Etiqueta: CENTROS EDUCATIVOS

Publicado el

OBLIGACIONES Y DERECHOS DE LOS CENTROS EDUCATIVOS EN MATERIA DE PROTECCIÓN DE DATOS

La Administración y, por ende, los equipos directivos, deben ser plenamente conscientes de que tanto los docentes como el alumnado son titulares de dos derechos fundamentales que hay que respetar: el derecho a su intimidad, recogido en el art. 18 de la Constitución Española, y el derecho a la protección de sus datos de carácter personal, consagrado en la Sentencia del Tribunal Constitucional 292/2000. Ambos derechos están regulados por la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; en lo establecido en los artículos ocho.1 y veintitrés de la Ley 14/1986, de 25 de abril, General de Sanidad y por último en la disposición adicional vigésimotercera de la Ley 2/2006 de 3 de mayo (Ley Orgánica de Educación). Por ello, se deben establecer una serie de cautelas y cumplir con las normas relativas a la protección de datos, así como los criterios de interpretación jurisprudenciales a la hora de tomar decisiones sobre el tratamiento de datos.

Vamos a repasar algunas de las obligaciones y derechos que deben tener presente los equipos directivos relativos a la normativa de protección de datos personales:

El responsable del tratamiento y el centro educativo debe garantizar y poder demostrar, ante la autoridad y las personas interesadas, que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y las libertades de las personas de las que se tratan datos. Hablamos del principio de responsabilidad proactiva y de la inversión de la carga de la prueba.

Este nuevo principio requiere que los centros educativos analicen qué datos trata, con qué fines lo hace y qué tipo de operaciones de tratamiento lleva a cabo. A partir de este conocimiento detallado, debe valorar el riesgo que puede generar este tratamiento y, de acuerdo con esta valoración, adoptar las medidas de seguridad pertinentes. Uno de los supuestos que hay que analizar previamente por los riesgos que puede conllevar es el tratamiento de datos de colectivos vulnerables, en el caso de las escuelas, los menores de edad y los menores con necesidades educativas especiales o con discapacidad, entre otros. Los centros educativos deberán crear el protocolo de protección de datos siguiendo el principio de la privacidad desde el diseño y por defecto. Además, deberán designar una persona delegada de protección de datos, como se reafirma la AEPD en sus preguntas frecuentes:

“Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

La Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª “Denominación de las etapas educativas”, establece que “Las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”, que conforme a lo dispuesto en su artículo 3 son los siguientes:

      1. Educación infantil.
      2. Educación primaria.
      3. Educación secundaria obligatoria.
      4. Formación profesional.
      5. Enseñanzas de idiomas.
      6. Enseñanzas artísticas.
      7. Enseñanzas deportivas.
      8. Educación de personas adultas.
      9. Enseñanza universitaria.

En consecuencia, los centros docentes que impartan alguna de estas enseñanzas habrán de designar un delegado de protección de datos.” (https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00259)

 

Además, los centros educativos tienen la obligación de informar en los términos legales del tratamiento que realizan legitimado por una norma por rango legal, así como recabar el consentimiento para los tratamientos que lo requieran utilizando un modelo ajustado a la legalidad vigente y conservando los medios probatorios de la prestación del consentimiento informado.

Se tratarán datos de carácter personal del alumnado y de sus familiares con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores.

Además, siguiendo con el principio de responsabilidad proactiva se deberá implementar un plan de información y formación que permita y promueva el respeto y el cumplimiento de la normativa vigente por parte de las personas encargadas del tratamiento de datos en el desarrollo de sus funciones en la organización. 

En este sentido, ya el Grupo de Trabajo del Artículo 29, actualmente integrado en el Comité Europeo de Protección de Datos, indicó en su dictamen 3/2010 sobre el principio de responsabilidad (WP 173, adoptado el 13 de julio de 2010, que, en virtud del principio de responsabilidad proactiva, las “medidas y procesos puede también hacerse de modo eficaz mediante la atribución de competencias y mediante la formación del personal implicado en las operaciones de tratamiento”. Sin formación, que además debe ser periódica para, en su caso, asegurarse de que las personas que tratan datos personales conocen sus obligaciones y mantienen sus conocimientos actualizados; se corre el riesgo de que un programa de cumplimiento o una política de protección de datos no sean efectivos.

Por último tenemos que decir que se hace necesario difundir una cultura de protección de datos entre las personas encargadas del tratamiento con el objetivo de sensibilizar a quienes los manejan y sean responsables del mismo, así como conocer las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en que pudiera incurrir en caso de incumplimiento.

Espero que os haya resultado interesante!

