Tratamiento de datos personales en los centros educativos

INTRODUCCIÓN

DEFINICIONES QUE SE HAN DE CONOCER

• Datos personales
• Categorías especiales de datos
• Tratamiento de datos

CÓMO SE REPARTEN LAS RESPONSABILIDADES

• El Responsable del tratamiento
• El Encargado del tratamiento
• El Delegado de protección de datos
• El profesorado y otras trabajadoras y trabajadores

PRINCIPIOS DE LA NORMATIVA QUE SE HAN DE CONOCER

• Privacidad desde el diseño y por defecto
• Minimización de datos
• Limitación del plazo de conservación o minimización del período de conservación
• Limitación de la finalidad
• Licitud, lealtad y transparencia
• Exactitud
• Accountability, responsabilidad proactiva & Seguridad, integridad, confidencialidad y secreto

TAREAS DE CADA UNO

DE QUÉ ES RESPONSABLE LA DIRECCIÓN DE LOS CENTROS EDUCATIVOS
1) Registro de actividades de tratamiento

2) Cumplimiento de los principios de la normativa de protección de datos

3) Información sobre las medidas al profesorado y personal
ANEXO 1. MODELO PARA NORMAS DE ORGANIZACIÓN Y FUNCIONAMIENTO DEL CENTRO (NOFC) SOBRE PROTECCIÓN DE DATOS PERSONALES

4) Información y consentimiento de las personas afectadas

4.1) Información
ANEXO 2. MODELO POR EL CONSENTIMIENTO DE LAS FAMILIAS

4.2) Consentimiento

4.3) Información que debe constar en el Aviso legal de las herramientas educativas (y las páginas web)
ANEXO 3. MODELO DE AVISO LEGAL, CONDICIONES DE USO DE LA PLATAFORMA DD, POLÍTICA DE PRIVACIDAD Y POLÍTICA DE COOKIES

5) Encargados del tratamiento
ANEXO 4. MODELO DE ANEXO CONTRACTUAL DE PROTECCIÓN DE DATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO (EX. EMPRESA EXTERNA DE SERVICIOS)


6) Incidencias de seguridad de protección de datos

RESPONSABILIDAD DEL PROFESORADO

FAMILIAS

ANEXO 1. MODELO PARA NORMAS DE ORGANIZACIÓN Y FUNCIONAMIENTO DEL CENTRO (NOFC) SOBRE PROTECCIÓN DE DATOS PERSONALES

(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros aunque no es la única manera de hacerlo).

Este documento quiere informar y comprometer al profesorado y a las y los trabajadores en relación con las normas de privacidad y confidencialidad que deben respetar en el desarrollo de sus funciones en el Centro………………………… (en adelante, el CENTRO).

Todas las y los profesionales que entran en contacto y gestionan datos personales de la comunidad educativa de este CENTRO (todo el profesorado, personal administrativo, personas colaboradoras, personal de servicios auxiliares, trabajadoras y trabajadores, en adelante, PROFESIONALES) deben conocer la importancia y obligación de proteger el derecho fundamental a la privacidad, suya y de toda la comunidad, es decir, la protección de los datos de carácter personal. Este derecho se regula mediante el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD)(94) y una serie de normas que lo desarrollan y complementan, como la LOPDGDD en el ámbito estatal(95), que establecen toda una serie de medidas de obligado cumplimiento que es una obligación conocer, en particular con datos sensibles y de menores como los que gestionan los centros educativos.

CONOCER LA PROTECCIÓN DE DATOS

Se envían a las y los PROFESIONALES del CENTRO los siguientes documentos informativos que tienen la obligación de leer:
– Manual de Xnet sobre el tratamiento de datos personales en los centros educativos de Barcelona dependientes del Departamento de Educación para el uso de servicios y recursos online(96).
– Guías de l’Autoritat Catalana de Protecció de Dades (APDCAT), en concreto las relativas a los centros educativos(97),(98),(99).
– Guías de la Agencia Española de Protección de Datos, en concreto las relativas a los centros educativos(100),(101),(102).

OBLIGACIONES DE CONFIDENCIALIDAD Y SECRETO(103),(104),(105)

Las y los PROFESIONALES tienen acceso en el desarrollo de sus funciones a información (en adelante, los DATOS PERSONALES), que es confidencial, así, por ejemplo: Datos de carácter identificativo: nombre y apellidos, DNI/NIF/NIE, dirección postal y electrónica, teléfono y fax de contacto, códigos y claves de acceso a los servicios digitales y telemáticos, dibujos, demostraciones, fotografías, imagen/voz, firma manuscrita/electrónica, tarjeta sanitaria; Datos de características personales: edad, sexo, lengua materna, fecha de nacimiento, lugar de nacimiento, nacionalidad, datos familiares (datos identificativos y de contacto como correos electrónicos y/o teléfonos, información financiera); Datos académicos y profesionales: formación y titulaciones, historial académico y profesión, expedientes académicos, resultados de investigación; Categorías especiales de datos: salud (certificados o informes médicos y certificados de invalidez o incapacidad necesarios para la atención adecuada de los alumnos en el ámbito de los Centros educativos), necesidades educativas especiales, observaciones médicas y discapacitados; y otros datos, comunicados de forma escrita, verbal, visual o mediante demostraciones, tanto en forma de dibujos, modelos, documentos impresos, y/o formato de archivos electrónicos o de cualquier otra forma.

La Ley Orgánica de educación (LOE)(106), establece que el profesorado y el resto del personal, en el ejercicio de sus funciones, acceden a datos personales y familiares o que afectan al honor y la intimidad de los menores o de sus familias y quedan sujetos al deber de secreto.

Los DATOS PERSONALES y todos los derechos sobre los mismos a los que han accedido los PROFESIONALES, permanecerán bajo la responsabilidad del CENTRO. Por tanto, las y los PROFESIONALES no se quedarán con la posesión, copia, ni en general tienen ningún tipo de derecho o titularidad, sobre los DATOS PERSONALES donde entren en contacto bajo cualquier tipo de soporte, por motivos directamente relacionados con su sitio de trabajo. Tampoco tendrán derecho a utilizarlas, salvo para el objeto de desarrollar las funciones inherentes a su cargo en el CENTRO así como cuando desarrollen cualquier otra función de forma transitoria o eventual en el mismo. En todo caso deberá entenderse que esta posesión es estrictamente temporal.

Las y los PROFESIONALES, como receptores de los DATOS PERSONALES en el ejercicio de sus funciones, estarán obligados y asumen el firme y serio compromiso de cumplir con el secreto, la confidencialidad y la seguridad en el tratamiento de los DATOS PERSONALES de los que es Responsable el CENTRO, tales como:

• Mantener los DATOS PERSONALES en estricta reserva y no revelarlos a ninguna otra persona, sin autorización previa y por escrito de la Dirección del CENTRO.
• Las y los PROFESIONALES sólo podrán comunicar o divulgar los DATOS PERSONALES a las personas autorizadas a conocerlas dentro de la organización del CENTRO.
• En ningún caso, permitirán que terceros externos al CENTRO (personas o entidades), no designados por el CENTRO ni debidamente autorizados, puedan acceder a estos DATOS PERSONALES, ya sea de forma informática o visual.
• Queda prohibido enviar información confidencial del CENTRO al exterior, mediante soportes materiales (como USB o papel), oa través de cualquier medio de comunicación (como correo electrónico u otras plataformas), incluyendo la simple visualización o acceso.
• La Dirección permite trasladar fuera de las instalaciones del CENTRO los DATOS PERSONALES o dispositivos sólo cuando sea estrictamente necesario para cumplir con sus obligaciones laborales. Las y los PROFESIONALES lo harán bajo su propia responsabilidad y cumpliendo con los principios y normas enunciados en este documento. Cualquier otro motivo para el traslado de DATOS y/o dispositivos debe justificarse y requiere la autorización previa y por escrito de la Dirección del CENTRO.
• Queda prohibido recoger DATOS PERSONALES sin la previa autorización de la Dirección del CENTRO que deberá procurar que la recogida sea necesaria y conforme a los principios de la normativa de protección de datos.

– Las y los PROFESIONALES sólo podrán acceder, utilizar y gestionar los DATOS PERSONALES de sus alumnos, sin poder conocer DATOS PERSONALES de otros miembros de la de la comunidad educativa no necesarios para el ejercicio de sus funciones.

– Velar por la seguridad de los DATOS PERSONALES haciendo uso de las herramientas y protocolos de seguridad que le proporcione y de los que informe al CENTRO, entre otros: manteniendo el secreto respecto de las contraseñas y claves de acceso que se le otorguen; la eliminación de datos de carpetas o en dispositivos que ya no se utilicen o que se utilicen temporalmente (como las carpetas del escáner o USBs); cerrar las sesiones en ordenadores y aplicaciones (cerrar LA SESIÓN el correo electrónico o la sesión del ordenador cuando no esté delante); etc.

