrediti la seva relació amb
els supòsits exposats, deixant constància de la petició. La petició s’ha d’efectuar a
través d’un suport documental que deixi constància. Es considera admissible
l’expedició d’una ordre o un ofici elaborat per la pròpia Policia al càrrec de les
actuacions.
c) En casos de desprotecció social dels menors. Aquesta cessió pot produir-se per
requeriment de la policia local als centres educatius o per pròpia iniciativa en
detectar situacions de risc.
• Cessió de dades a les AMPA: No podeu facilitar a l’AMPA les dades personals dels
alumnes sense el consentiment dels pares, mares o tutors i tutores legals, es necessari el
consentiment dels pares o tutors legals per a què pugueu cedir les dades, ja que aquesta
cessió no es troba recollida en cap de les excepcions de la normativa vigent en matèria de
protecció de dades. L’AMPA és una associació de que ha de declarar els seus propis
fitxers i tractaments.
El Reial Decret 202/1987, regula les Associacions de Pares i Mares dels Alumnes,
estableix en el seu article 5 el procediment d’admissió dels associats i assenyala que serà
en tot cas voluntària prèvia sol·licitud d’inscripció. Als associats no se’ls pot exigir més
requisits que ser pare, mare o tutor legal de l’alumne matriculat al centre educatiu, abonar
si és el cas les corresponents quotes, i acceptar expressament els corresponent estatuts.
Es pot efectuar la sol·licitud d’adhesió a l’AMPA aprofitant el procés de matrícula, advertint
del caràcter voluntari de la mateixa : per exemple, podeu afegir una casella a marcar, en
els següents termes:
Sol·licito voluntàriament l’adhesió a l’AMPA i autoritzo la cessió de les dades
(identificatives, de contacte, bancàries,....) a l’AMPA amb la finalitat de (finalitat
declarada per l’AMPA)
La gestió del menjador és un cas excepcional, emparat per la signatura d’un conveni entre
l’AMPA i el Departament.
16
17. 8) Doneu compliment al deure de secret
El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de
caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de
guardar-les, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions
amb el titular del fitxer o, si s’escau, amb el seu responsable.
El seu incompliment és motiu d’aplicació de regim disciplinari. El Departament d’Educació ha
establert les Funcions i obligacions del personal que té accés a dades de caràcter
personal. És un document d’obligat coneixement i compliment per a tots els que intervenen en
el tractament de dades de caràcter personal. Feu-lo extensiu a totes el personal i en tot cas,
adapteu-lo al vostre centre o servei educatiu. Consciencieu i responsabilitzeu a tots aquells que
de forma regular o incidental tinguin accés a dades personals.
Cal dir que el personal funcionari ja s’hi troba obligat en virtut de la vigent normativa de funció
pública i el personal contractat en règim laboral en virtut del Conveni col·lectiu del personal
laboral de la Generalitat.
En l’annex, us proposem diversos models de clàusules a incloure en contractes o a fer signar
per aquells que tinguin contacte amb les dades personals del vostre àmbit de responsabilitat,
com ara personal amb pràctiques, col·laboradors, monitors...
17
18. 9) Cas que contracteu serveis a empreses, elaboreu i reviseu els
contractes
Amb caràcter general el centres i serveis educatius podeu contractar serveis de forma
autònoma. Reviseu les clàusules contractuals i assegureu-vos que s’inclouen les obligacions
de confidencialitat i seguretat de la informació a la que es pot tenir accés amb motiu de la
prestació del servei.
Serveis com la neteja, contractació de monitors, transport, càtering, activitats extraescolars,
excursions, intercanvis...comporten l’accés regular o incidental i el tractament de dades
personals que han d’estar degudament assegurades.
S’entén per servei sense accés a dades personals, aquell que no implica directament aquest
tractament, tot i que de manera accessòria o circumstancial es pugui donar, com per exemple,
els serveis de neteja o manteniment d’instal·lacions. Altrament, un servei és d’accés a dades
personals si la prestació d’aquest servei implica necessariament el seu tractament, per
exemple un servei de transport escolar, un servei de menjador...En aquest darrer cas, la llei no
considera que es produeixi una cessió de dades, el proveïdor esdevé segons la llei, encarregat
del tractament, i està obligat a garantir la seguretat de les dades i dels tractaments d’acord amb
les indicacions del responsable del fitxer, obligació que ha de quedar degudament formalitzada
a través d’un contracte o conveni.
Pel que fa a la contractació de serveis, l’Agència Catalana de Protecció de Dades ha elaborat
una recomanació al respecte la Recomanació 1/2010 de l’Agència Catalana de Protecció de
Dades, sobre l’encarregat del tractament en la prestació de serveis per compte d’entitats
del sector públic de Catalunya.
El centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació.
