Tratamiento de datos personales en los centros educativos públicos de Barcelona dependientes del Departamento de Educación de la Generalitat de Catalunya para el uso de servicios y recursos online.
Por Xnet
[Atención: cada Comunidad Autónoma decide quién es el Responsable de tratamientos de datos. No para todas es igual. Por ejemplo en Catalunya son los centros y en Madrid la Consejería de Educación de la Comunidad].
ÍNDICE
DEFINICIONES QUE SE HAN DE CONOCER
• Datos personales
• Categorías especiales de datos
• Tratamiento de datos
CÓMO SE REPARTEN LAS RESPONSABILIDADES
• El Responsable del tratamiento
• El Encargado del tratamiento
• El Delegado de protección de datos
• El profesorado y otras trabajadoras y trabajadores
PRINCIPIOS DE LA NORMATIVA QUE SE HAN DE CONOCER
• Privacidad desde el diseño y por defecto
• Minimización de datos
• Limitación del plazo de conservación o minimización del período de conservación
• Limitación de la finalidad
• Licitud, lealtad y transparencia
• Exactitud
• Accountability, responsabilidad proactiva & Seguridad, integridad, confidencialidad y secreto
TAREAS DE CADA UNO
-
DE QUÉ ES RESPONSABLE LA DIRECCIÓN DE LOS CENTROS EDUCATIVOS
-
1) Registro de actividades de tratamiento
2) Cumplimiento de los principios de la normativa de protección de datos
3) Información sobre las medidas al profesorado y personal
ANEXO 1. MODELO PARA NORMAS DE ORGANIZACIÓN Y FUNCIONAMIENTO DEL CENTRO (NOFC) SOBRE PROTECCIÓN DE DATOS PERSONALES
4) Información y consentimiento de las personas afectadas
4.1) Información
ANEXO 2. MODELO POR EL CONSENTIMIENTO DE LAS FAMILIAS
4.2) Consentimiento
4.3) Información que debe constar en el Aviso legal de las herramientas educativas (y las páginas web)
ANEXO 3. MODELO DE AVISO LEGAL, CONDICIONES DE USO DE LA PLATAFORMA DD, POLÍTICA DE PRIVACIDAD Y POLÍTICA DE COOKIES
5) Encargados del tratamiento
ANEXO 4. MODELO DE ANEXO CONTRACTUAL DE PROTECCIÓN DE DATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO (EX. EMPRESA EXTERNA DE SERVICIOS)
6) Incidencias de seguridad de protección de datos
El 27 de abril de 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento y del Consejo, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en lo sucesivo RGPD)(1) , de aplicación desde el 25 de mayo de 2018.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) (2) completa el marco normativo establecido por el RGPD en el ámbito español.
La protección de datos es la protección de la privacidad de las personas. Es un derecho fundamental. En el caso de los Centros educativos, su aplicación protege a los derechos individuales de toda la comunidad educativa: alumnado pero también profesorado, dirección, administración y familias. En la normativa se establece una serie de medidas de obligado cumplimiento para garantizar estos derechos.
Este manual debe servir para entender que se trata del cumplimiento de ciertos protocolos sencillos relativos a cómo gestionamos los datos personales. No es solo una cuestión normativa para los responsables de las actividades en los Centros, sino también una forma de higiene por no encontrarse en situación de indefensión, una forma de protegerse y evitar problemas más complejos.
Todos los Centros deben garantizar y poder demostrar que el tratamiento que realizan de los datos personales de su comunidad es conforme a la normativa de protección de datos. Esto, según la ley, se hace demostrando que se conocen los riesgos y se opera para mitigarlos, como explicaremos.
En el cumplimiento de estas obligaciones, tanto las personas responsables de los Centros educativos como todo el profesorado y sus trabajadores y trabajadoras, deben conocer las guías de la Autoridad Catalana de Protección de Datos (APDCAT)(3),(4) , y de la Agencia Española de Protección de Datos(5),(6).
DEFINICIONES QUE SE DEBEN CONOCER (7)
En estas guías se pueden encontrar otras formas de definir lo que debéis conocer:
– Guías de la Autoridad Catalana de Protección de Datos (APDCAT), en concreto las relativas a los Centros educativos(8),(9), (10)
– Guías de la Agencia Española de Protección de Datos (AEPD), en concreto las relativas a los Centros educativos(11),(12), (13)
Aquí lo explicamos simplificado.
• Datos personales
“Cualquier información sobre una persona identificable”, o sea “cualquier persona cuya identidad puede determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esta persona”(14),(15).
“El nombre y apellidos de un alumno, sus padres, su dirección, su número de teléfono o su correo electrónico son datos de carácter personal. También lo son las imágenes de los alumnos o, por ejemplo, la profesión, los estudios o el lugar en el que trabajan los padres, o su número de cuenta bancaria”(16),(17).
Pensad que, por ejemplo, el conocimiento de la dirección de una persona puede afectar a su incolumidad en casos de acoso, en caso de que algún miembro de la familia tenga un trabajo en el que está expuesto al público, o en otras circunstancias , y por eso todos los datos personales deben tratarse con cuidado(18).
Se debe pensar que, por ejemplo, el conocimiento de la dirección de una persona puede afectar a su incolumidad en casos de acoso, en caso de que algún miembro de la familia tenga un trabajo en el que está expuesto al público, o en otras circunstancias, y por eso todos los datos personales deben tratarse con cuidado.
• Categorías especiales de datos (19),(20),(21),(22)
Algunos datos personales son especialmente sensibles porque revelan circunstancias o información de las personas sobre su esfera más íntima y personal. Requieren que se les preste especial atención y se adopten las medidas adecuadas para evitar que su tratamiento origine lesiones en los derechos y libertades de las personas, tanto en el normal funcionamiento del Centro como en situaciones extraordinarias como sustituciones, salidas o colonias.
Forman parte de esta categoría de datos los que revelen: el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, la afiliación sindical, datos de salud física o mental, datos referentes a la vida sexual o a la orientación sexual de la persona, datos genéticos, datos biométricos (imágenes faciales, datos dactilares, etc.) dirigidos a identificar a la persona o datos referidos a la comisión de infracciones penales o administrativas.
En el ámbito educativo son frecuentes los siguientes tratamientos de datos de categorías especiales:
– Los Centros educativos recogen en muchos casos, a través de sus servicios médicos botiquines, datos de salud relacionados con la salud física y mental de los alumnos, referidos a discapacidades físicas, como minusvalías o de lesiones o enfermedades que pueden tener lugar en el Centro. También existen datos que se recogen por el ejercicio de la función educativa, referidos por ejemplo a discapacidades psíquicas, altas capacidades, TDAH, autismos, etc. o psicopedagógicas, para realizar informes de los alumnos.
– Para prestar el servicio de comedor también es necesario recoger datos de salud, para saber qué alumnos son celíacos, diabéticos o sufren otras intolerancias o alergias alimentarias.
– Se debe tener presente que no tiene consideración de categoría especial de datos o datos sensibles que un alumno curse la asignatura de religión, ya que el hecho de cursarla no implica la revelación de su confesión religiosa.
• Tratamiento de datos (23)
Cualquier operación o conjunto de operaciones llevadas a cabo sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. La propia matriculación o solicitud de admisión es, por ejemplo, el primer momento de tratamiento de datos en los Centros.
CÓMO SE REPARTEN LAS RESPONSABILIDADES (24)
La ley establece tres figuras relevantes en el ámbito de la protección de datos, en este caso en el ámbito educativo.
Además, como el Departamento de Educación ha interpretado estas responsabilidades se define en varios documentos (25), concretamente en el «Documento de organización y gestión de los Centros» (DOIGC) sobre «Protección de datos personales»(26) del 2 de julio de 2021, que tiene carácter normativo para los Centros educativos dependientes del Departamento de Educación.
• El Responsable del tratamiento (27),(28),(29)
Es quien de forma lógica tiene acceso y decide sobre la gestión de los datos (la Dirección de los Centros educativos) (30),(31)
Como Responsable, debe garantizar y poder demostrar que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y libertades de las personas de las que trata los datos (32).
Además, el Departament y el Consorci han identificado las actividades de tratamiento que se llevan a cabo en los Centros o servicios educativos y como resultado han generado los correspondientes Registros de Actividades de Tratamiento.
Como veremos más adelante en el punto “Registro de actividades de tratamiento”, estos registros de actividades de tratamiento son la base a la que cada Centro debe referirse para cumplir con la normativa de protección de datos y son la guía para las medidas a tomar.
• El Encargado del tratamiento(33),(34)
Empresa, entidad o persona externa a las que se delega el tratamiento de datos o por proveer un servicio que están en contacto con datos personales (proveedor de servidores, gestor de programas informáticos externalizados,…)(35).
• El Delegado de protección de datos(36),(37)
Figura obligatoria en educación(38) que ayuda y vela por el cumplimiento por parte de todos los actores además de ser la persona interlocutora de los Centros y servicios educativos con la Autoridad Catalana de Protección de Datos (APDCAT)(39) y debería también proporcionar la formación sobre la materia al personal de la comunidad educativa(40).
Esta figura se encuentra centralizada en el Departamento Educación(41) y por tanto el Consorcio(42) y los Centros educativos públicos cumplen la ley sin necesidad de tener Delegado de Protección de Datos (DPD) propio por este motivo.
• El profesorado y otras trabajadoras y trabajadores
Se encuentran sometidos a la gestión de la dirección y titulares de los Centros y servicios educativos, y por tanto, deben tratar los datos según sus indicaciones. Así debe quedar reflejado en las Normas de Organización y Funcionamiento del Centro educativo (NOFC)(43) es que la dirección debe asegurarse de que el profesorado conozca.
PRINCIPIOS DE LA NORMATIVA QUE SE DEBEN CONOCER
Es importante entender estos principios, porque si se incorporan con naturalidad al día a día, resulta más fácil todo lo que haremos con los datos.
En las guías institucionales de referencia mencionadas se pueden encontrar las definiciones que debes conocer. Aquí las explicamos simplificadas.
• Privacidad desde el diseño y por defecto(44),(45),(46),(47),(48)
Todas las actividades, desde la recogida de datos, generación de contenidos en las aulas, comunicación de datos de personas a otras personas para proveer un servicio o para llevar a cabo actividad didáctica o educativa, deben pensarse teniendo en cuenta los principios que se definen a continuación para que se garantice la privacidad en y desde el momento de diseñar la actividad (privacidad desde el diseño), previniendo los riesgos y posibles daños en vez de repararlo si ocurre algo después. O sea garantizar que se tenga en cuenta la protección de las personas de forma predeterminada, por defecto (privacidad por defecto).
Por ejemplo, deberá garantizarse que por defecto, sólo se tratan los datos personales mínimos y necesarios (ver, principio de “minimización de datos”) para el fin que se quiera cumplir. El responsable de cumplir con este principio es quien lleva a cabo la actividad, pero quien lo es en última instancia y debe garantizar que quien lleve a cabo la actividad lo cumpla, es el Responsable de tratamiento del Centro (la Dirección).
• Minimización de datos(49),(50),(51),(52)
Los datos que se recogen de las personas, los que provienen de otras instituciones o se comunican a otras entidades, deben ser solo los pertinentes y necesarios en relación con los fines para los que se traten. Es decir, solo deben solicitarse los datos estrictamente necesarios para llevar a cabo una actividad, y en caso de ser posible incluso llegar a no tratar datos personales si no son necesarios. Además, deben buscarse los medios menos intrusivos para recoger y gestionar los datos.
Por ejemplo, cualquier formulario no debe pedir datos por defecto, sino que debe revisarse para asegurar que no se piden más datos de los que sirven según el motivo del formulario.
NUNCA deben recogerse más datos de la cuenta ni permitir que se le soliciten más datos de la cuenta sin una clara explicación de la necesidad.
• Limitación del plazo de conservación o minimización del período de conservación(53),(54)
Los datos deben conservarse de forma que se permita la identificación de las personas solo durante el tiempo estrictamente necesario para cumplir con los fines del tratamiento de datos personales por los que se han solicitado. Los datos se pueden conservar durante períodos más largos con fines de archivo en interés público, ya sea para la investigación científica o histórica o por fines estadísticos, pero aplicando medidas técnicas y organizativas para proteger los derechos y libertades de las personas y preferiblemente, aunque no obligatoriamente, informando a las personas sobre este uso ulterior.
Esto significa que los datos personales que ya no se utilizan, deben eliminarse.
Algunas orientaciones sobre los plazos de conservación se pueden encontrar en el Registro de Actividades de Tratamiento del Departamento de Educación(55) que dispone que los datos del expediente académico(56) son de conservación permanente, o en el Documento para el organización y gestión de los Centros referido a la Gestión de los Centros para el curso 2021 – 2022 (57) que establece plazos de 5 y 6 años para una parte de la documentación administrativa. Sobre el resto de material generado por y sobre las y los alumnos, como Xnet estamos consultando a la Generalitat al respecto, actualizaremos la información cuando tengamos respuesta.
• Limitación de la finalidad(58),(59)
En el diseño del tratamiento de datos deben establecerse las finalidades del tratamiento, es decir, el motivo por el que se recogen los datos y verificar que este motivo justifica la recogida (principios de privacidad desde el diseño y por defecto y minimización de datos). Las finalidades del tratamiento deben ser explícitas, es decir, de las que se haya informado específicamente a las personas afectadas.
Estas finalidades deben respetarse en todo momento, sin que se puedan utilizar los datos posteriormente de manera diferente e incompatible con estas finalidades iniciales (aparte, son compatibles finalidades de archivo para la investigación científica e histórica o la realización de estadísticas, preferiblemente, aunque no obligatoriamente, informando a las personas sobre este uso ulterior).