• Cada PROFESIONAL será responsable de la confidencialidad de su identificador de usuario, la clave de acceso y/o la contraseña. En caso de que ésta sea conocida fortuitamente o fraudulentamente por personas no autorizadas, deberá cambiarla y comunicarlo a la Dirección del CENTRO para que registre el hecho como incidencia. También tendrá que cambiarla y comunicarlo a la Dirección del CENTRO Si el PROFESIONAL tiene conocimiento de que otra persona conoce sus datos de identificación y acceso. El PROFESIONAL recibirá sus credenciales de forma presencial y las almacenará en un keypass que se le enseñará a utilizar. El PROFESIONAL conoce y acepta las obligaciones que implica la tenencia de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Además, es conocedor de que una vez el PROFESIONAL acabe su relación con el CENTRO, estas credenciales se retirarán y deshabilitarán por parte de la Dirección del CENTRO.
• Cualquier archivo que se introduzca desde el exterior en un dispositivo que contiene datos personales responsabilidad del CENTRO, ya sea por correo electrónico, Internet u otros medios, deberá ser analizado por el antivirus.
• CONDICIONES DE USO DEL CORREO ELECTRÓNICO: No puede mezclarse el uso del correo electrónico personal con el del CENTRO. El correo corporativo proporcionado por el CENTRO sólo puede utilizarse para cumplir con fines relacionados con las obligaciones laborales del PROFESIONAL. Y viceversa, el correo personal no puede utilizarse para cumplir las funciones profesionales. Asimismo, se prohíbe el envío de correos masivos (spam) utilizando la dirección de correo electrónico del CENTRO o vulnerando los derechos de terceros o del CENTRO, o para la realización de actos de carácter ilícito. No puede facilitarse esta dirección a terceras personas ajenas a la organización, salvo que resulte necesario para el ejercicio de alguna de las funciones encomendadas al PROFESIONAL, o así lo autorice el CENTRO.
Asimismo, deben seguirse las siguientes normas de buen uso del correo electrónico:
a)Emplear la opción de copia oculta (CCO) cuando se envíe un mensaje a más de una persona destinataria que no forme parte del CENTRO.
b) Utilizar la opción de reenviar sólo en los casos en que la persona destinataria pueda acceder tanto al emisor del mensaje ORIGINAL como a su contenido, ya toda la información de la cadena de correos que formen parte de él.
c) Emplear el pie de firma automático de los mensajes de correo electrónico, conforme al modelo corporativo establecido. Cuando se trate de mensajes con fines personales, deberá suprimirse el pie de la firma.
d) Revisar las direcciones de los destinatarios antes de enviar el mensaje.
e) Con el fin de no difundir injustificadamente direcciones de correo de terceros al reenviar un correo electrónico, tendrán que eliminarse las direcciones de los destinatarios anteriores.
f) Identificar de forma clara y concisa el asunto.
g) No incluir datos personales en el asunto.
h) Evitar palabras o expresiones que puedan activar los programas antispam.
i) Organizar los mensajes enviados y recibidos en carpetas. Mantener la bandeja de entrada actualizada.
• No se autoriza la instalación del correo electrónico del CENTRO en el teléfono móvil personal de las y los PROFESIONALES, a excepción de casos justificados y autorizados por la Dirección del CENTRO.
• En los accesos tanto locales como remotos a la plataforma educativa utilizada por el CENTRO, el PROFESIONAL tendrá especial cuidado en seguir los protocolos de seguridad que proporcione el CENTRO. En particular seguirá las normas aquí establecidas para que ningún tercero externo al CENTRO pueda acceder, ya sea de forma informática o por la simple visualización, cerrando la sesión cuando el PROFESIONAL no esté utilizando la plataforma y asegurándose de que el entorno de de lo que accede es seguro (conexión WiFi privada, no almacenar las credenciales en ordenadores de uso comartido, borrar el historial de navegación y cerrar la sesión al terminar cuando se utilice un ordenador de uso compartido, utilizar programas antivirus, etc .).

– Guardar, por tiempo indefinido, es decir, incluso después de la extinción de la relación profesional con el CENTRO, el secreto y la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o entidades, los DATOS PERSONALES , documentos, metodologías, claves y/o contraseñas, análisis, programas y demás información a que tengan acceso durante su vinculación, sea laboral o no con el CENTRO, tanto en soporte material como electrónico.

– La y el PROFESIONAL tendrá que devolver los DATOS PERSONALES al CENTRO inmediatamente después de la finalización de las tareas que han originado su uso de forma temporal, y en cualquier caso, cuando finalice la relación laboral.
 

OBLIGACIONES EN LA GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE PROTECCIÓN DE DATOS(107)

En caso de conocer alguna incidencia, la y el PROFESIONAL debe comunicarla lo antes posible a la Dirección del CENTRO que adoptará las medidas oportunas.

Se entiende por incidencia cualquier anomalía o incidente que afecte o pudiera afectar a la seguridad y confidencialidad de los datos, es decir, que permita el acceso no autorizado a datos, soportes, aplicaciones, redes o dispositivos u ocasione su destrucción, pérdida o alteración.
Las incidencias pueden afectar tanto a datos automatizados (o informatizados, en dispositivos electrónicos) como no automatizados (en papel).

Ejemplos de incidencias habituales son:

• Alteración a los permisos de acceso a DATOS PERSONALES que tiene cada uno: Que PROFESIONALES o terceras personas o entidades accedan a datos a los que no podrían tener acceso. Por ejemplo, un miembro del PROFESORADO acceda a datos de alumnos que no son de su curso oa los que no da clase habitualmente, ya los que por tanto no debería tener acceso a través de los sistemas informáticos.
• Comunicación errónea de datos a destinatarios que no deberían recibirlos. Por ejemplo, enviar un correo electrónico con datos de un alumno a terceros que no son su madre, padre o tutor/a o mostrar los datos de un miembro de la comunidad educativa a terceros no autorizados.
• Olvido de la contraseña, claves de acceso o identificadores.
• Bloqueo de la cuenta o sesión para introducir la contraseña erróneamente múltiples veces.
• Pérdida de datos (pérdida de USBs, eliminación o destrucción de archivos por error, desaparición de documentos o soportes que contengan datos personales, etc.).
• Robo o pérdida de llaves de lugares o soportes donde se almacenan documentos o dispositivos (salas, cajones, armarios, etc.).

No obstante, esta lista no pretende ser exhaustiva y debe comunicarse a la Dirección del CENTRO cualquier incidencia que la o el PROFESIONAL crea que afecta o puede afectar a los datos de carácter personal.

Es obligación de todo el personal del CENTRO comunicar a la Dirección del CENTRO cualquier incidencia en los sistemas y datos a los que tengan acceso. Cualquier PROFESIONAL autorizado que tenga conocimiento de una incidencia es responsable de la comunicación de ésta a la Dirección del CENTRO.
Esta comunicación debe realizarse en un plazo de tiempo no superior a una hora desde el momento en que se tenga conocimiento de que se haya producido.

El conocimiento y la no notificación de una incidencia por parte de una o un PROFESIONAL se considera una falta contra la seguridad del sistema del CENTRO por parte de ésta.
 

INCUMPLIMIENTO

El incumplimiento de estas normas y protocolos por parte de una o un PROFESIONAL puede estar sujeto a procedimientos sancionadores y/o disciplinarios de diversas índoles.

DECLARACIÓN DE LECTURA Y COMPROMISO DE APLICACIÓN

Declaro haber sido informado sobre las normas de protección de datos personales del CENTRE………………….. y me comprometo a cumplirlas.

A ……, el …. de …… de …… 2021.

Nombre, apellidos, DNI
Firma

 

ANEXO 2. MODELO PARA EL CONSENTIMIENTO DE LAS FAMILIAS
(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros pero no es la única manera de hacerlo).

Madre, padre o representante legal de los menores de 14 años y alumnos mayores de 14 años.

Autorización para el uso de servicios y recursos digitales en Internet para trabajar en el aula (esta autorización, aunque revocable, es válida durante todo el tiempo de escolarización en este centro).

Datos del centro
Nombre del centro
Código del centro
Dirección
Municipio
Código postal

Datos del alumno/a
Nombre y apellidos
Fecha de nacimiento
Curso

Datos de la madre, padre o representante legal en el caso de menores de 14 años
Nombre y apellidos
DNI/Pasaporte

Autorizo
Casillas: sí / no
Que el centro gestione la creación del usuario y contraseña asociados a los siguientes recursos y servicios de Internet: Suite educativa DD [u otra herramienta digital que se utilice], para el trabajo académico, con finalidades pedagógicas.
La gestión de estos identificadores y la responsabilidad del uso que se haga en el ámbito de los Centros educativos corresponde al centro educativo. El centro no se hace responsable del uso inadecuado del recurso o de los sus contenidos por parte de las personas usuarias. La persona usuaria será la única responsable de las infracciones en que pueda incurrir o de los perjuicios que pueda causar por un uso inadecuado de sus servicios o de sus contenidos. En concreto, por la presente, la persona usuaria declara, respecto de las credenciales que recibirá de forma presencial y almacenará en un keypass que se le enseñará a utilizar, que conoce y acepta las obligaciones que implica la posesión de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Una vez la persona usuaria acabe su relación con el centro, se retirarán y deshabilitarán las credenciales que le autentifiquen por parte de la Dirección del CENTRO.

Autorizo
Casillas: sí / no
El uso de servicios y recursos digitales en Internet para trabajar en el aula, en concreto la Suite educativa DD [u otra herramienta digital que se utilice]
(Ver especificaciones técnicas y condiciones de uso más abajo).

Datos de la madre, padre o representante legal en el caso de menores de 14 años
Nombre y apellidos
DNI/Pasaporte

Autorizo
Casillas: sí / no
Que el centro gestione la creación del usuario y contraseña asociados a los siguientes recursos y servicios de Internet: Suite educativa DD [u otra herramienta digital que se utilice], para el trabajo académico, con finalidades pedagógicas.
La gestión de estos identificadores y la responsabilidad del uso que se haga en el ámbito de los Centros educativos corresponde al centro educativo. El centro no se hace responsable del uso inadecuado del recurso o de los sus contenidos por parte de las personas usuarias. La persona usuaria será la única responsable de las infracciones en que pueda incurrir o de los perjuicios que pueda causar por un uso inadecuado de sus servicios o de sus contenidos. En concreto, por la presente, la persona usuaria declara, respecto de las credenciales que recibirá de forma presencial y almacenará en un keypass que se le enseñará a utilizar, que conoce y acepta las obligaciones que implica la posesión de las credenciales, en particular el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida. Una vez la persona usuaria acabe su relación con el centro, se retirarán y deshabilitarán las credenciales que le autentifiquen por parte de la Dirección del CENTRO.

