1.07k likes | 1.3k Views
Protección de datos en los centros docentes. Francisco Javier Galicia Mangas. Algunas cuestiones formales previas. ¿Qué normas regulan la protección de datos en los centros docentes?. La protección de datos está regulada en las siguientes normas:
E N D
Protección de datos en los centros docentes Francisco Javier Galicia Mangas
Algunas cuestiones formales previas
¿Qué normas regulan la protección de datos en los centros docentes?
La protección de datos está regulada en las siguientes normas: • En la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). • En el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. • Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. • Existe una propuesta de Reglamento general del Parlamento y del Consejo sobre protección de datos.
¿En qué momentos recogemos datos de alumnos y familias en los centros docentes? ¿Qué otros ficheros de datos tenemos en los centros docentes?
Recogemos datos de alumnos en los siguientes procesos: • Proceso de admisión de alumnos. • Proceso de matriculación. • Durante el ciclo escolar: entre otros la gestión del libro de escolaridad; expediente académico; becas; PAU; concesión de títulos oficiales; boletines de notas; actuaciones de régimen disciplinario; información recabada por tutores, profesores de grupo, o equipo directivo; en las relaciones con otras Administraciones públicas u órganos de la Administración educativa (Hacienda, Ayuntamiento, Consejería de Educación, Juzgado, Fiscalía…) • Servicios o Departamentos de Orientación académica y profesional. • Servicios médicos o programas de salud escolar. • Servicios ofertados por el centro escolar a los alumnos: comedor, transporte escolar, biblioteca, extraescolares…) Estos servicios, a veces son prestados por el centro docente, y en otras ocasiones contratados con empresas externas, en cuyo caso puede haber una cesión de datos. • Disponemos además de otros datos personales en los centros: • Fichero/s de personal docente. • Fichero/s de personal no docente. • Fichero/s de proveedores.
¿En qué tipos de soporte recogemos datos de alumnos y familias en los centros docentes? ¿Todos los soportes quedan amparados por la LOPD?
En soporte papel En soporte informático Todos los formatos y soportes están protegidos por la LOPD
¿Deben declararse los ficheros de datos existentes en los centros docentes?
Declaración de ficheros • Según el art. 20 de la LOPD la creación, modificación o supresión de ficheros de las Administraciones Públicas sólo puede hacerse por medio de disposición general (Reglamento) publicada en el BOE/BOA. • Es la Consejería de Educaciónquien tiene el deber denotificar la creación de ficheros de datos de alumnos al Registro General de la Agencia Estatal/Autonómica de Protección de datos. • Al menos seis CC.AA. no han inscrito ningún fichero y el resto lo han hecho de modo parcial e incompleto, por lo que se desconoce qué datos tiene de los alumnos, con qué finalidad y quien es el responsable del fichero
¿Quién debe comunicar la apertura de los ficheros de datos en los centros docentes a la Agencia de Protección de Datos?
Comunicación apertura fichero • Según el art. 20.1 de la LOPD “La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario Oficial correspondiente”. Así pues se declara que el órgano responsable de los ficheros en los centros docentes públicos es la Consejería de Educación de cada Comunidad Autónoma. • En los centros privados y concertados la responsabilidad de la inscripción de los ficheros corresponde a la entidad titular del centro docente ya que el artículo 26.1 de la LOPD recoge que "toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos".
¿Quién es el responsable de los ficheros de datos en los centros docentes?
Responsable fichero de datos • Según el art. 3.d de la LOPD el responsable del fichero es la persona física o jurídica u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento de la información incluida en el fichero. • En los centros públicos la gestión de ficheros es realizada fundamentalmente por el personal administrativo de secretaría y su superior jerárquico es el secretario/a del centro, pero la responsabilidad última pertenece siempre a la Dirección del centro.
¿Es posible hacer copias de seguridad de los ficheros de datos existentes en los centros docentes?
Copias de seguridad de ficheros • Se debe fijar un procedimiento para la obtención de una copia de respaldo y de recuperación de datos, cumpliendo las medidas previstas en el Reglamento de Medidas de Seguridad (art. 94) • Dichas copias se han de custodiar en un lugar diferente a aquel en que se encuentran los equipos informáticos, y se realizarán al menos una vez a la semana, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. • Las copias se han de verificar para comprobar que los datos allí almacenados son legibles.
¿Todos los ficheros de datos deben cumplir las mismas medidas de seguridad?
¿Deben cumplir las mismas medidas de seguridad todos los ficheros? • No todos los ficheros deben cumplir las mismas medidas de seguridad. Dichas medidas se clasifican en tres niveles: básico, medio y alto atendiendo a la naturaleza de la información tratada, la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información. • Con carácter general todos los ficheros manejados por los centros de enseñanza que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico Si bien todos aquellos ficheros en los que se contengan datos de salud (por ejemplo, en los ficheros en los que se guarda información sobre absentismo del personal docente, o sobre enfermedades de los alumnos que deban tenerse en cuenta para la prestación del servicio del comedor, etcétera), deberán implantarse medidas de seguridad de nivel alto.