L’objecte d’aquesta Recomanació és recollir, de forma sistematitzada, els criteris a tenir en
compte des del punt de vista de la protecció de dades, en el moment d’externalitzar serveis que
comportin el tractament de dades de caràcter personal que siguin responsabilitat de l’entitat
adjudicadora del contracte.
També s’ofereixen models de clàusules que recullen les obligacions i previsions convenients
per tal de garantir la protecció de dades en la contractació o establiment d’acords amb terceres
entitats. Es tracta, en qualsevol cas, de models orientatius que cal adequar a les peculiaritats
de cada encàrrec.
18
19. 10) Adopteu mesures de seguretat
Adopteu mesures de seguretat que garanteixin la seguretat de les dades de caràcter
personal que tracteu i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat.
En aquest sentit el RD 1720/2007 (RLOPD), estableix les mesures de seguretat que han de
complir tant els fitxers automatitzats com els manuals i determina tres nivells incrementals de
seguretat: bàsic, mitja i alt, tal i com s’enunciava a es consideracions d’aquest document.
Gestió d’identificadors i contrasenyes:
• No compartiu identificadors i contrasenyes.
• No anoteu les contrasenyes en papers, ni els deixeu al voltant dels equipaments.
• Es aconsellable que les contrasenyes tinguin un mínim de 8 caràcters, que continguin
lletres, números, majúscules, minúscules i símbols.
• Les contrasenyes s’han de canviar de forma periòdica (al menys un cop l’any....).
• Elaboreu un procediment de gestió d’usuaris.
Accés i tractament de dades:
• Únicament el personal autoritzat ha de tenir accés a les dades personals que
requereixi, d’acord amb el seu perfil.
• Les dades personals han d’estar fora de l’accés de persones no autoritzades. A tenir en
compte:
o les pantalles d’ordinador han d’estar orientades convenientment per tal que el
personal no autoritzat no tingui accés visual
o no deixar documents que continguin dades de caràcter personal en
fotocopiadores, impressores, faxos i tanmateix a sobre la taula....
• S’ha de limitar explícitament l’accés als expedients dels alumnes.
Correu electrònic:
• Separeu les adreces de correu d’àmbit professional de les d’àmbit personal.
• Tingueu cura amb la publicació de la adreça de correu en pàgines web, cadenes de
correu electrònic i revelació a persones desconegudes. Us recomanem que utilitzeu
una segona adreça d’ús personal per registrar-vos en pàgines web i per enviar/rebre
correus no professionals.
• No seguiu les cadenes de correu electrònic, són mitjans per recaptar adreces i fer-les
servir per fer SPAM.
• No faciliteu mai la contrasenya o pin per correu electrònic, no els introduïu a llocs web
als quals s’hagi arribat a través d’un enllaç (cap entitat els demanarà d’aquesta forma).
• Convé evitar el correu electrònic com a mitjà per a transmetre dades de caràcter
personal d’alumnat, per exemple.. Si necessiteu utilitzar aquest mitjà, sempre que sigui
possible, empreu inicials, un número de cas o d’expedient.
Manteniment de dispositius:
• Utilitzeu sistemes antivirus o antispam actualitzats.
• Actualitzeu els sistemes i programes informàtics regularment. Els programes que no
s’actualitzen són vulnerables a virus, intrusions,etc....
• Configureu els dispositius sense fils (bluetooh, wi-fi...) de manera segura per evitar
l’accés de terceres persones.
• Feu còpies de seguretat.
19
20. Custòdia i trasllat de documents (electrònics o en suport paper):
• Els expedients que contenen dades personals han de romandre tancats en armaris
amb clau quan no s’estigui treballant en ells o bé en habitacions que tinguin tancament
(en qualsevol cas, recordeu no deixar les claus al pany per facilitar un ràpid accés,
aquesta acció invalidaria la mesura).
• Eviteu que els armaris o arxivadors que contenen dades de caràcter personal estiguin
situats en àrees de fàcil accés o no vigilades.
• Si porteu fora del centre de treball dades de caràcter personal en qualsevol suport i
format, apliqueu mesures de seguretat per evitar l’accés o la manipulació per terceres
persones. Recordeu que:
o els documents en suport paper es poden perdre, fotocopiar, fotografiar, filmar...
o els dispositius portàtils es poden perdre, copiar o reproduir...
• Utilitzeu sistemes de xifrat en documents electrònics i dispositius portàtils.
Destrucció de documents i suports:
• Utilitzeu destructores de paper, CD, DVD,... o serveis de proveïdors amb certificat de
destrucció.
• Esborreu totes les dades dels discs de l’ordinador desmagnetitzant-los amb un imant,
per exemple.
• Apliqueu mesures de seguretat adients per evitar que terceres persones puguin
recuperar o utilitzar dades d’aquests dispositius o suports.