Autorizo
Casillas: sí / no
El uso de servicios y recursos digitales en Internet para trabajar en el aula, en concreto la Suite educativa DD [u otra herramienta digital que se utilice]
(Ver especificaciones técnicas y condiciones de uso más abajo).

Información sobre protección de datos
Responsable del tratamiento: Dirección del centro educativo.
Dirección postal y electrónica:
Dirección de contacto del delegado o delegada de protección de datos: dpd.educacio@gencat.cat.
Finalidad: el uso de servicios y recursos digitales en Internet para trabajar en el aula; la gestión y mantenimiento de las propias plataformas educativas usadas por los servicios educativos; la gestión de los usuarios, credenciales y accesos a los servicios y recursos digitales en Internet para trabajar en el aula y el control y seguimiento de los contenidos de la misma.
Legitimación: Consentimiento de la persona interesada o de la persona que ostenta la tutoría legal en caso de menores de edad. Podéis retirar el consentimiento en cualquier momento. La revocación no tiene efectos retroactivos.
Destinatarios: Los datos no se comunicarán a terceros, excepto en los casos previstos por la ley, o si lo habéis consentido previamente. En todo caso, serán destinatarios de los datos la/las plataforma/as de servicio, entornos o entidades educativas correspondientes, como encargadas del tratamiento, que proveen, por cuenta del Centro/Responsable del tratamiento, los servicios TIC, que hayáis autorizado.
Derechos: Acceder a los datos, rectificarlos, suprimirlos, oponerse al tratamiento y solicitar su limitación. Además de retirar el consentimiento prestado en cualquier momento, sin que la revocación tenga efectos retroactivos. Así como el derecho a presentar una reclamación ante la Autoridad Catalana de Protección de Datos.
Conservación: Los datos del expediente académico son de conservación permanente de acuerdo con la legislación vigente, concretamente según lo establecido en el artículo 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.

Sobre el tiempo de conservación del resto de los datos, la Generalitat y Consorci remiten a lo que establece el Decreto 13/2008, de 22 de enero, sobre acceso, evaluación y selección de documentos y a las Tablas de Evaluación documental definidas y aprobadas por la Comisión Nacional de Acceso, Evaluación y Selección Documental (CNAATD) (http://taad.cultura.gencat.cat/), donde se indica solo el tiempo de conservación de ciertos conjuntos de datos (solicitudes de becas y expedientes de admisión y matriculación de los alumnos). Por lo que respecta al resto de material generado por y sobre las y los alumnos, Xnet está consultando a la Generalitat al respecto y actualizaremos la información cuando tengamos respuesta.
Información adicional: Tratamiento “Alumnos de centros educativos de titularidad del Departamento de Educación” del Departamento de Educación (https://educacio.gencat.cat/ca/Detall/alumnes-centros-departament) y tratamiento “SE001 Plataformas educativas” de los servicios educativos dependientes del Consorci d’Educació de Barcelona (https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf).

Lugar y fecha
Firma de la madre, padre o representante legal del alumno o alumna.

Condiciones de uso del correo electrónico: No se puede mezclar el uso del correo electrónico personal con el del CENTRO. El correo corporativo proporcionado por el Centro solo se puede utilizar para cumplir con finalidades académicas. Asimismo, se prohíbe el envío de correos masivos (spam) usando la dirección de correo electrónico del CENTRO o vulnerando los derechos de terceros o del CENTRO, o para la realización de actos de carácter ilícito. No se puede facilitar esta dirección a terceras personas ajenas a la organización, excepto si resulta necesario para el ejercicio de actividades académicas relacionadas con el CENTRO.
Asimismo, se deben seguir las siguientes normas de buen uso del correo electrónico:
a) Usar la opción de copia oculta (CCO) cuando se mande un mensaje a más de una persona destinataria que no forme parte del CENTRO.
b) Utilizar la opción de reenviar solo en los casos en que la persona destinataria pueda acceder tanto al emisor del mensaje como a su contenido, y a toda la información de la cadena de correos que formen parte de él.
c) Usar el pie de firma automático de los mensajes de correo electrónico, conforme al modelo corporativo establecido. Cuando se trate de mensajes con finalidades personales, se deberá suprimir el pie de la firma.
d) Revisar las direcciones de los destinatarios antes de mandar el mensaje.
e) Con el fin de no difundir injustificadamente direcciones de correo de terceros al reenviar un correo electrónico, se deberán eliminar las direcciones de los destinatarios anteriores.
f) Identificar de forma clara y concisa el asunto.
g) No incluir datos personales en el asunto.
h) Evitar palabras o expresiones que puedan activar los programas antispam.
i) Organizar los mensajes enviados y recibidos en carpetas. Mantener la bandeja de entrada actualizada.

Especificaciones técnicas:
El CENTRO ha escogido la plataforma DD, creada por Xnet, familias, desarrolladores y centros promotores y el Ayuntamiento de Barcelona, para proporcionar a la comunidad educativa, y en concreto al profesorado y al alumnado, un espacio fácil de usar para llevar a cabo la actividad educativa en el entorno digital de forma soberana y respetuosa con sus derechos.

El desarrollo técnico llevado a cabo por las empresas IsardVDI y 3iPunt integra en una única plataforma, las siguientes herramientas de software libre y auditable que se ejecutan cada una en sus contenedores, usando en su mayoría las imágenes oficiales de cada herramienta de hub.docker.com.
Las herramientas que quedan integradas son:

• Nextcloud: desarrollo de programas cliente-servidor con el objetivo de habilitar servicios de alojamiento de ficheros añadiendo al servidor funcionalidad en forma de aplicaciones (calendario, mapas, webmail, reproductores y organizadores de música, suites ofimáticas, etc.).

• Moodle: herramienta de gestión de contenidos de aprendizaje (Learning Content Management LCMS) precursora de sistemas como el Classroom. Creada en Australia en 2001, cuenta con más de 160 millones de personas usuarias. Traducida a 120 idiomas.

• Big Blue Button – Blindside: sistema de videoconferencia dirigido al aprendizaje online. Permite el uso compartido de audio y vídeo, presentaciones con capacidades ampliadas de pizarra como el puntero, el zoom o el dibujo, chat público y privado, uso compartido del escritorio, VoIP integrado con FreeSWITCH y soporte para el envío de documentos.

• Etherpad: editor en línea que permite la edición colaborativa en tiempo real.

• WordPress: gestor de contenidos (Content Management System, CMS) en PHP y que enlaza con bases de datos MySQL o MariaDB. Entre sus características están la arquitectura a partir de plugins y el sistema de plantillas gráficas o temas.

• Onlyoffice: paquete ofimático integrado con Nextcloud que permite la edición de documentos ofimáticos (hoja de cálculo, editor de texto, presentaciones, conversiones de formato, etc.).

• Keycloak: gestor de la autentificación, usuarios y grupos. Todas las aplicaciones de la suite digital se registran contra el SAML proporcionado por Keycloak. La creación de usuarios se realiza con Admin atacando su API.

Se han desarrollado componentes propias del proyecto para integrar las aplicaciones y mejorar la experiencia de usuario:

• Admin: plataforma de gestión de usuarios y customizaciones que opera sobre las APIs del resto de aplicaciones para de gestionar la sincronización de la creación masiva de usuarios y la configuración de aspectos generales de la suite digital.

• API: servicios que usan el resto de aplicaciones para construir el menú y los elementos comunes de la suite digital.

• Plugins de Moodle y WordPress

• Herramienta para automatizar configuraciones y personalizaciones de las instalaciones

Este conjunto de herramientas queda alojado en servidores Hetzner con sistema operativo Debian.

Las cookies utilizadas son cookies funcionales necesarias e indispensables para la navegación, permitidas por la ley y son las siguientes:

ANEXO 3. AVISO LEGAL, CONDICIONES DE USO DE LA PLATAFORMA DD, POLÍTICA DE PRIVACIDAD Y POLÍTICA DE COOKIES

(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros, pero no es la única manera de hacerlo.)

ÍNDICE
1.- DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS
2.- DESCRIPCIÓN TÉCNICA
3.- COMO SE ADMINISTRA LA PLATAFORMA
4.- CONDICIONES DE USO Y NAVEGACIÓN DE LA PLATAFORMA
4.1.- Contenidos y licencia
4.2.- Exclusión de garantías y limitaciones de responsabilidad y acciones en caso de presuntas irregularidades

5.- POLÍTICA DE PRIVACIDAD
5.1.- Responsable del Tratamiento
5.2.- Actividades de Tratamiento
5.3.- Finalidad del Tratamiento de los datos y Categorías de datos tratados
5.3.1.- ¿Con qué finalidad tratamos sus datos personales?
5.3.2.- ¿Qué categorías de datos tratamos?
5.3.3.- ¿De dónde procede la información recogida?
5.3.4.- ¿Cuánto tiempo guardamos sus datos?
5.4.- Legitimación y Base Jurídica
¿Cuál es la legitimación para el tratamiento de sus datos?
5.5.- Derechos de las Personas Usuarias
¿Qué derechos tiene la persona interesada cuando comunica sus datos al centro?
5.6.- Comunicaciones de Datos
¿A qué destinatarios se comunicarán sus datos?

