Protección de datos
20
PROTECCIÓN DE DATOS Autor: José Ignacio Segovia
-
Upload
nacho-segovia -
Category
Education
-
view
44 -
download
0
Transcript of Protección de datos
PROTECCIÓN DE DATOS
Autor: José Ignacio Segovia
1. LEY ORGÁNICA 15/1999 (LOPD)1.1. Objeto.1.2. Ámbito de aplicación.
2. ¿Por qué los centros educativos deben cumplir la LOPD?3. Tipo de datos personales que tratan los colegios.4. Requisitos para cumplir la LOPD en los colegios.
4.1. Inscribir ficheros con el sistema NOTA.5. Publicación de fotografías.
5.1. Consentimiento necesario para tratar datos personales de menores.5.1.1. Artículo 13.1. del Reglamento LOPD.
5.2. Necesidad de consentimiento para menores de 14 años.5.3. Información sobre el tratamiento de los datos personales.5.4. Modelo para informar de la recogida de datos y solicitar el consentimiento.5.5. Prueba del consentimiento.5.6. Consentimiento prestado por menores de edad.
6. Límites al tratamiento de datos de menores.7. Tratamiento de datos de menores en el colegio o en actividades extraescolares.8. Peligros de la publicación de fotos de menores.9. Auditorías.
1.1. Objeto. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
1.2. Ámbito de aplicación.La presente Ley Orgánica será de aplicación alos datos de carácter personal registrados en soportefísico, que los haga susceptibles de tratamiento, y a todamodalidad de uso posterior de estos datos por los sectorespúblico y privado.
1. Ley Orgánica 15/1999 (LOPD)
2. ¿Por qué los centros educativos deben cumplir la LOPD?
Es habitual que los colegios tengan perfiles en las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo. También hay profesores que usan aplicaciones educativas en las que hay que aportar información personal de los alumnos.
En los colegios se dan dos circunstancias básicas que hacen necesario un adecuado tratamiento de los datos personales:1) Conviven adultos con menores.2) Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.
La captación de imágenes de los estudiantes no es ilegal en sí. El problema aparece cuando los cauces a través de los cuales se llevan a cabo estas actuaciones no son los exigidos legalmente y esto supone un obstáculo para proteger la privacidad y la intimidad de los menores.
3. Tipo de datos personales que tratan los colegios.
Los ficheros más comunes que deben inscribirse según el tratamiento habitual de datos del centro educativo son:
- Expediente académico (calificaciones, absentismo, etc.).- Personal docente (fichero de profesores para gestión
interna).- Personal no docente (mantenimiento, limpieza…).- Servicios adicionales (comedor, transporte, guardería…).- Proveedores.- Admisión de alumnos (matriculaciones, solicitudes…).
El centro educativo ha de intentar que solamente tengan acceso a los datos personales quienes, en cumplimiento de su función o cargo, estén autorizadas para ello. Cuando sea necesario publicar una listados que contengan datos personales, siempre que sea posible se debe intentar que únicamente los interesados tengan acceso a dicha información, bien facilitando un usuario y contraseña para consulta online o, si la publicación ha de hacerse en tablones, que estos estén en una zona con acceso limitado para los interesados.
4. Requisitos para cumplir la LOPD en los colegios
Según la LOPD, los centros educativos son los Responsables de los ficheros y deben adoptar medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales relativos al alumnado, a sus representantes legales, al profesorado, etc.
En primer lugar, es necesario inscribir los distintos ficheros que contengan datos personales ante la AEPD. También deben elaborar un Documento de Seguridad, que contemple los ficheros mediante los cuales se tramita la información, los sistemas utilizados y las medidas de seguridad implantadas que impone la legislación.
Por otro lado, es imprescindible informar y formar al personal del centro escolar acerca de cuáles son sus competencias sobre a la información que deben gestionar y cuáles son las medidas que el centro impone para garantizar la protección de la privacidad, especialmente de los menores.
4.1. Inscribir ficheros con el sistema NOTA
Dar de alta un fichero en el Registro General de Protección de Datos (RGPD) es el primer paso exigido por la LOPD para el uso legal de datos personales. Con este propósito la Agencia Española de Protección de Datos (AEPD) lanzó en su momento el formulario NOTA, que permite la inscripción telemática de ficheros.
