Curso protección de datos - Projardin

WOW

empezar

CURSO DE PROTECCIÓN DE DATOS EN EL ÁMBITO EDUCATIVO

8.

4.

Derechos Digitales

Imágenes

Casos prácticos

7.

6.

5.

3.

2.

1.

Protocolos

Derechos

Videovigilancia

Principios

Introducción

Índice de contenidos

Marco normativo actual

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD). Derechos digitales

Reglamento General (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos - RGPD).

RGPD

LOPDGDD

LSSI

Conceptos Principales

2. Tratamiento de datos

4. Encargado de tratamiento

3. Responsable del tratamiento

1. Dato personal

Conceptos Clave

ame

Dato personal

Toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Especial atención a los datos de categorías especiales: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida u orientación sexual.

Tratamiento de datos

Cualquier actividad en la que estén presentes datos de carácter personal, manual o automatizada, como la recogida, registro, conservación, consulta, comunicación, acceso, interconexión, limitación, supresión o destrucción.

Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.

Encargado del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la UE o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la UE o de los Estados miembros

Info

Responsable del tratamiento

Transferencia internacional de datos

Responsable del tratamiento - Encargado de tratamiento

El Responsable del tratamiento solo debe contratar con encargados que ofrezcan las suficientes garantías de cumplimiento de la normativa de protección de datos. Para regular este intercambio de información, ambas partes deben firmar un contrato específico a efectos de protección de datos.

a) Licitud, lealtad y transparencia: los datos deben ser tratados de manera lícita, leal y transparente en relación con el interesadob) Limitación de la finalidad: Los datos han de ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.c) Minimización de datos: Los datos recogidos deben ser los mínimos y necesarios para la finalidad y deben de ser adecuados, pertinentes y no excesivosd) Exactitud: Los datos deben ser exactos y si es necesario, actualizados. e) Limitación del plazo de conservación: Los datos deben mantenerse durante no más tiempo del necesario. f) Integridad y confidencialidad: Los datos deben ser tratados garantizando una seguridad adecuada.

Principios

Consentimiento menores de edad

Las bases legitimadoras para el tratamiento de datos son las siguientes:

• El consentimiento expreso o inequívoco dado por el interesado.

• La ejecución de un contrato en el que el sujeto es parte.

• El deber de cumplir con una obligación legal.

• La protección de intereses vitales.

• La misión realizada en interés público o en el ejercicio de poderes públicos.

• La satisfacción de intereses legítimos.

Legitimación

¿Qué base de legitimación usamos para la matriculación del alumno/a?

Los interesados deberán ser informados de manera concisa, transparente, inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo de:

• La identidad y los datos de contacto del responsable;
• Fuente de obtención de los datos (en el caso de que no se hayan obtenido del interesado).
• Los datos de contacto del delegado de protección de datos.
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento
• Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
• El plazo durante el cual se conservarán los datos personales.
• La existencia de los derechos que puede solicitar al responsable del tratamiento: acceso, rectificación, supresión, limitación de su tratamiento, u oposición al tratamiento, así como el derecho a la portabilidad de los datos.
• El derecho a presentar una reclamación ante una autoridad de control.
• La existencia de decisiones automatizas, incluida la elaboración de perfiles.

Información

• Identidad del Responsable de tratamiento
• Finalidad del tratamiento
• Donde puede ejercitar sus derechos
• Las fuentes de las que procedieran sus datos

La información se puede ofrecer en dos capas. En la primera capa se le dará la información básica y se deberá indicar una dirección electrónica o un medio (como una política de privacidad) que le permita acceder a la restante información o segunda capa.

Información básica si los datos se obtienen directamente del interesado:

• Identidad del Responsable de tratamiento
• Finalidad del tratamiento
• Donde puede ejercitar sus derechos

Información básica si los datos NO se obtienen directamente del interesado:

Información doble capa

Además de la política de cookies, debe mostrarse un banner de cookies para dar al usuario la opción de marcar o desmarcar su uso.

Una página web en España, sin comercio electrónico, debe contener los siguientes tres textos:

• Aviso legal: indica quién es el propietario del sitio web.

• Política de privacidad: información al usuario sobre el tratamiento de sus datos.

• Política de cookies: información sobre el uso de cookies, en su caso.