• Vigileu amb el reciclatge d’ordinadors, portàtils, PDA’s, USB...
Documenteu les mesures organitzatives i tècniques adoptades i els procediments establerts a
l’efecte, feu-los extensius i d’obligat compliment a tot el personal que tingui accés a dades
personals. Aquest pot ser un inici del vostre Document de seguretat.
20
21. Protecció de dades de caràcter
personal
per a centres i serveis educatius
Annexos
21
22. ANNEX 1: Figures clau LOPD
Les figures clau que s’identifiquen en l’àmbit de la protecció de dades són:
• Responsable del fitxer o del tractament: és qui decideix sobre la finalitat, el
contingut i l’ús del tractament, encara que no les realitzi materialment.
• Encarregat del tractament: tracta dades personals per compte del responsable
del fitxer, en general a través d’una relació establerta en la prestació d’un servei.
• Responsable de seguretat: persona designada pel responsable del fitxer per tal
de controlar i coordinar les mesures de seguretat aplicades.
• Interessat o afectat: persona física titular de les dades que siguin objecte del
tractament.
• Autoritats de control: són els ens de dret públic, amb personalitat jurídica pròpia i
plena capacitat pública i privada, que actuen amb plena independència de les
administracions públiques en l’exercici de les seves funcions.
Les funcions principals de les autoritats de control són:
• Registrar els fitxers que contenen dades de caràcter personal.
• Vetllar pel compliment de la legislació sobre protecció de dades
• Controlar-ne l’aplicació.
• Inspeccionar els fitxers a què fa referència la Llei i recollir tota la informació
que requereixin per al compliment de les seves comeses.
• Informar i atendre reclamacions i peticions dels afectats
• Sancionar i realitzar auditories d’ofici
Tenen consideració d’autoritats de control, els òrgans corresponents de cada comunitat
autònoma. L’àmbit de competència d’aquestes és el relatiu als fitxers de dades de caràcter
personal creats o gestionats per les comunitats autònomes i per l’Administració local del seu
àmbit territorial.
En aquest sentit, l’autoritat de control competent en l’àmbit de centres i serveis educatius és
l’Agència Catalana de Protecció de Dades.
22
23. ANNEX 2:Conceptes LOPD
Afectat o interessat Persona física titular de les dades que siguin objecte del tractament
Cessió o comunicació de dades Tota revelació de dades realitzada a una persona diferent de l'interessat.
Tota manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual
Consentiment de l'interessat
l'interessat consenteix el tractament de les dades personals que li concerneixen.
Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus
Dada de caràcter personal
relativa a persones físiques identificades o identificables
Persona física o jurídica, pública o privada, o òrgan administratiu que, sol o conjuntament amb
d’altres, tracti dades personals per compte del responsable del fitxer, com a conseqüència de
Encarregat del tractament
l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit d’actuació per a la prestació del
servei.
Tot conjunt organitzat de dades de caràcter personal que possibiliti l’accés a dades de conformitat
Fitxer amb criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge,
organització i accés.
Qualsevol operació o procediment tècnic de caràcter automatitzat o no, que permeti la recollida,
l’enregistrament, la conservació, l’elaboració, la modificació, la consulta, la utilització, la modificació, la
Tractament de dades
cancel·lació, el bloqueig o la supressió de dades, així com les cessions que resultin de comunicacions,
consultes, interconnexions i transferències
Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o
conjuntament amb d’altres decideixi sobre la finalitat, el contingut i l’ús del tractament, encara que no
Responsable del fitxer o tractament
les realitzi materialment. Poden ser també responsables ens sense personalitat jurídica que actuïn en
el tràfic com a subjectes diferenciats.
Els responsables dels tractaments o dels fitxers i els encarregats del tractament han d’implantar
les mesures de seguretat d’acord amb el que disposa la normativa, amb independència de quin
sigui el seu sistema de tractament. ( article 79 del RDLOPD )
ANNEX 3: Conceptes relatius a mesures de seguretat
Accessos a dades de caràcter personal autoritzats a un usuari per a la utilització dels diversos recursos. Si s’escau,
Accessos autoritzats han d’incloure les autoritzacions o funcions que tingui atribuïdes un usuari per delegació del responsable del fitxer o
tractament o del responsable de seguretat.
Autentificació Procediment de comprovació de la identitat d’un usuari
Informació confidencial, freqüentment constituïda per una cadena de caràcters, que pot ser usada en l’autenticació
Contrasenya
d’un usuari o en l’accés a un recurs.
Control d’accés Mecanisme que, en funció de la identificació, un cop ja autenticada, permet accedir a dades o recursos.
Còpia de seguretat Còpia de les dades d’un fitxer automatitzat en un suport que en possibiliti la recuperació.