Publicado el

SEGURIDAD Y CIBERSEGURIDAD EN EL ÁMBITO EDUCATIVO.

En el sector educativo, como en otros, entran en juego una gran diversidad de normas de diferente jerarquía normativa. Para recopilar las más relevantes se ha publicado en el BOE el Código de la Ciberseguridad. 

CÓDIGO DE CIBERSEGURIDAD

De todas las normas aplicables debemos destacar el Reglamento Europeo de Protección de Datos (Reglamento General de Protección de Datos o  RGPD) y la normativa española de desarrollo: la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que velan por la protección y privacidad de los datos personales. En ellas, se señala la obligación de crear una política de seguridad en los centros educativos, así como la necesidad de informar y formar a la comunidad educativa de la misma.

Hemos de recordar que el incumplimiento podrá suponer la imposición de las sanciones correspondientes.

Todas las normas relacionadas con las medidas de ciberseguridad responden a la Estrategia Nacional de Ciberseguridad, que delimita el entorno del ciberespacio y fija los principios, objetivos y líneas de acción que garantizan la ciberseguridad nacional. Puedes consultarla en el siguiente enlace: https://www.dsn.gob.es/es/estrategias-publicaciones/estrategias/estrategia-ciberseguridad-nacional

Junto a esta normativa básica debemos formar e informar, siguiendo el principio de proactividad aplicable a las instituciones educativas, sobre la normativa de propiedad intelectual. La Ley de Propiedad Intelectual se encuentra regulada en el Real Decreto Legislativo 1/1996, cuyo objetivo es proteger cualquier tipo de obra literaria, artística o científica, fruto de cualquier actividad empresarial.

La LPI protege los derechos de los autores, tanto derechos morales, que son inalienables e irrenunciables, como derechos patrimoniales o de explotación de la obra. En cuanto a estos últimos, las instituciones públicas y privadas deberán:

      • No utilizar obras protegidas sin pagar derechos de autor, esto afecta tanto al software, como a imágenes, videos, textos, audios, tipografías, etc. También se incluye a los creadores o diseñadores que se contrate.
      • Proteger los derechos de las creaciones propias o de los empleados, respetando siempre el derecho del creador de reconocerse como autor de la obra

Por último, como funcionarios públicos de la Junta de Andalucía debemos cumplimiento al Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.

https://www.juntadeandalucia.es/boja/2020/208/34

 

CONCEPTOS BÁSICOS.

Es importante definir los conceptos que utilizaremos en el ámbito de ciberseguridad. Vamos a destacar los siguientes:

CIBERSEGURIDAD: Conjunto de estrategias que a través de herramientas, políticas y procesos procuran la protección de la infraestructura computacional y la información contenida en un dispositivo o que circula por redes.

AUTENTICACIÓN. Es el proceso que permite la verificación de la identidad de una persona cuando intenta acceder a archivos o un dispositivo.

COPIA DE SEGURIDAD. Almacenamiento de copias de sus archivos en un servidor, disco duro, ordenador o unidad extraíble para acceder a ellos en caso de pérdida.

RED PRIVADA VIRTUAL (VPN). Estrategia que persigue ofrecer un sistema más seguro de acceso a Internet mediante el enrutamiento de la conexión a través de un servidor que oculta su ubicación.

CIFRADO. Procedimiento que permite la transformación de datos para ocultarlos.

FIREWALL. Hardware o software diseñado para mantener a los usuarios no deseados fuera de su red.

EVALUACIÓN DE RIESGOS. Proceso de identificación de posibles riesgos a los que se enfrenta una institución y la red.

ROBO DE DATOS. Se define como el acceso no autorizado a datos.

HACKER. Persona que infringe la seguridad para acceder a los datos con una intención maliciosa.

MALWARE. Software diseñado para llevar a cabo acciones perjudiciales y no autorizadas en un ordenador.

PHISHING. Estafas por correo electrónico enviadas por hackers para obtener información confidencial como información bancaria o contraseñas.

SPYWARE. Software espía malicioso que roba datos personales sin consentimiento.

VIRUS. Malware diseñado para propagarse automáticamente.

GUSANO. Malware que se instala en un ordenador y se copia a sí mismo en otros equipos.

 

PELIGROS EN LA RED.

Internet nos abre un mundo de oportunidades de información y formación, pero estas funcionalidades también pueden suponer tener que enfrentarnos a riesgos.

Siguiendo a Pere Marqués, los riesgos podríamos clasificarlos según estén relacionados con la información, la comunicación, las actividades económicas o las adiciones. (http://www.peremarques.net/habilweb2.htm)

-Riesgos relacionados con la información.