La información que recojan los Centros en ejercicio de su función educativa debe ser la estrictamente necesaria para la función docente y orientadora (principio de minimización), y no se puede tratar con finalidades distintas de la educativa sin consentimiento expreso de las madres, padres o tutores legales, o de los menores mayores de 14 años.
• Licitud, lealtad y transparencia(60),(61),(62),(63)
El tratamiento solo es lícito y leal si está fundamentado en los casos previstos por la ley, es decir, si tiene una “base jurídica” que lo justifique. Las bases jurídicas que establece la normativa de protección de datos para poder tratar datos personales son:
1. El consentimiento de la persona (ver apartado específico sobre el consentimiento).
2. Cuando el tratamiento es necesario para ejecutar un contrato (por ejemplo, para tratar los datos de los profesores).
3. Para cumplir con una obligación legal.
4. Para proteger los intereses vitales de una persona.
5. Para cumplir con una misión realizada en interés público o en ejercicio de poderes públicos del Responsable, que en todo caso deberá estar establecida por ley: En este apartado se incluye el tratamiento de datos que realizan los Centros educativos en el ejercicio de la función educativa y orientadora establecida por la Ley Orgánica de Educación (LOE)(64). Sin embargo, las indicaciones institucionales tienen incongruencias sobre el alcance de esta base jurídica: por ejemplo en el caso del uso de herramientas y recursos digitales en el aula. Estamos pidiendo más precisiones al respecto a la Generalitat y actualizaremos la información cuando tengamos respuesta. El comedor no está incluido en esta base jurídica.
6. Para satisfacer los «intereses legítimos» del Responsable. Este punto es polémico porque los especialistas en la materia lo consideran demasiado amplio y genérico.
Cuando se traten datos sensibles (categorías especiales de datos), solo se podrá realizar con el consentimiento de la persona, para proteger sus intereses vitales o en casos específicos establecidos por la ley. Sin embargo, la LOE permite que los Centros traten datos sensibles cuando sea necesario para la educación y la orientación de los alumnos.
El principio de transparencia se refiere a la información que debe proporcionarse a las personas afectadas por un tratamiento de datos. Así, por ejemplo, el Centro debe informarlas sobre el tratamiento con suficiente antelación y cuando se introduzcan cambios en el tratamiento de los datos, debe comunicar y explicar cómo estos cambios les afectarán(65).
Los datos de que disponen los Centros deben ser exactos, y por tanto, es necesario actualizarlos cuando sea necesario. Los Centros deben tomar medidas para suprimir y rectificar los datos inexactos.
• Accountability, responsabilidad proactiva (68),(69),(70) & Seguridad, integridad, confidencialidad y secreto(71),(72)
Como ya se ha comentado, el Centro debe poder garantizar y demostrar que cumple con la normativa de protección de datos y ha tomado las medidas necesarias para ello, actuando de forma diligente y preventiva, emprendiendo acciones y no reaccionando a los problemas ( responsabilidad proactiva), para que los datos sean tratados, almacenados y gestionados de forma que se garantice la seguridad y confidencialidad de éstas y de los sistemas de tratamiento que se utilizan, incluso contra el tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental. Esto debe hacerse mediante la aplicación de medidas técnicas y organizativas que se establezcan después de haber analizado los riesgos concretos del Centro en la gestión de datos. Por ejemplo, cuando los datos estén en papel, los documentos no deben dejarse a la vista de todos ya que personas no autorizadas podrían verlos, deben guardarse, cuando no se utilicen, dentro de carpetas o archivos . En el caso de los ordenadores, por ejemplo, es necesario bloquear siempre la sesión cuando no se utilice para que nadie pueda acceder a ellos y no deben dejarse post-its con contraseñas al alcance de otras personas.
Estas medidas técnicas y organizativas suelen establecerse después de realizar una auditoría, que también sirve para evaluar y analizar los riesgos de protección de datos(73),(74),(75),(76),(77) y documentar , para poder demostrar el proceso de cumplimiento de la normativa, los pasos que se dan. Xnet considera que estas auditorías debería asumirlas el Departamento de Educación o el Consorcio. Estamos consultando a la Generalitat respecto a cómo puede facilitarse la realización de estas auditorías por parte de los Centros educativos y actualizaremos la información cuando tengamos respuesta(78).
En cualquier caso, los Centros deben custodiar los datos de forma segura tanto digitalmente como no, permitiendo el acceso sólo a pocas personas que lo necesiten para cumplir sus funciones, y en espacios aislados del resto, tal y como explicamos en el ‘Anexo 1.
TAREAS DE CADA UNO
Todas las tareas descritas a continuación se encuentran bajo la supervisión y responsabilidad de la Dirección de los Centros educativos.
Los puntos 1-6 están dirigidos a la dirección. El punto 3 implica a cualquier trabajadora o trabajador del Centro; el 4 cualquiera que preste servicio en el Centro; el 5 en las familias.
DE QUÉ ES RESPONSABLE LA DIRECCIÓN DE LOS CENTROS EDUCATIVOS
Es responsabilidad de la dirección asegurarse y mantener al día los siguientes protocolos:
1) Tener el documento “Registro de Actividades de Tratamiento” (RAT) actualizado
2) Cumplir los principios de la normativa de protección de datos.
3) Asegurarse de que todos los trabajadores están informados sobre sus obligaciones.
4) Los contratos con los proveedores están conformes a la normativa y prevén las medidas pertinentes.
5) Las familias han sido informadas correctamente y han dado su consentimiento
6) Gestión de las incidencias de seguridad
1) Registro de actividades de tratamiento(80),(81),(82),(83),(84),(85),(86)
La normativa obliga a los Centros y servicios educativos a tener un registro de actividades de tratamiento (RAT).
Es un documento (documento, hoja de cálculo, etc.) donde se indica lo que se hace con los datos en el centro (tratamientos de datos del Centro). Se puede tener internamente o publicar en la web.
Es obligatorio en caso de supervisión de la Autoridad y sirve para tener una imagen actualizada de los tratamientos existentes en el Centro y para la gestión de riesgos en relación a la privacidad de la comunidad educativa.
En principio es suficiente un documento que diga lo siguiente(87):
“Las actividades de tratamiento del Centro XXX hacen referencia y están incluidas en los Registros de Actividades del Tratamiento del Departamento de Educación y del Consorcio de Educación de Barcelona.
• Tratamientos bajo el apartado de “Centros educativos” del siguiente enlace:
https://educacio.gencat.cat/ca/departament/proteccio-dades/informacio-addicional-tractaments/lista-responsables/
• https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_CE.pdf
Es MUY IMPORTANTE que la Dirección lea los contenidos de ambos enlaces para verificar que el Centro no realiza ninguna actividad o uso de los datos que no esté incluido en las definiciones provistas(88).
En caso de que el Centro realice tratamientos de datos distintos de los indicados, deberá generar su propio Registro de Actividades del Tratamiento siguiendo las indicaciones que se pueden encontrar aquí:
https://apdcat.gencat.cat/ca/drets_i_obligacions/responsables/obligacions/registre-activitats_tractament/
2) Cumplimiento de los principios de la normativa de protección de datos(89),(90)
Todas las actividades y tratamientos deben cumplir con los principios de minimización, privacidad desde el diseño y por defecto, limitación de la finalidad, licitud, etc.
Por ejemplo, asegúrate de minimizar desde el diseño y por defecto, es decir, desde el inicio de una actividad para no recoger ni poner más datos de los necesarios en los archivos o formularios cuando se organice la actividad. No utilices formularios ya hechos por el Departamento u otras entidades sin pensarlo, sino sólo por la actividad concreta y piensa qué datos son realmente necesarios recoger y por qué. Si no existe un motivo para recogerlas, mejor no hacerlo.
Del mismo modo, piensa en el principio de limitación de la finalidad: No utilices los datos por otros objetivos a excepción de haberlo (pensado y) advertido con antelación a las personas afectadas. Por ejemplo, si se han recogido los datos para organizar el servicio escolar de comedor, no los utilices para excursiones.
Por último, si un tratamiento de datos se hace para cumplir la función docente y orientadora de los Centros se encuentra amparado por la Ley Orgánica de Educación, pero fuera de esta función en muchos casos será necesario el consentimiento de las madres, padres y tutores de los alumnos para poder llevarlos a cabo, por ejemplo para publicar fotografías(91), entregar datos a casas de colonias u otras entidades que visiten en excursiones.
3) Información sobre las medidas al profesorado y personal
La Dirección debe informar al profesorado, personal administrativo y auxiliar, y colaborador/as de las medidas que deben seguir para proteger la información personal de la comunidad educativa. Para ello, las entidades normalmente lo hacen a través del contrato de trabajo, pero los centros educativos pueden hacerlo incluyendo estas medidas en las “normas de organización y funcionamiento del Centro”(92),(93), y enviando -las a todo el mundo para que las lean y las firmen. Poder demostrar que se ha informado a las y los trabajadores de sus obligaciones demuestra diligencia en caso de que ocurra una incidencia de protección de datos. Esto protege a la Dirección y a las y los trabajadores también.
Piensa que parece burocracia, pero que en realidad lo que se está haciendo es proteger derechos de toda la comunidad.
Ver, en este sentido el Anexo 1, con una plantilla de lo que se podría incluir en las normas de organización y funcionamiento del centro con el documento que deberían firmar las y los profesores y trabajadoras y trabajadores para poder demostrar que se les ha informado sobre estas normas.
ANEXO 1. MODELO PARA NORMAS DE ORGANIZACIÓN Y FUNCIONAMIENTO DEL CENTRO (NOFC) SOBRE PROTECCIÓN DE DATOS PERSONALES
(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros aunque no es la única manera de hacerlo).
Este documento quiere informar y comprometer al profesorado y a las y los trabajadores en relación con las normas de privacidad y confidencialidad que deben respetar en el desarrollo de sus funciones en el Centro………………………… (en adelante, el CENTRO).
Todas las y los profesionales que entran en contacto y gestionan datos personales de la comunidad educativa de este CENTRO (todo el profesorado, personal administrativo, personas colaboradoras, personal de servicios auxiliares, trabajadoras y trabajadores, en adelante, PROFESIONALES) deben conocer la importancia y obligación de proteger el derecho fundamental a la privacidad, suya y de toda la comunidad, es decir, la protección de los datos de carácter personal. Este derecho se regula mediante el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD)(94) y una serie de normas que lo desarrollan y complementan, como la LOPDGDD en el ámbito estatal(95), que establecen toda una serie de medidas de obligado cumplimiento que es una obligación conocer, en particular con datos sensibles y de menores como los que gestionan los centros educativos.
CONOCER LA PROTECCIÓN DE DATOS
Se envían a las y los PROFESIONALES del CENTRO los siguientes documentos informativos que tienen la obligación de leer:
– Manual de Xnet sobre el tratamiento de datos personales en los centros educativos de Barcelona dependientes del Departamento de Educación para el uso de servicios y recursos online(96).
– Guías de l’Autoritat Catalana de Protecció de Dades (APDCAT), en concreto las relativas a los centros educativos(97),(98),(99).
– Guías de la Agencia Española de Protección de Datos, en concreto las relativas a los centros educativos(100),(101),(102).
OBLIGACIONES DE CONFIDENCIALIDAD Y SECRETO(103),(104),(105)
Las y los PROFESIONALES tienen acceso en el desarrollo de sus funciones a información (en adelante, los DATOS PERSONALES), que es confidencial, así, por ejemplo: Datos de carácter identificativo: nombre y apellidos, DNI/NIF/NIE, dirección postal y electrónica, teléfono y fax de contacto, códigos y claves de acceso a los servicios digitales y telemáticos, dibujos, demostraciones, fotografías, imagen/voz, firma manuscrita/electrónica, tarjeta sanitaria; Datos de características personales: edad, sexo, lengua materna, fecha de nacimiento, lugar de nacimiento, nacionalidad, datos familiares (datos identificativos y de contacto como correos electrónicos y/o teléfonos, información financiera); Datos académicos y profesionales: formación y titulaciones, historial académico y profesión, expedientes académicos, resultados de investigación; Categorías especiales de datos: salud (certificados o informes médicos y certificados de invalidez o incapacidad necesarios para la atención adecuada de los alumnos en el ámbito de los Centros educativos), necesidades educativas especiales, observaciones médicas y discapacitados; y otros datos, comunicados de forma escrita, verbal, visual o mediante demostraciones, tanto en forma de dibujos, modelos, documentos impresos, y/o formato de archivos electrónicos o de cualquier otra forma.
La Ley Orgánica de educación (LOE)(106), establece que el profesorado y el resto del personal, en el ejercicio de sus funciones, acceden a datos personales y familiares o que afectan al honor y la intimidad de los menores o de sus familias y quedan sujetos al deber de secreto.
Los DATOS PERSONALES y todos los derechos sobre los mismos a los que han accedido los PROFESIONALES, permanecerán bajo la responsabilidad del CENTRO. Por tanto, las y los PROFESIONALES no se quedarán con la posesión, copia, ni en general tienen ningún tipo de derecho o titularidad, sobre los DATOS PERSONALES donde entren en contacto bajo cualquier tipo de soporte, por motivos directamente relacionados con su sitio de trabajo. Tampoco tendrán derecho a utilizarlas, salvo para el objeto de desarrollar las funciones inherentes a su cargo en el CENTRO así como cuando desarrollen cualquier otra función de forma transitoria o eventual en el mismo. En todo caso deberá entenderse que esta posesión es estrictamente temporal.