Fitxers de treball creats per usuaris o processos que siguin necessaris per a un tractament ocasional o com a pas
Fitxers temporals
intermedi durant la realització d’un tractament
Identificació Procediment de reconeixement de la identitat d’un usuari.
Incidència Qualsevol anomalia que afecti o pogués afectar la seguretat de les dades.
Recurs Qualsevol part component d’un sistema d’informació.
Persona o persones a les quals el responsable del fitxer ha assignat fonamentalment la funció de coordinar i
Responsable de seguretat
controlar les mesures de seguretat aplicables.
Conjunt de fitxers, programes, suports i equips emprats per a l’emmagatzemament i tractament de dades de
Sistema d’informació
caràcter personal.
Objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema
Suport
d’informació i sobre el qual es poden gravar o recuperar dades.
Subjecte o procés autoritzat per accedir a dades o recursos. Tindran la consideració d’usuaris els processos que
Usuari
permetin accedir a dades o recursos sense identificació d’un usuari físic.
Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells:
bàsic, mitjà i alt. ( article 80 del RLOPD)
23
24. ANNEX 4: Marc normatiu
Unió Europea
• Carta del drets fonamentals de la Unió Europea (arts. 7 i 8)
• Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d'octubre de 1995,
relativa a la protecció de les persones físiques pel que fa al tractament de dades
personals i a la lliure circul.lació d'aquestes dades.
Consell d’Europa
• Convenció per a la salvaguarda dels drets humans i de les llibertats fonamentals
Normativa espanyola
• Constitució espanyola (arts. 10, 14, 16, 18, 20, 53 i 105)
• Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter
personal (BOE núm. 298, de 14.12.1999)
• Reial decret 1720/2007, de 21 de desembre, de protecció de dades de caràcter
personal (BOE núm. 17, de 19.01.2008)
Disposicions adoptades per l’Agència Catalana de Protecció de Dades
• Llei 5/2002 de l’Agència Catalana de Protecció de Dades
• Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter
personal mitjançant càmeres amb fins de videovigilància.
• Recomanació 1/2008 sobre la difusió d'informació que contingui dades de caràcter
personal a través d'Internet.
• Recomanació 1/2010 sobre l'encarregat del tractament en la prestació de serveis per
compte d'entitats del sector públic de Catalunya.
24
25. ANNEX 5: Resum de Mesures de seguretat
Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar
les mesures de seguretat d’acord amb el que disposa la normativa vigent, amb independència
de quin sigui el seu sistema de tractament.
Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de
seguretat qualificades de nivell bàsic.
El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les
mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és
de compliment obligat per al personal amb accés als sistemes d’informació.
El document ha de contenir, com a mínim, els aspectes següents:
a) Àmbit d’aplicació del document amb especificació detallada dels recursos protegits.
b) Mesures, normes, procediments d’actuació, regles i estàndards encaminats a garantir el
nivell de seguretat exigit en aquest Reglament.
c) Funcions i obligacions del personal en relació amb el tractament de les dades de
caràcter personal incloses en els fitxers.
d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes
d’informació que els tracten.
e) Procediment de notificació, gestió i resposta davant les incidències.
f) Els procediments de realització de còpies de seguretat i de recuperació de les dades en
els fitxers o tractaments automatitzats.
g) Les mesures que sigui necessari adoptar per al transport de suports i documents, així
com per a la destrucció dels documents i suports o, si s’escau, la reutilització d’aquests
últims.
En cas que siguin aplicables als fitxers les mesures de seguretat de nivell mitjà o les mesures
de seguretat de nivell alt, el document de seguretat ha de contenir a més:
a) La identificació del responsable o responsables de seguretat.
b) Els controls periòdics que s’han de realitzar per verificar el compliment del que
disposa el document.
Quan hi hagi un tractament de dades per compte de tercers, el document de seguretat ha de
contenir la identificació dels fitxers o tractaments que es tractin en concepte d’encarregat amb
referència expressa al contracte o document que reguli les condicions de l’encàrrec, així com la
identificació del responsable i del període de vigència de l’encàrrec.
En els casos en què dades personals d’un fitxer o tractament s’incorporin i es tractin de manera
exclusiva en els sistemes de l’encarregat, el responsable ho ha d’anotar en el seu document de
seguretat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del
responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte
pel que fa a les dades incloses en recursos propis.
El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre
que es produeixin canvis rellevants en el sistema d’informació, en el sistema de tractament que
es fa servir, en la seva organització, en el contingut de la informació inclosa en els fitxers o
tractaments o, si s’escau, com a conseqüència dels controls periòdics realitzats. En tot cas,
s’entén que un canvi és rellevant quan pot repercutir en el compliment de les mesures de
seguretat implantades.
El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en
matèria de seguretat de les dades de caràcter personal.
25
27. ANNEX 6: Models de clàusules informatives
En tot cas són models orientatius que s’han de concretar i adequar a cada cas particular.