Algunas características del formulario NOTA son:
- Permite presentar hasta máximo de 10 solicitudes de inscripción (altas y/o modificaciones y/o supresiones) en una única notificación.
- Tras el primer paso el sistema asigna un código que permite interrumpir y reanudar más tarde la notificación.
- Opción de anexar documentación cuando la forma de presentación es a través de certificado digital.
- Posibilidad de adherirse a una Autorización de Transferencia Internacional de Datos ya existente.
5. Publicación de fotografías
A la hora de publicar fotografías en las redes sociales o captar imágenes de los menores en determinadas actividades del centro, es necesario solicitar el consentimiento de los representantes legales de los menores, y el centro debe aprobar determinadas medidas de seguridad. Cuando captamos una imagen con un teléfono móvil puede ser que esté conectado a la nube y configurado de tal manera que al hacer la foto automáticamente una copia se almacena en la aplicación correspondiente, asociada al usuario que capta la imagen.
5.1. Consentimiento necesario para tratar datos personales de menores.La LOPD establece una protección especial para los menores de edad al considerarlos como el sector más frágil y por su dependencia de los padres o tutores legales. Por ello se exige más rigor en el cumplimiento de los requisitos de la normativa de Protección de Datos. Pero: ¿dónde está la frontera de edad respecto a quién se considera capacitado para proporcionar ese consentimiento?
5.1.1. Artículo 13.1 del Reglamento LOPD«Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores».
5.2. Necesidad de consentimiento para menores de 14 años.
En caso de menores de 14 años o incapaces, se exigirá en todo caso el consentimiento de sus padres o tutores legales para tratar sus datos personales. Este consentimiento será igual al exigido en otros casos a los afectados por el tratamiento con la diferencia de que quien debe otorgarlo es el representante legal del menor. Los requisitos exigidos por la LOPD para que el consentimiento sea válido son que debe de ser libre, inequívoco, específico e informado.Es el responsable del fichero quien debe garantizar que el consentimiento obtenido es válido y, por ello, debe asegurarse de que la persona que presta ese consentimiento es quien está capacitada para ello. Lo normal es que el responsable del fichero exija el DNI u otra forma de identificación a esa persona.
5.3. Información sobre el tratamiento de los datos personales
Al solicitar el consentimiento, el responsable del fichero debe informar de forma clara y concisa de una serie de aspectos como:
- De la existencia un fichero de datos de carácter personal.- De la finalidad para la que se recogen éstos y de los receptores de la información.- Del carácter forzoso o voluntario de su respuesta a las preguntas que les sean
propuestas.- De los efectos de la recogida de los datos o de la negativa a facilitarlos.- De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y
oposición.- Del nombre y dirección del responsable del tratamiento o, en su caso, de su
representante.
5.4. Modelo para informar de la recogida de datos y solicitar el consentimiento.
La AEPD establece un modelo de solicitud de consentimiento que reúne los requisitos establecidos por la ley teniendo en cuenta que, en el caso de menores entre los 14 y los 18 años, y debido que el consentimiento puede ser otorgado por los propios menores como afectados por el tratamiento, se establece la obligación de usar un lenguaje claro y accesible para los menores. En ese modelo de consentimiento se indicará la finalidad de la recogida y tratamiento de los datos, los destinatarios de la información, la forma de ejercer los derechos ARCO* y la identidad y dirección del responsable del fichero.
* Los derechos Arco (acceso, rectificación, cancelación y oposición) son el conjunto de derechos a través de los cuales la Ley Orgánica 15/1999 de LOPD garantiza a las personas el poder de control sobre sus datos personales.
Modelo de solicitud de consentimiento de La AEPD :
5.5. Prueba del consentimiento.En cuanto a la demostración de ese consentimiento, el artículo 12 del Reglamento señala que es el responsable del fichero quien debe probar la existencia de ese consentimiento por cualquier medio admisible, y cuando se trata de menores de edad se establecen en el Reglamento mayores exigencias, así se atribuye al responsable del fichero el establecer los procedimientos para garantizar que se ha comprobado válidamente la edad del menor y la legitimidad del consentimiento otorgado por los padres o tutores legales.