Las y los PROFESIONALES, como receptores de los DATOS PERSONALES en el ejercicio de sus funciones, estarán obligados y asumen el firme y serio compromiso de cumplir con el secreto, la confidencialidad y la seguridad en el tratamiento de los DATOS PERSONALES de los que es Responsable el CENTRO, tales como:
-
• Mantener los DATOS PERSONALES en estricta reserva y no revelarlos a ninguna otra persona, sin autorización previa y por escrito de la Dirección del CENTRO.
• Las y los PROFESIONALES sólo podrán comunicar o divulgar los DATOS PERSONALES a las personas autorizadas a conocerlas dentro de la organización del CENTRO.
• En ningún caso, permitirán que terceros externos al CENTRO (personas o entidades), no designados por el CENTRO ni debidamente autorizados, puedan acceder a estos DATOS PERSONALES, ya sea de forma informática o visual.
• Queda prohibido enviar información confidencial del CENTRO al exterior, mediante soportes materiales (como USB o papel), oa través de cualquier medio de comunicación (como correo electrónico u otras plataformas), incluyendo la simple visualización o acceso.
• La Dirección permite trasladar fuera de las instalaciones del CENTRO los DATOS PERSONALES o dispositivos sólo cuando sea estrictamente necesario para cumplir con sus obligaciones laborales. Las y los PROFESIONALES lo harán bajo su propia responsabilidad y cumpliendo con los principios y normas enunciados en este documento. Cualquier otro motivo para el traslado de DATOS y/o dispositivos debe justificarse y requiere la autorización previa y por escrito de la Dirección del CENTRO.
• Queda prohibido recoger DATOS PERSONALES sin la previa autorización de la Dirección del CENTRO que deberá procurar que la recogida sea necesaria y conforme a los principios de la normativa de protección de datos.
– Las y los PROFESIONALES sólo podrán acceder, utilizar y gestionar los DATOS PERSONALES de sus alumnos, sin poder conocer DATOS PERSONALES de otros miembros de la de la comunidad educativa no necesarios para el ejercicio de sus funciones.
– Velar por la seguridad de los DATOS PERSONALES haciendo uso de las herramientas y protocolos de seguridad que le proporcione y de los que informe al CENTRO, entre otros: manteniendo el secreto respecto de las contraseñas y claves de acceso que se le otorguen; la eliminación de datos de carpetas o en dispositivos que ya no se utilicen o que se utilicen temporalmente (como las carpetas del escáner o USBs); cerrar las sesiones en ordenadores y aplicaciones (cerrar LA SESIÓN el correo electrónico o la sesión del ordenador cuando no esté delante); etc.
• Cada PROFESIONAL será responsable de la confidencialidad de su identificador de usuario, la clave de acceso y/o la contraseña. En caso de que ésta sea conocida fortuitamente o fraudulentamente por personas no autorizadas, deberá cambiarla y comunicarlo a la Dirección del CENTRO para que registre el hecho como incidencia. También tendrá que cambiarla y comunicarlo a la Dirección del CENTRO Si el PROFESIONAL tiene conocimiento de que otra persona conoce sus datos de identificación y acceso. El PROFESIONAL recibirá sus credenciales de forma presencial y las almacenará en un keypass que se le enseñará a utilizar. El PROFESIONAL conoce y acepta las obligaciones que implica la tenencia de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Además, es conocedor de que una vez el PROFESIONAL acabe su relación con el CENTRO, estas credenciales se retirarán y deshabilitarán por parte de la Dirección del CENTRO.
• Cualquier archivo que se introduzca desde el exterior en un dispositivo que contiene datos personales responsabilidad del CENTRO, ya sea por correo electrónico, Internet u otros medios, deberá ser analizado por el antivirus.
• CONDICIONES DE USO DEL CORREO ELECTRÓNICO: No puede mezclarse el uso del correo electrónico personal con el del CENTRO. El correo corporativo proporcionado por el CENTRO sólo puede utilizarse para cumplir con fines relacionados con las obligaciones laborales del PROFESIONAL. Y viceversa, el correo personal no puede utilizarse para cumplir las funciones profesionales. Asimismo, se prohíbe el envío de correos masivos (spam) utilizando la dirección de correo electrónico del CENTRO o vulnerando los derechos de terceros o del CENTRO, o para la realización de actos de carácter ilícito. No puede facilitarse esta dirección a terceras personas ajenas a la organización, salvo que resulte necesario para el ejercicio de alguna de las funciones encomendadas al PROFESIONAL, o así lo autorice el CENTRO.
Asimismo, deben seguirse las siguientes normas de buen uso del correo electrónico:
a)Emplear la opción de copia oculta (CCO) cuando se envíe un mensaje a más de una persona destinataria que no forme parte del CENTRO.
b) Utilizar la opción de reenviar sólo en los casos en que la persona destinataria pueda acceder tanto al emisor del mensaje ORIGINAL como a su contenido, ya toda la información de la cadena de correos que formen parte de él.
c) Emplear el pie de firma automático de los mensajes de correo electrónico, conforme al modelo corporativo establecido. Cuando se trate de mensajes con fines personales, deberá suprimirse el pie de la firma.
d) Revisar las direcciones de los destinatarios antes de enviar el mensaje.
e) Con el fin de no difundir injustificadamente direcciones de correo de terceros al reenviar un correo electrónico, tendrán que eliminarse las direcciones de los destinatarios anteriores.
f) Identificar de forma clara y concisa el asunto.
g) No incluir datos personales en el asunto.
h) Evitar palabras o expresiones que puedan activar los programas antispam.
i) Organizar los mensajes enviados y recibidos en carpetas. Mantener la bandeja de entrada actualizada.
• No se autoriza la instalación del correo electrónico del CENTRO en el teléfono móvil personal de las y los PROFESIONALES, a excepción de casos justificados y autorizados por la Dirección del CENTRO.
• En los accesos tanto locales como remotos a la plataforma educativa utilizada por el CENTRO, el PROFESIONAL tendrá especial cuidado en seguir los protocolos de seguridad que proporcione el CENTRO. En particular seguirá las normas aquí establecidas para que ningún tercero externo al CENTRO pueda acceder, ya sea de forma informática o por la simple visualización, cerrando la sesión cuando el PROFESIONAL no esté utilizando la plataforma y asegurándose de que el entorno de de lo que accede es seguro (conexión WiFi privada, no almacenar las credenciales en ordenadores de uso comartido, borrar el historial de navegación y cerrar la sesión al terminar cuando se utilice un ordenador de uso compartido, utilizar programas antivirus, etc .).
– Guardar, por tiempo indefinido, es decir, incluso después de la extinción de la relación profesional con el CENTRO, el secreto y la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o entidades, los DATOS PERSONALES , documentos, metodologías, claves y/o contraseñas, análisis, programas y demás información a que tengan acceso durante su vinculación, sea laboral o no con el CENTRO, tanto en soporte material como electrónico.
– La y el PROFESIONAL tendrá que devolver los DATOS PERSONALES al CENTRO inmediatamente después de la finalización de las tareas que han originado su uso de forma temporal, y en cualquier caso, cuando finalice la relación laboral.
OBLIGACIONES EN LA GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE PROTECCIÓN DE DATOS(107)
En caso de conocer alguna incidencia, la y el PROFESIONAL debe comunicarla lo antes posible a la Dirección del CENTRO que adoptará las medidas oportunas.
Se entiende por incidencia cualquier anomalía o incidente que afecte o pudiera afectar a la seguridad y confidencialidad de los datos, es decir, que permita el acceso no autorizado a datos, soportes, aplicaciones, redes o dispositivos u ocasione su destrucción, pérdida o alteración.
Las incidencias pueden afectar tanto a datos automatizados (o informatizados, en dispositivos electrónicos) como no automatizados (en papel).
Ejemplos de incidencias habituales son:
• Alteración a los permisos de acceso a DATOS PERSONALES que tiene cada uno: Que PROFESIONALES o terceras personas o entidades accedan a datos a los que no podrían tener acceso. Por ejemplo, un miembro del PROFESORADO acceda a datos de alumnos que no son de su curso oa los que no da clase habitualmente, ya los que por tanto no debería tener acceso a través de los sistemas informáticos.
• Comunicación errónea de datos a destinatarios que no deberían recibirlos. Por ejemplo, enviar un correo electrónico con datos de un alumno a terceros que no son su madre, padre o tutor/a o mostrar los datos de un miembro de la comunidad educativa a terceros no autorizados.
• Olvido de la contraseña, claves de acceso o identificadores.
• Bloqueo de la cuenta o sesión para introducir la contraseña erróneamente múltiples veces.
• Pérdida de datos (pérdida de USBs, eliminación o destrucción de archivos por error, desaparición de documentos o soportes que contengan datos personales, etc.).
• Robo o pérdida de llaves de lugares o soportes donde se almacenan documentos o dispositivos (salas, cajones, armarios, etc.).
No obstante, esta lista no pretende ser exhaustiva y debe comunicarse a la Dirección del CENTRO cualquier incidencia que la o el PROFESIONAL crea que afecta o puede afectar a los datos de carácter personal.
Es obligación de todo el personal del CENTRO comunicar a la Dirección del CENTRO cualquier incidencia en los sistemas y datos a los que tengan acceso. Cualquier PROFESIONAL autorizado que tenga conocimiento de una incidencia es responsable de la comunicación de ésta a la Dirección del CENTRO.
Esta comunicación debe realizarse en un plazo de tiempo no superior a una hora desde el momento en que se tenga conocimiento de que se haya producido.
El conocimiento y la no notificación de una incidencia por parte de una o un PROFESIONAL se considera una falta contra la seguridad del sistema del CENTRO por parte de ésta.
INCUMPLIMIENTO
El incumplimiento de estas normas y protocolos por parte de una o un PROFESIONAL puede estar sujeto a procedimientos sancionadores y/o disciplinarios de diversas índoles.
DECLARACIÓN DE LECTURA Y COMPROMISO DE APLICACIÓN
Declaro haber sido informado sobre las normas de protección de datos personales del CENTRE………………….. y me comprometo a cumplirlas.
A ……, el …. de …… de …… 2021.
Nombre, apellidos, DNI
Firma
4) Informació i consentiment de les persones afectades
4.1) Información a proveer para la recogida de datos(108),(109),(110),(111),(112)
El CENTRO tiene la obligación de ser transparente respecto a los tratamientos de datos que se quieren llevar a cabo y sus motivaciones.
El CENTRO debe informar a las personas afectadas sobre las circunstancias relativas al tratamiento de sus datos personales.
La transparencia debe cumplirse en todos los momentos en que se solicitan los datos (p. ej. el formulario donde se recogen en formato papel, o formulario de una página web), o en el plazo de un mes si los datos no se obtienen directamente de la persona (ej. si los recibimos de otro Centro o institución), con independencia de que sea necesario obtener el consentimiento de la persona interesada o se cuente con otra base jurídica. El Responsable del tratamiento debe poder acreditar que ha proporcionado esta información.
La información debe proporcionarse de forma concisa, inteligible y de fácil acceso, en un lenguaje claro y sencillo, evitando explicaciones innecesarias o detalles confusos, así como el abuso de citas legales innecesarias y de términos ambiguos o con escaso sentido para los destinatarios, sobre todo cuando se dirija a los alumnos que pueden prestar su consentimiento, es decir, los mayores de 14 años (ver el apartado siguiente, específico sobre el consentimiento). El lenguaje que se utiliza para informar a las y los menores y para pedirles el consentimiento debe ser fácilmente comprensible.
Si lo solicita la persona interesada, la información también puede facilitarse verbalmente.
La información se puede facilitar adoptando un modelo de información por capas: dando en una primera capa la información básica y facilitando una dirección electrónica u otro medio (enlace) que le permita acceder de forma sencilla e inmediata al resto de la información ( segunda capa).
– En caso de querer hacerlo así, la información que debe constar en la capa 1 como mínimo es la siguiente:
• La identidad del Responsable del tratamiento;
• La finalidad del tratamiento;
• La fórmula: «Respecto a los datos facilitados la persona interesada puede ejercer en cualquier momento sus derechos de acceso, rectificación, supresión, y oposición, así como el derecho a la limitación del tratamiento, a la portabilidad de los datos oa presentar una reclamación ante la Autoridad de Protección de Datos(113),(114).
– La información que debe constar en la segunda capa, por ejemplo en un enlace, es la información que se detalla a continuación. En el Anexo 2 encontrará una propuesta elaborada por Xnet para cumplir con esta exigencia de información para el uso de servicios y recursos digitales en el marco del Piloto del Plan de Digitalización Democrática de Xnet, que los Centros/Responsables tendrán que revisar para adaptarlo a cada circunstancia.
-
• La identidad del CENTRO/Responsable del tratamiento donde conste la identidad y datos de contacto del responsable y, en su caso, de su representante;
• Los datos de contacto del delegado de protección de datos, en este caso el Delegado/a de Protecció de Dades de la Generalitat (dpd.educacio@gencat.cat);
• Las finalidades y base jurídica del tratamiento (entre las bases jurídicas debe escogerse entre:
– 1. El consentimiento;
– 2. La ejecución de un contrato;
– 3. El cumplimiento de una obligación legal;
– 4. La protección de intereses vitales de una persona;
– 5. El cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, donde entraría el ejercicio de la función educativa;
– 6. La satisfacción de «intereses legítimos» del CENTRO/Responsable (en el caso de escoger esta categoría, los intereses legítimos perseguidos en los que se fundamenta el tratamiento deben detallarse y motivarse));
• Los destinatarios o categorías de destinatarios de los datos; La intención de transferir los datos a un tercer país oa una organización internacional y la base para ello, si procede;
• El plazo durante el cual se conservarán los datos, o los criterios para su determinación;
• El derecho a solicitar el acceso a los datos, la rectificación o la supresión de los datos, la limitación y la oposición al tratamiento y la portabilidad de los datos; El derecho a retirar en cualquier momento el consentimiento que se ha prestado; Si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato, y si la persona interesada está obligado a facilitar los datos y las consecuencias de no facilitarlos; El derecho a presentar una reclamación ante la Autoridad de Protección de Datos;
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y la información sobre la lógica aplicada y sus consecuencias, si procede.