• Model de clàusula informativa, per tractaments que no contenen dades sensibles
(consentiment tàcit):
D’acord amb l’article e de la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer
declarat), del qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer).
Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a ( adreça del centre/servei educatiu )
• Model de clàusula informativa, per tractaments que contenen dades sensibles
(consentiment exprés):
D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del
qual és responsable ( òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer), i autoritza
expressament al responsable del fitxer el tractament de les dades amb la finalitat indicada. Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició
mitjançant un escrit adreçat a ( adreça del centre/servei educatiu ).
• Model de clàusula informativa, per tractaments que no contenen dades sensibles, amb
cessió (consentiment tàcit):
D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del
qual és responsable (òrgan responsable d’acord amb la declaració del fitxer) . La finalitat és (finalitat expressada en la declaració del fitxer). Us informen que
les vostres es cediran a (entitats determinades a la declaració del fitxer) amb la finalitat de (finalitat de la cessió). Podeu exercir els drets d’accés, rectificació,
cancel·lació i oposició mitjançant un escrit adreçat a (adreça del centre/servei educatiu )
27
28. ANNEX 7: Model de clàusula de confidencialitat
• Model per a personal col·laborador del Departament d’Educació
Model de clàusula de confidencialitat que podeu adaptar i fer signar a les persones que puguin
tenir un accés a dades personals, com per exemple becaris, personal en pràctiques o
col·laboradors temporals, monitors, etc.......
El Sr./la Sra. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, partint de la relació contractual/laboral/............ que, de forma [continuada / temporal],
manté amb el Departament d’Educació/ centre o servei educatiu/........... , d’acord amb la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de
caràcter personal i el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD, es compromet a establir,
complir i respectar les següents obligacions, respecte del tractament i gestió de les dades de caràcter personal a les quals tingui accés pel desenvolupament
de la seva feina:
1. Mantenir absoluta confidencialitat, reserva i estricte secret professional respecte de la informació i/o dades de caràcter personal, responsabilitat
l’Administració de la Generalitat de Catalunya, mitjançant el Departament d’Educació, que pugui conèixer en ocasió del compliment dels serveis
prestats, i no divulgar-la, ni publicar, difondre o posar a disposició de tercers, bé directament o indirectament, sense el consentiment previ per
escrit del Departament d’Educació, ni tan sols per la seva conservació.
2. Donar compliment a les mesures de seguretat i privacitat establertes pel Departament d’Educació i en especial del document Funcions i
obligacions del personal respecte de la seva informació i les dades de caràcter personal. Observar i adoptar totes les mesures de seguretat que
siguin necessàries per assegurar la confidencialitat, secret, disponibilitat i integritat de les dades de caràcter personal a les quals tingui accés,
així com a observar i implementar en un futur les mesures de seguretat que siguin exigides per les lleis i els reglaments destinats a preservar el
secret, la confidencialitat i la integritat en el tractament automatitzat o manual de la informació confidencial.
3. En el supòsit que, per qualsevol motiu relacionat amb el lloc de treball, entri en possessió d’informació confidencial, independentment del tipus
de suport en què estigui, s’entén que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això atorgui cap dret de
possessió o titularitat o còpia sobre la referida informació. Així mateix, s’hauran de retornar tots els suports o materials al Departament
d’Educació/ centre o servei educatiu/..........., o destruir-los, immediatament després de la finalització de les tasques que n’han originat l’ús
temporal, i en qualsevol cas, en el moment de finalització del projecte o de la relació laboral.
4. Aquesta obligació subsistirà fins i tot després de finalitzar la seva relació amb el Departament d’Educació/ centre o servei educatiu/............
............., a .........de ......... de 20............
Signat..............
28
29. ANNEX 8: Models de clàusules per a prestadors de serveis
• Model de clàusula per als prestadors de serveis sense accés a dades personals:
Es consideren serveis sense accés a dades aquells que implícitament no comporten tractament
de dades de caràcter personal. L’accés a dades personals és accidental, com ara serveis de
neteja, serveis de manteniment d’instal·lacions, etc...
PROVEÏDOR manifesta haver estat degudament informat per part del .................................................... sobre la prohibició expressa d’accedir,
visualitzar, copiar, gravar, alterar, comunicar i/o realitzar qualsevol acte que posi en perill o vulneri la confidencialitat i seguretat de les dades de
caràcter personal de les que és responsable .................................................., a les quals PROVEÏDOR hagués accedit de forma involuntària o
accidental amb motiu de l’execució del contracte de prestació de serveis formalitzat entre ambdues parts.
Aquesta prohibició és extensible a la totalitat de les dades de caràcter personal responsabilitat de .........................................................................., amb
independència del tipus de canal o suport amb que siguin tractades, essent responsable PROVEÏDOR de l’incompliment de tal prohibició per part dels
seus treballadors. El deure de secret i confidencialitat subsistirà amb posterioritat a l’extinció del contracte.
