Pechakucha con algunos aspectos de interés sobre la Ley Orgánica de Protección de Datos (LOPD), recomendaciones de la Agencia Española de Protección de Datos y enlaces a las Guías para los Centros Educativos.
2. Ley Orgánica de Datos de Carácter Personal (LOPD)
Normativa
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
AEPD Agencia Española de Protección de Datos
Organismo público encargado de velar por el cumplimiento de la LOPD,
atender las reclamaciones, investigar y sancionar.
www.agpd.es
3. Ley Orgánica de Datos de Carácter Personal (LOPD)
TRATAMIENTO DE LA INFORMACIÓN
Toda aquella empresa u organismo que posea información personal, tanto de sus empleados como de
sus clientes o a quienes presta un servicio, datos que permitan identificar a una persona, en algún
tipo de fichero o soporte digital etc., estarán sujetos a la LOPD.
El tratamiento de la información, según la LOPD, incluye no sólo datos básicos o los que se recogen
comúnmente en formularios, sino que afecta también a las fotografías personales, grabaciones
(equipos de videovigilancia…), email, currículums, etc.
4. Empresas e Instituciones / Organismos públicos
Nuevas obligaciones y conceptos:
- Calidad y protección de la información
- Acceso a la Información
- Deber de secreto
- Consentimiento.
Esta nueva normativa introduce otros como el de rendición de cuentas o “Accountability” y el de
Transparencia.
5. Recabar datos → Consentimiento → Inscripción de ficheros
Toda empresa u organismo deberá informar a la persona de la que está obteniendo una información
de que sus datos formarán parte de un fichero, inscrito en la AEPD, y deberá pedir el consentimiento
de que los mismos serán utilizados para los fines para los que han sido recabados.
Quienes posean ficheros con datos personales tiene que inscribirlos en la AEPD y de no hacerlo, será
en sí mismo una infracción (hasta 40.000€)
ayudaleyprotecciondatos.es/2015/07/09/como-inscribir-ficheros-con-el-nuevo-sistema-nota/
El consentimiento se especificará especialmente cuando se traten de datos sensibles: religión, salud,
ideología, en el caso de menores de edad (o la autorización de un tutor legal), etc.
6. Facilidad de acceso a los datos personales
- Permite a los ciudadanos tener un control más exhaustivo de sus datos personales.
- Informarse sobre la utilización de sus datos personales.
- Portabilidad de los datos: Un usuario podrá solicitar a un proveedor de servicios sus datos
personales para trasladarlos al que decida derivar la contratación.
Tratamiento de datos de menores de edad
Establece la edad de los menores en menos de 13 años y el tratamiento de los datos de estos
menores sólo podrá realizarse si el padre o tutor del menor ha otorgado su consentimiento previo.
7. Derechos
Derechos de acceso, rectificación, cancelación, oposición…
Toda aquella empresa u organismo que posea información personal, tiene que arbitrar el mecanismo
para que las personas puedan ejercer el derecho de acceso, rectificación, cancelación, etc. sobre los
datos que facilitaron en su día.
Estamos hablando de que una persona quiera saber qué información se posee de ella, se oponga a
recibir publicidad, revoque el consentimiento que antes le había dado, pida que se le borre del
fichero...
8. Derecho al olvido
Borrar nuestra huella digital
Se mejora el derecho al olvido, cuando nos demos de baja en un servicio podremos solicitar el
borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo
impida. Una ventaja muy clara: podremos solicitar a una página de Internet que elimine totalmente
los datos que aparecen en su web sobre nuestra persona.
Oposición a la “Creación de perfiles”, que consistan en examinar, de forma automatizada,
determinados aspectos personales propios de esa persona física o analizar o predecir en particular
su productividad profesional, su posición económica, su localización, su estado de salud, sus
preferencias personales, su fiabilidad o su comportamiento
9. El deber de secreto / Cesión de datos
Se debe garantizar que todos los trabajadores con acceso a datos personales mantengan un secreto
profesional al respecto. Además de un compromiso firmado, se deben establecer protocolos para evitar
que la información que manejan termine fuera de control o compartida, sea de manera intencionada,
por error o por equivocación.
Para ceder los datos a un tercero o permitir a este acceso a los mismos, se debe pedir un
consentimiento al respecto.
Si un tercero tiene acceso a los datos como prestador de un servicio para ti (servicios en la nube,
administración, asistencia informática de equipos, red, servicios de limpieza o videovigilancia, etc.), no
se necesita en este caso reflejarlo en el “consentimiento”, pero se debe firmar un contrato con estas
empresas que regule las relaciones entre el responsable del fichero (su empresa) y el encargado del
tratamiento de ese fichero (la otra empresa contratada) y las condiciones del acceso a esos datos, así
como las responsabilidades de cada una de las partes.
10. Tipos de datos → Nivel de protección
Nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos
y a todos los niveles medio y alto de seguridad. Ejemplos: Nombre, domicilio, teléfono, DNI, número de
afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de
nacimiento, sexo, nacionalidad, etc.
Nivel medio de seguridad, se aplicará esta protección, entre otros, a los ficheros que contengan datos
relativos a solvencia patrimonial, operaciones financieras y de crédito. Ejemplos: Datos de personalidad,
hábitos de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y crédito,
antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.
Nivel alto de seguridad es el que se aplica a los ficheros que contienen datos especialmente protegidos
como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud,
alimentación, bajas laborales, vida y práctica sexual, etc.