6.- USO Y POLÍTICA DE COOKIES

6.1.- Cookies de los diferentes Componentes de DD
6.1.1.- Nextcloud
6.1.2.- Moodle
6.1.3.- Big Blue Button
6.1.4.- Etherpad
6.1.5.- WordPress
6.1.6.- Admin
6.1.7.- Onlyoffice
6.1.8.- Keycloak
6.1.9.- Haproxy, Mariadb y Postgresql
 

1.- DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS
El responsable de esta plataforma, pone a disposición de las personas usuarias el presente aviso legal, la finalidad del cual es cumplir las obligaciones y deber de información establecidos en el artículo 10 de la Ley 34/2002, de 11 de junio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) y demás normativa aplicable.

Responsable de la Plataforma: Dirección del Centro
Denominación del Centro:
Dirección:
NIF/CIF:
Teléfono:
Dirección de correo electrónico:

Nombre de dominio:
 

2.- DESCRIPCIÓN TÉCNICA
El CENTRO ha escogido la plataforma DD, creada por Xnet, familias, desarrolladores y centros promotores y el Ajuntament de Barcelona para proporcionar a la comunidad educativa, y en concreto al profesorado y al alumnado, un espacio fácil de usar para llevar a cabo la actividad educativa en el entorno digital de forma soberana y respetuosa con sus derechos.

El desarrollo técnico llevado a cabo por las empresas IsardVDI y 3iPunt integra en una única plataforma, las siguientes herramientas de software libre y auditable que se ejecutan cada una en sus contenedores, usando en su mayoría las imágenes oficiales de cada herramienta de hub.docker.com.
Las herramientas que quedan integradas son:

• Nextcloud: desarrollo de programas cliente-servidor con el objetivo de habilitar servicios de alojamiento de ficheros añadiendo al servidor funcionalidad en forma de aplicaciones (calendario, mapas, webmail, reproductores y organizadores de música, suites ofimáticas, etc.).
• Moodle: herramienta de gestión de contenidos de aprendizaje (Learning Content Management LCMS) precursora de sistemas como el Classroom. Creada en Australia en 2001, cuenta con más de 160 millones de personas usuarias. Traducida a 120 idiomas.
• Big Blue Button – Blindside: sistema de videoconferencia dirigido al aprendizaje online. Permite el uso compartido de audio y vídeo, presentaciones con capacidades ampliadas de pizarra como el puntero, el zoom o el dibujo, chat público y privado, uso compartido del escritorio, VoIP integrado con FreeSWITCH y soporte para el envío de documentos.
• Etherpad: editor en línea que permite la edición colaborativa en tiempo real.
• WordPress: gestor de contenidos (Content Management System, CMS) en PHP y que enlaza con bases de datos MySQL o MariaDB. Entre sus características están la arquitectura a partir de plugins y el sistema de plantillas gráficas o temas.
• Onlyoffice: paquete ofimático integrado con Nextcloud que permite la edición de documentos ofimáticos (hoja de cálculo, editor de texto, presentaciones, conversiones de formato, etc.).
• Keycloak: gestor de la autentificación, usuarios y grupos. Todas las aplicaciones de la suite digital se registran contra el SAML proporcionado por Keycloak. La creación de usuarios se realiza con Admin atacando su API.

Se han desarrollado componentes propias del proyecto para integrar las aplicaciones y mejorar la experiencia de usuario:

• Admin: plataforma de gestión de usuarios y customizaciones que opera sobre las APIs del resto de aplicaciones para de gestionar la sincronización de la creación masiva de usuarios y la configuración de aspectos generales de la suite digital.
• API: servicios que usan el resto de aplicaciones para construir el menú y los elementos comunes de la suite digital.
• Plugins de Moodle y WordPress
• Herramienta para automatizar configuraciones y personalizaciones de las instalaciones

Este conjunto de herramientas queda alojado en servidores Hetzner con sistema operativo Debian.
 

3.- COMO SE ADMINISTRA LA PLATAFORMA
La plataforma se administra según las indicaciones de la Dirección del Centro, que es el responsable. Por lo tanto, en caso de considerar que en esta haya errores, mejoras técnicas, problemas con contenidos, o si tiene alguna reclamación, cuestión, consulta o sugerencia, diríjase a la Dirección del CENTRO.
 

4.- CONDICIONES DE USO Y NAVEGACIÓN DE LA PLATAFORMA

4.1.- CONTENIDOS Y LICENCIA
Las presentes condiciones de uso y navegación tienen la finalidad de regular la relación entre el titular de la plataforma, es decir, el CENTRO, y las personas usuarias de la comunidad educativa que acceden, navegan y generan contenido y llevan a cabo tareas relacionadas con la actividad educativa mediante esta herramienta. Así pues, la plataforma proporciona el acceso libre y gratuito a gran cantidad de contenidos, entendiendo por estos, sin que esta enumeración tenga carácter limitativo, información, servicios, datos, textos, fotografías, gráficas, imágenes, iconos, tecnología, programas, links y otros contenidos audiovisuales o sonoros, así como su diseño gráfico y código fuente (de ahora en adelante, “los contenidos”).

Cada persona usuaria será responsable de que los contenidos que suba o enlace a la plataforma sean conformes a la legislación vigente en el momento de subirlos o enlazarlos, por ejemplo, disponer de los derechos de imagen de fotografías hechas al alumnado. El CENTRO se reserva el derecho de retirar o modificar los contenidos que considere que no responden o no son oportunas en el ámbito educativo del CENTRO.

Asimismo, las personas usuarias tienen que hacer un uso adecuado de la plataforma, los contenidos y servicios ofrecidos de conformidad con la Ley, la moral, y las buenas costumbres generalmente aceptadas, el orden público y las condiciones previstas en el presente Aviso Legal y otros avisos, políticas, reglamentos de uso e instrucciones puestos en su conocimiento.

Por defecto, los contenidos que se publican en la plataforma lo hacen bajo el amparo de la licencia Creative Commons de Reconocimiento-No Comercial-Compartir Igual 4.0 Internacional (CC BY-NC-SA 4.0), es decir, pueden ser compartidos (copiar y redistribuir el material en cualquier medio y formato) y adaptados (mezclar, transformar y crear a partir del material), con los términos siguientes:

• Reconocimiento — Tenéis que reconocer la autoría de manera apropiada, proporcionar un enlace a la licencia e indicar si habéis hecho algún cambio. Podéis hacerlo de cualquier manera razonable, pero no de una manera que sugiera que el licenciador os da soporte o patrocina el uso que hacéis.

• No Comercial — No podéis utilizar el material para finalidades comerciales.

• Compartir Igual — Si mezcláis, transformáis o creáis a partir del material, tenéis que difundir vuestras creaciones con la misma licencia que la obra original.

Es por esto que las personas usuarias son responsables de verificar que los contenidos, en el momento de subirlos, son publicables bajo esta licencia o de indicar, en el momento de incluir los contenidos en la plataforma, bajo qué licencia se amparan.

Sin embargo, hay que tener en cuenta que el artículo 32 de la Ley de Propiedad Intelectual permite citar y reseñar fragmentos de obras con finalidades educativas o de investigación científica, indicando la fuente y el nombre del autor de la obra utilizada. Así, todo el contenido de la plataforma estará sometido a la licencia antes referenciada a excepción de estos contenidos.

Aunque en el momento de introducir un hipervínculo de terceros en las actividades que se llevan a cabo en la plataforma la persona usuaria es responsable de verificar la legalidad y corrección del contenido que enlaza, esta persona solo es responsable en el momento de hacerlo y no ulteriormente, ya que el CENTRO no ejerce ningún tipo de control sobre los enlaces o hipervínculos a otras páginas de Internet, que no pertenecen, ni son editadas o censuradas por el CENTRO. Por lo tanto, una vez que la persona usuaria accede a los enlaces de terceros y abandone la plataforma, tanto el presente Aviso Legal, como la Política de Privacidad y la Política de Cookies dejarán de tener efecto, ya que las páginas web a los cuales la persona usuaria acceda están sujetas a sus propias políticas.
 

4.2.- EXCLUSIÓN DE GARANTÍAS Y LIMITACIONES DE RESPONSABILIDAD Y ACCIONES EN CASO DE PRESUNTAS IRREGULARIDADES
Si la persona usuaria se siente perjudicada por la difusión en la plataforma de contenidos, vídeos o imágenes, que puedan resultar erróneos o inadecuados puede enviar un correo electrónico al CENTRO que responderá a su reclamación lo más pronto posible informando sobre la posibilidad o no de rectificar el contenido o retirar el material de la plataforma.

Cualquier incumplimiento de las cláusulas contenidas en la presente plataforma (Aviso Legal, Política de Privacidad, Política de Cookies, así como otros contenidos que supongan obligaciones para la persona usuaria) y en general de la legalidad vigente, se comunicará inmediatamente por parte del CENTRO a las autoridades pertinentes, comprometiéndose este a cooperar con estas. En tal caso, la persona usuaria responderá frente al CENTRO o frente a terceros, de cualquier daño y perjuicio que pudiera causar a consecuencia del incumplimiento de estas obligaciones.

 

5.- POLÍTICA DE PRIVACIDAD
[Esta política de privacidad solo es válida para los centros dependientes del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona. Para adaptarla a otros centros de Cataluña, se deben eliminar las referencias al Consorci. Para adaptarla a centros de fuera de Cataluña u otros ámbitos, se tienen que sustituir las referencias con las de las instituciones responsables. En el caso de que las instituciones responsables no provean la información, los centros la tendrán que detallar].
 

5.1.- RESPONSABLE DEL TRATAMIENTO
En cumplimiento de lo que se dispone en el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en relación con el tratamiento de datos personales y a la libre circulación de estos datos, y en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales, el CENTRO le informa de que los datos de carácter personal que la persona usuaria proporcione durante su navegación y uso de la plataforma serán objeto de tratamiento por parte del CENTRO (ver apartado relativo a los DATOS IDENTIFICATIVOS DEL TITULAR DE LA PLATAFORMA Y RESPONSABLE DEL TRATAMIENTO DE LOS DATOS).
 

