SlideShare una empresa de Scribd logo

Apuntes de protección de datos para colegios

Cohaerentis
Cohaerentis

Cuestiones prácticas que aplican a los centros educativos en el tratamiento de datos de carácter personal

1 de 9
Descargar para leer sin conexión
Apuntes Protección de datos en centros educativos La gran cantidad de datos de carácter personal que tratan los centros de educación es algo que preocupa especialmente a la Agencia Española de Protección de Datos. Este organismo vela por el cumplimiento de la normativa aplicable en esta materia. Desde Cohaerentis Preocupa especialmente el tratamiento de los datos de salud y la implantación de las medidas de seguridad en C o n s u l t o re s p re s t a m o s los centros, debido al gran número de ficheros con datos servicios integrales a de carácter personal, teniendo en cuenta las distintas centros de educación y finalidades con la que se tratan dichos datos. c e n t ro s f o r m a t i v o s q u e incluyen la implantación y ¿Que me aporta este documento? adecuación a la normativa sobre protección de datos Hemos querido aprovechar nuestra experiencia de carácter personal, así implantado la normativa de protección de datos de como otros servicios carácter personal en centros educativos y de formación, para realizar una serie de preguntas y respuestas legales y de seguridad. prácticas sobre la aplicación de la normativa, para que puedan ser de utilidad en los centros. Para más información También identificamos, los errores comunes cometidos. póngase en contacto con Si detecta su caso en el cuadro azul de la derecha, en las nosotros a través de siguientes páginas, puede preguntarnos, a través del los datos de contacto que tiene en esta página. i n f o @ c o h a e re n t i s . c o m , o visite nuestros canales web en: www.cohaerentis.com blogs.cohaerentis.com www.twitter.com/cohaerentis
El principio de calidad de los datos ¿Los profesores y trabajadores del centro educativo saben que tienen que cancelar En la práctica, muchos datos y cómo hacerlo? t r a b a j a d o re s d e s c o n o c e n El centro educativo debe dar instrucciones a sus cuáles son los trabajadores (profesores, personal administrativo, etc), especificando cómo cancelar los datos de procedimientos que deben carácter personal una vez que ha terminado la llevar a cabo para cancelar finalidad de tratamiento. datos porque, además, es Los datos de carácter personal que se tratan en el propio centro el que debe los centros están en diferentes soportes y instrumentalizar y facilitar ubicaciones, por ejemplo: dichos procesos. • Formulario de admisión Muchos no lo hacen. • Expediente académico • Sistema informático de gestión de alumnos • Departamento de orientación ¿Se ha transmitido alguna premisa a los En ocasiones se tiende a trabajadores desde la dirección del centro recabar más datos de los para que no se recojan más datos de los necesarios para la prestación del servicio? que son estrictamente necesarios. Los datos que se recaben de los titulares deben ser adecuados pertinentes y no excesivos. Por ejemplo, profesión de los padres a través de Es decir, se recabarán únicamente aquellos datos que sean necesarios de acuerdo a la finalidad para formularios web para la que se están recogiendo. apuntarse a actividades A veces, los servicios extraescolares que extraescolares, para lo cual, organizan sus propias actividades tienden a hacer no es necesario saber dicha su propia recogida de datos: profesión. - AMPA - Página web
El principio de información Los formularios utilizados por el centro para recabar datos, ¿tienen cláusulas de información sobre el tratamiento de los datos, la finalidad para la que se recaban, con todos los requisitos que existe la Ley? La realidad es que, en En los formularios desde los que se recaben muchas ocasiones, la datos de carácter personal, debe aparecer de información que se facilita a manera clara y legible, la información requerida por la ley: existencia de fichero o ficheros en los los titulares de los datos en que se incorporan los datos, carácter obligatorio los formularios es o facultativo de la respuesta, consecuencias de la incompleta y no cumple con negativa a suministrarlos, ejercicio de derechos de acceso, rectificación, cancelación y oposición, todos los requisitos identidad y dirección del responsable del fichero. establecidos por el principio Los posibles formularios desde los que se de información de la Ley. recaban datos son: • Hojas de matriculación • Hojas de gestión de becas • Hojas de actividades extraescolares • AMPA, etc... El principio de consentimiento ¿Se ha solicitado el consentimiento de los Puesto que la información titulares de los datos para tratar sus datos que se facilita en muchas con todas las finalidades para las que se van a utilizar? ocasiones es incompleta, el consentimiento para tratar La respuesta a esta pregunta está relacionada con la anterior. los datos también lo es. Muchas veces ni se informa Se dispondrá del consentimiento para todos los tratamientos en función de la información que se a los titulares de los datos haya facilitado. de sus derechos de acceso, Evidentemente, no se puede contar con el rectificación, cancelación y consentimiento para tratar los datos con una oposición determinada finalidad si no se ha informado al titular de dicha finalidad.