• Además, si los datos personales que se tratan no se obtienen directamente de la persona interesada, debe informarse de: las categorías de datos personales que se tratan, y las fuentes de donde proceden los datos personales.
En caso de no querer utilizar el sistema de la información por capas, deberá proporcionarse la información prevista para la «segona capa».
Por tanto, la Dirección de los centros educativos debe revisar los textos informativos que se encuentran en los formularios que utiliza el CENTRO para que se adapten a estos requerimientos.
ANEXO 2. MODELO PARA EL CONSENTIMIENTO DE LAS FAMILIAS
(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros pero no es la única manera de hacerlo).
Madre, padre o representante legal de los menores de 14 años y alumnos mayores de 14 años.
Autorización para el uso de servicios y recursos digitales en Internet para trabajar en el aula (esta autorización, aunque revocable, es válida durante todo el tiempo de escolarización en este centro).
Datos del centro
Nombre del centro
Código del centro
Dirección
Municipio
Código postal
Datos del alumno/a
Nombre y apellidos
Fecha de nacimiento
Curso
Datos de la madre, padre o representante legal en el caso de menores de 14 años
Nombre y apellidos
DNI/Pasaporte
Autorizo
Casillas: sí / no
Que el centro gestione la creación del usuario y contraseña asociados a los siguientes recursos y servicios de Internet: Suite educativa DD [u otra herramienta digital que se utilice], para el trabajo académico, con finalidades pedagógicas.
La gestión de estos identificadores y la responsabilidad del uso que se haga en el ámbito de los Centros educativos corresponde al centro educativo. El centro no se hace responsable del uso inadecuado del recurso o de los sus contenidos por parte de las personas usuarias. La persona usuaria será la única responsable de las infracciones en que pueda incurrir o de los perjuicios que pueda causar por un uso inadecuado de sus servicios o de sus contenidos. En concreto, por la presente, la persona usuaria declara, respecto de las credenciales que recibirá de forma presencial y almacenará en un keypass que se le enseñará a utilizar, que conoce y acepta las obligaciones que implica la posesión de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Una vez la persona usuaria acabe su relación con el centro, se retirarán y deshabilitarán las credenciales que le autentifiquen por parte de la Dirección del CENTRO.
Autorizo
Casillas: sí / no
El uso de servicios y recursos digitales en Internet para trabajar en el aula, en concreto la Suite educativa DD [u otra herramienta digital que se utilice]
(Ver especificaciones técnicas y condiciones de uso más abajo).
Datos de la madre, padre o representante legal en el caso de menores de 14 años
Nombre y apellidos
DNI/Pasaporte
Autorizo
Casillas: sí / no
Que el centro gestione la creación del usuario y contraseña asociados a los siguientes recursos y servicios de Internet: Suite educativa DD [u otra herramienta digital que se utilice], para el trabajo académico, con finalidades pedagógicas.
La gestión de estos identificadores y la responsabilidad del uso que se haga en el ámbito de los Centros educativos corresponde al centro educativo. El centro no se hace responsable del uso inadecuado del recurso o de los sus contenidos por parte de las personas usuarias. La persona usuaria será la única responsable de las infracciones en que pueda incurrir o de los perjuicios que pueda causar por un uso inadecuado de sus servicios o de sus contenidos. En concreto, por la presente, la persona usuaria declara, respecto de las credenciales que recibirá de forma presencial y almacenará en un keypass que se le enseñará a utilizar, que conoce y acepta las obligaciones que implica la posesión de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Una vez la persona usuaria acabe su relación con el centro, se retirarán y deshabilitarán las credenciales que le autentifiquen por parte de la Dirección del CENTRO.
Autorizo
Casillas: sí / no
El uso de servicios y recursos digitales en Internet para trabajar en el aula, en concreto la Suite educativa DD [u otra herramienta digital que se utilice]
(Ver especificaciones técnicas y condiciones de uso más abajo).
Información sobre protección de datos
Responsable del tratamiento: Dirección del centro educativo.
Dirección postal y electrónica:
Dirección de contacto del delegado o delegada de protección de datos: dpd.educacio@gencat.cat.
Finalidad: el uso de servicios y recursos digitales en Internet para trabajar en el aula; la gestión y mantenimiento de las propias plataformas educativas usadas por los servicios educativos; la gestión de los usuarios, credenciales y accesos a los servicios y recursos digitales en Internet para trabajar en el aula y el control y seguimiento de los contenidos de la misma.
Legitimación: Consentimiento de la persona interesada o de la persona que ostenta la tutoría legal en caso de menores de edad. Podéis retirar el consentimiento en cualquier momento. La revocación no tiene efectos retroactivos.
Destinatarios: Los datos no se comunicarán a terceros, excepto en los casos previstos por la ley, o si lo habéis consentido previamente. En todo caso, serán destinatarios de los datos la/las plataforma/as de servicio, entornos o entidades educativas correspondientes, como encargadas del tratamiento, que proveen, por cuenta del Centro/Responsable del tratamiento, los servicios TIC, que hayáis autorizado.
Derechos: Acceder a los datos, rectificarlos, suprimirlos, oponerse al tratamiento y solicitar su limitación. Además de retirar el consentimiento prestado en cualquier momento, sin que la revocación tenga efectos retroactivos. Así como el derecho a presentar una reclamación ante la Autoridad Catalana de Protección de Datos.
Conservación: Los datos del expediente académico son de conservación permanente de acuerdo con la legislación vigente, concretamente según lo establecido en el artículo 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.
Sobre el tiempo de conservación del resto de los datos, la Generalitat y Consorci remiten a lo que establece el Decreto 13/2008, de 22 de enero, sobre acceso, evaluación y selección de documentos y a las Tablas de Evaluación documental definidas y aprobadas por la Comisión Nacional de Acceso, Evaluación y Selección Documental (CNAATD) (http://taad.cultura.gencat.cat/), donde se indica solo el tiempo de conservación de ciertos conjuntos de datos (solicitudes de becas y expedientes de admisión y matriculación de los alumnos). Por lo que respecta al resto de material generado por y sobre las y los alumnos, Xnet está consultando a la Generalitat al respecto y actualizaremos la información cuando tengamos respuesta.
Información adicional: Tratamiento “Alumnos de centros educativos de titularidad del Departamento de Educación” del Departamento de Educación (https://educacio.gencat.cat/ca/Detall/alumnes-centros-departament) y tratamiento “SE001 Plataformas educativas” de los servicios educativos dependientes del Consorci d’Educació de Barcelona (https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf).
Lugar y fecha
Firma de la madre, padre o representante legal del alumno o alumna.
Condiciones de uso del correo electrónico: No se puede mezclar el uso del correo electrónico personal con el del CENTRO. El correo corporativo proporcionado por el Centro solo se puede utilizar para cumplir con finalidades académicas. Asimismo, se prohíbe el envío de correos masivos (spam) usando la dirección de correo electrónico del CENTRO o vulnerando los derechos de terceros o del CENTRO, o para la realización de actos de carácter ilícito. No se puede facilitar esta dirección a terceras personas ajenas a la organización, excepto si resulta necesario para el ejercicio de actividades académicas relacionadas con el CENTRO.
Asimismo, se deben seguir las siguientes normas de buen uso del correo electrónico:
a) Usar la opción de copia oculta (CCO) cuando se mande un mensaje a más de una persona destinataria que no forme parte del CENTRO.
b) Utilizar la opción de reenviar solo en los casos en que la persona destinataria pueda acceder tanto al emisor del mensaje como a su contenido, y a toda la información de la cadena de correos que formen parte de él.
c) Usar el pie de firma automático de los mensajes de correo electrónico, conforme al modelo corporativo establecido. Cuando se trate de mensajes con finalidades personales, se deberá suprimir el pie de la firma.
d) Revisar las direcciones de los destinatarios antes de mandar el mensaje.
e) Con el fin de no difundir injustificadamente direcciones de correo de terceros al reenviar un correo electrónico, se deberán eliminar las direcciones de los destinatarios anteriores.
f) Identificar de forma clara y concisa el asunto.
g) No incluir datos personales en el asunto.
h) Evitar palabras o expresiones que puedan activar los programas antispam.
i) Organizar los mensajes enviados y recibidos en carpetas. Mantener la bandeja de entrada actualizada.
Especificaciones técnicas:
El CENTRO ha escogido la plataforma DD, creada por Xnet, familias, desarrolladores y centros promotores y el Ayuntamiento de Barcelona, para proporcionar a la comunidad educativa, y en concreto al profesorado y al alumnado, un espacio fácil de usar para llevar a cabo la actividad educativa en el entorno digital de forma soberana y respetuosa con sus derechos.
El desarrollo técnico llevado a cabo por las empresas IsardVDI y 3iPunt integra en una única plataforma, las siguientes herramientas de software libre y auditable que se ejecutan cada una en sus contenedores, usando en su mayoría las imágenes oficiales de cada herramienta de hub.docker.com.
Las herramientas que quedan integradas son:
-
• Nextcloud: desarrollo de programas cliente-servidor con el objetivo de habilitar servicios de alojamiento de ficheros añadiendo al servidor funcionalidad en forma de aplicaciones (calendario, mapas, webmail, reproductores y organizadores de música, suites ofimáticas, etc.).
• Moodle: herramienta de gestión de contenidos de aprendizaje (Learning Content Management LCMS) precursora de sistemas como el Classroom. Creada en Australia en 2001, cuenta con más de 160 millones de personas usuarias. Traducida a 120 idiomas.
• Big Blue Button – Blindside: sistema de videoconferencia dirigido al aprendizaje online. Permite el uso compartido de audio y vídeo, presentaciones con capacidades ampliadas de pizarra como el puntero, el zoom o el dibujo, chat público y privado, uso compartido del escritorio, VoIP integrado con FreeSWITCH y soporte para el envío de documentos.
• Etherpad: editor en línea que permite la edición colaborativa en tiempo real.
• WordPress: gestor de contenidos (Content Management System, CMS) en PHP y que enlaza con bases de datos MySQL o MariaDB. Entre sus características están la arquitectura a partir de plugins y el sistema de plantillas gráficas o temas.
• Onlyoffice: paquete ofimático integrado con Nextcloud que permite la edición de documentos ofimáticos (hoja de cálculo, editor de texto, presentaciones, conversiones de formato, etc.).
• Keycloak: gestor de la autentificación, usuarios y grupos. Todas las aplicaciones de la suite digital se registran contra el SAML proporcionado por Keycloak. La creación de usuarios se realiza con Admin atacando su API.
Se han desarrollado componentes propias del proyecto para integrar las aplicaciones y mejorar la experiencia de usuario:
-
• Admin: plataforma de gestión de usuarios y customizaciones que opera sobre las APIs del resto de aplicaciones para de gestionar la sincronización de la creación masiva de usuarios y la configuración de aspectos generales de la suite digital.
• API: servicios que usan el resto de aplicaciones para construir el menú y los elementos comunes de la suite digital.
• Plugins de Moodle y WordPress
• Herramienta para automatizar configuraciones y personalizaciones de las instalaciones
Este conjunto de herramientas queda alojado en servidores Hetzner con sistema operativo Debian.
Las cookies utilizadas son cookies funcionales necesarias e indispensables para la navegación, permitidas por la ley y son las siguientes:
4.2) Consentimiento(115),(116),(117),(118)
El consentimiento debe ser una manifestación de voluntad de la alumna o el alumno mayor de 14 o de su madre, padre o tutor/a por el que acepta el tratamiento de sus datos personales, ya sea mediante una declaración (p. ej. “sí, acepto el tratamiento de datos”) o una clara acción afirmativa (p. ej. marcar una casilla). Así pues, las casillas ya marcadas o el consentimiento tácito (deducido de hechos como seguir navegando por una página web o llevar al alumno al servicio de bus) no constituyen un consentimiento válido.
Esta manifestación de voluntad debe ser:
• Libre: la persona interesada puede decidir libremente, sin coacciones ni condiciones, si consiente o no en el tratamiento de sus datos personales.
• Específica: el consentimiento se refiere a tratamientos concretos y para una finalidad determinada, explícita y legítima, sin que se puedan hacer habilitaciones genéricas para cumplir muchas finalidades diferentes.
• Informada: hay que informar a las personas para que con antelación al tratamiento puedan conocer la existencia del mismo, las finalidades y en qué condiciones se producirá (ver apartado anterior sobre información).
• Inequívoca: la solicitud y otorgamiento del consentimiento se tiene que producir de forma clara.
Corresponde al Centro demostrar que se ha obtenido el consentimiento de la persona para un tratamiento específico. Puede hacerlo mediante el formulario que haya firmado, por ejemplo.
La persona afectada puede retirar/revocar el consentimiento en cualquier momento, sin efectos retroactivos, es decir, sin que afecte las actividades que se han llevado a cabo antes de la revocación del consentimiento. Antes de dar su consentimiento, se debe informar a la persona interesada de esta posibilidad, teniendo en cuenta que debe ser tan fácil retirar el consentimiento como darlo.
En cuanto al consentimiento de menores de edad, un alumno o alumna mayor de 14 años puede consentir por sí misma sobre el tratamiento de sus datos personales, con la excepción de los supuestos en los que la ley exige la asistencia de los titulares de la patria potestad o tutela, es decir, cuando el tratamiento de datos se incluya dentro de un contrato. En el caso de datos de un alumno o alumna menor de 14 años, cuando el tratamiento requiera su consentimiento, lo tiene que prestar el o la titular de la patria potestad o tutela.