............., a .........de ......... de 200...
Signat..............
• Model de clàusula per als prestadors de serveis amb accés a dades personals:
Es consideren serveis amb accés a dades aquells que implícitament comporten tractament de
dades de caràcter personal, com ara contractació de serveis de monitors, serveis de transport,
etc.... En tot cas el model és orientatiu i ha de concretar els aspectes relatius al tractament
concret i fer referència explícita a les mesures de seguretat que cal observar.
PROVEÏDOR accepta, mitjançant la seva signatura, el present compromís de confidencialitat i tractament de dades personals, subjecte als següents extrems:
PROVEÏDOR mantindrà la més estricta reserva i confidencialitat sobre les dades personals contingudes en la documentació de la qual és responsable
el.............................................................., i sobre les dades a les quals accedeixi amb motiu dels serveis prestats consistents en ******.
En aquest sentit, PROVEÏDOR complirà adequadament i en tot moment les disposicions contingudes en la Llei Orgànica 15/1999, de 13 de desembre, de
protecció de dades de caràcter personal (en endavant LOPD), així com en el Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de
desenvolupament de la LOPD (en endavant RLOPD), i en qualsevol altra norma vigent o que en el futur pugui promulgar-se sobre aquesta matèria.
En virtut del que disposa l’article 12 LOPD i els articles 20 a 22 i 82 del RLOPD, PROVEÏDOR serà considerat, amb caràcter general, com a encarregat del
tractament de les dades de caràcter personal a les quals tingui accés per a la prestació dels seus serveis a l’Administració Pública de la Generalitat de
Catalunya. En conseqüència, la transmissió de dades de caràcter personal que realitzi l’Administració Pública de la Generalitat de Catalunya en favor de
PROVEÏDOR no tindrà, en cap cas, la consideració de comunicació de dades de caràcter personal, en els termes previstos en l’article 11 LOPD.
El tractament de dades per part de PROVEÏDOR en qualitat d’encarregat del tractament, es produirà durant el període de prestació del servei contractat i
aquestes dades únicament seran utilitzades per a les finalitats estrictament necessàries per a la prestació del servei esmentat.
PROVEÏDOR únicament tractarà aquestes dades d’acord amb les instruccions del ........................................., no aplicarà o utilitzarà les dades amb una
finalitat diferent a la que figuri en el present compromís, ni per a finalitats diferents a les necessàries per a la prestació del servei contractat; ni les comunicarà,
ni tan sols per a la seva conservació, a altres persones sense la corresponent autorització.
Les obligacions de confidencialitat establertes en el present compromís tindran una durada indefinida, i es mantindran en vigor amb posterioritat a la
finalització de la relació entre el .................................... i PROVEÏDOR.
Una vegada complerta la prestació de serveis, PROVEÏDOR haurà de retornar al ............................................. les dades de caràcter personal, així com
qualsevol suport o document que incorpori dades personals fruit de la relació formalitzada entre ambdues parts. La devolució de les dades de caràcter
personal per part de PROVEÏDOR es portarà a terme, si s’escau, en el format i en els suports utilitzats en aquest moment per PROVEÏDOR per
emmagatzemar aquestes dades.
D’igual manera, PROVEÏDOR es compromet, amb posterioritat a l’extinció de la relació contractual mantinguda amb el
..............................................................., a no conservar cap còpia de la informació.
PROVEÏDOR no podrà subcontractar amb un tercer la realització de cap tractament que li hagués encomanat el ........................................................, llevat
dels supòsits autoritzats per aquest de forma expressa. En aquests casos, la contractació s’efectuarà en nom i per compte del
........................................................
PROVEÏDOR manifesta que té implementades les mesures d’índole tècnica i organitzativa necessàries que garanteixen la seguretat de les dades de caràcter
personal, i n’eviten l’alteració, pèrdua, tractament i/o accés no autoritzat, tenint en compte la naturalesa de les dades que tracta, que són de nivell ****** de
seguretat, i els riscos als quals aquestes dades puguin estar exposades, tot això de conformitat amb el que disposa el RLOPD. En compliment del segon
paràgraf de l’article 12.2 de la LOPD i atesa la naturalesa de les dades de caràcter personal que són objecte de tractament, PROVEÏDOR com a encarregat
del tractament, aplicarà les mesures de seguretat que corresponguin:
1) En l’accés a tot tipus de fitxer amb dades de caràcter personal cal aplicar les mesures descrites de l’article 89 al 94 del RLOPD per tractaments
automatitzats i de l’article 105 al 108 del RLOPD per a tractaments no automatitzats.
