Trabajo presentado para el curso de desarrollo de la función directiva del INTEF por Genoveva Mena Valverde. La protección de datos de carácter personal en el ámbito de los centros de enseñanza a la luz de la nueva normativa europea sobre la materia: el Reglamento General de Protección de Datos RGPD, en vigor desde el 25 de mayo de 2018.
La Protección de Datos de Carácter Personal en la educacion
1. Curso Desarrollo de la Función Directiva
INTEF. Junio, 2018
La Protección de Datos de Carácter
Personal en la Educación
Genoveva Mena Valverde
2. • ¿Qué es?
• Fundamento jurídico y
legislación
• Cambio de modelo
• Conceptos
• Derechos de los titulares
• Decálogo de buenas prácticas
• Principales novedades para
el sector educativo
• Webgrafía
Índice
Todas las imágenes de esta presentación han sido obtenidas de repositorios públicos y accesibles y el origen de la información escrita se cita al final de la
misma, habiéndose utilizado todo ello con fines exclusivamente académicos. Si el/los titulares de los derechos de propiedad intelectual correspondientes no
desean su uso para este fin pueden comunicarse con la autora a través de un email a genovevamena@hotmail.com y el contenido será borrado inmediatamente.
3. ¿Qué es?
En la vida diaria, dejamos una estela de datos personales cuando realizamos numerosas
acciones cotidianas, como reservar un hotel, matricularse en la universidad o en un
gimnasio, abrir una cuenta en redes sociales o solicitar un servicio a la administración
pública.
4. Fundamento jurídico y legislación
• El derecho a la protección de los datos de carácter personal
está recogido como un derecho fundamental y específico,
distinto al de la intimidad, por todos los ámbitos judiciales
europeos.
• En España, el Tribunal Supremo definió este derecho como
“(…) el poder de disposición y de control sobre los datos personales
que faculta a la persona para decidir cuáles de estos datos
proporcionar a un tercero, sea el estado o un particular, o cuáles
puede este tercero recabar, permitiendo también al individuo saber
quién posee esos datos personales y para qué, pudiendo opo-
nerse a esta posesión o uso (…)” (STS 292/2000)
5. Fundamento jurídico y legislación
• Constitución Española (art. 18.4)
• Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento
automatizado de datos de carácter personal (LORTAD)
• Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de julio de
1995, relativa a la protección de las personas físicas
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal [LOPD] (desarrollada por RD1720/2007)
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de
abril de 2016 (Reglamento general de protección de datos-RGPD).
• Nueva Ley Orgánica de Protección de datos (en tramitación)
Legislación Básica
6. Fundamento jurídico y legislación
• Ley 14/1970, de 4 de agosto, General de Educación (LGE)
• Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación
(LODE)
• Ley Orgánica 1/1990, de 3 de octubre, de Ordenación General del Sistema
Educativo (LOGSE)
• Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
• Ley Orgánica 10/2002, de 23 de diciembre, de Calidad de la Educación
(LOCE)
• Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE)
• Ley 17/2007, de 10 de diciembre, de Educación de Andalucía
Legislación Sectorial
7. Cambio de modelo
Consentimiento expreso o tácito válidos
Derechos ARCO
Inscripción de ficheros
---
---
Niveles de seguridad: bajo, medio, alto
---
---
1999 2018
LOPD RGPD
Declaración del interesado o acción
positiva de conformidad
Derechos ARCO + otros: transparencia,
supresión (olvido), limitación,
portabilidad,
Registro de actividades de
tratamientoefectuadas.
Evaluación de impacto
Notificación brechas de seguridad
Individualización del carácter y riesgo
de cada tipo de datos.
Nueva figura del “delegado de
protección de datos”
Privacidad por defecto y desde el
diseño.
Vs
8. Conceptos (I)
A) Qué es un dato de carácter personal
Cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o identificables. . Cada persona es titular de
estos datos de carácter personal.
Nombre, apellido, dirección, etc. También imágenes, nº de cuenta o profesión de los padres
B) Datos especialmente protegidos
Aquellos que revelan información sobre la esfera más íntima y personal. Requieren
adopción de medidas técnicas y organizativas adecuadas: Ideología, creencias religiosas,
sindicales, vida sexual, salud u origen racial. También las que revelan comisión de
infraciones penales o administrativas.
En educación, especial atención a datos de salud, discapacidad o psico-pedagógicos.
9. Conceptos (II)
C) Qué es un fichero
Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado, repartido de forma funcional o
geográfica o tratado de forma manual o automática
Expedientes académicos, Act. Extraescolares, Personal Docente, Videovigilancia…
D) Qué es el tratamiento de datos
Cualquier actividad en la que estén presentes datos de carácter personal: recogida, registro,
organización, estructuración, conservación, modificación, extracción, consulta, comunica-,
limitación, supresión o destrucción.