Textos legales a incluir en una página web

Canal prioritario

¿EN QUÉ CASOS SE PUEDE USAR?Este canal se ha creado para atender situaciones excepcionalmente sensibles, cuando los contenidos (fotografías o vídeos) sean de naturaleza sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, siempre que sean de nacionalidad española y se encuentren en España, especialmente si son menores de edad o víctimas de violencia de género.QUIÉN PUEDE USAR ESTE CANAL? Tanto el afectado como cualquier persona que tenga conocimiento de la difusión de este tipo de contenidos puede recurrir a esta vía. ¿Qué ocurrirá tras solicitar la retirada ante la AEPD?La AEPD analiza de forma prioritaria la reclamación y, en su caso, puede adoptar medidas cautelares, bloqueando u ordenando la retirada del contenido al prestador de servicios o plataforma donde se esté difundiendo. Además, si existen indicios de delito, lo pondrán en conocimiento del Ministerio Fiscal. Si procede, continuará la investigación para tramitar un procedimiento sancionador contra los responsables de la difusión.

Info

Canal prioritario

• Se debe colocar un cartel informativo de videovigilancia en el lugar en el que se hayan colocado las cámaras.

• Se pueden instalar cámaras de videovigilancia en el centro, como en patios y comedores, pero no en baños ni vestuarios, y siempre que sea para mantener la seguridad e integridad de personas y de los espacios.

Videovigilancia

• La normativa legitima a los centros educativos para recabar y tratar los datos del alumnado y de sus padres, madres o tutores, incluyendo también categorías especiales de datos como los de salud o de religión. No obstante, estos datos solo pueden recabarse cuando sean necesarios para el desempeño de la función docente y orientadora.

• ¿Se pueden publicar los datos de los beneficiarios de becas, subvenciones y otras ayudas públicas? Pueden publicar esta información para informar a los beneficiarios, indicando el importe, el objetivo o finalidad y los beneficiarios de las becas. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el DNI. Como mucho, se publicará el nombre, apellidos y 4 cifras de DNI de manera aleatoria. Si los criterios de las ayudas implican conocer categorías especiales de datos hay que valorar y analizar individualmente si esto podría afectar a la esfera íntima de la persona, en el caso de que, por ejemplo, se ponga de manifiesto su capacidad económica o su situación de riesgo de exclusión social. Cuando ya no sean necesarios estos listados, habrá que retirarlos.

Ejemplos prácticos

• ¿A través de qué medios se deben realizar las comunicaciones profesor-padres, profesor-alumno? ¿A través de medios personales o corporativos?

• ¿Se pueden hacer públicas las calificaciones escolares? En el caso de comunicarlas a través de plataformas educativas, sólo pueden tener acceso los propios alumnos o alumnas, sus padres o tutores. No obstante, sí sería posible comunicar la situación del alumno/a en el entorno de su clase, por ejemplo, mostrando su calificación frente a la media de sus compañeros/as.

• Los padres de alumnos mayores de 14 años, ¿tienen derecho a saber sus notas? ¿Y los padres de alumnos mayores de 18 años?

• ¿Los profesores deben tener acceso a los expedientes académicos de todos los alumnos del centro? ¿o sólo a los de los alumnos que imparten clase?

Ejemplos prácticos

• El centro quiere cambiar la forma en la que se controla la jornada laboral de los trabajadores optando por un sistema que identifica a través de la huella dactilar, ¿podría hacerlo?

• ¿Se puede publicar en el comedor del centro el menú del alumnado? Se pueden publicar los diferentes menús, ya que puede existir alumnado con necesidades alimentarias especiales por razones de salud o religión, pero sin que exista un listado con nombre y apellidos de los alumnos o alumnas y su menú correspondiente. El centro sí podrá disponer de esos listados para el uso de los mismos por su servicio de comedor interno, pero sin darles publicidad.

• En caso de padres separados, ¿el centro debe informar a ambos, o sólo al que paga el colegio?

Ejemplos prácticos

• En situaciones de riesgo o desamparo del menor, ¿se pueden ceder datos a los servicios sociales, o tendríamos que pedir consentimiento?

• En situaciones de emergencia con un alumno, ¿se pueden ceder datos a centros sanitarios, o debemos pedir el consentimiento?

• Se organiza una excursión en el que se debe ceder un listado de asistentes para su acceso, ¿deberíamos pedir el consentimiento?

• ¿Cuanto tiempo se tendría que almacenar la información de los alumnos una vez que deja el centro?

Ejemplos prácticos

• Un profesor quiere tomar imágenes en las que pueden aparecer alumnos, y las quiere incluir en una presentación para los alumnos de su clase, ¿se necesitaría consentimiento ? ¿Con qué dispositivo debería capturar esas imágenes?