2) En l’accés a fitxers amb un nivell de seguretat mitjà cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus
de fitxer i a més les mesures descrites de l’article 95 al 100 del RLOPD per tractaments automatitzats i de l’article 109 al 110 per a tractaments
no automatitzats.
3) En l’accés a fitxers amb un nivell de seguretat alt cal garantir el compliment de les mesures descrites al punt 1 per a l’accés a qualsevol tipus de
fitxer, les descrites al punt 2 per a l’accés a fitxers de nivell mitjà i les mesures descrites de l’article 101 al 104 del RLOPD per tractaments
automatitzats i de l’article 111 al 114 per a tractaments no automatitzats.
PROVEÏDOR informarà al seu personal de les obligacions establertes en el present compromís sobre confidencialitat i realitzarà els advertiments i subscriurà
els documents que siguin necessaris amb el seu personal, si en tenen, amb la finalitat d’assegurar el compliment d’aquestes obligacions.
...................., ............de.............de................
Signat: ...................
29
30. ANNEX 9: Videovigilància en centres i serveis educatius
La protecció de dades, com qualsevol altre dret fonamental, no és absolut, és a dir està
subjecte a límits, com per exemple, la seguretat pública o els drets de tercers. Però aquests
límits han de reunir certes garanties per evitar que el dret desaparegui enfront dels altres drets i
interessos en joc.
Es especialment en aquest àmbit (tractament d’imatges/veu) on es poden veure afectats altres
drets com la llibertat d’expressió, la llibertat de circulació, el dret a la no discriminació i
especialment en l’àmbit educatiu el principi d’interès superior de l’Infant, que no pretén més que
reforçar el dret dels infants al lliure desenvolupament de la seva personalitat .
Els dubtes d’aplicació plantejats tant pels ciutadans com pels mateixos responsables del
tractament per a donar compliment a les obligacions que actualment existeixen en aquest àmbit
van donar com resultat la Instrucció 1/2009 de l’APDCat sobre el tractament de dades
personals mitjançant sistemes de videovigilància.
La Instrucció 1/2009, dona elements de judici als responsables, a l’hora de prendre la decisió
sobre la implantació d’aquests sistemes.
Amb aquest objectiu s’ha de destacar la previsió que fa la Instrucció d’elaborar una memòria
amb caràcter previ a l’aprovació del fitxer, com a eina per fer una anàlisi completa i sistemàtica
de les característiques del tractament que es vol dur a terme i de les circumstàncies
concurrents, que compleixi no només una funció formal de motivació de la mesura sinó que
permeti una avaluació acurada amb caràcter previ a la presa de la decisió, com una garantia
per a la ciutadania i alhora com a una garantia de l’encert de la mesura per a la consecució
de l’interès públic.
Com podeu comprovar l’ordre de declaració no ha inclòs la declaració d’aquest fitxer per al cas
de centres i serveis educatius. La disposició de creació requeria per la seva tramitació la
presentació les memòries que justifiquen les instal·lacions dels sistemes de captació d’imatge
i/o veu. Com sigui que el Departament no disposa d’aquesta informació, elaborarà un
procediment que permetrà legalitzar i legitimar aquesta situació donant instruccions als centres
i serveis educatius..
Fins la publicació de la instrucció, com a responsables de la instal·lació d’aquests sistemes, us
recomanem:
• Llegiu atentament la Instrucció 1/2009 de l’APDCat
• Assegureu que l’empresa instal·ladora o de manteniment coneix la normativa a la
que esteu sotmesos com administració pública que sou.
• Els centres i serveis educatius que ja disposeu en l’actualitat d’aquest tipus
d’instal·lacions:
• Demaneu a l’empresa instal·ladora o de manteniment que
complementin la memòria justificativa de la instal·lació i instal·leu els
cartells informatius.
• Si encara no disposeu d’aquest sistemes i penseu en instal·lar-ho:
• Feu l’anàlisi previ que aconsella la Instrucció.
• Contacteu amb una empresa instal·ladora i exposeu-li el requisits a
que esteu sotmesos. Feu incloure en el servei la instal·lació els
cartells informatius i la confecció de la memòria justificativa.
Us subministrem un model base per tal que elaboreu la memòria i unes instruccions per poder
complimentar.
30
31. ANNEX 10: Videovigilància, resum normatiu
CAPTACIÓ D’IMATGE I/O VEU A TRAVÉS DE SISTEMES DE VIDEOVIGILÀNCIA
Si el centre o servei educatiu disposa o vol disposar de sistemes de videovigilància heu de
donar compliment al que disposa la:
• Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de
caràcter personal mitjançant càmeres amb fins de videovigilància, dictada per
l’Agència Catalana de protecció de Dades i publicada al DOGC núm. 5322- 19/02/2009.