5.2.- ACTIVIDADES DE TRATAMIENTO
El CENTRO lleva a cabo las actividades de tratamiento siguientes en la presente plataforma.
Podéis encontrar la descripción completa de cada una en el Registro de las actividades de tratamiento del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona:

• Detalle de las actividades de tratamiento realizadas en los Centros educativos, tratamiento “Alumnos de Centros educativos de titularidad del Departamento de Educación”, disponible en:

https://educacio.gencat.cat/ca/Detall/alumnes-centros-departament

• Detalle de las actividades de tratamiento realizadas en los Servicios educativos dependientes del Consorci d’Educació de Barcelona, tratamiento “SE001 Plataformas educativas”, disponible en:

https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_datos/Rp_informeAT_SE.pdf

5.3.- FINALIDAD DEL TRATAMIENTO DE LOS DATOS Y CATEGORÍAS DE DATOS TRATADAS

5.3.1.- ¿Con qué finalidad tratamos sus datos personales?
El CENTRO trata la información facilitada por la persona usuaria con la finalidad de proporcionar el uso de servicios y recursos digitales en Internet para llevar a cabo la actividad educativa.
Concretamente: el CENTRO tratará los datos de la persona usuaria, de manera automatizada/electrónica, para las siguientes finalidades específicas:

• el uso de servicios y recursos digitales en Internet para llevar a cabo la actividad educativa;

• la gestión y mantenimiento de la propia plataforma educativa utilizada por los servicios educativos;

• la gestión de los usuarios, credenciales y accesos a los servicios y recursos digitales en Internet para trabajar en el aula; i

• el control y seguimiento de los contenidos de la misma.

Los datos recogidos no serán tratados ulteriormente de manera incompatible con los fines aquí indicados.
 

5.3.2.- ¿Qué categorías de datos tratamos?
Dadas las finalidades mencionadas, y en cumplimiento del principio de minimización de datos, el CENTRO puede tratar las categorías de datos previstas en los Registros de Actividades de Tratamiento del Departamento de Educación de la Generalitat de Catalunya y del Consorci d’Educació de Barcelona mencionados.
 

5.3.3.- ¿De dónde procede la información recogida?
Los datos de que dispone el CENTRO proceden de:

• La información recogida por parte de las Administraciones Públicas para garantizar el acceso a la actividad educativa, la cual se encuentra amparada por las previsiones del artículo 28 de la ley 39/2015 modificado por la LOPDGDD; y
• La información provista voluntariamente por las personas usuarias mediante la plataforma durante el desarrollo de la actividad educativa.

5.3.4.- ¿Cuánto tiempo guardamos sus datos?
Los datos del expediente académico son de conservación permanente de acuerdo con la legislación vigente, concretamente según lo establecido en el artículo 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.
Sobre el tiempo de conservación del resto de los datos, la Generalitat y Consorci remiten a lo que establece el Decreto 13/2008, de 22 de enero, sobre acceso, evaluación y selección de documentos y a las Tablas de Evaluación documental definidas y aprobadas por la Comisión Nacional de Acceso, Evaluación y Selección Documental (CNAATD) (http://taad.cultura.gencat.cat/), donde se indica solo el tiempo de conservación de ciertos conjuntos de datos (solicitudes de becas y expedientes de admisión y matriculación de los alumnos). Por lo que respecta al resto de material generado por y sobre las y los alumnos, Xnet está consultando a la Generalitat al respecto y actualizaremos la información cuando tengamos respuesta.
 

5.4.- LEGITIMACIÓN Y BASE JURÍDICA

¿Cuál es la legitimación para el tratamiento de sus datos?
El tratamiento de datos personales para proporcionar el uso de servicios y recursos digitales en Internet para trabajar en el aula está legitimado por el consentimiento de la persona interesada o de la persona que ostenta la tutoría legal en caso de menores de edad que habéis otorgado al CENTRO previamente al acceso a la presente plataforma. Podéis retirar el consentimiento en cualquier momento. La revocación no tiene efectos retroactivos. De la misma manera, el tratamiento también se encuentra legitimado por el interés público del Centro en el ejercicio de funciones orientadoras y educativas incluidas en el ámbito de la ley Orgánica de Educación.
 

5.5.- DERECHOS DE LAS PERSONAS USUARIAS

¿Qué derechos tiene la persona interesada cuando comunica sus datos al CENTRO?

• Derecho a revocar los consentimientos otorgados.

• Derecho de acceso: Derecho a obtener confirmación sobre si en el CENTRO se están tratando datos personales que le conciernen o no, y a acceder a sus datos personales si fuera el caso.

• Derecho de rectificación: Derecho a rectificar los datos inexactos o incompletos que le conciernen.

• Derecho de supresión o derecho al olvido: Derecho a solicitar la supresión de sus datos cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los cuales fueron recogidos.

• Derecho de limitación del tratamiento: Derecho a obtener del CENTRO la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones previstas en la normativa de protección de datos.

• Derecho de oposición: En determinadas circunstancias y por motivos relacionados con su situación particular en el tratamiento de sus datos, las personas interesadas podrán oponerse al tratamiento de sus datos. El CENTRO dejará de tratar los datos, excepto por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones.

• Derecho de portabilidad: Derecho a solicitar la portabilidad de sus datos.

En cualquier momento y de manera gratuita, las personas interesadas podrán ejercer los derechos referidos anteriormente, en los términos y condiciones previstos en la legislación vigente, enviando un correo electrónico al CENTRO, indicando en el asunto “Ejercicio de Derechos de Protección de Datos” y el siguiente contenido:
– Su nombre
– Información sobre la cual quiere ejercer su derecho de acceso, rectificación, supresión o olvido, limitación del tratamiento o portabilidad.
– Dirección de correo electrónico para que se le comunique la posibilidad, o no, de hacer efectiva su solicitud.

En el caso de que no obtenga respuesta o no obtenga una respuesta satisfactoria, o considere que el CENTRO ha vulnerado los derechos que le son reconocidos por la normativa aplicable en protección de datos o desee mayor información respecto cualquier de estos derechos, puede dirigirse a la Autoridad Catalana de Protección de Datos mediante el siguiente enlace https://apdcat.gencat.cat/es/inici/index.html o a la dirección C/ Rosselló, 214, Esc. A, 1r 1a 08008 Barcelona.


En el CENTRO estamos comprometidos con el cumplimiento normativo y el respeto de los derechos de las personas usuarias, así como con el respeto a su privacidad, por la cual cosa si tiene alguna duda respecto a como tratamos sus datos personales, no dude en ponerse contacto con nosotros a través de las vías indicadas.
 

5.6.- COMUNICACIONES DE DATOS
¿A qué destinatarios se comunicarán los datos?
Con carácter general, los datos no se comunicarán a terceros, excepto en los casos de obligaciones previstas por ley, o si lo habéis consentido previamente. En todo caso, serán destinatarios de los datos la/las plataforma/es de servicio, entornos o entidades educativas correspondientes, como encargados del tratamiento, que proveen, por cuenta del responsable del tratamiento, los servicios TIC, que hayáis autorizado.

 

6.- USO Y POLÍTICA DE COOKIES
Las cookies son pequeños ficheros creados en el navegador de las personas usuarias, necesarias para desarrollar ciertas funcionalidades para la navegación. Algunas, sin embargo, pueden extraer información de la persona usuaria sin que esta sea consciente.
Los componentes de la plataforma DD utilizan diversas tipologías de cookies necesarias por su funcionamiento, que se detallen a continuación.
La tabla siguiente enumera las cookies que utiliza cada componente. Como los nombres, números y propósitos de estas cookies pueden cambiar con el tiempo, esta página puede ser actualizada para reflejar estos cambios.

 


6.1.- COOKIES DE LOS DIFERENTES COMPONENTES DE DD

 

ÚLTIMA ACTUALIZACIÓN: …

[es importante no utilizar este aviso legal sin asegurarse de que realmente el Centro cumple con todo el que se indica]

ANEXO 4. MODELO DE ANEXO CONTRACTUAL DE PROTECCIÓN DE DATOS ENTRE RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO (EX. EMPRESA EXTERNA DE SERVICIOS)(127)

(Este documento es una propuesta hecha por Xnet donde exponemos cómo lo haríamos nosotros, pero no es la única manera de hacerlo.)

A …, el …. de ………. de 20… .

Dado que la realización de los trabajos relativos al objeto del contrato supone el tratamiento de datos de carácter personal, de personas identificadas o identificables, por parte del Encargado del tratamiento, se relacionan a continuación sus deberes y obligaciones en relación con el tratamiento de los datos, tal y como prevé la normativa vigente de protección de datos personales.

1. Objeto y naturaleza del encargo de tratamiento, identificación de la información afectada y duración.
Mediante estas cláusulas se habilita a ………, como Encargado del tratamiento (en adelante el Encargado de tratamiento), a tratar por cuenta del Centro educativo ….. (en adelante, el Centro/Responsable del tratamiento), los datos de carácter personal necesarios para prestar el servicio consistente en …………. .

El tratamiento consistirá en la gestión de los datos personales derivada de las prestaciones previstas en el contrato por cuenta del Centro/Responsable del tratamiento, pudiendo consistir en el tratamiento de las categorías de datos personales y de las personas interesadas previstas en los tratamientos realizados por los Centros educativos previstos por el Departamento de Educación(128), por el Consorcio de Educación de Barcelona(129),(130),(131) y la guía del APDCAT sobre protección de datos para los Centros educativos(132).