Derechos de los titulares de los datos ¿Se ha incorporado en los formularios de recogida de datos los derechos de los titulares de dichos datos? Se echa de menos en Se debe informar a los titulares de los datos de los muchos formularios de derechos que les asisten como garantía del ejercicio del derecho fundamental a controlar qué recogida, no sólo el se hace con sus datos de carácter personal informar a los titulares de Dichos derechos son: los datos de la posibilidad de ejercitar sus derechos, • Acceso sino ante quién pueden • Rectificación ejercerlos. • Cancelación • Oposición La concienciación del ¿Ha definido la dirección del centro algún procedimiento para que las personas personal que trabaja en los encargadas de hacerlo, sepan cómo atender centros educativos no al ejercicio de los derechos por parte de los cumple los requisitos titulares de los datos? mínimos para atender el Desde la dirección del centro debe partir la ejercicio de este tipo de iniciativa de una labor de concienciación y derechos. divulgación para que el personal del centro sepa cómo atender el ejercicio de los derechos por La no contestación ante el parte de los titulares de los datos. ejercicio de dichos derechos Asimismo, el centro debe definir un procedimiento puede implicar la exigencia en el que se describa cómo debe atenderse el de la atención de los ejercicio de dichos derechos. mismos, directamente ante la Agencia Española de P ro t e c c i ó n d e d a t o s p o r parte del titular de los datos.
Inscripción de ficheros ¿El centro ha declarado ante la Agencia Muchos centros no han Española de Protección de Datos los ficheros n o t i f i c a d o f i c h e ro s o n o desde los que se tratan datos de carácter todos los ficheros desde los personal? que se tratan datos de El centro debe declarar ante el organismo carácter personal en el competente, en este caso, el Registro de la Agencia Española de Protección de Datos, cuando centro. se trata de centros privados (también concertados) O bien, las medidas de o, la Agencia de Protección de Datos de la seguridad notificadas Comunidad correspondiente (si existe dicho organismo en la Comunidad) cuando se trata de respecto del fichero, no se centros públicos, todos los ficheros con los que corresponden con las gestionan los datos de los alumnos y de sus medidas de seguridad que, familias. en la práctica, se debieran La finalidad de tratamiento de los datos, aplicar a los datos que Y, el nivel de seguridad aplicable a los ficheros que contiene el fichero. están declarando. Datos especialmente protegidos ¿Se ha solicitado por parte del centro el consentimiento expreso de los alumnos o de No todos los centros tienen los padres o tutores de los alumnos para el tratamiento de sus datos de salud? en cuenta la circunstancia de que el tratamiento de Es necesario contar con el consentimiento expreso (y el mejor modo de probar que se dispone del los datos de salud requiere consentimiento expreso es, tenerlo por escrito) de el consentimiento expreso los alumnos (cuando son mayores de 14 años) o o no pueden probar que de sus padres o tutores (cuando son menores de 14 años) para tratar los datos de salud de estos. disponen de dicho consentimiento porque no Son casos típicos en los que se tratan datos de salud: lo tienen por escrito o medio equivalente de • Revisiones médicas realizadas a los alumnos desde el centro prueba. • Realización de test psicotécnicos.
Medidas de seguridad ¿Sabe si las aplicaciones informáticas que se Muchas veces ni los propios utilizan en el centro para el tratamiento de proveedores de las datos de carácter personal permiten aplicar aplicaciones que tratan los medidas de seguridad adecuadas en función del tipo de datos que se tratan en dichas datos facilitan la información aplicaciones? necesaria sobre las medidas Los sistemas de información y las aplicaciones de seguridad que permite desde las que se tratan los datos de carácter aplicar dicho programa personal en los centros, deben permitir aplicar informático. medidas de seguridad adecuadas en función de la naturaleza de los datos que tratan respetando las Las medidas de seguridad medidas de seguridad que se exigen en el de control de redes y reglamento de desarrollo de la Ley. comunicaciones, son, Si se dispone de conexión a Internet, se deben muchas veces, escasas en establecer medidas para evitar el acceso no los centros. autorizado a los datos contenidos en los sistemas de información. ¿Ha definido el centro un documento de La realidad generalizada es seguridad en el que se especifiquen las que, si los centros medidas de seguridad aplicables a los disponen de documento de ficheros? seguridad, dicho La tenencia del documento de seguridad es una documento es un modelo obligación legal que exige documentar las medidas de seguridad que se deben aplicar a los no adaptado a la realidad ficheros que contienen datos en función del tipo del centro en cuestión y, en de datos que contienen (nivel básico, medio o alto) cualquier caso, las medidas de seguridad que establece Las medidas de seguridad deben aplicarse de manera efectiva, no sólo definirse en dicho el documento o son documento. insuficientes o, en cualquier caso, no se aplican.