Recogida de datos de alumnos, transmisión por traslado o captación de imágenes de videovigilancia
10. Encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que
trate datos personales por cuenta del responsable del tratamiento.
Conceptos (III)
E) Responsable vs. Encargado de tratamiento de datos
Responsable es la persona física o jurídica que decide sobre la finalidad, contenido y uso
del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal.
En un centro educativo público, el responsable es la Consejería de Educación de su comunidad.
Encargado es usualmente una empresas de servicios (comedor, extraescolares, etc.)
El personal directivo, docente o administrativo del centro NO es encargado.
F) Qué es el la cesión de datos
La cesión de datos supone su revelación a una persona distinta de su titular. Los
destinatarios serán las personas físicas o jurídicas a los que se les comunique. Se considera
una transferencia internacional de datos cuando estos salen del Espacio Económico
Europeo.
Alojar datos en servidores fuera del EEE es transferencia internacional de datos.
11. Derechos de los titulares
A ACCESO. Conocer y obtener los datos que se tienen del titu-
lar. Si están siendo objeto de tratamiento y con qué finalidad.
Origen y destinatarios. Derecho a una copia gratuita.
R
C
O
RECTIFICACIÓN. Rectificar errores, modificar datos
inexactos y garantizar la certeza de la información.
CANCELACIÓN. Suprimir los datos que se consideren
excesivos o inadecuados
OPOSICIÓN. Derecho a que no se lleve a cabo o cese
el tratamiento de datos para determinadas
finalidades
o de forma completa.
OLVIDO. Nuevo derecho. Consecuencia de la
cancelación y subsecuente borrado de datos.
PORTABILIDAD. Nuevo derecho. Solo para
tratamiento automatizado. Portabilidad de datos
entre prestatarios de servicios.
12. Los equipos directivos, profesores, personal
administrativo y auxiliar de los centros educativos
en el ejercicio de sus funciones y tareas necesitan
tratar datos de carácter personal de los alum-
nos y de sus familiares, lo que deberán reali-
zar con la debida diligencia y respeto a su
privacidad e intimidad, teniendo presente el
interés y la protección de los menores.
Decálogo
Buenas prácticas en centros educativos
Las Administraciones y los centros educativos son
los responsables del tratamiento de los datos y
deben formar sobre sus principios básicos y cómo
hacerlo correctamente.
13. Decálogo
Buenas prácticas en centros educativos
Cuando sea preciso obtener el consentimiento
de los alumnos o sus tutores, por tratarse de
finalidades distintas a la función educativa, se de-
be informar con claridad de cada una de ellas,
per- mitiendo a los interesados oponerse a
aquellas que así lo consideren.
En general, no necesitan el consentimiento de los
titulares de los datos para su tratamiento,
debido a la naturaleza de su relación educativa.
Pero se debe informar de: la existencia de un
fichero, su naturaleza y licitud, el uso que se va a
hacer, la obligación o no de facilitar los datos (y las
consecuencias de su negativa), los derechos de sus
titulares y la información de contacto con el DPD y
datos relativos a plazo de conservación y criterios
para determinarlo.
14. Las TIC son herramientas
fundamentales para la gestión
y el aprendizaje de los alumnos.
Los centros deben conocer qué
aplicaciones se van a usar, su po-
lítica de privacidad y condiciones de uso
antes de utilizarlas, prestando a-
tención a la información sobre el
tratamiento de los datos personales que estas
realicen.
Decálogo
Buenas prácticas en centros educativos
Los centros deben disponer de protocolos, instruccio-
nes y recomendaciones para el uso de las TIC por parte de
los profeso res. Su enseñanza y uso deberán contar
con la aproba ción de los centros y adaptarse al grado
de desarro llo del niño.
15. Las comunicaciones entre profesores y padres y
alumnos deben llevarse a cabo, prefe-
rentemente, a traveés de los medios pues-
tos a disposicioón de ambos por el centro
educativo (plataformas educativas, correo
electrónico del centro)
El uso de aplicaciones de mensajería instantánea (como
WhatsApp) entre profesores y padres o entre profesores
y alumnos no se recomienda. No obstante, cuando el
interés superior del menor estuviera comprometido
(accidente o indisposición), se pueden tomar medidas
extraordinarias, como la captación y envío de
imágenes con la finalidad de informar y tranqui-
lizar a los padres.
Decálogo
Buenas prácticas en centros educativos
16. Los profesores deben enseñar a valorar la privacidad
de uno mismo y la de los demás; prestar
atención a todo lo que se comparte en
Internet, con especial atención a fotos
videos de terceros, que en ningún
caso se pueden compartir sin su
consentimiento, para evitar cual-
quier forma de violencia (ciber-
acoso, grooming, sexting o de
violencia de género).