En todo caso, estos tratamientos se regirán por lo que dispone el documento relativo a la Protección de datos personales de los “documentos para la organización y la gestión de los centros sobre Protección de Datos”(133), el cual tiene carácter normativo para los Centros educativos de titularidad del Departamento de Educación.

Para ejecutar las prestaciones derivadas del cumplimiento del objeto de este encargo, el Centro educativo, Centro/Responsable del tratamiento, pone a disposición del Encargado del tratamiento, la información detallada en el contrato de que deriva este anexo.
Este acuerdo se encuentra supeditado en cuanto a su duración al contrato de prestación de servicios contratados con el Encargado.
 

2. Obligaciones del Encargado del tratamiento
El Encargado del tratamiento y todo su personal se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o las que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias.

b) Si existieran más instrucciones aparte de las obligaciones indicadas en este contrato, tratar los datos de acuerdo con las instrucciones del Centro/Responsable del tratamiento.
Si el Encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los estados miembros, el Encargado debe informar inmediatamente al Centro/Responsable.

c) Tener, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Centro/Responsable, que contenga lo previsto en el artículo 30 del RGPD.

d) Con carácter general, a no comunicar los datos a terceras personas, salvo que tenga la Autorización escrita expresa del Centro/Responsable del tratamiento, en los supuestos legalmente admisibles.
El Encargado puede comunicar los datos a otros Encargados del tratamiento del mismo Centro/Responsable, de acuerdo con las instrucciones del Centro/Responsable. En este caso, el Centro/Responsable debe identificar, previamente y por escrito, la entidad a la cual se deben comunicar los datos, los datos a comunicar y las medidas de seguridad que hay que aplicar para proceder a la comunicación.
Si el Encargado tuviera que transferir datos personales a un tercer país o una organización internacional, en virtud del derecho de la Unión o de los estados miembros que le sea aplicable, debe informar al Centro/Responsable de esta exigencia legal de manera previa, salvo que este derecho lo prohíba por razones importantes de interés público.

e) Subcontratación
Para subcontratar con otras empresas, el subcontratista, que también tiene la condición de Encargado de tratamiento, está obligado igualmente a cumplir las obligaciones que este documento establece para el Encargado del tratamiento y las instrucciones que dicte el Centro/Responsable. Corresponde al Encargado inicial regular la nueva relación, de manera que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad …) y con los mismos requisitos formales que él, en lo que se refiere al tratamiento adecuado de los datos personales y a la garantía de los derechos de las personas afectadas. Si el sub-Encargado incumple, el Encargado inicial continúa siendo plenamente responsable ante el Centro/Responsable por lo que respecta al cumplimiento de las obligaciones.

f) Mantener el deber de secreto profesional y confidencialidad respecto de los datos de carácter personal objeto del presente contrato a los cuales tenga acceso en virtud de este encargo, incluso después de que finalice el objeto de este o se resuelva. El Encargado debe tomar las medidas necesarias para que el contenido de la información no se divulgue a terceros, ni que estos puedan tener acceso a la misma sin Autorización del Centro/Responsable del tratamiento.
A efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada de palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, ya sea intercambiada como consecuencia de esta relación contractual o que una parte señale o designe como confidencial a la otra.
Asimismo, el Encargado debe guardar reserva respecto de los datos o antecedentes que no sean públicos o notorios de los cuales haya tenido conocimiento en ocasión del contrato. En este sentido, la documentación e información a la cual tenga acceso el Encargado tiene carácter confidencial, y no podrá ser objeto de divulgación o transmisión a terceras personas, total o parcialmente, por ningún medio o soporte, fuera del estricto ámbito de ejecución directa del contrato.

g) Garantizar que las personas autorizadas para tratar datos personales del Centro/Responsable se comprometen, de manera expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes a este efecto, de las cuales hay que informarse convenientemente, y mantener a disposición del Centro/Responsable la documentación que acredita que se cumple esta obligación.

h) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

i) Asistir al Centro/Responsable y resolver por la cuenta del Centro/Responsable y dentro del plazo establecido, según proceda, en el contexto de este contrato, en la respuesta al ejercicio de los derechos siguientes:

1) Acceso, rectificación, supresión y oposición
2) Limitación del tratamiento
3) Portabilidad de datos
4) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

j) Derecho de información
El Encargado del tratamiento debe facilitar, en caso de recoger directamente de las personas afectadas sus datos personales, en el momento de recoger los datos, la información relativa a los tratamientos de datos que se llevarán a cabo. La redacción y el formato en que se facilitará la información se debe consensuar con el Centro/Responsable, antes de iniciar la recogida de los datos.

k) Notificación de brechas de seguridad de los datos
El Encargado del tratamiento debe informar al Centro/Responsable del tratamiento, sin dilación indebida, y a través del correo electrónico provisto por el Centro/Responsable, de cualquier sospecha o constatación de eventuales errores, incidencias o brechas de seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, para que el CENTRO pueda cumplir con su obligación de ponerse en contacto de forma inmediata con el servicio territorial correspondiente a efecto informativo y también con el delegado o delegada de protección de datos del Departamento de Educación, a través del cual se recomienda notificar la violación de seguridad al APDCAT, lo cual se debe efectuar en el plazo máximo de 72 horas.
Al efecto del presente contrato y de conformidad con lo que dispone el RGPD, una incidencia de seguridad, será aquella que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, incluida, la comunicación o acceso no autorizado a esta información.
Sin perjuicio de lo anterior, la notificación no será necesaria cuando sea improbable que esta incidencia de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, hay que facilitar al Centro/Responsable, como mínimo, la información siguiente:

1) Descripción de la naturaleza de la incidencia de seguridad de los datos personales, incluidas, cuando sea posible, las categorías y el nombre aproximado de personas interesadas afectadas y las categorías y el nombre aproximado de registros de datos personales afectados.
2) Nombre y datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el cual se pueda obtener mes información.
3) Descripción de las posibles consecuencias de la incidencia de seguridad de los datos personales.
4) Descripción de las medidas adoptadas o propuestas para solucionar la incidencia de seguridad de los datos personales, incluidas, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida que no lo sea, la información se debe facilitar de manera gradual sin dilación indebida.

l) Facilitará diligentemente y sin dilación indebida la información requerida por el Centro/Responsable del tratamiento a la hora de realizar las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

m) Facilitará diligentemente y sin dilación indebida la información requerida por el Centro/Responsable del tratamiento a la hora de hacer las consultas previas a la autoridad de control, cuando proceda.

n) Poner a disposición del Centro/Responsable toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el Centro/Responsable u otro auditor autorizado por él.

o) Implantar, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, y en estricto cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, las medidas y mecanismos de carácter técnico y organizativo necesarias para:

1) Garantizar la seguridad, confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento así como de los datos de carácter personal a los cuales tiene acceso en ocasión de la ejecución del contrato, evitando su alteración, pérdida, tratamiento o acceso no autorizado;
2) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
3) Verificar, evaluar y valorar, de manera regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
4) Pseudoanonimizar y cifrar los datos personales, si procede.

La adhesión a códigos de conducta o la posesión de una certificación son elementos que sirven para demostrar el cumplimiento de los requisitos indicados anteriormente. Se debe facilitar la información sobre estas certificaciones si se dispone de la misma.
En este sentido, se deben de aplicar las medidas que se determinen en el Marco de ciberseguridad para la protección de datos (MCPD).
Asimismo, de acuerdo con lo que establece la Disposición Adicional primera de la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales, el Encargado se compromete al cumplimiento del Esquema Nacional de Seguridad regulado por el Real Decreto 3/2010, de 8 de enero, según la categoría correspondiente del sistema.

p) Destinación de los datos
Durante la vigencia del contrato, el Encargado deberá de conservar cualquier dato objeto de tratamiento, excepto si recibe indicaciones en sentido contrario del Centro/Responsable del tratamiento.
Una vez acabada la prestación de servicios, el Encargado eliminará los datos objeto de tratamiento.
No obstante, el Encargado puede conservar una copia, con los datos debidamente bloqueados, mientras se puedan derivar responsabilidades de la ejecución de la prestación.
 

5. Obligaciones del Centro/Responsable del tratamiento

Corresponde al Centro/Responsable del tratamiento:
a) Proporcionar al Encargado los datos a los cuales se refiere la cláusula 2 de este documento.
b) En los casos de tratamientos que de acuerdo con la ley(134) comporten un riesgo elevado, hacer una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento que debe efectuar el Encargado, y en caso de confirmar que el tratamiento comporta un alto riesgo, hacer las consultas previas que corresponda(135).
c) Velar, antes y durante todo el tratamiento, para que el Encargado cumpla el RGPD. A tal fin, el Centro/Responsable podrá designar en cualquier momento durante la vigencia del contrato a personal interno o externo para verificar que el Encargado tiene implantadas las medidas necesarias para garantizar la seguridad de los datos de carácter personal. Supervisar el tratamiento, incluida la ejecución de inspecciones y auditorías.
d) Autorizar el Encargado del tratamiento a:

1) Llevar a cabo el tratamiento de los datos de carácter personal en dispositivos portátiles de tratamiento de datos solo por parte de las personas usuarias o perfiles de usuario asignados a la prestación de servicios contratada.
2) Llevar a cabo el tratamiento fuera de los locales del Centro/Responsable del tratamiento, solo por parte de los las personas usuarias o perfiles de usuario asignados a la prestación de servicios contratados.
3) La entrada y salida de los soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y / o anexos a un correo electrónico, fuera de los locales bajo el control del Centro/Responsable del tratamiento.
4) La ejecución de los procedimientos de recuperación de datos que el Encargado del tratamientos vea necesarioejecutar.
5) Tratar los datos en sus locales, ajenos a los del Centro/Responsable del tratamiento mencionado en el punto 2 de esta cláusula.