Medidas de seguridad ¿Se llevan los necesarios registros e Pocos registros de inventarios exigidos por la normativa? incidencias se llevan en la El centro debe disponer de un registro de práctica. incidencias, un procedimiento de notificación de El inventario de soportes las mismas y de resolución. suele estar incompleto o no Asimismo debe disponer de un inventario de los existe. soportes que contienen datos de carácter personal. E s d i f í c i l e n c o n t r a r, t a m b i é n , u n re g i s t ro d e Para el control efectivo de dichos soportes, debe llevar un registro de entrada y salida de soportes entrada y salida de de las dependencias del centro. soportes. Y, en demasiadas Se deben realizar copias de seguridad, como mínimo, semanalmente, de los datos personales ocasiones, nos contenidos en los sistemas. encontramos que se Debe llevarse un control, mediante mecanismos de comparten contraseñas identificación y autenticación del acceso a los para acceder a los sistemas de información. equipos. ¿Se ha nombrado un responsable de En muchas ocasiones la seguridad? designación del ¿Se realizan las auditorías bienales de responsable de seguridad carácter técnico y organizativo que exige la es ficticia y meramente normativa? nominal porque, en la Es necesario nombrar una o varias personas que práctica, la persona serán definidas como responsables de seguridad y cuya función principal consiste en garantizar que designada no lleva un se cumplen las medidas de seguridad exigidas control efectivo de que las sobre los ficheros con datos de carácter personal medidas de seguridad que del centro. debería aplicarse. Además, debe auditarse, cada dos años, por M u c h o s c e n t ro s n o h a n auditores internos o contratados externamente, el realizado nunca una cumplimiento de las medidas técnicas y auditoría de protección de organizativas exigidas por la normativa. datos.
Deber de secreto ¿Se firman desde el centro, con los Lamentablemente, y pese a trabajadores del mismo, documentos, su importancia, la contratos en los que se haga especial énfasis en el deber de confidencialidad sobre lo datos protección de datos suele de carácter personal que tratan los sonar más como un trabajadores? embrollo legal para el Es necesario que se haga especial hincapié entre centro que como una todos los trabajadores del centro, la especial necesidad que requiera una importancia que implica el tratamiento de datos de carácter personal y las obligaciones de secreto labor de concienciación por derivadas del tratamiento de dichos datos. parte de la dirección. Los problemas por fugas Para lo cual, además, de firmar los correspondientes contratos de confidencialidad, es de información, aunque sea necesario, impartir cursos de formación y transmitida verbalmente, concienciación sobre la importancia de este que son escuchados por extremo, debido a las responsabilidades que pueden derivar para el centro de su terceros ajenos, están a la incumplimiento. orden del día. Comunicaciones de datos ¿Cuenta con autorización legal o dispone del consentimiento para realizar comunicaciones de datos a terceros desde el centro? Muchos centros no tienen Si la comunicación (cesión) de datos no está autorizada por ley, es necesario solicitar el identificados todos los consentimiento para realizar comunicaciones de supuestos en los que se datos a terceros desde los ficheros del centro. llevan a cabo Ejemplos típicos de habilitación legal (dependiendo comunicaciones de datos a del tipo de datos que se comuniquen): terceros por lo que, • Administración (Comisión de Escolarización, tampoco solicitan el Consejería de Educación, Consejería de consentimiento a los Sanidad, Seguridad Social, Servicios Sociales titulares de los datos para del Ayuntamiento) llevar a cabo dichas • Otros centros (expediente académico); etc. comunicaciones cuando no Ejemplos típicos en los que hace falta existe una habilitación legal consentimiento: que permita la realización • AMPA de dichas cesiones. • Asociación de antiguos alumnos • Clubes deportivos, etc
Prestaciones de servicios por terceros ¿El centro ha firmado contratos de acceso a datos con aquellos terceros que prestan servicios al centro que impliquen el acceso a Una vez más, los centros datos de carácter personal? no suelen tener Es necesario formalizar un contrato por escrito con identificados todos los los terceros que prestan servicios al centro, supuestos en los que se cuando para la prestación de los servicios, tengan prestan servicios al centro que acceder a datos de los que es responsable del centro. que implican el acceso a datos de carácter personal. Casos típicos de prestaciones de servicios por terceros: O bien, los contratos firmados con los • Empresas de mantenimiento de los sistemas de información proveedores que prestan dichos servicios no • Empresas de alojamiento de páginas web cumplen los requisitos • Empresas que elaboran revistas y anuarios del mínimos exigidos por la colegio normativa. • Gestorías y asesorías externas • Empresas que confeccionan y corrigen pruebas psicológicas • Etc.