11. Tipos de datos → Nivel de protección
DOCUMENTO DE SEGURIDAD donde se describen los protocolos y niveles de seguridad
establecidos para los datos:
Contraseñas informáticas confidenciales y que deben cambiarse regularmente, control de acceso
a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones
encriptadas, destrucción de documentos, cláusulas legales que deben firmar los trabajadores de
su empresa que manejen estos datos…
12. Delegado de protección de datos
Organizaciones e instituciones públicas.
Empresas con más de 250 trabajadores.
Empresas con menos de 250 empleados que necesiten un seguimiento sistemático y
periódico de los datos personales tratados:
- Para la monitorización o investigación de mercados.
- De análisis de riesgos.
- Crediticios o de solvencia patrimonial.
- Que traten con datos catalogados de especialmente protegidos: Religiosos o de creencias. // Afiliación
sindical. // Raciales. // Biométricos, si permiten identificar exhaustivamente a una persona. // Sexuales. //
Salud. // Antecedentes penales o condenas.
13. Delegado de protección de datos
La diferencia más notoria entre el Responsable de Seguridad (fitura anterior) y el Delegado de
Protección de Datos (según la nueva normativa) es la exclusividad de éste último en sus funciones, el
DPO ya no será como hasta ahora la persona que se designaba como Responsable de Seguridad al
informático o se nombraba al administrativo de la empresa, en definitiva a personas con otras
funciones y tareas.
14. Noficaciones sobre brechas de seguridad
Obligatoriedad de avisarnos sobre lo que sucede con nuestro datos.
Si el organismo o empresa sufre un robo o ataque a sus sistemas informáticos, afectando a nuestros
datos personales, deberá informar de ello.
15. Infracciones → Leves
a) No atender la solicitud del interesado de
rectificación o cancelación
b) No inscribir el fichero en el RGPD
c) No informar al afectado (según Art. 5
LOPD) al recoger sus datos
d) Incumplir el deber de secreto del Art. 10
LOPD
16. Infracciones → Graves
a) Crear fichero de titularidad pública o iniciar la recogida de datos sin que la correspondiente disposición
general haya sido publicada en el Boletín oficial
b) Crear fichero de titularidad privada o iniciar la recogida de datos con finalidad distinta del objeto
empresarial
c) Recoger datos sin el consentimiento expreso del afectado
d) Tratar o usar los datos conculcando principios de la LOPD o del RD 1720/2007
e) Impedir u obstaculizar ejercicio de los derechos de acceso y oposición
f) Mantener datos inexactos, o no rectificarlos o cancelarlos cuando afecte derechos de las personas
g) Vulnerar el deber de secreto sobre ficheros de nivel Medio
h) Mantener los ficheros, locales, programas o equipos incumpliendo las condiciones de seguridad del RD
1720/2007
i) No proporcionar a la AEPD cuantos documentos sean requeridos o obstruir la inspección
j) No inscribir el fichero en el RGPD, cuando haya sido requerido por la AEPD
k) No informar al afectado según los Art. 5, 28 y 29 LOPD, si han sido recabados de persona distinta del
afectado
17. Infracciones → Muy Graves
a) Recoger datos en forma engañosa y fraudulenta
b) Comunicar o ceder datos, fuera de los casos en que esté permitido
c) Recabar y tratar datos especialmente protegidos sin consentimiento del afectado o excepción
LOPD
d) No cesar el uso o tratamiento ilegítimo de datos tras requerimiento de la AEPD o del afectado
e) Transferencia temporal o definitiva de datos a países no homologados sin autorización de la
AEPD
f) Tratar datos de forma ilegítima o con menosprecio de principios y garantías, cuando se impida
o se atente el ejercicio de derechos fundamentales
g) Vulnerar el deber de secreto sobre datos especialmente protegidos o de nivel Alto
h) No atender u obstaculizar sistemáticamente el ejercicio de derechos de acceso, rectificación,
cancelación y oposición
i) No atender sistemáticamente el deber de notificación al afectado de la inclusión en un fichero
18. Protección de Datos en Centros Educativos
En los centros educativos hay que tener un especial cuidado con los datos:
- Conviven adultos con menores
- Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el
personal del centro, etc.
Responsabilidades: Equipo directivo, docentes, PAS y AMPA.
Tipo de datos personales que tratan los colegios:
Expediente académico (calificaciones, absentismo,etc.), Personal docente (fichero de profesores para gestión
interna), Personal no docente (mantenimiento, limpieza…), Servicios adicionales (comedor, transporte,
guardería…), Proveedores, Admisión de alumnos (matriculaciones, solicitudes…), Asesoramiento psicopedagógico,
Otros según los servicios y características del centro (videovigilancia o control de accesos mediante huella
dactilar, etc.)
19. Protección de Datos en Centros Educativos
La Administración Educativa es quien tiene registrados los
datos que centraliza de los centros educativos ante la AEPD.
Especial atención en:
- Página web del centro / blogs de aula / páginas web de docentes, perfiles públicos en redes
sociales...
- Solicitar el consentimiento a los tutores legales para el uso de imágenes de menores.
- Utilización de aplicaciones educativas y de gestión de aula, almacenamiento de información en
servicios en la nube, etc. (datos en servidores externos y fuera de nuestro control)
- Publicación de listados oficiales con información personal en tablones situados en el centro y
de acceso controlado.
20. Enlaces
Agencia Española de Protección de Datos
www.agpd.es
www.tudecideseninternet.es/agpd1
http://ayudaleyprotecciondatos.es/2016/01/25/resumen-nuevo-reglamento-proteccion-datos/
http://ayudaleyprotecciondatos.es/2016/08/25/proteccion-de-datos-para-centros-educativos/
Guía Protección de Datos para Centros Educativos
(Andalucía)
Todas las imágenes by
@ChemaMunozRosa
https://www.flickr.com/photos/
99559810@N03