Proteccion datos
0 recomendaciones31 vistas
Este documento describe los conceptos básicos de protección de datos, como qué son los datos personales y especialmente protegidos, quién es el responsable del tratamiento de datos, y los principios de protección de datos como la legitimación, calidad, transparencia, seguridad y secreto. También explica el tratamiento de datos que realizan los centros educativos, los tipos de datos que pueden recabar como el origen familiar y las características personales de los alumnos, y que deben usarlos sólo con fines educativos.
Proteccion datos
- 1. El desarrollo de la función directiva Protección de datos Autor: Daniel Calatayud
- 2. Indice ● Conceptos básicos. ● Principios de protección de datos. ● Tratamiento de datos por los centros educativos. – Procedimientos de recogida.
- 3. Conceptos básicos ● ¿Qué es un dato de carácter personal?: Cualquier información alfanumérica, gráfica, fotográfca, acústica o de cualquier otro tipo concerniente a personas físicas identifcadas o identifcables. Aunque no esté asociada a una identidad, es un dato de carácter personal si a través de dicha información se puede identifcar o individualizar dentro de un colectivo a una persona sin esfuerzos desproporcionados. Ej: Datos de un alumno o sus familiares. ● Datos especialmente protegidos: Datos sensibles de las personas sobre su esfera más intima y personal. Son aquellos que: – revelen ideología, afliación sindical, religión y creencias – hagan referencia al origen racial, a la salud y a la vida sexual, – se refieran a la comisión de infracciones penales o administrativas
- 4. Conceptos básicos ● ¿De quién son los datos de carácter personal?: De la persona física titular de los datos, como los alumnos, padres, tutores, profesores o personal de administración y servicios. Son los afectados o interesados. Cada persona es titular de sus respectivos datos de carácter personal. ● ¿Qué es un fichero?: Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado, repartido de forma funcional o geográfca o tratado de forma manual o automática. Ej.: Expedientes alumnos, actividades extraescolares, personal docente y no docente, videovigilancia,...
- 5. Conceptos básicos ● ¿Quién es el responsable del tratamiento de datos?: El responsable del tratamiento es la persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal. – En Centros educativos públicos, el responsable del tratamiento será normalmente la Administración pública correspondiente: la Consejería de la Comunidad Autónoma competente en materia educativa, salvo para los centros de Ceuta y Melilla o los centros en el exterior titularidad del Estado dependientes del Ministerio de Educación Cultura y Deporte. – Cuando se trata de centros concertados y privados los responsables del tratamiento de los datos serán los propios centros. – El equipo directivo del centro, los profesores, o el personal de administración y servicios del centro educativo no son encargados del tratamiento.
- 6. Conceptos básicos ● ¿Qué se entiende por cesión de datos?: La cesión de datos supone su revelación a una persona distinta de su titular. – Los destinatarios o cesionarios de los datos serán las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos a los que se les comuniquen. Los titulares de los datos no son nunca los cesionarios de sus propios datos, aunque no se hayan obtenido de ellos. – Cuando se transferen los datos de los alumnos de un centro a otro con motivo de un cambio de matrícula o se comunican a las asociaciones de madres y padres (AMPA) o a los Servicios Sociales o Sanitarios, Jueces, Tribunales, Cuerpos y Fuerzas de Seguridad se produce una cesión de datos. – En cambio, no son cesiones de datos las comunicaciones de los datos de los alumnos a las empresas para que, en nombre y previo contrato con el centro o la Administración educativa, presten servicios, por ejemplo, de comedor, médico o transporte.
- 7. Principios de protección de datos ● Legitimación para el tratamiento de datos: Se pueden tratar los datos si sus titulares prestan su consentimiento previo. Cuando el titular de los datos es un menor de 14 años, o en los supuestos en que así se exigiera por la Ley si fuera mayor de esa edad, el consentimiento deberá prestarse por sus padres o tutores. – El Reglamento europeo establece en 16 años la edad límite para prestar el consentimiento, aunque los Estados de la Unión Europea podrán rebajarlo hasta un mínimo de 13 años. – El consentimiento para tratar datos personales se puede revocar en cualquier momento, pero la revocación no surtirá efectos retroactivos y se tiene que informar de ello a los interesados. – Los centros docentes están legitimados por la Ley Orgánica de Educación de 2006 (LOE) para el tratamiento de los datos en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación jurídica que se produce con la matriculación del alumno en un centro.
- 8. Principios de protección de datos ● Principio de calidad de datos. ¿Qué datos se pueden tratar y cómo?: Los datos han de ser tratados de manera lícita, leal y transparente en relación con su titular. No se pueden recoger ni tratar más datos personales que los estrictamente necesarios para la finalidad perseguida en cada caso (como la educación y orientación de los alumnos o el cumplimiento de relaciones jurídicas o, en su caso, la divulgación y difusión de los centros y de sus actividades). No se pueden recabar de manera fraudulenta y su utilización debe ser conocida por los titulares. – Si se recogieron datos para realizar la matrícula, no se podrán utilizar para finalidades diferentes del ejercicio de la función educativa, como la publicación de fotografías de los alumnos en la web del centro o la comunicación de sus datos a museos o empresas para organizar visitas, salvo que se haya recabado el consentimiento de los alumnos o de sus padres o tutores tras haberles informado de ello.