6. Incumplimientos y responsabilidades
En especial en el caso de que destine los datos a los cuales tenga acceso a una finalidad diferente a la establecida, o los comunique o los utilice incumpliendo las estipulaciones del contrato o las instrucciones del Centro/Responsable, el Encargado responderá personalmente de las infracciones que haya cometido y de las posibles reclamaciones que se puedan producir al respecto.
 

7. Vigencia
Este contrato contiene el total acuerdo entre las partes sobre el objeto del mismo y anula y sustituye cualquier acuerdo anterior sobre protección de datos personales, verbal o escrito, a que hayan llegado las partes.
Asimismo, en caso de contradicción entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre las dos partes, prevalecerá lo estipulado en el presente.
Cualquier modificación del contenido de este acuerdo, solo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

 

1
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en: https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

2
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Disponible en:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

3
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

4
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

5
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

6
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Páginas 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

7
Artículo 4 y considerandos 26, 28-30, 34-37 RGPD.

8
APDCAT. Guías APDCAT. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

9
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

10
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

11
AEPD. Guías y herramientas. Disponible en:
https://www.aepd.es/es/guias-y-herramientas/guias

12
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

13
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Páginas 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

14
Artículo 4.1 RGPD.

15
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 8.
Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

16
AEPD. (2018). Guía para centros educativos. Página 9. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

17
Más ejemplos en: APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 10. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

18
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Páginas 8-11. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

19
Artículo 9 y considerandos 51-56 RGPD.

20
Artículo 9, Disposición Addicional 17ª y Disposición Final 3ª LOPDGDD.

21
AEPD. (2018). Guía para centros educativos. Páginas 9-10. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

22
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 11. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

23
Artículo 4.2 RGPD.

24
AEPD. (2021). Quién es quién en el tratamiento de datos personales en tu centro educativo. Disponible en:
https://www.aepd.es/es/documento/quien-es-quien-centros-docentes.pdf

25
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 10. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

26
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

27
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 11. Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“El responsable del tratamiento, la escuela –en el caso de la escuela pública será el Departamento de Enseñanza el que tendrá que establecer si el responsable es cada centro o el propio Departamento– debe garantizar y poder demostrar que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y libertades de las personas de las que trata los datos.”

28
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 11. Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que solo o con otros, determine los fines y medios del tratamiento (…). En el caso de los centros educativos públicos nos encontramos ante centros que dependen de un Departamento de la Administración de la Generalitat, pero que a la vez tienen atribuida cierta autonomía en la gestión. Por eso, el Departamento de Enseñanza será el que establecerá quién es el responsable del tratamiento.”

29
Artículo 24 RGPD y artículo 28 LOPDGDD.

30
Mediante el «Documentos de organización y gestión de los centros» (DOIGC) sobre «Protección de datos personales», de 2 de julio de 2021, el Departamento ha establecido que el Responsable del Tratamiento son los centros y servicios educativos, y en concreto los sus directores o titulares.

31
Departament d’Educació. (2021). Document d’organització i gestió dels centres sobre Protecció de dades personals. Página 4. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Los centros y servicios educativos, mediante la dirección o la titularidad de éstos, son responsables del tratamiento de los datos del alumnado y del personal del centro. (…) El responsable de todos los tratamientos de datos que se realicen en un centro educativo es el director o directora del centro o la persona titular del centro.»

32
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 4. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:

33
Artículos 28-29 RGPD.

34
Artículos 28, 33 y Disposición Transitoria 5ª LOPDGDD.

35
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, Páginas 10-11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Un encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Las escuelas, como responsables de los tratamientos, pueden encargar a terceras personas o entidades un tratamiento de datos personales o una actividad que comporte el tratamiento de datos de carácter personal, como organizar las actividades extraescolares, el servicio de autocar, el servicio de comedor u otros servicios externalizados (natación, actividades extraescolares, asesoría contable y laboral, destrucción de papel, etc.). La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato, convenio o acuerdo, o de un acto jurídico que los vincule. El contrato o el acto jurídico debe constar por escrito, e inclusive en formato electrónico.»

36
Artículos 37, 38, 39 RGPD.

37
Artículos 34, 35, 36 y 37 LOPDGDD.

38
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura es obligatoria para el Departamento y también para los centros docentes (…)”.

39
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

40
Artículo 39.1.b) RGPD

41
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, página 12. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Hace referencia a la figura del delegado o delegada de protección de datos para los centros y servicios educativos de titularidad del Departamento de Educación: «El Departamento de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departamento (en el que se incluyen los centros y servicios educativos de titularidad del Departamento) y de supervisar el cumplimiento de la normativa reguladora.
La dirección de contacto es dpd.educacio@gencat.cat.”

42
Decisión por acuerdo del Comité de Dirección en el momento de la entrada en vigor del nuevo Reglamento General de Protección de Datos.

43
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-7. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

44
Artículo 25 y considerando 78 RGPD.

45
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 7. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

46
AEPD. (2021). Medidas de protección de datos desde el diseño y por defecto. Disponible en:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/proteccion-de-datos-diseno-por-defecto

47
AEPD. (2019). Guía de Privacidad desde el Diseño. Disponible en:
https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf

48
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible en:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

49
Artículos 5.1.c) y 25 RGPD.

50
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 14. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

51
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 24 y 27. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

52
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible en:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

53
Artículos 5.1.e) y 6 RGPD.

54
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 14. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

55
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible en:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

56
Definit a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas. Disponible en:
https://boe.es/buscar/act.php?id=BOE-A-2015-7662#a32,%20https://dpej.rae.es/lema/expediente-acad%C3%A9mico

57
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre la Gestió del centre (curs 2021-2022). Página 110, “gestió d’arxius”. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/DOIGC_Gestio.pdf

58
Articles 5.1.b) y 6 RGPD.

59
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

60
Artículo 5.1.a) RGPD

61
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

62
Licitud, lealtad y legitimación:
– Artículo 6 y considerandos 40, 41, 44, 45, 31, 46-50 RGPD.
– Artículo 8, Disposición Addicional 9ª, Disposición Addicional 10ª, Disposición Final 12ª LOPDGDD.
– APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 13. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

63
Transparencia en:
– Artículo 12 y considerandos 39, 58-59 RGPD
– Artículo 12 LOPDGDD.
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 15. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

64
Ley Orgánica 2/2006, de 3 de mayo, de educación. Disponible en:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

65
Ver apartado dedicado al deber de información.

66
Artículo 5.1.d) RGPD

67
Artículo 4 y Disposición Addicional 8ª LOPDGDD.

68
Artículos 5.2, 24, 25, 32, 35 y considerando 85 RGPD.

69
Artículo 28 LOPDGDD

70
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 5. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

71
Artículos 5.1.f) y 32, considerando 39 RGPD.

72
Artículos 5 y 28.2.a) LOPDGDD.

73
AEPD. (2018). Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento.
Disponible en:
https://www.aepd.es/es/documento/guia-rgpd-para-responsables-de-tratamiento.pdf-0

74
AEPD. (2018). Listado de Cumplimiento Normativo. Disponible en:
https://www.aepd.es/es/node/44505

75
APDCAT. Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/

76
AEPD. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. Disponible en:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

77
AEPD. (2019). Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas. Disponible en:
https://www.aepd.es/es/node/816

78
Esto es lo que proponemos en el Departamento: Se indica la Jefatura de los Centros, como responsables del tratamiento.
Al mismo tiempo se indica la obligación de tener un Delegado de protección de fechas por parte de los centros que dependan del Departamento y, de una forma no completamente clara que “El Departamento de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departamento (en el que se incluyen los centros y servicios educativos de titularidad del Departamento) y de supervisar el cumplimiento de la normativa reguladora.
Se debería clarificar que esto significa que esta figura es la Delegada para los centros educativos que dependan del Departamento.
Una vez aclarado esto, así como se han provisto los listados de tratamientos para que la realización del Registro de Actividades de Tratamiento (RAT) obligatorio por parte de los centros sea fácil de cumplir, la o el Delegado del Departamento deberían proveer el listado por que la auditoría de riesgos e impacto que correspondan sea fácilmente realizable. Actualmente sólo dando algunas indicaciones de medidas de seguridad referentes a las videoconferencias, siendo estas medidas restrictivas y no muy realizables o innecesarias.

Los Centros no tienen los recursos ni las competencias para cumplir y están abandonados a una complejidad que podría ser resuelta por la institución que, por el contrario, la aumenta.

Consideramos más adecuada que esta responsabilidad sea asumida por el Delegado de Protección de Datos del Departamento. Proponemos que la gestión de los riesgos de los centros educativos se gestione desde el Departamento, ya que el personal y las Direcciones de los Centros ya tienen suficiente carga de trabajo con su día a día como para además tener que diseñar e implantar medidas para cumplir con una normativa que desconocen en profundidad.

Esto debería suceder sin sobrecargar los Centros, es decir con unas plantillas previamente realizadas para el DPD del Departamento, para que el análisis de riesgos sea de muy fácil cumplimiento por parte de los Centros. Por ejemplo tomando ejemplo de las Plantillas realizadas por Xnet en su Manual de Protección de Datos para los Centros Educativos.

Por ejemplo. por lo que respecta a las MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD que deben aplicar los Centros en general, en los Registros de Actividades de Tratamiento, tanto del Departamento de Educación como del Consorcio de Educación de Barcelona se hace referencia a diversas medidas que se aplican por los tratamientos relativos a los alumnos, en concreto:
– El RAT del Departamento indica que «Se aplicarán las medidas que se determinen en el Marco de ciberseguridad para la protección de datos (MCPD)».