• Se quieren publicar fotos en las redes sociales del centro, ¿se necesitaría consentimiento? ¿y si no se identifica a los alumnos porque salen de espaldas o con las caras pixeladas?

• Día de la graduación, los padres/madres/familiares hacen fotos durante el evento, ¿pueden hacerlo o deben pedir consentimiento al resto de padres? ¿y si un padre dice que el no ha dado su consentimiento y que no quiere que nadie haga fotos a su hijo/a?

• Y si el centro contrata a un fotógrafo para grabar el evento, ¿se debe contar con el consentimiento de todos los padres?

• Supongamos que el centro decide prohibir que se tomen fotos dentro de sus instalaciones, ¿podría hacerlo?

Ejemplos prácticos

Medios a utilizar

Solo está permitido el uso con fines docentes de las aplicaciones/webs/blogs/plataformas aprobados previamente por la dirección del centro, que habrán sido previamente revisadas por nuestro Delegado de Protección de Datos y por la dirección del centro. En vuestro caso, únicamnete está permitido el uso de la app KinderUp.Para la toma de fotografías o vídeos se deberán utilizar dispositivos corporativos.La forma de comunicación con familias permitida, será siempre por medios propiedad del Centro (KinderUp, email corporativo, o teléfonos del centro), salvo en casos excepcionales de urgente necesidad.

El derecho de ACCESO permite a los titulares de los datos personales conocer y obtener gratuitamente información sobre sus datos. No hay obligación de facilitar copia del expediente escolar pero si de la información relativa a datos de salud que pueda haber en ese expediente.El derecho de RECTIFICACIÓN permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información.El derecho de SUPRESIÓN permite que se puedan eliminar los datos cuando se solicite su eliminación o resulten inadecuados o excesivos. Los datos de salud obtenidos, por ejemplo, por psicólogos, se cancelarán cuando dejen de ser necesarios y en su caso al finalizar la escolarización del alumno en el centro.El derecho de OPOSICIÓN es el derecho del interesado a que, por motivos relacionados con su situación personal, no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.El derecho de LIMITACIÓN AL TRATAMIENTO consiste en solicitar al responsable del tratamiento que aplique medidas sobre mis datos personales, tales como como evitar que se modifiquen, que se borren o supriman. El derecho de PORTABILIDAD permite transmitir la información directamente de una entidad o otra, sin necesidad de ser entregada al propio usuario, como por ej. el traslado de expediente.

Derechos

Si alguien quisiera ejercitar alguno de los derechos de protección de datos, debe indicarse de forma clara y sencilla que:Debe presentarlo por escrito bien enviando comunicación, motivada y acreditada, por correo electrónico a dpo@projardin.es, por correo postal, o en papel personalmente en secretaría del centro.En el caso de que llegue solicitud de derechos por una vía distinta, por favor, háganselo llegar a nuestro Delegado de Protección de Datos, en el correo arriba mencionado.

Reclamaciones de derechos

Violaciones de seguridad

Si se produce una violación de la seguridad, el responsable debe notificarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, desde que se tenga conocimiento fehaciente de la incidencia, cuando constituya un riesgo para los derechos y libertades de las personas físicas. ¿Que puede ocurrir que suponga violación de seguridad? Un ordenador/teléfono móvil/USB con información del centro se pierde o es robado. Se envía un correo electrónico a un destinatario equivocado. Sospecha que ha sido víctima de un ataque cibernético. Archivos o documentos en papel se pierden o son robados.Si ocurriera algo de ese tipo, informe inmediatamente a David Díaz, vuestro Delegado de Protección de Datos en dpo@projardin.es

Art. 34. b) "Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas."

Delegado de Protección de Datos

El Reglamento introduce la figura del DPD o DPO, en algunos casos de forma obligatoria y en otros de forma voluntaria. El DPO podrá formar parte de la plantilla o actuar en el marco de un contrato de servicios. Esta figura deberá poder acreditar conocimientos y experiencia profesional y actuará con autonomía e independencia, no pudiendo ser removida por las decisiones tomadas en el ejercicio de sus funciones. Reporta a la Dirección directamente y tiene total acceso a los recursos de la empresa. Es una figura obligatoria para los centros educativos de conformidad con el artículo 34 b) LOPDGDD.

Medidas de seguridad básicas

Acceso a la información

• Proteger el pc o dispositivo con contraseña alfanumérica siempre que sea posible.

• Procurar no dejar guardadas las claves de acceso a plataformas corporativas (correo, drive, etc.).