Recomendados

Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosFederico Padilla
 
VII Festival de Música Sacra Rey Balduino
VII Festival de Música Sacra Rey BalduinoVII Festival de Música Sacra Rey Balduino
VII Festival de Música Sacra Rey Balduinoezegn
 
Suite I Edvard Grieg Op. 55
Suite I Edvard Grieg Op. 55Suite I Edvard Grieg Op. 55
Suite I Edvard Grieg Op. 55ezegn
 
Esquema Audiciones
Esquema AudicionesEsquema Audiciones
Esquema Audicionesezegn
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piquerascepgranada
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datosezegn
 
Lomce. La figura del director.
Lomce. La figura del director.Lomce. La figura del director.
Lomce. La figura del director.ezegn
 
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOSPROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOSEva Maria Gomis Gil
 

Recomendados

Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosFederico Padilla
 
VII Festival de Música Sacra Rey Balduino
VII Festival de Música Sacra Rey BalduinoVII Festival de Música Sacra Rey Balduino
VII Festival de Música Sacra Rey Balduinoezegn
 
Suite I Edvard Grieg Op. 55
Suite I Edvard Grieg Op. 55Suite I Edvard Grieg Op. 55
Suite I Edvard Grieg Op. 55ezegn
 
Esquema Audiciones
Esquema AudicionesEsquema Audiciones
Esquema Audicionesezegn
 
Ponencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez PiquerasPonencia de Cristina Gómez Piqueras
Ponencia de Cristina Gómez Piquerascepgranada
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datosezegn
 
Lomce. La figura del director.
Lomce. La figura del director.Lomce. La figura del director.
Lomce. La figura del director.ezegn
 
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOSPROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS
PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOSEva Maria Gomis Gil
 
Pechakucha de protección de datos
Pechakucha de protección de datosPechakucha de protección de datos
Pechakucha de protección de datosSergio Munuera
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.Greace Grisales
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopdGreace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosAna Maria Gonzalez Marquez
 
Proteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenechProteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenechRafael Domenech
 
Tratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdfTratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdfsecretariatoscar
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
Proteccion de datos en los centros docentes
Proteccion de datos en los centros docentesProteccion de datos en los centros docentes
Proteccion de datos en los centros docentesNicolás Huertas
 
La proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativosLa proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativosAnaRodrguez130
 
La Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacionLa Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacionGenoveva Mena
 
Proteccion-de-datos.pptx
Proteccion-de-datos.pptxProteccion-de-datos.pptx
Proteccion-de-datos.pptxmagiltrabajos
 
Protección de datos en centros educativos
Protección de datos en centros educativosProtección de datos en centros educativos
Protección de datos en centros educativosAlejandro Lopez Fernandez
 
Protección de datos
Protección de datosProtección de datos
Protección de datosNacho Segovia
 
Proteccion de datos en centros escolares
Proteccion de datos en centros escolaresProteccion de datos en centros escolares
Proteccion de datos en centros escolaresM CARMEN RUIZ CALATRAVA
 
Presentacion lopd
Presentacion lopdPresentacion lopd
Presentacion lopdmanu manu
 
Proteccion de datos en un centro educativo
Proteccion de datos en un centro educativoProteccion de datos en un centro educativo
Proteccion de datos en un centro educativoEsteban Torres
 
Proteccion datos
Proteccion datosProteccion datos
Proteccion datosMiguel A. Lorenzo
 
Daniela
DanielaDaniela
Danieladanielabi11-2
 
Sobre cohaerentis
Sobre cohaerentisSobre cohaerentis
Sobre cohaerentisCohaerentis
 
Enfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentisEnfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentisCohaerentis
 

Más contenido relacionado

Similar a Apuntes de protección de datos para colegios

Pechakucha de protección de datos
Pechakucha de protección de datosPechakucha de protección de datos
Pechakucha de protección de datosSergio Munuera
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.Greace Grisales
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopdGreace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Proteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenechProteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenechRafael Domenech
 
Tratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdfTratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdfsecretariatoscar
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointAlvaroPalaciios
 
Proteccion de datos en los centros docentes
Proteccion de datos en los centros docentesProteccion de datos en los centros docentes
Proteccion de datos en los centros docentesNicolás Huertas
 
La proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativosLa proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativosAnaRodrguez130
 
La Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacionLa Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacionGenoveva Mena
 
Proteccion-de-datos.pptx
Proteccion-de-datos.pptxProteccion-de-datos.pptx
Proteccion-de-datos.pptxmagiltrabajos
 
Protección de datos
Protección de datosProtección de datos
Protección de datosNacho Segovia
 
Proteccion de datos en centros escolares
Proteccion de datos en centros escolaresProteccion de datos en centros escolares
Proteccion de datos en centros escolaresM CARMEN RUIZ CALATRAVA
 
Presentacion lopd
Presentacion lopdPresentacion lopd
Presentacion lopdmanu manu
 
Proteccion de datos en un centro educativo
Proteccion de datos en un centro educativoProteccion de datos en un centro educativo
Proteccion de datos en un centro educativoEsteban Torres
 

Similar a Apuntes de protección de datos para colegios (20)

Pechakucha de protección de datos
Pechakucha de protección de datosPechakucha de protección de datos
Pechakucha de protección de datos
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopd
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Proteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenechProteccion de datos_rafa_domenech
Proteccion de datos_rafa_domenech
 
Tratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdfTratamiento-de-Datos-en-Centros-Educativos.pdf
Tratamiento-de-Datos-en-Centros-Educativos.pdf
 
Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
 
Proteccion de datos en los centros docentes
Proteccion de datos en los centros docentesProteccion de datos en los centros docentes
Proteccion de datos en los centros docentes
 
La proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativosLa proteccion de_datos_en_centros_educativos
La proteccion de_datos_en_centros_educativos
 
La Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacionLa Protección de Datos de Carácter Personal en la educacion
La Protección de Datos de Carácter Personal en la educacion
 
Proteccion-de-datos.pptx
Proteccion-de-datos.pptxProteccion-de-datos.pptx
Proteccion-de-datos.pptx
 
Protección de datos en centros educativos
Protección de datos en centros educativosProtección de datos en centros educativos
Protección de datos en centros educativos
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
 
Proteccion de datos en centros escolares
Proteccion de datos en centros escolaresProteccion de datos en centros escolares
Proteccion de datos en centros escolares
 
Presentacion lopd
Presentacion lopdPresentacion lopd
Presentacion lopd
 
Proteccion de datos en un centro educativo
Proteccion de datos en un centro educativoProteccion de datos en un centro educativo
Proteccion de datos en un centro educativo
 
Proteccion datos
Proteccion datosProteccion datos
Proteccion datos
 
Daniela
DanielaDaniela
Daniela
 

Más de Cohaerentis

Sobre cohaerentis
Sobre cohaerentisSobre cohaerentis
Sobre cohaerentisCohaerentis
 
Enfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentisEnfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentisCohaerentis
 
Presentación cohaerentis dos punto cero
Presentación cohaerentis dos punto ceroPresentación cohaerentis dos punto cero
Presentación cohaerentis dos punto ceroCohaerentis
 
Propiedad intelectual y software libre
Propiedad intelectual y software librePropiedad intelectual y software libre
Propiedad intelectual y software libreCohaerentis
 
Faq diciembre 2010
Faq diciembre 2010Faq diciembre 2010
Faq diciembre 2010Cohaerentis
 
Derecho cancelación: apostasía
Derecho cancelación: apostasíaDerecho cancelación: apostasía
Derecho cancelación: apostasíaCohaerentis
 

Más de Cohaerentis (8)

Sobre cohaerentis
Sobre cohaerentisSobre cohaerentis
Sobre cohaerentis
 
Enfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentisEnfoques de transformación digital en cohaerentis
Enfoques de transformación digital en cohaerentis
 
Presentación cohaerentis dos punto cero
Presentación cohaerentis dos punto ceroPresentación cohaerentis dos punto cero
Presentación cohaerentis dos punto cero
 
Propiedad intelectual y software libre
Propiedad intelectual y software librePropiedad intelectual y software libre
Propiedad intelectual y software libre
 
Faq enero 2011
Faq enero 2011Faq enero 2011
Faq enero 2011
 
Faq diciembre 2010
Faq diciembre 2010Faq diciembre 2010
Faq diciembre 2010
 
Twitter facts
Twitter factsTwitter facts
Twitter facts
 
Derecho cancelación: apostasía
Derecho cancelación: apostasíaDerecho cancelación: apostasía
Derecho cancelación: apostasía
 

