RETO MES DE ABRIL .............................docx
Pechakucha protección de datos
1. PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL EN LOS CENTROS DE
ENSEÑANZA PÚBLICOS
José Ángel López Santos
Curso Función Directiva
2. Concepción como un derecho fundamental de las personas.
No está recogido de forma expresa en la Constitución Española. Nace
a partir de un mandato constitucional. Artículo 18.4 CE
<< La Ley limitará el uso de la informática para garantizar el derecho
al honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos >>
Se ha definido por el Tribunal Constitucional. Fundamento Jurídico
Séptimo Sentencia 292/2000.
<<… El derecho fundamental a la protección de datos, consiste
en un poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir cuáles de estos
datos proporcionar a un tercero, sea el estado o un particular, o
cuáles puede este tercero recabar, permitiendo también al
individuo saber quién posee esos datos personales y para qué,
pudiendo oponerse a esta posesión o uso …>>.
3. ¿Quién es quién en la protección de datos?
Afectado o interesado: Persona física titular de los
datos que sean objeto de tratamiento = ALUMNOS,
PERSONAL
Usuario: Sujeto autorizado para acceder a datos =
PERSONAL DOCENTE, DE ADMINISTRACIÓN Y SECRETARIA.
4. Responsable del fichero: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que sólo o conjuntamente con otros
decida sobre la finalidad, contenido y uso del tratamiento, CONSEJERÍA DE
EDUCACIÓN DE LA JUNTA DE ANDALUCÍA.
Sentencia Audiencia Nacional, 16 de octubre de 2003
“(…) el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su
finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos
registrados en dicho fichero.
El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las
concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación
específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse
de la realización material de la actividad que integra el tratamiento”.
Responsable de tratamiento: El responsable del tratamiento,
sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas
actividades de un determinado tratamiento de datos, esto es, sobre una
aplicación específica. Se trataría de todos aquellos supuestos en los que el poder
de decisión debe diferenciarse de la realización material de la actividad que
integra el tratamiento = CENTRO EDUCATIVO
5. ¿Cuáles son las principales normas reguladoras?
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal [LOPD]
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal [RDLOPD]
¿ Qué datos deben protegerse ?
Sí
Datos de personas físicas o
naturales tratados a nivel …
Automatizado
(Informático)
No Automatizado
(Papel o manual)
No
Datos de personas
jurídicas (sociedades
mercantiles, asociaciones,
fundaciones …)
6. Responsable del fichero: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que sólo o conjuntamente con otros
decida sobre la finalidad, contenido y uso del tratamiento, CONSEJERÍA DE
EDUCACIÓN DE LA JUNTA DE ANDALUCÍA.
Sentencia Audiencia Nacional, 16 de octubre de 2003
“(…) el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su
finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos
registrados en dicho fichero.
El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las
concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación
específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse
de la realización material de la actividad que integra el tratamiento”.
Responsable de tratamiento: El responsable del tratamiento,
sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas
actividades de un determinado tratamiento de datos, esto es, sobre una
aplicación específica. Se trataría de todos aquellos supuestos en los que el poder
de decisión debe diferenciarse de la realización material de la actividad que
integra el tratamiento = CENTRO EDUCATIVO
7. a.- Notificación e inscripción de ficheros en el Registro General de
Protección de Datos (RGPD) y la UARFI.
e.- Cumplimiento del deber de información del interesado y, en su caso, la
obtención del consentimiento para el tratamiento de su información de carácter
personal.
i.- Formalización de contratos de acceso a datos por cuenta de terceros y
contratos de prestación de servicios sin acceso a datos por terceros.
o.- Elaboración del Documento de seguridad e implantación de medidas
de seguridad de carácter técnico y organizativo en el sistema de información.
u.-Formación del personal: usuarios y responsables de seguridad.
¿Cuáles son las principales obligaciones?
8. EL DEBER DE INFORMACIÓN Y/O CONSENTIMIENTO EN LA RECOGIDA DE DATOS
¿Qué es?
Realmente, nace de un derecho del interesado, por el cual debe ser informado sobre dónde irán
los datos aportados, para qué serán utilizados, a quienes se cederán … [autodeterminación
informativa].
Esto se convierte en una obligación o deber para el Responsable del Fichero. Así, en cualesquiera
recogida de datos efectuada, mediante formularios o cuestionarios, en papel y/o electrónicos, debiera
proporcionarse al interesado la información preceptiva = CLAUSULAS
¿Cuál es la información que debe proporcionarse al interesado ?