- 9. Principios de protección de datos ● Transparencia e información: Cuando se recaban o se obtienen los datos de los interesados, aun cuando no sea necesario su consentimiento, los centros educativos han de facilitarles información de los siguientes extremos: – de la existencia de un fichero o tratamiento de datos personales, – de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro, – de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse, – de los destinatarios de los datos, – de los derechos de los interesados y dónde ejercitarlos, – de la identidad del responsable del tratamiento: el centro o la Administración educativa.
- 10. Principios de protección de datos ● Medidas de seguridad: Los centros y las Administraciones educativas, como responsables de los tratamientos de datos personales que realizan, deben adoptar una serie de medidas de seguridad, de carácter técnico y organizativo, que garanticen la seguridad de los citados datos, es decir, su integridad y confidencialidad y la protección frente al tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. ● El RGPD, sin embargo, no establece un catálogo de medidas de seguridad a aplicar, sino que parte de las siguientes premisas: ● En primer lugar, relacionado con el principio de responsabilidad activa, los responsables deben realizar una valoración del riesgo de los tratamientos que realicen, a fin de establecer qué medidas se deben aplicar y cómo hacerlo. ● En segundo lugarEn segundo lugar, y en función de los riesgos detectados en el análisis realizado anteriormente citado, los responsables y encargados deben adoptar las medidas de seguridad, teniendo en cuenta: – el coste de la técnica / los costes de aplicación / la naturaleza, alcance, contexto y fines del tratamiento / los riesgos para los derechos y libertades.
- 11. Principios de protección de datos ● Deber de secreto: odas las personas que tengan acceso a datos de carácter personal están obligadas a guardar secreto sobre los mismos. – Este deber de secreto es esencial para garantizar el derecho fundamental a la protección de datos y es de obligado cumplimiento para todas las personas que presten sus servicios en los centros y Administraciones educativas -docentes, personal administrativo o de servicios auxiliares-, en relación con los datos de carácter personal a los que accedan. ● Cancelación de los datos: Uno de los principios de protección de datos es el que hace referencia al tiempo que deben conservarse los datos de carácter personal por parte de los responsables del tratamiento. – La cancelación da lugar al bloqueo de los datos, que no implica su borrado material sino su identifcación con la fnalidad de impedir su ulterior proceso o utilización.
- 12. Tratamiento de datos por los centros educativos ● La finalidad de los centros docentes es la de educar y orientar a los alumnos, misión para la que han de tratar sus datos de carácter personal, así como los de sus padres y tutores. Este tratamiento se inicia desde el mismo momento en el que se solicita plaza en un centro, continúa con la matriculación del alumno y se mantiene durante toda su estancia en el centro, e incluso una vez que haya finalizado sus estudios mediante la conservación del expediente académico
- 13. Tratamiento de datos por los centros educativos ● Tipos de datos: ¿Qué datos pueden recabar los centros educativos? ● La LOE legitima a los centros a recabar datos de carácter personal para la función docente y orientadora de los alumnos en referencia a: – El origen y ambiente familiar y social. – Las características o condiciones personales. – El desarrollo y resultados de su escolarización. – Las circunstancias cuyo conocimiento sea necesario para educar y orientar a los alumnos. ● Pero también hay que tener en cuenta una serie de cautelas: – Los datos personales no podrán usarse para fines diferentes al educativo (función docente y orientadora). – El profesorado y resto del personal que acceda a los datos personales de los alumnos o de sus familias está sometido al deber de guardar secreto.
- 14. Tratamiento de datos por los centros educativos ● ¿Se pueden recabar datos sobre la situación familiar de los padres de los alumnos?: Sí, los centros educativos pueden recabar la información sobre la situación familiar de los alumnos. Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación. ● ¿Se pueden recabar datos de salud?: Sí, en la medida en que sean necesarios para el ejercicio de la función educativa. Se pueden distinguir los siguientes momentos: ● En la matriculación del alumno: discapacidades, enfermedades crónicas, TDAH, intoleranc ias alimentarias o alergias. ● Durante el curso escolar: el tratamiento médico que reciba un alumno a través del servicio médico o de enfermería del centro o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro o los informes de los equipos de orientación psicopedagógica.
- 15. Tratamiento de datos por los centros educativos ● ¿Se pueden recabar datos biométricos?: La normativa de protección de datos exige que los datos que se recaben sean adecuados, pertinentes y no excesivos. Han de responder al principio de proporcionalidad, esto es, que sean idóneos para la finalidad que se pretende conseguir con su recogida, que no haya otros medios menos intrusivos para ello y que de su tratamiento se deriven más beneficios para el interés general que perjuicios sobre otros bienes y valores. La Agencia Española de Protección de Datos ha admitido la utilización de la huella dactilar para finalidades como el control de acceso al servicio de comedor en centros escolares. ● ¿Se pueden recabar imágenes de los alumnos para el expediente académico?: Entre los datos que pueden recabar los centros educativos para el ejercicio de la función docente y orientadora sin consentimiento de los alumnos se pueden incluir sus fotografías a los efectos de identificar a cada alumno en relación con su expediente.