La norma no exige un procedimiento determinado, dejando libertad al responsable del fichero para establecer el que considere adecuado.
5.6. Consentimiento prestado por menores de edad.
Los menores entre 14 y 18 años pueden prestar ellos mismos el consentimiento para tratar sus datos personales ya que se considera que tienen condiciones suficientes de madurez para ello. En este caso sólo se exige que el lenguaje utilizado sea comprensible para ellos y que el consentimiento reúna los requisitos de libertad, información, certeza y concreción.Debe tenerse en cuenta, además que el artículo 18 del Reglamento impone al responsable del fichero o tratamiento la obligación de conservar los documentos o cualquier otro soporte empleado que garantice el cumplimiento del deber de información. Para el depósito de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá escanear la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no se ha producido alteración alguna de los soportes originales.
6. Límites al tratamiento de datos de menores.
No se puede recabar ni tratar cualquier dato de los menores, la ley establece límites como:• No se pueden solicitar datos que permitan obtener información relativa a otros componentes de la familia o sobre sus características como pueden ser los datos referidos a la profesión de los padres, situación económica, datos sociológicos o cualesquiera otros, sin el debido consentimiento de los titulares de tales datos.
• Sólo pueden solicitarse los datos de identidad y dirección de los padres o tutores con la finalidad de obtener el consentimiento necesario.
Conclusión: los datos personales de menores de 14 años sólo pueden ser recogidos y tratados con el consentimiento expreso de sus progenitores o tutores legales y que para obtener ese consentimiento es necesario informarles previa y claramente sobre las finalidades de ese tratamiento y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición así como la dirección del responsable de ese fichero.
7. Tratamiento de datos de menores en el colegio o en actividades extraescolares.
En estos lugares se tratan múltiples datos de menores y, por tanto, es necesario cumplir la LOPD. En caso de actividades extraescolares realizadas en lugares ajenos al centro escolar se debe respetar también el derecho fundamental a la Protección de Datos y así, la captación de fotos de los niños y su uso posterior en alojamientos, actividades deportivas etc. debería realizarse con el conocimiento y el consentimiento de los padres o con el del niño, si fuera mayor de catorce años.En los colegios que tienen perfiles en las redes sociales donde se publican imágenes de los estudiantes o aquellos profesores que hacen fotos a los alumnos en el recreo o en otros momentos, para después publicarlas en revistas o periódicos escolares, etc. también deben realizarse con el conocimiento y el consentimiento de los padres.
8. Peligros de la publicación de fotos de menores.
Es conveniente educar al menor informándole sobre su privacidad y, sobre todo, en las redes sociales, tan habituales hoy en día para los menores.
Los menores no son conscientes normalmente de la importancia que tiene la publicación de fotos u otros datos personales en las redes sociales. Deben aprender la importancia que tiene preservar su intimidad y no exponer públicamente su imagen.Los principales peligros a los que están expuestos los menores en las redes sociales son: acceso a contenidos inapropiados para su edad, probabilidad de comunicarse online con usuarios malintencionados y la información personal publicada por ellos mismos o por terceros.
Los niños son especialmente vulnerables en el entorno de Internet. Las ofertas que reciben en páginas web, foros o chats les atraen fácilmente. Debe acompañarse a los menores en la navegación, especialmente al principio, ayudarles a diferenciar los peligros existentes, asegurarse de que los niños no accedan a Internet a través de entornos no confiables o de que no intercambien datos personales ni fotografías con desconocidos.
Si un menor, por ejemplo, va a participar durante el verano en un campamento o competición en el cual se les hagan fotos que luego van a aparecer en las redes sociales, hay que asegurarse de que ha proporcionado el oportuno consentimiento para ello. Y, sobre todo, tener en cuenta que estos datos subidos a la red ya no pueden borrarse.
9. Auditorías.
Por último, la ley exige cada dos años una Auditoría de cumplimiento que puede ser interna o externa, siempre que se desarrolle por un profesional experto en la materia, que diagnostique si se está cumpliendo con los requisitos mínimos establecidos por la normativa o bien indique los aspectos que necesiten de adaptación.
F I N