Apuntes de protección de datos para colegios

  • 1. Apuntes Protección de datos en centros educativos La gran cantidad de datos de carácter personal que tratan los centros de educación es algo que preocupa especialmente a la Agencia Española de Protección de Datos. Este organismo vela por el cumplimiento de la normativa aplicable en esta materia. Desde Cohaerentis Preocupa especialmente el tratamiento de los datos de salud y la implantación de las medidas de seguridad en C o n s u l t o re s p re s t a m o s los centros, debido al gran número de ficheros con datos servicios integrales a de carácter personal, teniendo en cuenta las distintas centros de educación y finalidades con la que se tratan dichos datos. c e n t ro s f o r m a t i v o s q u e incluyen la implantación y ¿Que me aporta este documento? adecuación a la normativa sobre protección de datos Hemos querido aprovechar nuestra experiencia de carácter personal, así implantado la normativa de protección de datos de como otros servicios carácter personal en centros educativos y de formación, para realizar una serie de preguntas y respuestas legales y de seguridad. prácticas sobre la aplicación de la normativa, para que puedan ser de utilidad en los centros. Para más información También identificamos, los errores comunes cometidos. póngase en contacto con Si detecta su caso en el cuadro azul de la derecha, en las nosotros a través de siguientes páginas, puede preguntarnos, a través del los datos de contacto que tiene en esta página. i n f o @ c o h a e re n t i s . c o m , o visite nuestros canales web en: www.cohaerentis.com blogs.cohaerentis.com www.twitter.com/cohaerentis
  • 2. El principio de calidad de los datos ¿Los profesores y trabajadores del centro educativo saben que tienen que cancelar En la práctica, muchos datos y cómo hacerlo? t r a b a j a d o re s d e s c o n o c e n El centro educativo debe dar instrucciones a sus cuáles son los trabajadores (profesores, personal administrativo, etc), especificando cómo cancelar los datos de procedimientos que deben carácter personal una vez que ha terminado la llevar a cabo para cancelar finalidad de tratamiento. datos porque, además, es Los datos de carácter personal que se tratan en el propio centro el que debe los centros están en diferentes soportes y instrumentalizar y facilitar ubicaciones, por ejemplo: dichos procesos. • Formulario de admisión Muchos no lo hacen. • Expediente académico • Sistema informático de gestión de alumnos • Departamento de orientación ¿Se ha transmitido alguna premisa a los En ocasiones se tiende a trabajadores desde la dirección del centro recabar más datos de los para que no se recojan más datos de los necesarios para la prestación del servicio? que son estrictamente necesarios. Los datos que se recaben de los titulares deben ser adecuados pertinentes y no excesivos. Por ejemplo, profesión de los padres a través de Es decir, se recabarán únicamente aquellos datos que sean necesarios de acuerdo a la finalidad para formularios web para la que se están recogiendo. apuntarse a actividades A veces, los servicios extraescolares que extraescolares, para lo cual, organizan sus propias actividades tienden a hacer no es necesario saber dicha su propia recogida de datos: profesión. - AMPA - Página web
  • 3. El principio de información Los formularios utilizados por el centro para recabar datos, ¿tienen cláusulas de información sobre el tratamiento de los datos, la finalidad para la que se recaban, con todos los requisitos que existe la Ley? La realidad es que, en En los formularios desde los que se recaben muchas ocasiones, la datos de carácter personal, debe aparecer de información que se facilita a manera clara y legible, la información requerida por la ley: existencia de fichero o ficheros en los los titulares de los datos en que se incorporan los datos, carácter obligatorio los formularios es o facultativo de la respuesta, consecuencias de la incompleta y no cumple con negativa a suministrarlos, ejercicio de derechos de acceso, rectificación, cancelación y oposición, todos los requisitos identidad y dirección del responsable del fichero. establecidos por el principio Los posibles formularios desde los que se de información de la Ley. recaban datos son: • Hojas de matriculación • Hojas de gestión de becas • Hojas de actividades extraescolares • AMPA, etc... El principio de consentimiento ¿Se ha solicitado el consentimiento de los Puesto que la información titulares de los datos para tratar sus datos que se facilita en muchas con todas las finalidades para las que se van a utilizar? ocasiones es incompleta, el consentimiento para tratar La respuesta a esta pregunta está relacionada con la anterior. los datos también lo es. Muchas veces ni se informa Se dispondrá del consentimiento para todos los tratamientos en función de la información que se a los titulares de los datos haya facilitado. de sus derechos de acceso, Evidentemente, no se puede contar con el rectificación, cancelación y consentimiento para tratar los datos con una oposición determinada finalidad si no se ha informado al titular de dicha finalidad.