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del Responsable del Tratamiento.
9. ¿Se ha informado a otros interesados (titulares de datos) sobre el tratamiento de
sus datos personales?
EMPLEADOS.
VIDEO VIGILANCIA.
10. FICHEROS NO AUTOMATIZADOS (PAPEL)
CRITERIOS DE ARCHIVO
» Archivo de soportes o documentos.- Los soportes o documentos en
papel deberán ser almacenados siguiendo un criterio de archivo que debe
garantizar la correcta conservación de los documentos, la localización y
consulta de la información.
Los soportes o documentos se archivarán en el lugar
correspondiente, de modo que permitan una buena
conservación, clasificación, acceso y uso de los mismos.
TRASLADO DE SOPORTES O DOCUMENTOS PAPEL
» Traslado de soportes o documentos en papel con datos de carácter
personal.- En los procesos de traslado de soportes o documentos
deberán adoptarse medidas dirigidas para impedir el acceso o
manipulación por terceros y, de manera que, no pueda verse el contenido,
sobre todo, si hubieren datos de carácter personal.
» Traslado de dependencias.- En caso de cambiar de dependencia, en el
proceso de traslado de los soportes o documentos en papel, se deberá
realizar con el debido orden. Asimismo, se procurara mantener fuera del
alcance de la vista de cualquier personal de la entidad, aquellos
documentos o soportes en papel donde consten datos de carácter
personal.
¿Y cuáles son las Medidas de Seguridad a implementar?
11. » Custodia de llaves de acceso a archivadores o dependencias.-
Mantener debidamente custodiadas las llaves de acceso a los locales o
dependencias, despachos, así como a los armarios, archivadores u otros
elementos que contenga soportes o documentos en papel con datos de
carácter personal.
» Cierre de despachos o dependencias.- En caso de disponer de un
despacho, cerrar con llave la puerta, al término de la jornada laboral o
cuando deba ausentarse temporalmente de esta ubicación, a fin de
evitar accesos no autorizados.
» Almacenamiento de soportes o documentos en papel.- Guardar
todos los soportes o documentos que contengan información de
carácter personal en un lugar seguro, cuando éstos no sean usados,
particularmente, fuera de la jornada laboral. Cuando estos soportes o
documentos, no se encuentren almacenados, por estar siendo revisados
o tramitados, será la persona que se encuentre a su cargo la que deba
custodiar e impedir, en todo momento, que un tercero no autorizado
pueda tener acceso.
12. » No dejar en fotocopiadoras, faxes o impresoras papeles con datos
de carácter personal.- Asegurarse de que no quedan documentos
impresos que contengan datos personales, en la bandeja de salida de la
fotocopiadora, impresora o faxes.
» Documentos no visibles en los escritorios, mostradores u otro
mobiliario.- Se deberá mantener la confidencialidad de los datos
personales que consten en los documentos depositados o almacenados
en los escritorios, mostradores u otro mobiliario.
» Desechado y destrucción de soportes o documentos en papel con
datos personales.- No tirar soportes o documentos en papel, donde se
contengan datos personales, a papeleras o contenedores, de modo que
pueda ser legible o fácilmente recuperable la información.
Se prohíbe terminantemente echar en papeleras, contenedores
de cartón o papel, soportes o documentos, donde se contengan
datos personales.
13. DESECHADO DE SOPORTES O DUCUMENTOS
MUCHOS CASOS SANCIONADOS
RESOLUCIÓN: R/259/2003,
RESOLUCIÓN: R/00519/2009 con sanción grave 18.000€
- LA INCORRECTA APLICACIÓN DE LOS PROTOCOLOS DE SEGURIDAD EN EL DESHECHADO DE LOS
DATOS, PROVOCANDO EL ACCESO A LOS DATOS POR TERCERAS PERSONAS: HALLAZGOS DE
DOCUMENTACIÓN CON DATOS PERSONALES EN CONTENEDORES PÚBLICOS.
14. FICHEROS AUTOMATIZADOS (INFORMÁTICOS)
En particular, respecto a la información de carácter personal contenida en ficheros informáticos, deberá
cumplir, en consonancia con lo expuesto en anteriores apartados, las siguientes diligencias:
Claves de acceso al sistema informático.- Las contraseñas de acceso al sistema
informático son personales e intransferibles, siendo el Usuario el único responsable
de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.