¿Qué infracciones sobre protección de datos son las más habituales en los centros docentes?
Infracciones sobre protección de datos • Artículo 44. Tipos de infracciones • 1. Las infracciones se calificarán como leves, graves o muy graves. • 2. Son infracciones leves: • a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo. • b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos. • c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado. • 3. Son infracciones graves: • a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente. • b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo. • c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
Derechos básicos y principios de actuación
¿Qué derechos básicos tienen los alumnos y sus familias con respecto a la protección de datos en los centros docentes?
Derechos básicos de alumnos y familias en cuanto a la protección de datos: • Todo el personal de los centros docentes que accede a los datos personales de los alumnos está sujeto al deber de secreto profesional. • Los centros docentes deben garantizar la seguridad de los datos personales que tratan y evitar su alteración, pérdida, tratamiento o acceso no autorizado. • Los alumnos/as mayores de edad pueden acceder a los datos de su expediente y también los padres, tutores o representantes legales de un alumno/a menor de edad a los datos del expediente del alumno que esté bajo su responsabilidad. • Pedir que se rectifique o elimine información de un expediente cuando se acredite que la misma es incorrecta o innecesaria. • Los alumnos, padres, tutores o representantes legales tienen derecho a no contestar cuando un centro docente público solicite datos sobre su ideología, religión o creencias. • Que los datos estén actualizados para reflejar la situación real de los mismos. • Dirigirse por escritoal centro para cualquier asunto relativo a sus datos y en caso de no estar conforme con su respuesta a la Agencia de Protección de Datos, nacional o de la C.A.
¿Qué principios básicos debemos respetar en los centros docentes en relación con los datos personales?
Debemos respetar los siguientes Principios: Información. Consentimiento. Calidad. Confidencialidad.
Principio de Información • De acuerdo con lo dispuesto en el art. 5.1 de la LOPD, resulta necesario incluir en todos los formularios de recogida de datos las siguientes menciones: • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. • b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. • c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. • d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. • e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Principio de Consentimiento • De acuerdo con lo dispuesto en el art. 6 de la LOPD: • 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. • 2. No será preciso el consentimiento: -cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias. - Cuando se refieran a las partes de una relación laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
Principio de Calidad • De acuerdo con lo dispuesto en el art. 4 de la LOPD: • 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. • 2. Nopodrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. • 3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
Principio de Confidencialidad • De acuerdo con lo dispuesto en el art. 10 de la LOPD: • El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. • Además deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado.
¿Qué datos personales están especialmente protegidos?
Datos especialmente protegidos • Los relativos a: • Ideología. • Afiliación política o sindical. • Religión o creencias. • Origen racial. • Salud. • Vida sexual. Estos datos sólo se pueden tratar con consentimiento escrito y expreso del afectado.
Dispositivos electrónicos
¿Es necesaria autorización de los alumnos o de sus padres o representantes para publicar fotos en internet?
Publicación fotos en Internet • Según el art. 3. a de la LOPD y 5.1.f del Rto. De desarrollo las fotos o imágenes se consideran datos de carácter personal al permitir la identificación de personas físicas. • La publicación de fotos en Internet se considera comunicación o cesión de datos personales, que además se hace de modo indiscriminado a cualquier persona que tenga acceso a la página web. • Para publicar fotos o imágenes, cederlas o enviarlas a terceros es necesario consentimiento previo expreso y escrito del alumno mayor de edad o de sus padres o representantes legales si es menor.
¿Vulnera la LOPD el hecho de tomar fotos de alumnos para uso privado? Ej. padre/madre en festival fin de curso
Fotos uso privado • Según el art. 2.2 a de la LOPD las fotos o imágenes tomadas exclusivamente para uso privado están excluidas del ámbito de dicha Ley. • No obstante pueden vulnerar lo dispuesto en la L.O. 1/1982, de 5 de mayo, de Protección del Derecho al honor, a la intimidad y a la propia imagen. • Esta intromisión en el Derecho al honor, intimidad y la propia imagen está delimitada y matizada por la Ley y por los usos sociales, atendiendo al ámbito que, por sus propios actos, mantenga cada persona reservado para sí misma o para su familia.
¿Pueden enviarse a través del teléfono móvil mensajes sms a alumnos, profesores o padres?
Mensajes sms • Para que se pueda enviar al teléfono móvil que faciliten los alumnos, los padres o los profesores, mensajes SMS sobre temas relacionados con la actividad del centro educativo, en primer lugar debe incluirse expresamente el dato del teléfono móvil en el formulario correspondiente y, en segundo término, debe informarse al interesado del uso del dato del teléfono móvil para esta finalidad, dado que los mismos se pueden oponer a este tratamiento.
¿Podemos colocar cámaras de videovigilancia en los centros docentes como medida de seguridad?