En casos de potestad parental compartida, con independencia de quien tenga la custodia, cualquiera de los dos progenitores puede dar el consentimiento o ejercer los derechos como representante legal del hijo o hija en común. En todo caso, el derecho de información se debe garantizar a ambos progenitores que tengan la potestad parental. En caso de conflicto entre los progenitores, lo deben resolver las autoridades competentes en materia de familia.
En el Anexo 2 aportamos un ejemplo para el cumplimiento de las exigencias de información y recogida de consentimiento para el uso de servicios y recursos digitales en el marco del Piloto del Plan de Digitalización Democrática de Xnet, ya que hasta que no se aclare por qué el uso de plataformas no se incluye dentro del ejercicio de la función orientadora y educativa de la Ley Orgánica de Educación será necesario obtener el consentimiento de las personas afectadas.
4.3) Información que debe constar en el Aviso legal de las herramientas educativas (y las páginas web)
Otro ámbito obligatorio muy importante es el Aviso legal de las herramientas educativas que se usen y de las páginas web.
Proporcionamos en el Anexo 3 un ejemplo de Aviso Legal, Política de Privacidad y Política de Cookies que serviría para plataformas educativas como el DD. Debéis tener presente que estas políticas podrían no ser de aplicación por las páginas webs de los Centros educativos, ya que es diferente una herramienta de uso interno que una página web para recibir visitas externas. Para los avisos legales y las políticas de las webs debéis adaptarlos a la situación concreta según las funcionalidades que se incluyan (cookies analíticas, medios de pago, derechos de imagen, etc.). Podéis usar como referencia, por ejemplo, el aviso legal del Consorci d’Educació de Barcelona(119).
Asimismo, en el ejemplo de aviso legal que se proporciona se ha previsto que tanto la plataforma como los contenidos que se le incorporen se encuentren bajo una licencia Creative Commons de Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)(120), ya que es la que nosotros sugerimos. En caso de querer utilizar otro tipo de licencia o régimen de propiedad intelectual eindustrial, se tendría que modificar el apartado correspondiente.
ANEXO 3. AVISO LEGAL, CONDICIONES DE USO DE LA PLATAFORMA DD, POLÍTICA DE PRIVACIDAD Y POLÍTICA DE COOKIES
(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros, pero no es la única manera de hacerlo.)
ÍNDICE
1.- DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS
2.- DESCRIPCIÓN TÉCNICA
3.- COMO SE ADMINISTRA LA PLATAFORMA
4.- CONDICIONES DE USO Y NAVEGACIÓN DE LA PLATAFORMA
4.1.- Contenidos y licencia
4.2.- Exclusión de garantías y limitaciones de responsabilidad y acciones en caso de presuntas irregularidades
5.- POLÍTICA DE PRIVACIDAD
5.1.- Responsable del Tratamiento
5.2.- Actividades de Tratamiento
5.3.- Finalidad del Tratamiento de los datos y Categorías de datos tratados
5.3.1.- ¿Con qué finalidad tratamos sus datos personales?
5.3.2.- ¿Qué categorías de datos tratamos?
5.3.3.- ¿De dónde procede la información recogida?
5.3.4.- ¿Cuánto tiempo guardamos sus datos?
5.4.- Legitimación y Base Jurídica
¿Cuál es la legitimación para el tratamiento de sus datos?
5.5.- Derechos de las Personas Usuarias
¿Qué derechos tiene la persona interesada cuando comunica sus datos al centro?
5.6.- Comunicaciones de Datos
¿A qué destinatarios se comunicarán sus datos?
6.- USO Y POLÍTICA DE COOKIES
6.1.- Cookies de los diferentes Componentes de DD
6.1.1.- Nextcloud
6.1.2.- Moodle
6.1.3.- Big Blue Button
6.1.4.- Etherpad
6.1.5.- WordPress
6.1.6.- Admin
6.1.7.- Onlyoffice
6.1.8.- Keycloak
6.1.9.- Haproxy, Mariadb y Postgresql
1.- DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS
El responsable de esta plataforma, pone a disposición de las personas usuarias el presente aviso legal, la finalidad del cual es cumplir las obligaciones y deber de información establecidos en el artículo 10 de la Ley 34/2002, de 11 de junio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) y demás normativa aplicable.
Responsable de la Plataforma: Dirección del Centro
Denominación del Centro:
Dirección:
NIF/CIF:
Teléfono:
Dirección de correo electrónico:
Nombre de dominio:
2.- DESCRIPCIÓN TÉCNICA
El CENTRO ha escogido la plataforma DD, creada por Xnet, familias, desarrolladores y centros promotores y el Ajuntament de Barcelona para proporcionar a la comunidad educativa, y en concreto al profesorado y al alumnado, un espacio fácil de usar para llevar a cabo la actividad educativa en el entorno digital de forma soberana y respetuosa con sus derechos.
El desarrollo técnico llevado a cabo por las empresas IsardVDI y 3iPunt integra en una única plataforma, las siguientes herramientas de software libre y auditable que se ejecutan cada una en sus contenedores, usando en su mayoría las imágenes oficiales de cada herramienta de hub.docker.com.
Las herramientas que quedan integradas son:
• Nextcloud: desarrollo de programas cliente-servidor con el objetivo de habilitar servicios de alojamiento de ficheros añadiendo al servidor funcionalidad en forma de aplicaciones (calendario, mapas, webmail, reproductores y organizadores de música, suites ofimáticas, etc.).
• Moodle: herramienta de gestión de contenidos de aprendizaje (Learning Content Management LCMS) precursora de sistemas como el Classroom. Creada en Australia en 2001, cuenta con más de 160 millones de personas usuarias. Traducida a 120 idiomas.
• Big Blue Button – Blindside: sistema de videoconferencia dirigido al aprendizaje online. Permite el uso compartido de audio y vídeo, presentaciones con capacidades ampliadas de pizarra como el puntero, el zoom o el dibujo, chat público y privado, uso compartido del escritorio, VoIP integrado con FreeSWITCH y soporte para el envío de documentos.
• Etherpad: editor en línea que permite la edición colaborativa en tiempo real.
• WordPress: gestor de contenidos (Content Management System, CMS) en PHP y que enlaza con bases de datos MySQL o MariaDB. Entre sus características están la arquitectura a partir de plugins y el sistema de plantillas gráficas o temas.
• Onlyoffice: paquete ofimático integrado con Nextcloud que permite la edición de documentos ofimáticos (hoja de cálculo, editor de texto, presentaciones, conversiones de formato, etc.).
• Keycloak: gestor de la autentificación, usuarios y grupos. Todas las aplicaciones de la suite digital se registran contra el SAML proporcionado por Keycloak. La creación de usuarios se realiza con Admin atacando su API.
Se han desarrollado componentes propias del proyecto para integrar las aplicaciones y mejorar la experiencia de usuario:
-
• Admin: plataforma de gestión de usuarios y customizaciones que opera sobre las APIs del resto de aplicaciones para de gestionar la sincronización de la creación masiva de usuarios y la configuración de aspectos generales de la suite digital.
• API: servicios que usan el resto de aplicaciones para construir el menú y los elementos comunes de la suite digital.
• Plugins de Moodle y WordPress
• Herramienta para automatizar configuraciones y personalizaciones de las instalaciones
Este conjunto de herramientas queda alojado en servidores Hetzner con sistema operativo Debian.
3.- COMO SE ADMINISTRA LA PLATAFORMA
La plataforma se administra según las indicaciones de la Dirección del Centro, que es el responsable. Por lo tanto, en caso de considerar que en esta haya errores, mejoras técnicas, problemas con contenidos, o si tiene alguna reclamación, cuestión, consulta o sugerencia, diríjase a la Dirección del CENTRO.
4.- CONDICIONES DE USO Y NAVEGACIÓN DE LA PLATAFORMA
4.1.- CONTENIDOS Y LICENCIA
Las presentes condiciones de uso y navegación tienen la finalidad de regular la relación entre el titular de la plataforma, es decir, el CENTRO, y las personas usuarias de la comunidad educativa que acceden, navegan y generan contenido y llevan a cabo tareas relacionadas con la actividad educativa mediante esta herramienta. Así pues, la plataforma proporciona el acceso libre y gratuito a gran cantidad de contenidos, entendiendo por estos, sin que esta enumeración tenga carácter limitativo, información, servicios, datos, textos, fotografías, gráficas, imágenes, iconos, tecnología, programas, links y otros contenidos audiovisuales o sonoros, así como su diseño gráfico y código fuente (de ahora en adelante, “los contenidos”).
Cada persona usuaria será responsable de que los contenidos que suba o enlace a la plataforma sean conformes a la legislación vigente en el momento de subirlos o enlazarlos, por ejemplo, disponer de los derechos de imagen de fotografías hechas al alumnado. El CENTRO se reserva el derecho de retirar o modificar los contenidos que considere que no responden o no son oportunas en el ámbito educativo del CENTRO.
Asimismo, las personas usuarias tienen que hacer un uso adecuado de la plataforma, los contenidos y servicios ofrecidos de conformidad con la Ley, la moral, y las buenas costumbres generalmente aceptadas, el orden público y las condiciones previstas en el presente Aviso Legal y otros avisos, políticas, reglamentos de uso e instrucciones puestos en su conocimiento.
Por defecto, los contenidos que se publican en la plataforma lo hacen bajo el amparo de la licencia Creative Commons de Reconocimiento-No Comercial-Compartir Igual 4.0 Internacional (CC BY-NC-SA 4.0), es decir, pueden ser compartidos (copiar y redistribuir el material en cualquier medio y formato) y adaptados (mezclar, transformar y crear a partir del material), con los términos siguientes:
-
• Reconocimiento — Tenéis que reconocer la autoría de manera apropiada, proporcionar un enlace a la licencia e indicar si habéis hecho algún cambio. Podéis hacerlo de cualquier manera razonable, pero no de una manera que sugiera que el licenciador os da soporte o patrocina el uso que hacéis.
• No Comercial — No podéis utilizar el material para finalidades comerciales.
• Compartir Igual — Si mezcláis, transformáis o creáis a partir del material, tenéis que difundir vuestras creaciones con la misma licencia que la obra original.
Es por esto que las personas usuarias son responsables de verificar que los contenidos, en el momento de subirlos, son publicables bajo esta licencia o de indicar, en el momento de incluir los contenidos en la plataforma, bajo qué licencia se amparan.
Sin embargo, hay que tener en cuenta que el artículo 32 de la Ley de Propiedad Intelectual permite citar y reseñar fragmentos de obras con finalidades educativas o de investigación científica, indicando la fuente y el nombre del autor de la obra utilizada. Así, todo el contenido de la plataforma estará sometido a la licencia antes referenciada a excepción de estos contenidos.
Aunque en el momento de introducir un hipervínculo de terceros en las actividades que se llevan a cabo en la plataforma la persona usuaria es responsable de verificar la legalidad y corrección del contenido que enlaza, esta persona solo es responsable en el momento de hacerlo y no ulteriormente, ya que el CENTRO no ejerce ningún tipo de control sobre los enlaces o hipervínculos a otras páginas de Internet, que no pertenecen, ni son editadas o censuradas por el CENTRO. Por lo tanto, una vez que la persona usuaria accede a los enlaces de terceros y abandone la plataforma, tanto el presente Aviso Legal, como la Política de Privacidad y la Política de Cookies dejarán de tener efecto, ya que las páginas web a los cuales la persona usuaria acceda están sujetas a sus propias políticas.
4.2.- EXCLUSIÓN DE GARANTÍAS Y LIMITACIONES DE RESPONSABILIDAD Y ACCIONES EN CASO DE PRESUNTAS IRREGULARIDADES
Si la persona usuaria se siente perjudicada por la difusión en la plataforma de contenidos, vídeos o imágenes, que puedan resultar erróneos o inadecuados puede enviar un correo electrónico al CENTRO que responderá a su reclamación lo más pronto posible informando sobre la posibilidad o no de rectificar el contenido o retirar el material de la plataforma.
Cualquier incumplimiento de las cláusulas contenidas en la presente plataforma (Aviso Legal, Política de Privacidad, Política de Cookies, así como otros contenidos que supongan obligaciones para la persona usuaria) y en general de la legalidad vigente, se comunicará inmediatamente por parte del CENTRO a las autoridades pertinentes, comprometiéndose este a cooperar con estas. En tal caso, la persona usuaria responderá frente al CENTRO o frente a terceros, de cualquier daño y perjuicio que pudiera causar a consecuencia del incumplimiento de estas obligaciones.
5.- POLÍTICA DE PRIVACIDAD
[Esta política de privacidad solo es válida para los centros dependientes del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona. Para adaptarla a otros centros de Cataluña, se deben eliminar las referencias al Consorci. Para adaptarla a centros de fuera de Cataluña u otros ámbitos, se tienen que sustituir las referencias con las de las instituciones responsables. En el caso de que las instituciones responsables no provean la información, los centros la tendrán que detallar].
5.1.- RESPONSABLE DEL TRATAMIENTO
En cumplimiento de lo que se dispone en el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en relación con el tratamiento de datos personales y a la libre circulación de estos datos, y en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales, el CENTRO le informa de que los datos de carácter personal que la persona usuaria proporcione durante su navegación y uso de la plataforma serán objeto de tratamiento por parte del CENTRO (ver apartado relativo a los DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS).
5.2.- ACTIVIDADES DE TRATAMIENTO
El CENTRO lleva a cabo las actividades de tratamiento siguientes en la presente plataforma.
