Este documento describe los principales aspectos de la protección de datos personales en centros docentes según la Ley Orgánica de Protección de Datos y su reglamento de desarrollo. Explica por qué suele haber un fracaso en la aplicación de la ley debido al desconocimiento de la normativa, la falta de compromiso y medidas de seguridad. También resume los principales cambios introducidos por el nuevo reglamento como el consentimiento para menores, criterios para ficheros no automatizados y medidas de seguridad para datos sensibles como de salud.
1. PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
EN UN CENTRO DOCENTE
Real Decreto 1720/2007 de desarrollo
Ley Orgánica 15/1999 (LOPD).
2. ¿Por qué fracasa la aplicación de la
LOPD en los colegios?
Desconocimiento de la normativa (ley
y reglamentos).
Abandono progresivo del compromiso
por parte de la Dirección.
Medidas de seguridad no aplicadas.
Ausencia de mantenimiento del
Documento de Seguridad.
Aislamiento del sistema.
3. Aspectos iniciales (I).
Aspectos jurídicos.
Recabar datos.
Tratamiento.
Utilización.
Aspectos técnicos.
Seguridad.
Mantenimiento.
Ley más dura del mundo (la sanción
máxima asciende a 600.000 € y “una
normal” a 60.000 €).
4. Aspectos iniciales (II). –Séneca-
Artículo 10. Supuestos que legitiman el
tratamiento o cesión de los datos.
1. Los datos de carácter personal únicamente podrán
ser objeto de tratamiento o cesión si el interesado
hubiera prestado previamente su consentimiento para
ello.
2. No obstante, será posible el tratamiento o la cesión
de los datos de carácter personal sin necesidad del
consentimiento del interesado cuando:
Lo autorice una norma con rango de ley o una norma de
derecho comunitario y, en particular, cuando concurra
uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la
satisfacción de un interés legítimo del responsable del
tratamiento o del cesionario amparado por dichas
normas, siempre que no prevalezca el interés o los
derechos y libertades fundamentales de los interesados…
5. Aspectos iniciales (y III).
“Los datos de los alumnos,
profesores, PAS, etc… no
nos pertenecen.
Únicamente tenemos
derecho a utilizarlos para lo
que se nos haya
autorizado”.
6. Definiciones (I).
Datos de carácter personal:
Cualquier información
numérica, alfabética, gráfica,
fotográfica, acústica o de
cualquier otro tipo
concerniente a personas
físicas identificadas o
identificables.
7. Definiciones (II).
Datos de carácter personal
relacionados con la salud: las
informaciones concernientes a la
salud pasada, presente y futura, física
o mental, de un individuo. En
particular, se consideran datos
relacionados con la salud de las
personas los referidos a su porcentaje
de discapacidad y a su información
genética.
8. Definiciones (III).
Niveles de seguridad (básico, medio y
alto).
Cada nivel lleva asociado unas
determinadas medidas de seguridad.
Nivel básico lo tienen todos.
Nivel medio: Los relacionados con la
Administración tributaria, Seg. Social, etc.
Nivel alto: Los que se refieran a datos de
ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida
sexual.
9. Deber de sigilo. (LOE).
3. En el tratamiento de los datos del
alumnado se aplicarán normas
técnicas y organizativas que
garanticen su seguridad y
confidencialidad. El profesorado y el
resto del personal que, en el ejercicio
de sus funciones, acceda a datos
personales y familiares o que afecten
al honor e intimidad de los menores o
sus familias quedará sujeto al deber
de sigilo.
11. Principales novedades (I).
Se aplica también a los ficheros y tratamientos no
automatizados (papel) y se fijan criterios
específicos sobre las medidas de seguridad de los
mismos.
Se garantiza que las personas, antes de consentir
que sus datos sean recogidos y tratados, puedan
tener un pleno conocimiento de la utilización que
se vaya hacer de estos datos.
El interesado dispondrá de un medio sencillo y
gratuito para ejercitar su derecho de acceso,
rectificación, cancelación y oposición, sin tener
que usar correo certificado ni otros medios que le
supongan un gasto adicional.
Tratamiento de datos de menores de edad.
12. Principales novedades (II).
Artículo 13. Consentimiento para el
tratamiento de datos de menores de
edad.
1. Podrá procederse al tratamiento de los datos de
los mayores de catorce años con su
consentimiento, salvo en aquellos casos en los que
la Ley exija para su prestación la asistencia de los
titulares de la patria potestad o tutela. En el caso
de los menores de catorce años se requerirá el
consentimiento de los padres o tutores.
3. Cuando el tratamiento se refiera a datos de
menores de edad, la información dirigida a los
mismos deberá expresarse en un lenguaje que sea
fácilmente comprensible por aquéllos, con expresa
indicación de lo dispuesto en este artículo.
13. Principales novedades (III).
Artículo 13. Consentimiento para el tratamiento
de datos de menores de edad.