- 16. Tratamiento de datos por los centros educativos ● ¿Se pueden recabar datos para finalidades distintas de la función propiamente educativa?: Al margen de la función educativa, los centros pueden recabar datos para otras finalidades legítimas, como puede ser la gestión de la relación jurídica derivada de la matriculación de los alumnos, o dar a conocer la oferta académica, participar con los alumnos en concursos educativos u ofrecer servicios deportivos, de ocio o culturales. En estos casos, se podrán recabar bien como consecuencia de la relación jurídica establecida con la matrícula o si media el consentimiento previo de los alumnos o de sus padres o tutores. Además, con carácter previo a la obtención del consentimiento, se debe cumplir con el derecho de información de los titulares de los datos o a sus padres o tutores si son menores de 14 años.
- 17. Tratamiento de datos por los centros educativos. Procedimiento de recogida. ● Cuando se recaban datos personales, ¿es necesario informar a los interesados?: Sí, siempre, aunque no sea necesario obtener su consentimiento. Los centros y las Administraciones educativas han de informar de los extremos que se indican en el apartado IV.c) sobre Transparencia e información. ● ¿Deben los padres facilitar los datos al centro educativo?: La LOE establece que los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información necesaria sin la que no sería posible el desarrollo de la función educativa, estando los centros exceptuados de solicitar el consentimiento previo en relación a aquellos datos de carácter personal que sean necesarios para dicha finalidad. También deben facilitar los datos necesarios para el cumplimiento de la relación jurídica que se establece con la matrícula.
- 18. Tratamiento de datos por los centros educativos. Procedimiento de recogida. ● En los casos en los que es necesario el consentimiento de los alumnos o de sus padres o tutores, ¿cuándo y cómo hay que recabarlo? – El consentimiento, cuando es la causa que legitima el tratamiento, se ha de obtener con carácter previo a su recogida. Se puede incluir en el mismo impreso o formulario en el que se recaban los datos. – El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia. – Para los datos que hagan referencia al origen racial, a la salud y a la vida sexual el consentimiento ha de ser expreso, y si los datos revelan ideología, afiliación sindical, religión o creencias el consentimiento ha de prestarse por escrito. – El RGPD no estipula que el consentimiento para el tratamiento de estos datos deba ser prestado por escrito, pero exige una declaración o una clara acción afirmativa del interesado, sin que se pueda entender prestado de manera tácita. – Resulta suficiente con que el consentimiento se obtenga una sola vez, siempre que el tratamiento de los datos responda a la información que al respecto se haya facilitado.
- 19. Tratamiento de datos por los centros educativos. Procedimiento de recogida. ● ¿Pueden los profesores recoger datos personales directamente de los alumnos?: Sin perjuicio de los datos personales recabados por los centros o las Administraciones educativas al matricularse los alumnos, y que son facilitados a los profesores para el ejercicio de la función docente, cuando éstos recaben otros datos de carácter personal, como grabaciones de imágenes o sonido con la finalidad de evaluar sus conocimientos u otros datos relacionados con la realización de dichos ejercicios, o los resultados de su evaluación, estarían legitimados para hacerlo, en el marco de las instrucciones, protocolos o régimen interno que el centro o la Administración educativa haya adoptado. ● ¿Pueden los profesores solicitar datos de los padres de los alumnos?: Los datos de los padres de los alumnos se recaban por los centros al estar legitimados para ello por la LOE, a cuya información podrán tener acceso los profesores si la necesitasen para el ejercicio de la docencia. No obstante, si se diera alguna circunstancia en la que los profesores necesitaran conocer los datos de los padres de los alumnos, como podría ser ante situaciones de riesgo, y no dispusieran de ellos, estarían igualmente habilitados para recabarlos de los alumnos.
- 20. Tratamiento de datos por los centros educativos. Procedimiento de recogida. ● ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos, como los sistemas de mensajería instantánea (WhatsApp) o redes sociales?: – Dada la información que se contiene en los dispositivos con acceso a Internet, así como la trazabilidad que se puede realizar de la navegación efectuada por los usuarios, el acceso al contenido de estos dispositivos de los alumnos, incluyendo su clave, supone un acceso a datos de carácter personal que requiere el consentimiento de los interesados o de sus padres o tutores si se trata de menores de 14 años. – No obstante, en situaciones en las que pudiera estar presente el interés público, como cuando se ponga en riesgo la integridad de algún alumno (situaciones de ciberacoso, sexting, grooming o de violencia de género) el centro educativo podría, previa ponderación del caso y conforme al protocolo que tenga establecido, acceder a dichos contenidos sin el consentimiento de los interesados.
- 21. ● Fuente: Agencia Española de protección de datos. ● Licencia: