Etiqueta: PROTECCIÓN DE DATOS

Publicado el

DERECHOS DE LA AUTODETERMINACIÓN INFORMATIVA.

No se si habéis escuchado hablar de los derechos de autodeterminación informativa o los derechos ARCO. La actual normativa sobre protección de datos supuso un avance para los derechos de las personas interesadas, surgiendo así el denominado  derecho a la autodeterminación informativa. 

El derecho a la autodeterminación informativa surge como respuesta a la posibilidad de un tratamiento masivo de datos. Fue construido y elaborado a partir de la sentencia del Tribunal Constitucional Federal alemán de 15 de diciembre de 1983.11. En dicha sentencia, el Tribunal configura, a partir del derecho general de la personalidad recogido en el artículo 2.1 de la Ley Fundamental de Bonn, la facultad del individuo, derivada de  la autodeterminación, de decidir básicamente por sí mismo, cuándo y dentro de qué límites, procede revelar situaciones referentes a la vida propia. Surge la necesidad de establecer jurídicamente mecanismos de protección de los datos personales frente a su uso informatizado, no tanto por el carácter estrictamente privado de éstos, sino por el peligro que supone la utilización que se haga de los mismos.

En todo caso, el derecho no comporta una patrimonialización de los datos personales, sino que es la garantía de una serie de facultades individuales que permitirán al titular llevar a cabo el control y seguimiento de la información personal registrada en soportes informáticos.

En palabras del Tribunal Constitucional español, «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionará a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o no»

Podemos definir la autodeterminación informativa como la capacidad del individuo para determinar la divulgación y el uso de sus datos personales, controlar y determinar lo que los demás pueden, en cada momento, saber sobre su vida personal. Este derecho ayuda a las y los ciudadanos a proteger sus datos personales y, en ejercicio de este derecho, a autodefinirse y modular su imagen pública y reputación.

El RGPD reconoce el “derecho a la autodeterminación informativo” y lo concreta en la posibilidad de ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Vamos a ver en qué consiste cada derecho:

    • Derecho a la rectificación: supone el derecho a obtener, sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan o que se completen, según los fines, mediante una declaración adicional. Se deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Además, deberán acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
    • Derecho de supresión: derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
      1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
      2. el interesado retire el consentimiento y este no se base en otro fundamento jurídico;
      3. el interesado se oponga al tratamiento;
      4. los datos personales hayan sido tratados ilícitamente; 
      5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el derecho de la unión o de los estados miembros que se aplique al responsable del tratamiento;
      6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
    • Derecho a la limitación del tratamiento: derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
      1. se impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
      2. el tratamiento sea ilícito y las/los interesados se opongan a la supresión de los datos personales y soliciten en su lugar la limitación de su uso;
      3. el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
      4. se haya ejercido el derecho de oposición al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • Derecho a la portabilidad: derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
      1. el tratamiento esté basado en el consentimiento y
      2. el tratamiento se efectúe por medios automatizados.
  • Derecho de oposición: derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

EJERCICIO DE LOS DERECHOS.

Es importante señalar que el ejercicio es gratuito, sólo si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:

    • Cobrar un canon proporcional a los costes administrativos soportados
    • Negarse a actuar 

Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. El responsable está obligado a informar sobre los medios para ejercitar estos derechos y estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que se opte por otro medio.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule

Se pueden ejercer los derechos directamente o por medio de tu representante legal o voluntario. Si el responsable tiene dudas sobre tu identidad, podrá solicitar información adicional para confirmar la misma como la fotocopia del DNI o pasaporte u otro documento válido que identifique a persona solicitante. Se puede utilizar la firma electrónica y si se ejercitan a través de un representante se deberá aportar el documento o instrumento electrónico que acredite la representación.

En la solicitud debe incluirse la petición, la dirección a efectos de notificaciones, fecha y firma, así como los documentos acreditativos de la petición si fuesen necesarios.

Publicado el

OBLIGACIÓN DE INFORMACIÓN POR PARTE DE LOS CENTROS EDUCATIVOS

Se acercan las primeras reuniones con las familias y el encuentro con nuestro alumnado mayor de edad, por ello he querido hacer esta entrada en la que resumo nuestras obligaciones de información en relación a la normativa vigente de protección de datos que espero que os sea de utilidad.

Es importante recordar que los centros educativos van a realizar tratamientos de datos legitimadas por tres circunstancias diferentes y esto va a suponer que se desplieguen distintos efectos jurídicos (obligaciones y derechos).

Vamos a repasar las distintas posibilidades:

    • Tratamiento de datos legitimado por una norma con rango legal. La mayoría de las actividades de tratamiento de datos que desarrollan los centros educativos se realizan bajo la legitimación que le ofrece una norma con rango legal, por lo tanto, no requieren consentimiento expreso e informado. El artículo 27.1 de la Constitución Española reconoce el derecho fundamental a la educación y este derecho implica una necesaria actividad administrativa y su consecuente tratamiento de datos personales. Los centros educativos, ya sean de titularidad pública o privada, pueden tratar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa y orientadora, así lo establece la Ley Orgánica de Educación, que habilita el tratamiento de los datos del alumnado con este fin desde el momento en que el alumnado se incorpora al sistema educativo. Igualmente, habilita a los centros educativos, en su caso, para que ceda datos del alumnado en caso de cambio de centro. Asimismo, la Ley Orgánica de Educación habilita a las escuelas para el tratamiento de datos de categorías especiales de datos cuyo conocimiento sea necesario para la educación y la orientación del alumnado. La Ley Orgánica de Educación legitima el tratamiento de datos personales relacionados con el origen y ambiente familiar del alumnado y su familia, características o condiciones personales, datos relativos a la patria potestad y la custodia, datos sobre resultados de la función docente y orientadora, características o condiciones personales del alumnado en cuanto sean necesarios para la función educativa, datos de matriculación del alumnado, discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias, alergias o tratamientos médicos.
    • Tratamiento de datos por consentimiento expreso e informado. Para todas aquellas otras funciones que no formen parte de la función docente y orientadora de los centros, será necesario contar con la base jurídica para tratar los datos correspondientes (consentimiento, contrato, interés público, etc.). (Para saber más del consentimiento informado: Consentimiento expreso e informado en protección de datos )
    • Tratamiento de datos legitimado por la relación contractual existente. No se requiere el consentimiento cuando se trata de datos necesarios para mantener o cumplir la relación laboral o administrativa que mantengan con el centro. Si bien, es importante señalar que rige el principio de proporcionalidad en el tratamiento (art. 5 RGPD), esto significa que se deberán tratar los datos estrictamente necesarios y proporcionales a la finalidad perseguida.

Los diferentes supuestos que legitiman el tratamiento van a generar diferentes obligaciones para los centros educativos.

En el caso de que tratemos datos por la competencia atribuida por una norma con rango de ley (función docente y orientadora, relación jurídica derivada de la matriculación, etc) deberemos informar a las familias o alumnado mayor de edad en los siguientes extremos:

      • de la existencia de un fichero o tratamiento de datos personales,
      • de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
      • de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
      • de los destinatarios de los datos,
      • de los derechos de los interesados y dónde ejercitarlos,
      • de la identidad del responsable del tratamiento: el centro o la administración educativa.

Es importante recordar el principio de proactividad que exige que las instituciones que tratan datos informen adecuadamente de estos aspectos, así como, el hecho de que es la institución la que deberá contar con medios probatorios de la existencia de esta comunicación de la información y de que se ha realizado en los términos que legalmente se establecen.

¿Y a efectos prácticos sobre qué deberíamos informar a las familias o al alumnado mayor de edad al principio de curso? A menos deberíamos informar con un documento que incluyera los siguientes puntos:

      1. Se van a tratar sus datos personales. Este tratamiento, cuando se refiere a la función docente y orientadora, responde al cumplimiento de una obligación legal por lo que no requieren su consentimiento, si bien tendrán a su disposición los derechos de autodeterminación informativa que reconoce la normativa. Si se negaran al tratamiento NO podrían obtener el servicio público que ofrecemos.
      2. En el caso de tratamientos no contemplados en el apartado anterior, les solicitaremos el consentimiento expreso e informado. Deben saber que el consentimiento será requerido a mayores de 14 años o a tutores legales de los menores de 14.
      3. El centro va hacer uso de las siguiente APPs y plataformas educativas que cumplen los estándares de ciberseguridad……………… con la finalidad de llevar a cabo el proyecto educativo.
      4. Se podrán ejercitar los derechos relacionados con la protección de datos en este correo electrónico: ………… (o indicar otro método, recordando que debe ser fácil y ágil)
      5. Recordarles que la normativa les reconoce los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
      6. Así mismo, no olvidar que están obligados a mantener actualizados los datos personales, con especial mención a los relacionados con la guardia y custodia y la patria potestad, que deberán ser comunicados de manera inmediata al centro para velar por l@s menores implicad@s.

Y recordad debéis obtener prueba de que se ha procedido a informar de todos estos aspectos.

¡Espero que os sea de utilidad!

Publicado el

CONSENTIMIENTO INFORMADO PARA VISIBILIZAR BUENAS PRÁCTICAS

Creo que es muy importante visibilizar las propuestas de aula porque empoderamos a nuestro alumnado, mejoramos su autoestima y, al compartir podemos inspirar a otros compañeros y compañeras y contribuir a mejorar la imagen de nuestra escuela.  Soy consciente que en en muchos centros educativos se desarrollan actividades y proyectos excelentes y por eso deberíamos fomentar la visibilización de los mismos. Pero es importante conocer la normativa relacionada con la protección de datos para realizar estas publicaciones cumpliendo los requerimientos legislativos vigentes.

Empezamos por recordar que es imprescindible recabar el consentimiento del alumnado mayor de 14 años o de sus representantes legales en el caso de los menores de dicha edad  si vamos a publicar sus datos personales (por ejemplo: imagen, voz) en un medio que no permite la discriminación en su difusión, por ejemplo en redes sociales que están abiertas o una web accesible sin necesidad de autentificarse. 

¿Cómo debemos recabar el consentimiento para cumplir con la normativa vigente?

Una de las reformas más importantes que incluye la actual normativa es la relativa al consentimiento. El RGPD excluye el consentimiento tácito, exigiendo que sea expreso e informado para que éste despliegue efectos jurídicos. (art. 6.1 RGPD).

El RGPD requiere que las personas interesadas presten el consentimiento mediante una declaración inequívoca o una acción afirmativa clara para cada una de las finalidades para las que se solicita el consentimiento. Así, a efectos del RGPD, las casillas ya marcadas, el consentimiento tácito o la inacción no constituyen un consentimiento válido.

Además, es importante recordar que corresponde al responsable del tratamiento la prueba de la obtención del consentimiento de las personas interesadas para un tratamiento específico, por lo que deberá custodiarse la prueba de que el consentimiento se ofreció siguiendo las indicaciones legales.

El consentimiento debe ser una manifestación de voluntad por la que las personas interesadas aceptan el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Esta manifestación de voluntad debe ser:

    • Libre. La persona debe tener la posibilidad de rechazar libremente que se traten sus datos.
    • Específica. El consentimiento se refiere a tratamientos concretos y para una finalidad determinada, explícita y legítima del responsable del tratamiento, sin que se puedan establecer habilitaciones genéricas.
    • Es necesario informar a los interesados para que, con antelación al tratamiento, puedan conocer la existencia y los fines de este.
    • Inequívoca. La solicitud y el otorgamiento del consentimiento deben producirse de forma clara.

En el caso de ser un supuesto en el que se requiere el consentimiento informado y expreso, éste deberá recabarse a través de una solicitud claramente distinguida, de fácil acceso y usando un lenguaje claro y sencillo.

En el momento en el que recabamos el consentimiento hay que recordar que se tiene derecho a retirar el consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada (sin efectos retroactivos). El procedimiento para hacerlo debe ser tan fácil como el de darlo, aunque será lícito el tratamiento previo (Art.7.3 RGPD).

El responsable, antes de obtener el consentimiento, debe proporcionar información básica al menos de su identidad, los fines del tratamiento, los destinatarios de los datos, y del ejercicio de los derechos. Art. 13.1 RGPD.

Para considerar que existe consentimiento informado deberemos informar de los siguientes términos a las personas interesadas:

    • La normativa aplicable.
    • El archivo de tratamiento al que se incorporan los datos.
    • Los derechos que tienen sobre sus datos y si se va a autorizar una transferencia de datos.
    • La persona responsable de los datos y la persona delegada de protección de datos, así como el procedimiento para contactar con las mismas.
    • Motivo y finalidad por el que se recaban.
    • El tiempo por el que se van a mantener los datos.

Es importante recordar que la carga de la prueba sobre la prestación del consentimiento es del responsable del tratamiento. (art. 7.1 RGPD). Por ello es conveniente recabar el consentimiento por un medio que permita la misma.

Los centros educativos y cualesquiera otros que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información. (Art. 92 LOPDGDD).

Los mayores de 14 y menores de 18 años podrán otorgar el consentimiento para la utilización de sus datos personales por sí mismos, salvo que una norma específica exija la asistencia de los padres o tutores. (Art. 7.1 LOPDGDD).

En el caso de menores de 14 años el consentimiento para la utilización de sus datos personales se otorgará por sus padres o tutores legales (Art. 7.1 LOPDGDD). El responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible. (Art. 8.2 RGPD).

Y sabiendo todas estas cuestiones…

¿Cumples con los requisitos legales exigidos? ¿Utilizas un modelo actualizado a la normativa vigente para recabar el consentimiento?

Publicado el

TRATAMIENTO DE DATOS EN EDUCACIÓN

En esta entrada pretendo aclarar algunos términos y aspectos relacionados con el tratamiento de datos en el ámbito educativo y qué establece la normativa actual al respecto. 

Cuando hablamos de tratamiento de datos lo primero que debemos delimitar es a qué nos referimos.

¿QUÉ SE ENTIENDE POR TRATAMIENTO DE DATOS?

Cualquier actividad en la que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya se realice de manera manual o automatizada, total o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

De esta definición podemos concluir que en los centros educativos realizamos muchas actividades de tratamiento de datos y las mismas se realizan por parte de la dirección del centro, la administración y el profesorado. Todas las personas e instituciones que traten datos deben seguir unos PRINCIPIOS FUNDAMENTALES.

Los datos personales serán: 

    • tratados de manera LÍCITA, LEAL Y TRANSPARENTE.
    • recogidos con FINES DETERMINADOS, EXPLÍCITOS Y LEGÍTIMOS.
    • adecuados, pertinentes y LIMITADOS en relación con la FINALIDAD del TRATAMIENTO.
    • EXACTOS y, si fuera necesario, ACTUALIZADOS.
    • CONSERVADOS durante no más TIEMPO DEL NECESARIO para los FINES del TRATAMIENTO.
    • tratados GARANTIZANDO SU SEGURIDAD.

¿QUIÉN ES EL RESPONSABLE DEL TRATAMIENTO DE DATOS?

La persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal.

En el ámbito educativo el responsable del tratamiento de datos sería:

Pero nuestra normativa distingue otra figura junto al responsable del tratamiento de datos. Se trata del ENCARGADO DEL TRATAMIENTO, que se define como «La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

¿CUÁNDO VAMOS A TRATAR DE DATOS?

La legislación vigente identifica dos situaciones posibles que nos habilitarían para el tratamiento de datos:

        1. Que exista una competencia atribuida por una NORMA CON RANGO DE LEY.
        2. Que se haya dado el CONSENTIMIENTO INFORMADO EXPRESAMENTE.

En los centros educativos trataremos datos en ambos casos.

En el caso de que tratemos datos por la competencia atribuida por una norma con rango de ley (función docente y orientadora, relación jurídica derivada de la matriculación, etc) deberemos informar a las familias en los siguientes extremos:

    • de la existencia de un fichero o tratamiento de datos personales, 
    • de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro, 
    • de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse, 
    • de los destinatarios de los datos, 
    • de los derechos de los interesados y dónde ejercitarlos, 
    • de la identidad del responsable del tratamiento: EL CENTRO O LA ADMINISTRACIÓN EDUCATIVA.

En el caso de ser un supuesto en el que se requiere el CONSENTIMIENTO INFORMADO Y EXPRESO, éste deberá recabarse a través de una solicitud claramente distinguida, de fácil acceso y usando un lenguaje claro y sencillo. 

Hay que recordar que se tiene derecho a RETIRAR EL CONSENTIMIENTO en cualquier momento, y el procedimiento para hacerlo debe ser tan fácil como el de darlo, aunque será lícito el tratamiento previo.  De estos términos habrá que informar a las/los interesados. 

Es importante recordar que la CARGA DE LA PRUEBA sobre la prestación del consentimiento es del responsable del tratamiento. Por ello es conveniente recabar el consentimiento por un medio que permita la misma.

Además será necesario que el CONSENTIMIENTO SEA INFORMADO, es decir, deberemos informar de los siguientes términos a las/los interesados:

    • La normativa aplicable.
    • El archivo al que se incorporan los datos.
    • Los derechos que tienen sobre sus datos.
    • La persona responsable de los datos.
    • El tiempo por el que se van a mantener los datos.
    • Motivo por el que se recaban.

 

Espero que toda esta información os haya sido de utilidad. Seguiremos repasando aspectos interesantes relativos a la protección de datos en el ámbito educativo en posteriores entradas.

Descripción general de privacidad

Este sitio web utiliza cookies para que podamos brindarle la mejor experiencia de usuario posible. La información de las cookies se almacena en su navegador y realiza funciones como reconocerlo cuando regresa a nuestro sitio web y ayudar a nuestro equipo a comprender qué secciones del sitio web le resultan más interesantes y útiles.