Podéis encontrar la descripción completa de cada una en el Registro de las actividades de tratamiento del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona:
-
• Detalle de las actividades de tratamiento realizadas en los Centros educativos, tratamiento “Alumnos de Centros educativos de titularidad del Departamento de Educación”, disponible en:
https://educacio.gencat.cat/ca/Detall/alumnes-centros-departament
• Detalle de las actividades de tratamiento realizadas en los Servicios educativos dependientes del Consorci d’Educació de Barcelona, tratamiento “SE001 Plataformas educativas”, disponible en:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_datos/Rp_informeAT_SE.pdf
5.3.- FINALIDAD DEL TRATAMIENTO DE LOS DATOS Y CATEGORÍAS DE DATOS TRATADAS
5.3.1.- ¿Con qué finalidad tratamos sus datos personales?
El CENTRO trata la información facilitada por la persona usuaria con la finalidad de proporcionar el uso de servicios y recursos digitales en Internet para llevar a cabo la actividad educativa.
Concretamente: el CENTRO tratará los datos de la persona usuaria, de manera automatizada/electrónica, para las siguientes finalidades específicas:
-
• el uso de servicios y recursos digitales en Internet para llevar a cabo la actividad educativa;
• la gestión y mantenimiento de la propia plataforma educativa utilizada por los servicios educativos;
• la gestión de los usuarios, credenciales y accesos a los servicios y recursos digitales en Internet para trabajar en el aula; i
• el control y seguimiento de los contenidos de la misma.
Los datos recogidos no serán tratados ulteriormente de manera incompatible con los fines aquí indicados.
5.3.2.- ¿Qué categorías de datos tratamos?
Dadas las finalidades mencionadas, y en cumplimiento del principio de minimización de datos, el CENTRO puede tratar las categorías de datos previstas en los Registros de Actividades de Tratamiento del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona mencionados.
5.3.3.- ¿De dónde procede la información recogida?
Los datos de que dispone el CENTRO proceden de:
-
• La información recogida por parte de las Administraciones Públicas para garantizar el acceso a la actividad educativa, la cual se encuentra amparada por las previsiones del artículo 28 de la ley 39/2015 modificado por la LOPDGDD; y
• La información provista voluntariamente por las personas usuarias mediante la plataforma durante el desarrollo de la actividad educativa.
5.3.4.- ¿Cuánto tiempo guardamos sus datos?
Los datos del expediente académico son de conservación permanente de acuerdo con la legislación vigente, concretamente según lo establecido en el artículo 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.
Sobre el tiempo de conservación del resto de los datos, la Generalitat y Consorci remiten a lo que establece el Decreto 13/2008, de 22 de enero, sobre acceso, evaluación y selección de documentos y a las Tablas de Evaluación documental definidas y aprobadas por la Comisión Nacional de Acceso, Evaluación y Selección Documental (CNAATD) (http://taad.cultura.gencat.cat/), donde se indica solo el tiempo de conservación de ciertos conjuntos de datos (solicitudes de becas y expedientes de admisión y matriculación de los alumnos). Por lo que respecta al resto de material generado por y sobre las y los alumnos, Xnet está consultando a la Generalitat al respecto y actualizaremos la información cuando tengamos respuesta.
5.4.- LEGITIMACIÓN Y BASE JURÍDICA
¿Cuál es la legitimación para el tratamiento de sus datos?
El tratamiento de datos personales para proporcionar el uso de servicios y recursos digitales en Internet para trabajar en el aula está legitimado por el consentimiento de la persona interesada o de la persona que ostenta la tutoría legal en caso de menores de edad que habéis otorgado al CENTRO previamente al acceso a la presente plataforma. Podéis retirar el consentimiento en cualquier momento. La revocación no tiene efectos retroactivos. De la misma manera, el tratamiento también se encuentra legitimado por el interés público del Centro en el ejercicio de funciones orientadoras y educativas incluidas en el ámbito de la ley Orgánica de Educación.
5.5.- DERECHOS DE LAS PERSONAS USUARIAS
¿Qué derechos tiene la persona interesada cuando comunica sus datos al CENTRO?
-
• Derecho a revocar los consentimientos otorgados.
• Derecho de acceso: Derecho a obtener confirmación sobre si en el CENTRO se están tratando datos personales que le conciernen o no, y a acceder a sus datos personales si fuera el caso.
• Derecho de rectificación: Derecho a rectificar los datos inexactos o incompletos que le conciernen.
• Derecho de supresión o derecho al olvido: Derecho a solicitar la supresión de sus datos cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los cuales fueron recogidos.
• Derecho de limitación del tratamiento: Derecho a obtener del CENTRO la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones previstas en la normativa de protección de datos.
• Derecho de oposición: En determinadas circunstancias y por motivos relacionados con su situación particular en el tratamiento de sus datos, las personas interesadas podrán oponerse al tratamiento de sus datos. El CENTRO dejará de tratar los datos, excepto por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.
• Derecho de portabilidad: Derecho a solicitar la portabilidad de sus datos.
En cualquier momento y de manera gratuita, las personas interesadas podrán ejercer los derechos referidos anteriormente, en los términos y condiciones previstos en la legislación vigente, enviando un correo electrónico al CENTRO, indicando en el asunto “Ejercicio de Derechos de Protección de Datos” y el siguiente contenido:
– Su nombre
– Información sobre la cual quiere ejercer su derecho de acceso, rectificación, supresión o olvido, limitación del tratamiento o portabilidad.
– Dirección de correo electrónico para que se le comunique la posibilidad, o no, de hacer efectiva su solicitud.
En el caso de que no obtenga respuesta o no obtenga una respuesta satisfactoria, o considere que el CENTRO ha vulnerado los derechos que le son reconocidos por la normativa aplicable en protección de datos o desee mayor información respecto cualquier de estos derechos, puede dirigirse a la Autoridad Catalana de Protección de Datos mediante el siguiente enlace https://apdcat.gencat.cat/es/inici/index.html o a la dirección C/ Rosselló, 214, Esc. A, 1r 1a 08008 Barcelona.
En el CENTRO estamos comprometidos con el cumplimiento normativo y el respeto de los derechos de las personas usuarias, así como con el respeto a su privacidad, por la cual cosa si tiene alguna duda respecto a como tratamos sus datos personales, no dude en ponerse contacto con nosotros a través de las vías indicadas.
5.6.- COMUNICACIONES DE DATOS
¿A qué destinatarios se comunicarán los datos?
Con carácter general, los datos no se comunicarán a terceros, excepto en los casos de obligaciones previstas por ley, o si lo habéis consentido previamente. En todo caso, serán destinatarios de los datos la/las plataforma/es de servicio, entornos o entidades educativas correspondientes, como encargados del tratamiento, que proveen, por cuenta del responsable del tratamiento, los servicios TIC, que hayáis autorizado.
6.- USO Y POLÍTICA DE COOKIES
Las cookies son pequeños ficheros creados en el navegador de las personas usuarias, necesarias para desarrollar ciertas funcionalidades para la navegación. Algunas, sin embargo, pueden extraer información de la persona usuaria sin que esta sea consciente.
Los componentes de la plataforma DD utilizan diversas tipologías de cookies necesarias por su funcionamiento, que se detallen a continuación.
La tabla siguiente enumera las cookies que utiliza cada componente. Como los nombres, números y propósitos de estas cookies pueden cambiar con el tiempo, esta página puede ser actualizada para reflejar estos cambios.
6.1.- COOKIES DE LOS DIFERENTES COMPONENTES DE DD
ÚLTIMA ACTUALIZACIÓN: …
[es importante no utilizar este aviso legal sin asegurarse de que realmente el Centro cumple con todo el que se indica]
5) Encargados del tratamiento(121),(122),(123),(124),(125),(126)
La relación entre el Centro/Responsable del tratamiento y el Encargado del tratamiento (el proveedor de servicios con acceso a datos personales) se tiene que establecer a través de un contrato, convenio o acuerdo, o de un acto jurídico que los vincule. El contrato debe constar por escrito. Normalmente es un anexo al contrato de servicio. Proponemos un modelo más abajo.
La directora o el director del centro, tiene que escoger únicamente Encargados del tratamiento que ofrezcan “garantías suficientes” para aplicar las medidas técnicas apropiadas, conforme con los requisitos del RGPD. Por tanto, hay un deber de diligencia a la hora de escoger el Encargado. Para poder demostrar que el Encargado ofrece suficientes garantías, el RGPD establece la adhesión a códigos de conducta o la posesión de certificados de cumplimiento de la normativa de protección de datos. Por tanto, en el momento de contratar un proveedor de servicios, la Dirección del Centro deberá pedir si disponen de alguna acreditación que demuestre que cumplen con la normativa de protección de datos personales.
Ver, en este sentido, el Anexo 4, con una plantilla de como debería ser el contrato entre el Centro y los proveedores de servicios con acceso a datos personales.
ANEXO 4. MODELO DE ANEXO CONTRACTUAL DE PROTECCIÓN DE DATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO (EX. EMPRESA EXTERNA DE SERVICIOS)(127)
(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros, pero no es la única manera de hacerlo.)
A …, el …. de ………. de 20… .
Dado que la realización de los trabajos relativos al objeto del contrato supone el tratamiento de datos de carácter personal, de personas identificadas o identificables, por parte del Encargado del tratamiento, se relacionan a continuación sus deberes y obligaciones en relación con el tratamiento de los datos, tal y como prevé la normativa vigente de protección de datos personales.
1. Objeto y naturaleza del encargo de tratamiento, identificación de la información afectada y duración.
Mediante estas cláusulas se habilita a ………, como Encargado del tratamiento (en adelante el Encargado de tratamiento), a tratar por cuenta del Centro educativo ….. (en adelante, el Centro/Responsable del tratamiento), los datos de carácter personal necesarios para prestar el servicio consistente en …………. .
El tratamiento consistirá en la gestión de los datos personales derivada de las prestaciones previstas en el contrato por cuenta del Centro/Responsable del tratamiento, pudiendo consistir en el tratamiento de las categorías de datos personales y de las personas interesadas previstas en los tratamientos realizados por los Centros educativos previstos por el Departamento de Educación(128), por el Consorcio de Educación de Barcelona(129),(130),(131) y la guía del APDCAT sobre protección de datos para los Centros educativos(132).
En todo caso, estos tratamientos se regirán por lo que dispone el documento relativo a la Protección de datos personales de los “documentos para la organización y la gestión de los centros sobre Protección de Datos”(133), el cual tiene carácter normativo para los Centros educativos de titularidad del Departamento de Educación.
Para ejecutar las prestaciones derivadas del cumplimiento del objeto de este encargo, el Centro educativo, Centro/Responsable del tratamiento, pone a disposición del Encargado del tratamiento, la información detallada en el contrato de que deriva este anexo.
Este acuerdo se encuentra supeditado en cuanto a su duración al contrato de prestación de servicios contratados con el Encargado.
2. Obligaciones del Encargado del tratamiento
El Encargado del tratamiento y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o las que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias.
b) Si existieran más instrucciones aparte de las obligaciones indicadas en este contrato, tratar los datos de acuerdo con las instrucciones del Centro/Responsable del tratamiento.
Si el Encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los estados miembros, el Encargado debe informar inmediatamente al Centro/Responsable.
c) Tener, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Centro/Responsable, que contenga lo previsto en el artículo 30 del RGPD.
d) Con carácter general, a no comunicar los datos a terceras personas, salvo que tenga la Autorización escrita expresa del Centro/Responsable del tratamiento, en los supuestos legalmente admisibles.
El Encargado puede comunicar los datos a otros Encargados del tratamiento del mismo Centro/Responsable, de acuerdo con las instrucciones del Centro/Responsable. En este caso, el Centro/Responsable debe identificar, previamente y por escrito, la entidad a la cual se deben comunicar los datos, los datos a comunicar y las medidas de seguridad que hay que aplicar para proceder a la comunicación.
Si el Encargado tuviera que transferir datos personales a un tercer país o una organización internacional, en virtud del derecho de la Unión o de los estados miembros que le sea aplicable, debe informar al Centro/Responsable de esta exigencia legal de manera previa, salvo que este derecho lo prohíba por razones importantes de interés público.
e) Subcontratación
Para subcontratar con otras empresas, el subcontratista, que también tiene la condición de Encargado de tratamiento, está obligado igualmente a cumplir las obligaciones que este documento establece para el Encargado del tratamiento y las instrucciones que dicte el Centro/Responsable. Corresponde al Encargado inicial regular la nueva relación, de manera que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad …) y con los mismos requisitos formales que él, en lo que se refiere al tratamiento adecuado de los datos personales y a la garantía de los derechos de las personas afectadas. Si el sub-Encargado incumple, el Encargado inicial continúa siendo plenamente responsable ante el Centro/Responsable por lo que respecta al cumplimiento de las obligaciones.
f) Mantener el deber de secreto profesional y confidencialidad respecto de los datos de carácter personal objeto del presente contrato a los cuales tenga acceso en virtud de este encargo, incluso después de que finalice el objeto de este o se resuelva. El Encargado debe tomar las medidas necesarias para que el contenido de la información no se divulgue a terceros, ni que estos puedan tener acceso a la misma sin Autorización del Centro/Responsable del tratamiento.
A efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada de palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.