2. En ningún caso podrán recabarse del
menor datos que permitan obtener
información sobre los demás miembros del
grupo familiar, o sobre las características
del mismo, como los datos relativos a la
actividad profesional de los progenitores,
información económica, datos sociológicos
o cualesquiera otros, sin el consentimiento
de los titulares de tales datos. No obstante,
podrán recabarse los datos de identidad y
dirección del padre, madre o tutor con la única
finalidad de recabar la autorización prevista en
el apartado anterior.
14. Principales novedades (IV).
Ficheros no automatizados (papel)
Artículo 106. Criterios de archivo.
El archivo de los soportes o documentos se
realizará de acuerdo con los criterios previstos en
su respectiva legislación. Estos criterios deberán
garantizar la correcta conservación de los
documentos, la localización y consulta de la
información y posibilitar el ejercicio de los
derechos de oposición al tratamiento, acceso,
rectificación y cancelación.
En aquellos casos en los que no exista norma
aplicable, el responsable del fichero deberá
establecer los criterios y procedimientos de
actuación que deban seguirse para el archivo.
15. Principales novedades (V).
Artículo 107. Dispositivos de
almacenamiento.
Los dispositivos de almacenamiento de los
documentos que contengan datos de
carácter personal deberán disponer de
mecanismos que obstaculicen su apertura.
Cuando las características físicas de
aquéllos no permitan adoptar esta medida,
el responsable del fichero o tratamiento
adoptará medidas que impidan el acceso
de personas no autorizadas.
16. Principales novedades (VI).
Artículo 108. Custodia de los soportes.
Mientras la documentación con datos de
carácter personal no se encuentre
archivada en los dispositivos de
almacenamiento establecidos en el artículo
anterior, por estar en proceso de revisión o
tramitación, ya sea previo o posterior a su
archivo, la persona que se encuentre al
cargo de la misma deberá custodiarla e
impedir en todo momento que pueda ser
accedida por persona no autorizada.
17. Principales novedades (VII).
Nivel de seguridad alto (datos de salud).
Artículo 111. Almacenamiento de la información.
1. Los armarios, archivadores u otros elementos en
los que se almacenen los ficheros no automatizados
con datos de carácter personal deberán encontrarse
en áreas en las que el acceso esté protegido con
puertas de acceso dotadas de sistemas de apertura
mediante llave u otro dispositivo equivalente. Dichas
áreas deberán permanecer cerradas cuando no sea
preciso el acceso a los documentos incluidos en el
fichero.
2. Si, atendidas las características de los locales de
que dispusiera el responsable del fichero o
tratamiento, no fuera posible cumplir lo establecido
en el apartado anterior, el responsable adoptará
medidas alternativas que, debidamente motivadas,
se incluirán en el documento de seguridad.
18. Principales novedades (y VIII).
Nivel de seguridad alto (datos de salud).
Artículo 112. Copia o reproducción.
1. La generación de copias o la reproducción de los
documentos únicamente podrá ser realizada bajo el control
del personal autorizado en el documento de seguridad.
2. Deberá procederse a la destrucción de las copias o
reproducciones desechadas de forma que se evite el acceso
a la información contenida en las mismas o su recuperación
posterior.
Artículo 113. Acceso a la documentación.
1. El acceso a la documentación se limitará exclusivamente
al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los
accesos realizados en el caso de documentos que puedan
ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior
deberá quedar adecuadamente registrado de acuerdo con el
procedimiento establecido al efecto en el documento de
seguridad.
19. Art. 8. Calidad de los datos.
2. Los datos de carácter personal sólo podrán ser
recogidos para el cumplimiento de finalidades
determinadas, explícitas y legítimas del responsable del
tratamiento.
3. Los datos de carácter personal objeto de tratamiento
no podrán usarse para finalidades incompatibles con
aquellas para las que los datos hubieran sido
recogidos.
4. Sólo podrán ser objeto de tratamiento los
datos que sean adecuados, pertinentes y no
excesivos en relación con las finalidades
determinadas, explícitas y legítimas para las que
se hayan obtenido.
5. Los datos de carácter personal serán exactos
y puestos al día de forma que respondan con
veracidad a la situación actual del afectado. Si
los datos fueran recogidos directamente del afectado,
se considerarán exactos los facilitados por éste.
20. Lectura recomendada.
Título III. Derechos de acceso,
rectificación, cancelación y oposición
(atención a los capítulos I y II) y en
especial al artículo 25 que informa
sobre el procedimiento de solicitud de
datos.
Este procedimiento debe ser conocido
por el personal que atienda al
público.
21. Recordatorios
Inscripción y modificación de los ficheros
en la A.E.P.D. (Arts. 55 a 62).
Documento de Seguridad (Art. 88). Indica
que este documento debe estar al día en la
legislación sobre protección de datos (con
la entrada en vigor del nuevo Reglamento,
habrá de adaptarse).
Obligaciones del personal y definición de
funciones sobre medidas de seguridad
(Arts 89 a 104).