    • Acceso a información poco fiable y falsa.
    • Dispersión, pérdida de tiempo.
    • Acceso de los niños a información inapropiada y nociva para su edad.
    • Acceso a información peligrosa, inmoral, ilícita (pornografía infantil, violencia, racismo, terrorismo,)

-Riesgos relacionados con la comunicación.

    • Bloqueo del buzón de correo.
    • Recepción de “mensajes basura”.
    • Recepción de mensajes ofensivos.
    • Pérdida de intimidad.
    • Acciones ilegales: difundir datos de terceras personas, plagiar, amenazar, …
    • Malas compañías.

-Riesgos relacionados con las actividades económicas.

    • Estafas.
    • Compras inducidas por publicidad abusiva.
    • Compras por menores sin autorización paterna.
    • Robos.
    • Actuaciones delictivas por violación de la propiedad intelectual.
    • Realización de negocios ilegales.
    • Gastos telefónicos desorbitados.

-Riesgos relacionados con las adicciones.

    • Adicción a buscar información.
    • Adicción a frecuentar las Redes Sociales.
    • Juego compulsivo.
    • Compras compulsivas.

Si se materializan estos riesgos podríamos estar ante las siguientes situaciones:

    • Ciberbullying. Se trata del acoso de un menor a otro menor usando las tecnologías: Internet, móvil, videojuegos online, etc. Estamos ante un caso de ciberbullying cuando una persona menor de edad atormenta, amenaza, hostiga, humilla o molesta a otros menores usando estos medios.
    • Ciberacoso o acoso cibernético. Se trata de una situación en la que una persona utiliza un perfil en internet, normalmente falso, para amenazar y acosar anónimamente a una persona en específico. Las víctimas de acoso cibernético tienen que enfrentar problemas psicológicos que interfieren con su vida diaria (trabajo, escuela, etc.).
    • Estamos ante grooming cuando una persona adulta trata de engañar a un menor a través de Internet para ganarse su confianza con intención de obtener fotos o vídeos de situaciones sexuales o pornográficas e incluso llegar a chantajearle con ellas. En ocasiones es el paso previo al abuso sexual.
    • Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.
    • Se trata de un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar
    • Suplantación de identidad. Se trata de una actividad malintencionada que consiste en hacerse pasar por otra persona por diversos motivos: cometer algún tipo de fraude, obtener datos de manera ilegal, cometer ciberacoso, grooming u otros delitos.
    • Ciberadicción o trastorno de adicción a internet (internet addiction disorder, IAD) es un término que se refiere a una supuesta patología que supone un uso abusivo de Internet, a través de diversos dispositivos (ordenadores, teléfonos, tabletas, etc.), que interfiere con la vida diaria.

 

OBLIGACIONES DE LOS CENTROS EDUCATIVOS: POLÍTICAS DE SEGURIDAD.

Los centros educativos, independientemente de su naturaleza jurídica, deben establecer las políticas de seguridad que deberá respetar la comunidad educativa. Estas políticas de seguridad deberán seguir las recomendaciones y obligaciones legalmente establecidas.

Las políticas de seguridad tratan los aspectos y elementos esenciales donde debemos aplicar seguridad y que deben estar bajo control en las actividades de tratamiento de datos. Se trata de establecer unas pautas y protocolos que permitan realizar un tratamiento de datos con seguridad. En el portal del INCIBE encontramos guías, materiales y recursos que nos facilitarán la creación de estas políticas.

A continuación, os dejamos un vídeo sobre políticas de seguridad creado por el INCIBE recomendado no sólo para empresas, sino para todo tipo de instituciones.

En el libro de “Medidas Básicas de Seguridad y Ciberseguridad” podrás obtener una recopilación de pautas y protocolos que mejorarán los niveles de seguridad de los tratamientos de datos de nuestros centros educativos.

 

FORMACIÓN E INFORMACIÓN.

Es imprescindible que la comunidad educativa conozca y se comprometa con la política de seguridad del centro educativo. Para ello, deberán adquirir una competencia digital básica en esta área que les permitan realizar un uso responsable de las herramientas de seguridad implementadas, así como incorporar buenas prácticas en su proceder habitual. El RGPD exige proactividad a las instituciones, independientemente de su naturaleza jurídica. En el marco de esta proactividad, los centros educativos deben promover una formación básica sobre la política de seguridad aplicable a todo el personal que trate datos personales e información a toda la comunidad educativa.

En la web oficial del INCIBE podemos encontrar itinerarios formativos especializados en diferentes sectores, entre ellos el sector educativo.