Asimismo, el Encargado debe guardar reserva respecto de los datos o antecedentes que no sean públicos o notorios de los cuales haya tenido conocimiento en ocasión del contrato. En este sentido, la documentación e información a la cual tenga acceso el Encargado tiene carácter confidencial, y no podrá ser objeto de divulgación o transmisión a terceras personas, total o parcialmente, por ningún medio o soporte, fuera del estricto ámbito de ejecución directa del contrato.
g) Garantizar que las personas autorizadas para tratar datos personales del Centro/Responsable se comprometen, de manera expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes a este efecto, de las cuales hay que informarse convenientemente, y mantener a disposición del Centro/Responsable la documentación que acredita que se cumple esta obligación.
h) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
i) Asistir al Centro/Responsable y resolver por la cuenta del Centro/Responsable y dentro del plazo establecido, según proceda, en el contexto de este contrato, en la respuesta al ejercicio de los derechos siguientes:
-
1) Acceso, rectificación, supresión y oposición
2) Limitación del tratamiento
3) Portabilidad de datos
4) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)
j) Derecho de información
El Encargado del tratamiento debe facilitar, en caso de recoger directamente de las personas afectadas sus datos personales, en el momento de recoger los datos, la información relativa a los tratamientos de datos que se llevarán a cabo. La redacción y el formato en que se facilitará la información se debe consensuar con el Centro/Responsable, antes de iniciar la recogida de los datos.
k) Notificación de brechas de seguridad de los datos
El Encargado del tratamiento debe informar al Centro/Responsable del tratamiento, sin dilación indebida, y a través del correo electrónico provisto por el Centro/Responsable, de cualquier sospecha o constatación de eventuales errores, incidencias o brechas de seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, para que el CENTRO pueda cumplir con su obligación de ponerse en contacto de forma inmediata con el servicio territorial correspondiente a efecto informativo y también con el delegado o delegada de protección de datos del Departamento de Educación, a través del cual se recomienda notificar la violación de seguridad al APDCAT, lo cual se debe efectuar en el plazo máximo de 72 horas.
Al efecto del presente contrato y de conformidad con lo que dispone el RGPD, una incidencia de seguridad, será aquella que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, incluida, la comunicación o acceso no autorizado a esta información.
Sin perjuicio de lo anterior, la notificación no será necesaria cuando sea improbable que esta incidencia de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, hay que facilitar al Centro/Responsable, como mínimo, la información siguiente:
1) Descripción de la naturaleza de la incidencia de seguridad de los datos personales, incluidas, cuando sea posible, las categorías y el nombre aproximado de personas interesadas afectadas y las categorías y el nombre aproximado de registros de datos personales afectados.
2) Nombre y datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el cual se pueda obtener mes información.
3) Descripción de las posibles consecuencias de la incidencia de seguridad de los datos personales.
4) Descripción de las medidas adoptadas o propuestas para solucionar la incidencia de seguridad de los datos personales, incluidas, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida que no lo sea, la información se debe facilitar de manera gradual sin dilación indebida.
l) Facilitará diligentemente y sin dilación indebida la información requerida por el Centro/Responsable del tratamiento a la hora de realizar las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
m) Facilitará diligentemente y sin dilación indebida la información requerida por el Centro/Responsable del tratamiento a la hora de hacer las consultas previas a la autoridad de control, cuando proceda.
n) Poner a disposición del Centro/Responsable toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el Centro/Responsable u otro auditor autorizado por él.
o) Implantar, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, y en estricto cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, las medidas y mecanismos de carácter técnico y organizativo necesarias para:
-
1) Garantizar la seguridad, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento así como de los datos de carácter personal a los cuales tiene acceso en ocasión de la ejecución del contrato, evitando su alteración, pérdida, tratamiento o acceso no autorizado;
2) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
3) Verificar, evaluar y valorar, de manera regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
4) Pseudoanonimizar y cifrar los datos personales, si procede.
La adhesión a códigos de conducta o la posesión de una certificación son elementos que sirven para demostrar el cumplimiento de los requisitos indicados anteriormente. Se debe facilitar la información sobre estas certificaciones si se dispone de la misma.
En este sentido, se deben de aplicar las medidas que se determinen en el Marco de ciberseguridad para la protección de datos (MCPD).
Asimismo, de acuerdo con lo que establece la Disposición Adicional primera de la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales, el Encargado se compromete al cumplimiento del Esquema Nacional de Seguridad regulado por el Real Decreto 3/2010, de 8 de enero, según la categoría correspondiente del sistema.
p) Destinación de los datos
Durante la vigencia del contrato, el Encargado deberá de conservar cualquier dato objeto de tratamiento, excepto si recibe indicaciones en sentido contrario del Centro/Responsable del tratamiento.
Una vez acabada la prestación de servicios, el Encargado eliminará los datos objeto de tratamiento.
No obstante, el Encargado puede conservar una copia, con los datos debidamente bloqueados, mientras se puedan derivar responsabilidades de la ejecución de la prestación.
5. Obligaciones del Centro/Responsable del tratamiento
Corresponde al Centro/Responsable del tratamiento:
a) Proporcionar al Encargado los datos a los cuales se refiere la cláusula 2 de este documento.
b) En los casos de tratamientos que de acuerdo con la ley(134) comporten un riesgo elevado, hacer una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento que debe efectuar el Encargado, y en caso de confirmar que el tratamiento comporta un alto riesgo, hacer las consultas previas que corresponda(135).
c) Velar, antes y durante todo el tratamiento, para que el Encargado cumpla el RGPD. A tal fin, el Centro/Responsable podrá designar en cualquier momento durante la vigencia del contrato a personal interno o externo para verificar que el Encargado tiene implantadas las medidas necesarias para garantizar la seguridad de los datos de carácter personal. Supervisar el tratamiento, incluida la ejecución de inspecciones y auditorías.
d) Autorizar el Encargado del tratamiento a:
-
1) Llevar a cabo el tratamiento de los datos de carácter personal en dispositivos portátiles de tratamiento de datos solo por parte de las personas usuarias o perfiles de usuario asignados a la prestación de servicios contratada.
2) Llevar a cabo el tratamiento fuera de los locales del Centro/Responsable del tratamiento, solo por parte de los las personas usuarias o perfiles de usuario asignados a la prestación de servicios contratados.
3) La entrada y salida de los soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y / o anexos a un correo electrónico, fuera de los locales bajo el control del Centro/Responsable del tratamiento.
4) La ejecución de los procedimientos de recuperación de datos que el Encargado del tratamientos vea necesarioejecutar.
5) Tratar los datos en sus locales, ajenos a los del Centro/Responsable del tratamiento mencionado en el punto 2 de esta cláusula.
6. Incumplimientos y responsabilidades
En especial en el caso de que destine los datos a los cuales tenga acceso a una finalidad diferente a la establecida, o los comunique o los utilice incumpliendo las estipulaciones del contrato o las instrucciones del Centro/Responsable, el Encargado responderá personalmente de las infracciones que haya cometido y de las posibles reclamaciones que se puedan producir al respecto.
7. Vigencia
Este contrato contiene el total acuerdo entre las partes sobre el objeto del mismo y anula y sustituye cualquier acuerdo anterior sobre protección de datos personales, verbal o escrito, a que hayan llegado las partes.
Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre las dos partes, prevalecerá lo estipulado en el presente.
Cualquier modificación del contenido de este acuerdo, solo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.
6) Incidències de seguretat de protecció de dades(136),(137)
La gestión de las incidencias de seguridad, como se ha comentado, es responsabilidad de todas y todos las y los PROFESIONALES y en última instancia de la Dirección, que también es responsable de vehicular las incidencias grave hacia la Autoridad de Protección de Datos.
Como se ha comentado anteriormente, el Delegado de protección de datos(138),(139), del Departamento de Educación(140), figura obligatoria en educación(141), es el interlocutor en nombre de los centros y servicios educativos(142) con la Autoridad Catalana de Protección de Datos (APDCAT).(143)
En caso de ocurrir una incidencia grave relativa a la seguridad de los datos se debe notificar lo más pronto posible al Delegado de Protección de Datos del Departamento de Educación para que este guie al Centro sobre cómo actuar y cumpla con los trámites que correspondan de acuerdo con la normativa de protección de datos ante la Autoridad.
RESPONSABILIDAD DEL PROFESORADO
Las profesoras y profesores, debido a su actividad, están constantemente en contacto con datos personales de la comunidad educativa, en particular los de las y los alumnos, por ejemplo, comunicándose con los alumnos y sus familias o usando servicios informáticos para la realización de las clases.(144)
Para conocer cómo se gestionan los datos personales al Centro educativo donde trabajan, el profesorado debe ser informado como se ha indicado anteriormente (ver anexo 1).
FAMILIAS
Para un funcionamiento transparente de los centros y siguiendo los más altos estándares del derecho de información, sería adecuado que los centros informasen a las familias tal y como se ha indicado anteriormente en el apartado relativo a la “Información y consentimiento de las personas afectadas”, de aspectos tan importantes del tratamiento de los datos personales, como: por qué se recogen los datos (finalidad), quién es el responsable de estos datos (el Centro) y como ponerse en contacto con el Centro, si es obligatorio proporcionar los datos, los derechos de los alumnos sobre la protección de sus datos y como ejercerlos, y si estos datos se comparten con algún destinatario.
Esta información se debería proporcionar en general – sugerimos en la web – y en especial en el momento en que se recojan datos personales (p. ej. un formulario) o bien, en caso de que el Centro reciba los datos de otra entidad, deberá proporcionarla en un mes desde la recepción de estos datos.
Sin embargo, los Centros educativos en principio no necesitarían el consentimiento de los alumnos o de sus madres, padres y tutores para utilizar sus datos, ya que estos son necesarios para cumplir con su función docente y orientadora.
En algunos casos, no estrictamente relacionados con la función docente y educativa, es necesario que el Centro pida el consentimiento de las madres, padres y tutores o de los alumnos que ya sean mayores de 14 años, los cuales ya pueden consentir legalmente sobre el tratamiento de sus datos personales.
© Copyright Xnet – CC 4.0 BY-SA-NC
Contacto:
contact@xnet-x.net
ÚLTIMA VERSIÓN: 28/01/2022.
[Este texto ha sido traducido del original en catalán de forma voluntaria por Sandra G.M. y Carlota B.
1
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en: https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
2
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Disponible en:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
3
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
4
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf
5
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf
6
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Páginas 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf
7
Artículo 4 y considerandos 26, 28-30, 34-37 RGPD.
8
APDCAT. Guías APDCAT. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/
9
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
10
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf
11
AEPD. Guías y herramientas. Disponible en:
https://www.aepd.es/es/guias-y-herramientas/guias
12
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf
13
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Páginas 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf
15
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 8.
Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
16
AEPD. (2018). Guía para centros educativos. Página 9. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf
17
Más ejemplos en: APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 10. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
18
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Páginas 8-11. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
19
Artículo 9 y considerandos 51-56 RGPD.
20
Artículo 9, Disposición Addicional 17ª y Disposición Final 3ª LOPDGDD.
21
AEPD. (2018). Guía para centros educativos. Páginas 9-10. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf
22
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 11. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
24
AEPD. (2021). Quién es quién en el tratamiento de datos personales en tu centro educativo. Disponible en:
https://www.aepd.es/es/documento/quien-es-quien-centros-docentes.pdf
25
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 10. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
26
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
27
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 11. Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“El responsable del tratamiento, la escuela –en el caso de la escuela pública será el Departamento de Enseñanza el que tendrá que establecer si el responsable es cada centro o el propio Departamento– debe garantizar y poder demostrar que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y libertades de las personas de las que trata los datos.”
28
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 11. Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que solo o con otros, determine los fines y medios del tratamiento (…). En el caso de los centros educativos públicos nos encontramos ante centros que dependen de un Departamento de la Administración de la Generalitat, pero que a la vez tienen atribuida cierta autonomía en la gestión. Por eso, el Departamento de Enseñanza será el que establecerá quién es el responsable del tratamiento.”
29
Artículo 24 RGPD y artículo 28 LOPDGDD.
30
Mediante el «Documentos de organización y gestión de los centros» (DOIGC) sobre «Protección de datos personales», de 2 de julio de 2021, el Departamento ha establecido que el Responsable del Tratamiento son los centros y servicios educativos, y en concreto los sus directores o titulares.
31
Departament d’Educació. (2021). Document d’organització i gestió dels centres sobre Protecció de dades personals. Página 4. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Los centros y servicios educativos, mediante la dirección o la titularidad de éstos, son responsables del tratamiento de los datos del alumnado y del personal del centro. (…) El responsable de todos los tratamientos de datos que se realicen en un centro educativo es el director o directora del centro o la persona titular del centro.»
32
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 4. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
34
Artículos 28, 33 y Disposición Transitoria 5ª LOPDGDD.
35
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, Páginas 10-11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Un encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Las escuelas, como responsables de los tratamientos, pueden encargar a terceras personas o entidades un tratamiento de datos personales o una actividad que comporte el tratamiento de datos de carácter personal, como organizar las actividades extraescolares, el servicio de autocar, el servicio de comedor u otros servicios externalizados (natación, actividades extraescolares, asesoría contable y laboral, destrucción de papel, etc.). La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato, convenio o acuerdo, o de un acto jurídico que los vincule. El contrato o el acto jurídico debe constar por escrito, e inclusive en formato electrónico.»
37
Artículos 34, 35, 36 y 37 LOPDGDD.
38
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura es obligatoria para el Departamento y también para los centros docentes (…)”.
39
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
41
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, página 12. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Hace referencia a la figura del delegado o delegada de protección de datos para los centros y servicios educativos de titularidad del Departamento de Educación: «El Departamento de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departamento (en el que se incluyen los centros y servicios educativos de titularidad del Departamento) y de supervisar el cumplimiento de la normativa reguladora.
La dirección de contacto es dpd.educacio@gencat.cat.”
42
Decisión por acuerdo del Comité de Dirección en el momento de la entrada en vigor del nuevo Reglamento General de Protección de Datos.
43
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-7. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
44
Artículo 25 y considerando 78 RGPD.