  • 4. Derechos de los titulares de los datos ¿Se ha incorporado en los formularios de recogida de datos los derechos de los titulares de dichos datos? Se echa de menos en Se debe informar a los titulares de los datos de los muchos formularios de derechos que les asisten como garantía del ejercicio del derecho fundamental a controlar qué recogida, no sólo el se hace con sus datos de carácter personal informar a los titulares de Dichos derechos son: los datos de la posibilidad de ejercitar sus derechos, • Acceso sino ante quién pueden • Rectificación ejercerlos. • Cancelación • Oposición La concienciación del ¿Ha definido la dirección del centro algún procedimiento para que las personas personal que trabaja en los encargadas de hacerlo, sepan cómo atender centros educativos no al ejercicio de los derechos por parte de los cumple los requisitos titulares de los datos? mínimos para atender el Desde la dirección del centro debe partir la ejercicio de este tipo de iniciativa de una labor de concienciación y derechos. divulgación para que el personal del centro sepa cómo atender el ejercicio de los derechos por La no contestación ante el parte de los titulares de los datos. ejercicio de dichos derechos Asimismo, el centro debe definir un procedimiento puede implicar la exigencia en el que se describa cómo debe atenderse el de la atención de los ejercicio de dichos derechos. mismos, directamente ante la Agencia Española de P ro t e c c i ó n d e d a t o s p o r parte del titular de los datos.
  • 5. Inscripción de ficheros ¿El centro ha declarado ante la Agencia Muchos centros no han Española de Protección de Datos los ficheros n o t i f i c a d o f i c h e ro s o n o desde los que se tratan datos de carácter todos los ficheros desde los personal? que se tratan datos de El centro debe declarar ante el organismo carácter personal en el competente, en este caso, el Registro de la Agencia Española de Protección de Datos, cuando centro. se trata de centros privados (también concertados) O bien, las medidas de o, la Agencia de Protección de Datos de la seguridad notificadas Comunidad correspondiente (si existe dicho organismo en la Comunidad) cuando se trata de respecto del fichero, no se centros públicos, todos los ficheros con los que corresponden con las gestionan los datos de los alumnos y de sus medidas de seguridad que, familias. en la práctica, se debieran La finalidad de tratamiento de los datos, aplicar a los datos que Y, el nivel de seguridad aplicable a los ficheros que contiene el fichero. están declarando. Datos especialmente protegidos ¿Se ha solicitado por parte del centro el consentimiento expreso de los alumnos o de No todos los centros tienen los padres o tutores de los alumnos para el tratamiento de sus datos de salud? en cuenta la circunstancia de que el tratamiento de Es necesario contar con el consentimiento expreso (y el mejor modo de probar que se dispone del los datos de salud requiere consentimiento expreso es, tenerlo por escrito) de el consentimiento expreso los alumnos (cuando son mayores de 14 años) o o no pueden probar que de sus padres o tutores (cuando son menores de 14 años) para tratar los datos de salud de estos. disponen de dicho consentimiento porque no Son casos típicos en los que se tratan datos de salud: lo tienen por escrito o medio equivalente de • Revisiones médicas realizadas a los alumnos desde el centro prueba. • Realización de test psicotécnicos.
  • 6. Medidas de seguridad ¿Sabe si las aplicaciones informáticas que se Muchas veces ni los propios utilizan en el centro para el tratamiento de proveedores de las datos de carácter personal permiten aplicar aplicaciones que tratan los medidas de seguridad adecuadas en función del tipo de datos que se tratan en dichas datos facilitan la información aplicaciones? necesaria sobre las medidas Los sistemas de información y las aplicaciones de seguridad que permite desde las que se tratan los datos de carácter aplicar dicho programa personal en los centros, deben permitir aplicar informático. medidas de seguridad adecuadas en función de la naturaleza de los datos que tratan respetando las Las medidas de seguridad medidas de seguridad que se exigen en el de control de redes y reglamento de desarrollo de la Ley. comunicaciones, son, Si se dispone de conexión a Internet, se deben muchas veces, escasas en establecer medidas para evitar el acceso no los centros. autorizado a los datos contenidos en los sistemas de información. ¿Ha definido el centro un documento de La realidad generalizada es seguridad en el que se especifiquen las que, si los centros medidas de seguridad aplicables a los disponen de documento de ficheros? seguridad, dicho La tenencia del documento de seguridad es una documento es un modelo obligación legal que exige documentar las medidas de seguridad que se deben aplicar a los no adaptado a la realidad ficheros que contienen datos en función del tipo del centro en cuestión y, en de datos que contienen (nivel básico, medio o alto) cualquier caso, las medidas de seguridad que establece Las medidas de seguridad deben aplicarse de manera efectiva, no sólo definirse en dicho el documento o son documento. insuficientes o, en cualquier caso, no se aplican.