Los itinerarios consisten en cortos videos interactivos presentados por dos personajes ficticios: Laura y Miguel, que representan a dos socios preocupados por la ciberseguridad de su organización. Ellos mostrarán las distintas situaciones cotidianas que pueden afectar a las diferentes instituciones y las acciones que debemos implementar para protegerlas.

 

Publicado el

TRATAMIENTO DE DATOS EN EDUCACIÓN

En esta entrada pretendo aclarar algunos términos y aspectos relacionados con el tratamiento de datos en el ámbito educativo y qué establece la normativa actual al respecto. 

Cuando hablamos de tratamiento de datos lo primero que debemos delimitar es a qué nos referimos.

¿QUÉ SE ENTIENDE POR TRATAMIENTO DE DATOS?

Cualquier actividad en la que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya se realice de manera manual o automatizada, total o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

De esta definición podemos concluir que en los centros educativos realizamos muchas actividades de tratamiento de datos y las mismas se realizan por parte de la dirección del centro, la administración y el profesorado. Todas las personas e instituciones que traten datos deben seguir unos PRINCIPIOS FUNDAMENTALES.

Los datos personales serán: 

    • tratados de manera LÍCITA, LEAL Y TRANSPARENTE.
    • recogidos con FINES DETERMINADOS, EXPLÍCITOS Y LEGÍTIMOS.
    • adecuados, pertinentes y LIMITADOS en relación con la FINALIDAD del TRATAMIENTO.
    • EXACTOS y, si fuera necesario, ACTUALIZADOS.
    • CONSERVADOS durante no más TIEMPO DEL NECESARIO para los FINES del TRATAMIENTO.
    • tratados GARANTIZANDO SU SEGURIDAD.

¿QUIÉN ES EL RESPONSABLE DEL TRATAMIENTO DE DATOS?

La persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal.

En el ámbito educativo el responsable del tratamiento de datos sería:

Pero nuestra normativa distingue otra figura junto al responsable del tratamiento de datos. Se trata del ENCARGADO DEL TRATAMIENTO, que se define como «La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

¿CUÁNDO VAMOS A TRATAR DE DATOS?

La legislación vigente identifica dos situaciones posibles que nos habilitarían para el tratamiento de datos:

        1. Que exista una competencia atribuida por una NORMA CON RANGO DE LEY.
        2. Que se haya dado el CONSENTIMIENTO INFORMADO EXPRESAMENTE.

En los centros educativos trataremos datos en ambos casos.

En el caso de que tratemos datos por la competencia atribuida por una norma con rango de ley (función docente y orientadora, relación jurídica derivada de la matriculación, etc) deberemos informar a las familias en los siguientes extremos:

    • de la existencia de un fichero o tratamiento de datos personales, 
    • de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro, 
    • de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse, 
    • de los destinatarios de los datos, 
    • de los derechos de los interesados y dónde ejercitarlos, 
    • de la identidad del responsable del tratamiento: EL CENTRO O LA ADMINISTRACIÓN EDUCATIVA.

En el caso de ser un supuesto en el que se requiere el CONSENTIMIENTO INFORMADO Y EXPRESO, éste deberá recabarse a través de una solicitud claramente distinguida, de fácil acceso y usando un lenguaje claro y sencillo. 

Hay que recordar que se tiene derecho a RETIRAR EL CONSENTIMIENTO en cualquier momento, y el procedimiento para hacerlo debe ser tan fácil como el de darlo, aunque será lícito el tratamiento previo.  De estos términos habrá que informar a las/los interesados. 

Es importante recordar que la CARGA DE LA PRUEBA sobre la prestación del consentimiento es del responsable del tratamiento. Por ello es conveniente recabar el consentimiento por un medio que permita la misma.

Además será necesario que el CONSENTIMIENTO SEA INFORMADO, es decir, deberemos informar de los siguientes términos a las/los interesados:

    • La normativa aplicable.
    • El archivo al que se incorporan los datos.
    • Los derechos que tienen sobre sus datos.
    • La persona responsable de los datos.
    • El tiempo por el que se van a mantener los datos.
    • Motivo por el que se recaban.

 

Espero que toda esta información os haya sido de utilidad. Seguiremos repasando aspectos interesantes relativos a la protección de datos en el ámbito educativo en posteriores entradas.

Descripción general de privacidad

Este sitio web utiliza cookies para que podamos brindarle la mejor experiencia de usuario posible. La información de las cookies se almacena en su navegador y realiza funciones como reconocerlo cuando regresa a nuestro sitio web y ayudar a nuestro equipo a comprender qué secciones del sitio web le resultan más interesantes y útiles.