45
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 7. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
46
AEPD. (2021). Medidas de protección de datos desde el diseño y por defecto. Disponible en:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/proteccion-de-datos-diseno-por-defecto
47
AEPD. (2019). Guía de Privacidad desde el Diseño. Disponible en:
https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf
48
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible en:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf
49
Artículos 5.1.c) y 25 RGPD.
50
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 14. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
51
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 24 y 27. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
52
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible en:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf
54
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 14. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
55
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible en:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament
56
Definit a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas. Disponible en:
https://boe.es/buscar/act.php?id=BOE-A-2015-7662#a32,%20https://dpej.rae.es/lema/expediente-acad%C3%A9mico
57
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre la Gestió del centre (curs 2021-2022). Página 110, “gestió d’arxius”. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/DOIGC_Gestio.pdf
59
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
61
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
62
Licitud, lealtad y legitimación:
– Artículo 6 y considerandos 40, 41, 44, 45, 31, 46-50 RGPD.
– Artículo 8, Disposición Addicional 9ª, Disposición Addicional 10ª, Disposición Final 12ª LOPDGDD.
– APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
63
Transparencia en:
– Artículo 12 y considerandos 39, 58-59 RGPD
– Artículo 12 LOPDGDD.
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 15. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
64
Ley Orgánica 2/2006, de 3 de mayo, de educación. Disponible en:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf
65
Ver apartado dedicado al deber de información.
67
Artículo 4 y Disposición Addicional 8ª LOPDGDD.
68
Artículos 5.2, 24, 25, 32, 35 y considerando 85 RGPD.
70
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 5. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
71
Artículos 5.1.f) y 32, considerando 39 RGPD.
72
Artículos 5 y 28.2.a) LOPDGDD.
73
AEPD. (2018). Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento.
Disponible en:
https://www.aepd.es/es/documento/guia-rgpd-para-responsables-de-tratamiento.pdf-0
74
AEPD. (2018). Listado de Cumplimiento Normativo. Disponible en:
https://www.aepd.es/es/node/44505
75
APDCAT. Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/
76
AEPD. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. Disponible en:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
77
AEPD. (2019). Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas. Disponible en:
https://www.aepd.es/es/node/816
78
Esto es lo que proponemos en el Departamento: Se indica la Jefatura de los Centros, como responsables del tratamiento.
Al mismo tiempo se indica la obligación de tener un Delegado de protección de fechas por parte de los centros que dependan del Departamento y, de una forma no completamente clara que “El Departamento de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departamento (en el que se incluyen los centros y servicios educativos de titularidad del Departamento) y de supervisar el cumplimiento de la normativa reguladora.
Se debería clarificar que esto significa que esta figura es la Delegada para los centros educativos que dependan del Departamento.
Una vez aclarado esto, así como se han provisto los listados de tratamientos para que la realización del Registro de Actividades de Tratamiento (RAT) obligatorio por parte de los centros sea fácil de cumplir, la o el Delegado del Departamento deberían proveer el listado por que la auditoría de riesgos e impacto que correspondan sea fácilmente realizable. Actualmente sólo dando algunas indicaciones de medidas de seguridad referentes a las videoconferencias, siendo estas medidas restrictivas y no muy realizables o innecesarias.
Los Centros no tienen los recursos ni las competencias para cumplir y están abandonados a una complejidad que podría ser resuelta por la institución que, por el contrario, la aumenta.
Consideramos más adecuada que esta responsabilidad sea asumida por el Delegado de Protección de Datos del Departamento. Proponemos que la gestión de los riesgos de los centros educativos se gestione desde el Departamento, ya que el personal y las Direcciones de los Centros ya tienen suficiente carga de trabajo con su día a día como para además tener que diseñar e implantar medidas para cumplir con una normativa que desconocen en profundidad.
Esto debería suceder sin sobrecargar los Centros, es decir con unas plantillas previamente realizadas para el DPD del Departamento, para que el análisis de riesgos sea de muy fácil cumplimiento por parte de los Centros. Por ejemplo tomando ejemplo de las Plantillas realizadas por Xnet en su Manual de Protección de Datos para los Centros Educativos.
Por ejemplo. por lo que respecta a las MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD que deben aplicar los Centros en general, en los Registros de Actividades de Tratamiento, tanto del Departamento de Educación como del Consorcio de Educación de Barcelona se hace referencia a diversas medidas que se aplican por los tratamientos relativos a los alumnos, en concreto:
– El RAT del Departamento indica que «Se aplicarán las medidas que se determinen en el Marco de ciberseguridad para la protección de datos (MCPD)».
No se ha explicado a los Centros en qué consisten estas medidas ni se ha cumplido con la formación -cuya responsabilidad recae en el Delegado-, pero de la inclusión de las mismas en estos registros que definen los tratamientos llevados a cabo por los Centros se deriva de que las mismas son de aplicación por su parte. Sugerimos que la o el Delegado de Protección de Datos del Departamento prepare los formularios necesarios y realice ella misma las evaluaciones de riesgos de cada centro sin sobrecargarlos, creando los protocolos necesarios para que los Centros puedan ser conocedores de lo que implican las medidas anunciadas tanto por el Departamento como por el Consorcio y simplemente se le trasladen los protocolos que deben cumplir sobre unos mínimos y no unos máximos que no pueden alcanzar.
De la misma forma, en algunos puntos del DOCUMENTO se presupone la existencia de un «Responsable de Seguridad TIC» en los centros, cuando no todos disponen de esta figura, que como mínimo debería tener una correcta remuneración para llevar a cabo las tareas que le corresponderían.
79
AEPD. (2019). Protege sus datos en la vuelta a clase. Consejos para padres, profesores y centros educativos. Disponible en:
https://www.aepd.es/es/documento/infografia-vuelta-clase.pdf
80
Artículo 30 y considerando 82 RGPD.
81
Artículo 31 y Disposición Final 11ª LOPDGDD.
82
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
83
APDCAT. (actualització 2021). Aplicació per gestionar el registre de les activitats de tractament. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/
84
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible en :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals
85
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible en:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament
86
Consorci d’Educació de Barcelona. Informe del Registre d’Activitats de Tractament. Tractament: “SE001 Plataformes educatives”. Disponible en:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf
87
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 5, páginas 8-9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
88
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 5, página 9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“En caso de que no lo sean, es necesario notificar a los servicios territoriales correspondientes o, en el caso de la ciudad de Barcelona, al Consorcio de Educación de Barcelona, la actividad no incluida para revisar su adecuación y, si procede, publicar en el Registro.”
89
APDCAT. (2018). Pautes de protecció de dades per als centres educatius.
Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
90
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-8, 12-14, 32. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
91
APDCAT (2022). “La APDCAT promueve la difusión responsable de imágenes de menores en internet”. Disponible en:
https://apdcat.gencat.cat/ca/sala_de_premsa/notes_premsa/noticia/Pautes-difusio-imatges-menors-escoles
92
Páginas 6-7 del Documentos de organización y gestión de los centros sobre protección de datos personales.: «Por tanto, es necesario que el conjunto de medidas organizativas y técnicas que garantizan el tratamiento adecuado de los datos personales, por parte de todo el personal autorizado, esté incluido en las normas de organización y funcionamiento del centro o servicios educativos. La dirección o titularidad de los centros o servicios educativos es la responsable de difundir las normas de organización y funcionamiento del centro y comprobar y asegurar que se cumplan.»
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
93
Página 29 de Documentos de organización y gestión de los centros sobre Protección de datos personales.: «Los centros deben establecer las normas que se requieran para garantizar un tratamiento adecuado de los datos y son los responsables de adoptar las medidas necesarias para que todos los usuarios del sistema conozcan las políticas del centro en materia de seguridad.»
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
94
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos y por lo que deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en:
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
95
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Disponible en:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
96
Xnet. (2021). Manual de Xnet sobre el tratamiento de datos personales en los centros educativos de Barcelona dependientes del departamento de educación para el uso de servicios y recursos online. Disponible en:
https://xnet-x.net/ca/manual-proteccio-dades-centres-educatius-educacio
97
APDCAT. Guies APDCAT. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/
98
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
99
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf
100
AEPD. Guías y herramientas. Disponible en:
https://www.aepd.es/es/guias-y-herramientas/guias
101
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf
102
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf
103
Artículo 90 y considerando 164 RGPD.
104
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 27. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
105
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 34. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
106
Ley Orgánica 2/2006, de 3 de mayo, de educación, Disposición adicional 23.
Disponible en:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf
107
Artículos 33, 34 y considerandos 85, 86, 87 y 88 RGPD.
108
Artículos 13-14 y considerandos 60-62 RGPD.
110
APDCAT. (2018). Pautas de protección de datos para los centros educativos.
Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
111
APDCAT. (2018). Guía para el cumplimiento del deber de informar al RGPD. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/guia_per_al_compliment_del_deure_d_informar_RGPD/
112
Consorcio de Educación de Barcelona. La protección de datos personales en el Consorcio de Educación de Barcelona y en los centros y servicios educativos de la ciudad de Barcelona. Apartado “¿eres un centro educativo?” Disponible en :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals
113
APDCAT. (2018). Pautas de protección de datos para los centros educativos. Página 22. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
114
Aquí más detalles sobre cada derecho concreto:
https://apdcat.gencat.cat/ca/drets_i_obligacions/drets/drets_habeas_data/
115
Artículos 7-8 y considerandos 32, 42, 43 y 38 RGPD.
116
Artículos 6, 7 y 92 LOPDGDD.
117
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 19. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
118
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-8. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
119
Consorci d’Educació de Barcelona. (s.d.). Avíso legal. Disponible en:
https://www.edubcn.cat/ca/avis_legal
120
Creative Commons (s.d.). Reconeixement-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0). Disponible en:
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.ca
122
Artículos 28, 33 y Disposición Transitòria 5ª LOPDGDD.
123
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 8, páginas 10-11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
124
APDCAT. (2019). Guia sobre l’encarregat del tractament al RGPD. Disponible en:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-tractament-RGPD-CAT.pdf
125
APDCAT. (2019). Annex a la guia sobre l’encarregat del tractament al RGPD: Model de clàusules contractuals. Disponible en:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-del-tractament-Annex-CAT.docx
126
AEPD. (2018). Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Disponible en:
https://www.aepd.es/es/documento/guia-directrices-contratos.pdf
127
S el contrato está en un proveedor de servidores, Xnet defiende que los servidores no sólo deben ser rigurosos con la protección de datos personales sino también con otros derechos fundamentales. En este caso, sugerimos añadir estas cláusulas porque no suelen encontrarse en los contratos o condiciones de los servidores:
– Si bien los clientes se comprometen a no publicar ningún contenido que pueda vulnerar los derechos de terceros o que pueda infringir la ley, el proveedor no debe tener la obligación de retirar ningún contenido del servidor a menos que tenga conocimiento efectivo de que la actividad o la información almacenada es ilícita o perjudicial para un tercero. A estos efectos, se considera que existe conocimiento efectivo cuando esté en vigor una resolución judicial o administrativa que bloquee o retire los contenidos y el proveedor tenga conocimiento.
– El cliente debe ser informado en primer lugar.
– Las contraseñas de los servidores sólo pueden ser modificadas, después de la configuración inicial, por el cliente y no deben ser conocidas por el proveedor. Además, los clientes pueden utilizar la autenticación de dos factores y el cifrado para asegurar aún más sus cuentas.
128
Detalle de las actividades de tratamiento realizadas en los Centros educativos:
https://educacio.gencat.cat/ca/departament/proteccio-dades/informacio-addicional-tractaments/llista-responsables/#bloc1
129
La protección de datos personales en el Consorcio de Educación de Barcelona y en los centros y servicios educativos de la ciudad de Barcelona:
https://www.edubcn.cat/ca/el_consorci/proteccio_de_dades_personals
130
Detalle de las actividades de tratamiento realizadas en el Consorcio de Educación de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_CEB.pdf
131
Detalle de las actividades de tratamiento realizadas en el Consorcio de Educación de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf
132
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf
133
Documentos para la organización y gestión de los centros. Protección de datos personales: https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
134
Autoritat Catalana de Protecció de Dades (). l
https://apdcat.gencat.cat/web/.content/02-drets_i_obligacions/obligacions/documents/Lista-DPIA-ES.pdf
135
Artículo 36 del Reglamento General de Protección de Datos
136
Artículos 33, 34 y considerandos 85, 86, 87 y 88 RGPD.
137
AEPD. (2021). Guía para la notificación de brechas de datos personales. Disponible en:
https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf
138
Artículos 37, 38 y 39 RGPD.
139
Artículos 34, 35, 36 y 37 LOPDGDD.
140
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9.1, página 12. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Hace referencia a la figura del delegado o delegada de protección de datos para los centros y servicios educativos de titularidad del Departament de Educación: «El Departament de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departament (en el que se incluyen los centros y servicios educativos de titularidad del Departament) y de supervisar el cumplimiento de la normativa reguladora.
La dirección de contacto es dpd.educacio@gencat.cat.”
141
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura es obligatoria para el Departament y también para los centros docentes (…)”.
142
Decisión por acuerdo del Comité de Dirección en el momento de la entrada en vigor del nuevo Reglamento General de Protección de Datos.
143
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura (…) tiene, entre otras, las siguientes funciones: informar y asesorar al centro o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos, supervisar el cumplimiento de la normativa, asesorar respecto de la evaluación de impacto relativa a la protección de datos y ser el interlocutor del centro escolar con la autoridad de protección de datos (APDCAT).”
144
AEPD. (2021). Docentes y su importancia para la protección de datos y la privacidad. Disponible en:
https://www.aepd.es/es/prensa-y-comunicacion/blog/docentes-y-su-importancia-para-la-proteccion-de-datos-y-la-privacidad