  • 7. Medidas de seguridad ¿Se llevan los necesarios registros e Pocos registros de inventarios exigidos por la normativa? incidencias se llevan en la El centro debe disponer de un registro de práctica. incidencias, un procedimiento de notificación de El inventario de soportes las mismas y de resolución. suele estar incompleto o no Asimismo debe disponer de un inventario de los existe. soportes que contienen datos de carácter personal. E s d i f í c i l e n c o n t r a r, t a m b i é n , u n re g i s t ro d e Para el control efectivo de dichos soportes, debe llevar un registro de entrada y salida de soportes entrada y salida de de las dependencias del centro. soportes. Y, en demasiadas Se deben realizar copias de seguridad, como mínimo, semanalmente, de los datos personales ocasiones, nos contenidos en los sistemas. encontramos que se Debe llevarse un control, mediante mecanismos de comparten contraseñas identificación y autenticación del acceso a los para acceder a los sistemas de información. equipos. ¿Se ha nombrado un responsable de En muchas ocasiones la seguridad? designación del ¿Se realizan las auditorías bienales de responsable de seguridad carácter técnico y organizativo que exige la es ficticia y meramente normativa? nominal porque, en la Es necesario nombrar una o varias personas que práctica, la persona serán definidas como responsables de seguridad y cuya función principal consiste en garantizar que designada no lleva un se cumplen las medidas de seguridad exigidas control efectivo de que las sobre los ficheros con datos de carácter personal medidas de seguridad que del centro. debería aplicarse. Además, debe auditarse, cada dos años, por M u c h o s c e n t ro s n o h a n auditores internos o contratados externamente, el realizado nunca una cumplimiento de las medidas técnicas y auditoría de protección de organizativas exigidas por la normativa. datos.
  • 8. Deber de secreto ¿Se firman desde el centro, con los Lamentablemente, y pese a trabajadores del mismo, documentos, su importancia, la contratos en los que se haga especial énfasis en el deber de confidencialidad sobre lo datos protección de datos suele de carácter personal que tratan los sonar más como un trabajadores? embrollo legal para el Es necesario que se haga especial hincapié entre centro que como una todos los trabajadores del centro, la especial necesidad que requiera una importancia que implica el tratamiento de datos de carácter personal y las obligaciones de secreto labor de concienciación por derivadas del tratamiento de dichos datos. parte de la dirección. Los problemas por fugas Para lo cual, además, de firmar los correspondientes contratos de confidencialidad, es de información, aunque sea necesario, impartir cursos de formación y transmitida verbalmente, concienciación sobre la importancia de este que son escuchados por extremo, debido a las responsabilidades que pueden derivar para el centro de su terceros ajenos, están a la incumplimiento. orden del día. Comunicaciones de datos ¿Cuenta con autorización legal o dispone del consentimiento para realizar comunicaciones de datos a terceros desde el centro? Muchos centros no tienen Si la comunicación (cesión) de datos no está autorizada por ley, es necesario solicitar el identificados todos los consentimiento para realizar comunicaciones de supuestos en los que se datos a terceros desde los ficheros del centro. llevan a cabo Ejemplos típicos de habilitación legal (dependiendo comunicaciones de datos a del tipo de datos que se comuniquen): terceros por lo que, • Administración (Comisión de Escolarización, tampoco solicitan el Consejería de Educación, Consejería de consentimiento a los Sanidad, Seguridad Social, Servicios Sociales titulares de los datos para del Ayuntamiento) llevar a cabo dichas • Otros centros (expediente académico); etc. comunicaciones cuando no Ejemplos típicos en los que hace falta existe una habilitación legal consentimiento: que permita la realización • AMPA de dichas cesiones. • Asociación de antiguos alumnos • Clubes deportivos, etc
  • 9. Prestaciones de servicios por terceros ¿El centro ha firmado contratos de acceso a datos con aquellos terceros que prestan servicios al centro que impliquen el acceso a Una vez más, los centros datos de carácter personal? no suelen tener Es necesario formalizar un contrato por escrito con identificados todos los los terceros que prestan servicios al centro, supuestos en los que se cuando para la prestación de los servicios, tengan prestan servicios al centro que acceder a datos de los que es responsable del centro. que implican el acceso a datos de carácter personal. Casos típicos de prestaciones de servicios por terceros: O bien, los contratos firmados con los • Empresas de mantenimiento de los sistemas de información proveedores que prestan dichos servicios no • Empresas de alojamiento de páginas web cumplen los requisitos • Empresas que elaboran revistas y anuarios del mínimos exigidos por la colegio normativa. • Gestorías y asesorías externas • Empresas que confeccionan y corrigen pruebas psicológicas • Etc.