Legalització i legitimació del fitxer: Per poder iniciar la captació d’imatges cal haver creat,
amb caràcter previ, el fitxer corresponent, d’acord amb el que estableix la normativa de
protecció de dades de caràcter personal i la Instrucció, llevat que les imatges es captin sense
que hi hagi emmagatzematge.
S’ha de sol·licitar un informe a l’Agència Catalana de Protecció de Dades sobre l’adequació del
tractament a la legislació en matèria de protecció de dades. La sol·licitud d’informe s’ha
d’acompanyar de la proposta d’acord o de disposició.
Proporcionalitat: Amb caràcter previ a la instal·lació, les persones responsables de la
utilització de sistemes de videovigilància han de ponderar els diferents drets i béns jurídics en
joc, analitzant:
a) La necessitat d’utilitzar aquests sistemes.
b) La idoneïtat de la instal·lació de sistemes de videovigilància per assolir la finalitat
perseguida.
c) El risc que pot suposar per als drets de les persones, ateses les característiques del
sistema de videovigilància, les circumstàncies de la captació i les persones afectades.
d) L’absència de mesures de vigilància alternatives que comportin un risc menor, en
relació amb possibles intromissions en els drets fonamentals.
Aquesta ponderació ha de quedar documentada en la memòria prevista d’acord amb l’article 10
de la Instrucció.
Memòria Justificativa: Amb caràcter previ a la creació del fitxer, o a la posada en marxa del
sistema de videovigilància, s’ha d’elaborar una Memòria Justificativa d’acord amb l’article 10 de
la Instrucció.
Deure d’informació: Les persones responsables del tractament d’imatges a través de càmeres
fixes han d’informar de forma clara i permanent sobre l’existència de les càmeres mitjançant la
col·locació dels cartells informatius que siguin necessaris per garantir-ne el coneixement per les
persones afectades. Aquesta obligació és exigible igualment quan les imatges captades no
siguin enregistrades.
Els cartells informatius s’han de col·locar abans que comenci la captació d’imatges i veus, fins i
tot si es tracta de proves, i només poden retirar-se un cop sigui desinstal·lat el sistema.
Els cartells informatius s’han de col·locar en emplaçaments clarament
visibles abans d’entrar en el camp de gravació de les càmeres.
Conservació de les imatges: Amb caràcter general, es recomana no excedir el termini màxim
d’un mes per cancel·lar les imatges tractades.
31
32. Procediment d’exercici de drets: Per a l’exercici dels drets d’accés, rectificació, cancel·lació i
oposició, cal formular una sol·licitud adreçada al responsable del fitxer o, si escau, a
l’encarregat del tractament, indicant el lloc, la data i l’hora aproximada, en franges no superiors
a dues hores, en què la seva imatge va poder ser captada. La sol·licitud s’ha d’acompanyar
d’una imatge de la persona sol·licitant que correspongui al període en què es va captar, de
manera que permeti identificar-la. Per tal de comprovar la coincidència entre la imatge aportada
i les imatges enregistrades, es poden utilitzar eines de reconeixement d’imatges.
Si la imatge o la veu aportades no ofereix prou definició o elements per permetre la
identificació, s’ha d’atorgar un termini d’esmena de 10 dies hàbils per poder aportar una altra
imatge o gravació de la veu.
Pot denegar-se la sol·licitud d’exercici dels drets d’accés, rectificació, cancel·lació o oposició
quan no concorrin els requisits exigibles, o quan el nivell de coincidència entre la imatge o la
veu aportada amb la sol·licitud i les que hagin estat objecte de tractament no permeti assegurar
que aquesta darrera correspon a la persona interessada. També pot denegar-se quan no hagin
estat enregistrades o ja hagin estat cancel·lades.
Nivell de seguretat: La recollida i el tractament d’imatges de persones identificades o
identificables requereix, amb caràcter general, el nivell de seguretat bàsic, sens perjudici que
en determinats supòsits puguin ser d’aplicació les mesures de nivell mitjà o alt.
Mesures de seguretat: La persona responsable del tractament ha d’adoptar les mesures
tècniques i organitzatives necessàries que garanteixin l’autenticitat, la integritat i la
confidencialitat de les imatges captades mitjançant sistemes de càmeres i que n’evitin
l’alteració, pèrdua, accés indegut o tractament no autoritzat.
La persona responsable del tractament ha d’informar les persones que tinguin accés a les
imatges en exercici de les seves funcions que han d’observar el deure de secret, i que aquesta
obligació subsisteix fins i tot després d’haver finalitzat la seva relació de servei.
A les imatges, i si escau a les veus, obtingudes o tractades mitjançant sistemes digitals de
videovigilància,fins i tot durant el període de proves, se’ls ha d’aplicar les mesures de seguretat
tècniques i organitzatives previstes a la normativa de protecció de dades de caràcter personal
per als fitxers o tractaments automatitzats, segons el nivell de seguretat establert.
32