Cámaras de video-vigilancia en centros docentes I • La captación de imágenes en entornos escolares no está prohibida, peroha de ser una medida proporcional en relación con daño que se pretenda evitar. Para ello ha de cumplir los siguientes requisitos: • Que se trate de una medida susceptible de conseguir el objetivo propuesto. • Que no exista otra medida mas moderada para la consecución de tal propósito con igual eficacia. • Que la misma sea ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto. • En entornos como los centros docentes en los que la mayor parte de sus ocupantes son menores, la instalación de videocámaras sólo será legítima cuando derive de una necesidad ineludible, cuando la medida sea la más adecuada y siempre que no exista una medida alternativa menos lesiva para los derechos del menor. Se deben respetar los siguientes criterios: • La zona objeto de videovigilancia será la mínima imprescindible. • En ningún caso podrán instalarse estos medios en espacios protegidos por el derecho a la intimidad como baños o vestuarios. • Salvo en circunstancias excepcionales, no resulta admisible la captación de imágenes con fines de control de asistencia escolar. • El uso de videocámaras con fines de seguridad en espacios de juego, aulas y otros ámbitos en los que se desarrolla la personalidad de los menores sólo podrán ser objeto de grabación en presencia de circunstancias excepcionales, justificadas por la presencia de un riesgo objetivo y previsible para la seguridad de los menores.
Cámaras de video-vigilancia en centros docentes II • El uso de videocámaras para ejercer funciones de video-vigilancia habría de ceñirse a los siguientes parámetros: • Desconexión de las mismas durante el horario escolar, ya que en la mayoría (por no decir casi todos) los centros educativos de nuestro país no se dan las circunstancias “excepcionales” que defenderían su uso continuado. • Es innecesaria la existencia de cámaras de grabación interiores (pasillos y zonas de estancia -hall y similares-), a menos que se instalen en aulas sensibles de robo (aulas de informática, despachos de la zona de Dirección, etc.), las cuales se activarían finalizado el horario escolar. • Proporcionalidad de uso y acudir a medidas previas de prevención… aunque ya sabemos que en centros “aislados” (situados en las afueras de las localidades) esa casuística preventiva es difícil de establecerse. • Los responsables que cuenten con sistemas de video-vigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán: • a) Colocar, en las zonas video-vigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados. • b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. • C) Así mismo, deberán respetarse los plazos y procedimiento de almacenamiento de imágenes, resultando de aplicación, el artículo 6 de la mencionada Instrucción en la que se prevé que “los datos serán cancelados en el plazo máximo de un mes desde su captación”
Acceso, uso, cesión e intercambio de datos
¿Cómo puede un profesor o alumno conocer la información que de él mismo tiene su centro educativo?
Cómo acceder a la información personal • El derecho de acceso se ejerce mediante solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar. • Según el art. 28 del R.D. 1720/2007 el interesado elige la forma en la que quiere acceder al fichero: • a) Visualización en pantalla. • b) Escrito, copia o fotocopia remitida por correo, certificado o no. • c) Telecopia. • d) Correo electrónico u otros sistemas de comunicaciones electrónicas. • e) Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.
¿Puede cualquier profesor o empleado de un centro público acceder a los datos personales contenidos en los ficheros?
Acceso a datos personales • No todas las personas que constituyen una organización deben acceder a todos los datos personales. Dentro de la finalidad a la que se refiera el fichero,cada empleado sólo deberá tener acceso a aquéllos datos que resulten necesarios para el cumplimiento de sus funciones, cumpliendo así con el principio de calidad de los datos. En consecuencia, únicamente accederán a aquéllos datos personales que resulten adecuados, pertinentes y no excesivos para el cumplimiento de sus funciones.
¿Puede un profesor acceder al expediente académico de un alumno?
Acceso profesor expediente académico alumno • En la medida en que un profesor tiene una relación directa con cada uno de sus alumnos tendrá legitimidad para acceder a los expedientes académicos de cada uno de ellos, siempre que dicho acceso tenga una finalidad académica y por tanto compatible con las finalidades declaradas del fichero. Sin embargo, hay que señalar que el acceso de los profesores al Fichero Expedientes de Alumnos o Gestión Académica no debería ser indiscriminado, sino que cada profesor debería tener acceso solamente a los datos de sus propios alumnos, pues no estaría justificada la finalidad del acceso a los datos del resto de los alumnos.
¿Los datos recogidos con una finalidad determinada, pueden usarse para cualquier otra finalidad que se pueda plantear a posteriori?
Datos recogidos y usados con distinto fin • Los datos sólo se pueden recabar para cumplir una finalidad determinada, explícita y legítima, que además deberá conocer el interesado, como regla general, con carácter previo a la recogida de sus datos. • Los datos no podrán utilizarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos, aunque la recomendación normal es que estas tareas se realicen con datos disociados, eliminando cualquier dato que identifique o permita identificar a las personas.