• Cuando se utilicen impresoras o fotocopiadoras, después de la impresión de trabajos con información de carácter personal, se debe recoger de manera inmediata, o imprimir de forma bloqueada, asegurándose de no dejar documentos impresos en la bandeja de salida.

Cesiones o publicaciones

• No está permitida la cesión o publicación de información que contenga datos personales ni imágenes recabadas en el interior de las instalaciones con fines o usos personales.

Medidas de seguridad básicas

Extracción y/o envío de información

• Desaconsejamos copiar grandes cantidades de información del centro, en medios de almacenamiento extraíbles (pendrives, discos duros externos). No obstante, si no hubiera alternativa, se deberá proteger el dispositivo con contraseña.

• A la hora de enviar por mail un documento, se debe proteger con contraseña

Copias de seguridad y recuperación de datos

• Recomendamos, como medida de seguridad, realizar copias de seguridad que permitan restaurar la información ante cualquier perdida o bloqueo de la información. El formato ideal es realizar 3 copias de seguridad, en 2 soportes distintos y 1 de ellos siempre fuera de la empresa (preferentemente en la nube). Totalmente desaconsejable la utilización de pendrive por su fragilidad y posibilidad de pérdida, además de no poseer ninguna medida de seguridad por lo que son fácilmente infectables por un virus.

Medidas de seguridad básicas

Eliminación

• Al final de la semana, deberá quedar subida al Servidor o nube del centro, y eliminada de los dispositivos personales a nivel local, toda información del centro(tanto en pc’s como en el resto de dispositivos móviles).

Internet seguro

• Nuestra recomendación es trabajar conectado a internet por cable. Y si no fuera posible, intentar utilizar solo tu red inalámbrica de confianza.

• Utilizar solo webs seguras (con el candado del «https»).

Extremas las precauciones en los correos electrónicos recibidos atendiendo a las siguientes recomendaciones:

• No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
• No confiar únicamente en el nombre del remitente. Comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
• Antes de abrir cualquier fichero descargado desde el correo, hay que asegurarse de la extensión y no fiarse del icono asociado al mismo.
• No habilitar las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
• No hacer clic en ningún enlace que solicite datos personales o bancarios.
• Tener siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el navegador (incluyendo los plugins/extensiones instaladas).
• Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido, es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
• Utilizar contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas y si es posible utilizar doble autenticación

• Derecho a la seguridad digital.
• Derecho a la educación digital.
• Protección de los menores en Internet.
• Derecho de rectificación en Internet.
• Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
• Derecho a la desconexión digital en el ámbito laboral.
• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
• Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
• Protección de datos de los menores en Internet.
• Derecho al olvido en búsquedas de Internet.
• Derecho al olvido en servicios de redes sociales y servicios equivalentes.

Derechos digitales

Derecho a la educación digital

El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.Se introduce un mandato directo a todas las Administraciones educativas a fin de que estas incluyan en el bloque de asignaturas de libre configuración así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC. A este fin se formará adecuadamente al profesorado en competencias digitales y para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.Nos encontramos a la espera de que el Gobierno junto con las comunidades autónomas elabore un plan de actuación para promover estas acciones de formación, difusión y concienciación.

Derecho a la desconexión digital en el ámbito laboral

El contenido concreto y las modalidades del ejercicio de este derecho se establecerá por el empleador, previa audiencia de los representantes de los trabajadores, por medio de una política interna que incluirá a los puestos directivos y prestará especial atención a los casos de trabajo a distancia.

Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral

Los trabajadores tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a disposición del empleador. Se establece la obligación a los empleadores de establecer criterios de utilización de dichos dispositivos digitales, incluyendo la especificación de los usos autorizados y, en su caso, la determinación de los periodos en que los dispositivos podrán utilizarse para fines privados. Igualmente deberán especificarse las posibilidades de acceso por el empleador al contenido de esos dispositivos digitales. De todo lo cual deberán ser informados los trabajadores.

¡Muchas gracias!

Para cualquier pregunta, escríbenos a:dpo@projardin.es

menores de edad

Consentimiento

El RGPD establece que los menores de edad podrán dar su consentimiento para el tratamiento de sus datos cuando sean mayores de 16 años, pero da libertad a los Estados miembros para que puedan bajar esta edad hasta los 13 años. En España, la LOPDGDD lo estableció en 14 años

¿Durante cuánto tiempo se debe guardar la siguiente información?

• Ficha admisión y matriculación

• Imágenes publicadas en la web o redes sociales
• Información sobre empleados