Decálogo
Buenas prácticas en centros educativos
En eventos que organice el centro (Navidad, gradua-
ciones, eventos deportivos) y asistan familiares y alum-
nos, es una buena práctica informarles de la posibili-
dad de grabar imágenes exclusivamente para uso
personal y doméstico, esto es, en el ámbito privado o
familiar. Nunca para difusión por internet.
17. Principales novedades
para el sector educativo (I)
• Cambio de paradigma:
Se pasa de la reglamentación a la autoregulación y del control por parte de la
administración a la responsabilidad tutelada de los responsables del tratamiento de
datos de carácter personal.
• Se crea la figura del Delegado de Protección de Datos (DPO).
Aunque el responsable según la ley será la administración educativa (Consejería de
Educación de la C.A. correspondiente, esta probablemente exigira un DPD (por
delegación) en cada centro educativo.
• Obligación de realizar una “valoración de riesgo”
Se trata de valorar el riesgo que implica el tratamiento de datos que un centro
educativo vaya a realizar: pérdida, destrucción o alteración por accidente o de forma
ilícita o acceso no autorizado. En función de esta valoración, se implantarán las
medidas de seguridad técnicas y organizativas necesarias.
18. Principales novedades
para el sector educativo (II)
• Planificación de riesgos desde la planificación e inicio:
Los centros y las Administraciones educativas, cuando planifiquen servicios o
productos que impliquen tratamiento de datos personales, desde su inicio deberán
tener en cuenta los riesgos que pueda entrañar para la protección de datos y aplicar
las medidas de seguridad necesarias para proteger de forma efectiva los derechos de
los alumnos y de los demás colectivos de quienes traten sus datos. Igualmente,
adoptarán las medidas que, por defecto, garanticen que sólo se tratarán los datos
necesarios para la finalidad para la que se recabaron y que no estén accesibles a un
número indeterminado de personas.
• Obligación de realizar “evaluaciones de impacto”
Solo para los siguientes supuestos (más los que puedan decidir la Agencia Española
de Protección de Datos o las autoridades autonómicas correspondientes:
• Tratamiento a gran escala de datos sensibles (origen étnico o racial, salud, etc.)
• Videovigilancia (observación sistemática a gran escala de una zona pública)
• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos
jurídicos sobre los interesados o les afecte de modo similar.
19. Principales novedades
para el sector educativo (III)
• Creación de un “registro de actividades”
Que sustituye a la inscripción del fichero de datos en la AEPD. Dicho registro
contendrá: nombre/contacto del responsable y del DPD; descripción de categorías de
interesados, de datos personales y de destinatarios de posibles comunicaciones de
datos; en su caso, las transferencias de datos realizadas; cuando sea posible,
además, los plazos previstos para la supresión de las diferentes categorías de datos y
una descripción de las medidas técnicas y organizativas de seguridad adoptadas.
• Consentimiento por acción positiva y/o expreso.
El consentimiento de los titulares o tutores legales, no se podrá obtener de forma
tácita, se necesita al menos una clara acción afirmativa. Cuando se trate de datos
sensibles o para transferencias internacionales de datos, el consentimiento además
deberá ser expreso.
• Notificación de “brechas de seguridad”
Cuando se produzca la destrucción, pérdida, alteración accidental o ilícita,
comunicación o acceso no autorizado, se deberá notificar a la AEPD o a la autoridad
autonómica correspondiente y, en determinados casos, comunicar a los interesados.
20. Webgrafía consultada
• Agencia Española de Protección de Datos. Guia para centros educativos. Guia sectorial
alojada en www.tudecideseninternet.es.
Consultado el 10/6/2018 en
http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf
• Gómez-Juárez Sidera, Isidro. Guia de protección de datos de carácter personal para los
centros de enseñanza. Junta de Andalucía, ed. Sevilla, 2011. Guia en PDF alojada en
www.juntadeandalucia.es
Consultado el 11/6/2018 en
https://www.juntadeandalucia.es/educacion/portalseneca/web/seneca/guia-lopd
• Cerrillo Patiño, José R. La protección de datos en el sector educativo. Presentación
alojada en www.slideshare.net
Consultado el 9/6/18 en https://es.slideshare.net/jrodrigocp/proteccin-de-datos-en-el-sector-
educativo-91890879
• Asociación Española de Centros Privados de Enseñanza (ACADE). Principales novedades
del Reglamento General de Protección de Datos que afectan al sector educativo. Artículo
alojado en www.educacionprivada.org
Consultado el 9/6/18 en https://educacionprivada.org/noticia/2018-01-31/16328
• Grupo Ático34. Blog de Protección de datos para empresas y autónomos. Blog alojado
en https://protecciondatos-lopd.com
Consultado el 17/6/2018 en https://protecciondatos-lopd.com/empresas/centros-educativos/