Queda prohibido, asimismo, emplear identificadores y contraseñas de otros Usuarios
para acceder al sistema informático. En caso de que fuera necesario acceder al
sistema, en ausencia de un compañero, se solicitará al Responsable de Informática
para que se habilite el acceso eventual. Una vez finalizada la/s tarea/s que motivaron
el acceso, deberá ser comunicado, de nuevo, al Responsable de Informática.
Bloqueo o apagado del equipo informático.- Bloquear la sesión del Usuario en el
supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos
de otras personas al equipo informático. Esto, sobre todo, deberá tenerse en cuenta,
por parte del personal que esté en atención al público.
15. Almacenamiento de archivos o ficheros en la red informática.- Guardar
todos los ficheros de carácter personal empleados por el Usuario, en el espacio
de la red informática habilitado por Florida Centre de Formació Secundaria, a
fin de facilitar la realización de las copias de seguridad o respaldo y proteger el
acceso frente a personas no autorizadas.
Manipulación de los archivos o ficheros informáticos.- Únicamente las
personas autorizadas, podrán introducir, modificar o anular los datos
personales contenidos en los ficheros. Los permisos de acceso de los Usuarios
a los diferentes ficheros serán concedidos por el Responsable. En el caso de
que cualquier Usuario requiera, para el desarrollo de su trabajo, acceder a
ficheros a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del
citado Responsable.
Generación de ficheros de carácter temporal.- Ficheros de carácter
temporal son aquellos en los que se almacenan datos de carácter personal,
generados a partir de un fichero general para el desarrollo o cumplimiento de
una tarea/s determinada/s. Estos ficheros deben ser borrados una vez hayan
dejado de ser necesarios para los fines que motivaron su creación, y mientras
estén vigentes, deberán ser almacenados en la carpeta habilitada en la red
informática. Si transcurrido un mes el Usuario detecta la necesidad de
continuar utilizando la información almacenada en el fichero, deberá
comunicárselo al Responsable de Informática, para adoptar las medidas
oportunas sobre el mismo.
16. LA NO ADOPCIÓN DE
MEDIDAS DE SEGURIDAD
INFORMÁTICAS PUEDE OCASIONAR …
CASOS SANCIONADOS
OBTENCIÓN POR TERCEROS DE DATOS PERSONALES DE FICHEROS
AUTOMATIZADOS, MEDIANTE PROGRAMAS DE DESCARGAS POR
INTERNET .
Resolución/01761/2008 – Absuelto por prescripción
Resolución/00851/2008 – 3.000 €
17. FORMACIÓN, INFORMACIÓN O CONCIENCIACIÓN DE
LOS USUARIOS DEL SISTEMA DE INFORMACIÓN. (artículo 89 RDLOPD)
El responsable del fichero o tratamiento adoptará las medidas
necesarias para que el personal conozca de una forma
comprensible las normas de seguridad que afecten al desarrollo de
sus funciones así como las consecuencias en que pudiera incurrir
en caso de incumplimiento.
En la actualidad, todavía hay una carencia de información
hacia quienes en los Centros Educativos, tratan diariamente
ingentes y diversos datos de carácter personal.
18. ¿Qué sucede con el tratamiento de datos de los
MENORES DE EDAD?
Regla General
[Artículo 13 RDLOPD]
+ 14 años Podrá procederse al tratamiento de los datos de los mayores
de catorce años con su consentimiento, salvo en aquellos casos en los que la
Ley exija para su prestación la asistencia de los titulares de la patria
potestad o tutela.
- 14 añosSe requerirá el consentimiento del Padre /Madre/ Tutor/
Representante Legal.
19. Obtención de datos de los miembros del grupo
familiar a través del menor de edad
No permitidoEn ningún caso podrán recabarse del menor datos que
permitan obtener información sobre los demás miembros del grupo familiar, o
sobre las características del mismo, como los datos relativos a la actividad
profesional de los progenitores, información económica, datos sociológicos o
cualesquiera otros, sin el consentimiento de los titulares de tales datos.
Permitido podrán recabarse datos de identidad y dirección del padre,
madre o tutor con la única finalidad de recabar la autorización prevista en el
apartado anterior.
20. Imágenes de menores
LOPD + LEY PROTECCIÓN JURÍDICA DEL MENOR
La imagen es un dato de carácter personal
Cuando tomemos fotos de los menores: comprobar
siempre que disponemos del consentimiento de sus
padres o tutores legales, previamente a su publicación
(Web, revista, etc.)
Siempre procurar que la imagen sea pertinente, y
evitar fotografías inadecuadas, o poco decorosas, que
puedan dañar la imagen del menor. (ejemplo: niño en
calzoncillos)