No se ha explicado a los Centros en qué consisten estas medidas ni se ha cumplido con la formación -cuya responsabilidad recae en el Delegado-, pero de la inclusión de las mismas en estos registros que definen los tratamientos llevados a cabo por los Centros se deriva de que las mismas son de aplicación por su parte. Sugerimos que la o el Delegado de Protección de Datos del Departamento prepare los formularios necesarios y realice ella misma las evaluaciones de riesgos de cada centro sin sobrecargarlos, creando los protocolos necesarios para que los Centros puedan ser conocedores de lo que implican las medidas anunciadas tanto por el Departamento como por el Consorcio y simplemente se le trasladen los protocolos que deben cumplir sobre unos mínimos y no unos máximos que no pueden alcanzar.

De la misma forma, en algunos puntos del DOCUMENTO se presupone la existencia de un «Responsable de Seguridad TIC» en los centros, cuando no todos disponen de esta figura, que como mínimo debería tener una correcta remuneración para llevar a cabo las tareas que le corresponderían.

79
AEPD. (2019). Protege sus datos en la vuelta a clase. Consejos para padres, profesores y centros educativos. Disponible en:
https://www.aepd.es/es/documento/infografia-vuelta-clase.pdf

80
Artículo 30 y considerando 82 RGPD.

81
Artículo 31 y Disposición Final 11ª LOPDGDD.

82
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

83
APDCAT. (actualització 2021). Aplicació per gestionar el registre de les activitats de tractament. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/

84
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible en :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

85
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible en:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

86
Consorci d’Educació de Barcelona. Informe del Registre d’Activitats de Tractament. Tractament: “SE001 Plataformes educatives”. Disponible en:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

87
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 5, páginas 8-9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

88
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 5, página 9. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“En caso de que no lo sean, es necesario notificar a los servicios territoriales correspondientes o, en el caso de la ciudad de Barcelona, al Consorcio de Educación de Barcelona, la actividad no incluida para revisar su adecuación y, si procede, publicar en el Registro.”

89
APDCAT. (2018). Pautes de protecció de dades per als centres educatius.
Disponible en: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

90
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-8, 12-14, 32. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

91
APDCAT (2022). “La APDCAT promueve la difusión responsable de imágenes de menores en internet”. Disponible en:
https://apdcat.gencat.cat/ca/sala_de_premsa/notes_premsa/noticia/Pautes-difusio-imatges-menors-escoles

92
Páginas 6-7 del Documentos de organización y gestión de los centros sobre protección de datos personales.: «Por tanto, es necesario que el conjunto de medidas organizativas y técnicas que garantizan el tratamiento adecuado de los datos personales, por parte de todo el personal autorizado, esté incluido en las normas de organización y funcionamiento del centro o servicios educativos. La dirección o titularidad de los centros o servicios educativos es la responsable de difundir las normas de organización y funcionamiento del centro y comprobar y asegurar que se cumplan.»
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

93
Página 29 de Documentos de organización y gestión de los centros sobre Protección de datos personales.: «Los centros deben establecer las normas que se requieran para garantizar un tratamiento adecuado de los datos y son los responsables de adoptar las medidas necesarias para que todos los usuarios del sistema conozcan las políticas del centro en materia de seguridad.»
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

94
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos y por lo que deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en:
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

95
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Disponible en:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

96
Xnet. (2021). Manual de Xnet sobre el tratamiento de datos personales en los centros educativos de Barcelona dependientes del departamento de educación para el uso de servicios y recursos online. Disponible en:
https://xnet-x.net/ca/manual-proteccio-dades-centres-educatius-educacio

97
APDCAT. Guies APDCAT. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

98
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

99
APDCAT. (n.d.). FAQS “Escoles”. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

100
AEPD. Guías y herramientas. Disponible en:
https://www.aepd.es/es/guias-y-herramientas/guias

101
AEPD. (2018). Guía para centros educativos. Disponible en:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

102
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible en:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

103
Artículo 90 y considerando 164 RGPD.

104
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 27. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

105
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Página 34. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

106
Ley Orgánica 2/2006, de 3 de mayo, de educación, Disposición adicional 23.
Disponible en:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

107
Artículos 33, 34 y considerandos 85, 86, 87 y 88 RGPD.

108
Artículos 13-14 y considerandos 60-62 RGPD.

109
Artículo 11 LOPDGDD.

110
APDCAT. (2018). Pautas de protección de datos para los centros educativos.
Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

111
APDCAT. (2018). Guía para el cumplimiento del deber de informar al RGPD. Disponible en:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/guia_per_al_compliment_del_deure_d_informar_RGPD/

112
Consorcio de Educación de Barcelona. La protección de datos personales en el Consorcio de Educación de Barcelona y en los centros y servicios educativos de la ciudad de Barcelona. Apartado “¿eres un centro educativo?” Disponible en :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

113
APDCAT. (2018). Pautas de protección de datos para los centros educativos. Página 22. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

114
Aquí más detalles sobre cada derecho concreto:
https://apdcat.gencat.cat/ca/drets_i_obligacions/drets/drets_habeas_data/

115
Artículos 7-8 y considerandos 32, 42, 43 y 38 RGPD.

116
Artículos 6, 7 y 92 LOPDGDD.

117
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Página 19. Disponible en:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

118
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Páginas 6-8. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

119
Consorci d’Educació de Barcelona. (s.d.). Avíso legal. Disponible en:
https://www.edubcn.cat/ca/avis_legal

120
Creative Commons (s.d.). Reconeixement-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0). Disponible en:
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.ca

121
Artículos 28-29 RGPD.

122
Artículos 28, 33 y Disposición Transitòria 5ª LOPDGDD.

123
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 8, páginas 10-11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

124
APDCAT. (2019). Guia sobre l’encarregat del tractament al RGPD. Disponible en:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-tractament-RGPD-CAT.pdf

125
APDCAT. (2019). Annex a la guia sobre l’encarregat del tractament al RGPD: Model de clàusules contractuals. Disponible en:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-del-tractament-Annex-CAT.docx

126
AEPD. (2018). Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Disponible en:
https://www.aepd.es/es/documento/guia-directrices-contratos.pdf

127
S el contrato está en un proveedor de servidores, Xnet defiende que los servidores no sólo deben ser rigurosos con la protección de datos personales sino también con otros derechos fundamentales. En este caso, sugerimos añadir estas cláusulas porque no suelen encontrarse en los contratos o condiciones de los servidores:
– Si bien los clientes se comprometen a no publicar ningún contenido que pueda vulnerar los derechos de terceros o que pueda infringir la ley, el proveedor no debe tener la obligación de retirar ningún contenido del servidor a menos que tenga conocimiento efectivo de que la actividad o la información almacenada es ilícita o perjudicial para un tercero. A estos efectos, se considera que existe conocimiento efectivo cuando esté en vigor una resolución judicial o administrativa que bloquee o retire los contenidos y el proveedor tenga conocimiento.
– El cliente debe ser informado en primer lugar.
– Las contraseñas de los servidores sólo pueden ser modificadas, después de la configuración inicial, por el cliente y no deben ser conocidas por el proveedor. Además, los clientes pueden utilizar la autenticación de dos factores y el cifrado para asegurar aún más sus cuentas.

128
Detalle de las actividades de tratamiento realizadas en los Centros educativos:
https://educacio.gencat.cat/ca/departament/proteccio-dades/informacio-addicional-tractaments/llista-responsables/#bloc1

129
La protección de datos personales en el Consorcio de Educación de Barcelona y en los centros y servicios educativos de la ciudad de Barcelona:
https://www.edubcn.cat/ca/el_consorci/proteccio_de_dades_personals

130
Detalle de las actividades de tratamiento realizadas en el Consorcio de Educación de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_CEB.pdf

131
Detalle de las actividades de tratamiento realizadas en el Consorcio de Educación de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

132
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

133
Documentos para la organización y gestión de los centros. Protección de datos personales: https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

134
Autoritat Catalana de Protecció de Dades (). l
https://apdcat.gencat.cat/web/.content/02-drets_i_obligacions/obligacions/documents/Lista-DPIA-ES.pdf

135
Artículo 36 del Reglamento General de Protección de Datos

136
Artículos 33, 34 y considerandos 85, 86, 87 y 88 RGPD.

137
AEPD. (2021). Guía para la notificación de brechas de datos personales. Disponible en:
https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf

138
Artículos 37, 38 y 39 RGPD.

139
Artículos 34, 35, 36 y 37 LOPDGDD.

140
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9.1, página 12. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Hace referencia a la figura del delegado o delegada de protección de datos para los centros y servicios educativos de titularidad del Departament de Educación: «El Departament de Educación tiene asignado un delegado o delegada de protección de datos que se encarga de velar por el derecho fundamental a la protección de datos personales en el ámbito del Departament (en el que se incluyen los centros y servicios educativos de titularidad del Departament) y de supervisar el cumplimiento de la normativa reguladora.
La dirección de contacto es dpd.educacio@gencat.cat.”

141
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura es obligatoria para el Departament y también para los centros docentes (…)”.

142
Decisión por acuerdo del Comité de Dirección en el momento de la entrada en vigor del nuevo Reglamento General de Protección de Datos.

143
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punto 9, página 11. Disponible en:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Esta figura (…) tiene, entre otras, las siguientes funciones: informar y asesorar al centro o al encargado y los trabajadores sobre las obligaciones que impone la normativa de protección de datos, supervisar el cumplimiento de la normativa, asesorar respecto de la evaluación de impacto relativa a la protección de datos y ser el interlocutor del centro escolar con la autoridad de protección de datos (APDCAT).”

144
AEPD. (2021). Docentes y su importancia para la protección de datos y la privacidad. Disponible en:
https://www.aepd.es/es/prensa-y-comunicacion/blog/docentes-y-su-importancia-para-la-proteccion-de-datos-y-la-privacidad