Protección de datos en centros educativos - Protecció de dades en centres educatius

por | Mar 4, 2020 | Organización y Gestión | 0 Comentarios

La entrada de hoy es la número 200. ¡Quien lo diría! Desde esas primeras y esporádicas entradas en mestreacasa.gva.es, hasta lo que es hoy www.raulsolbes.com

Estaba preparando un post de reflexión (análisis de datos: visitas, estadísticas, entradas más visitadas, comentarios,...). Finalmente he decidido dejar este tipo de post para verano, justo cuando la nueva Web cumpla un "añito".

Tenía varías temáticas sobre las que escribir(te) hoy, pero finalmente ha sido el azar quien lo ha decidido. Aún así, he querido hacer algo distinto para esta entrada 200. Hoy me he permitido escribir en valencià. La entrada estará totalmente contextualizada en la Comunidad Valenciana. Si eres de esta comunidad autónoma, de Cataluña o de las Islas Baleares no creo que tengas problema alguno. Para los que sois de otros lugares, me tendréis que disculpar, utilizar el traductor de Google, y/o aprovechar para aprender un "poquito" de valencià, je je je.

Vamos a lío...

Puc utilitzar G-Suit for Education amb el meu alumnat? Què hi ha d'IDoceo o Additio? Puc crear un grup de WhastApp amb el meu alumnat i/o amb les seus famílies? Què hi ha de les fotos de les activitats complementàries?...

Imatge de Gerd Altmann en Pixabay

Aquestes i altres qüestions tindran la seua resposta al llarg del present post.

Marc normatiu.

El Reglament (UE) 2016/679 de 27 d'abril de 2016 és d'obligat compliment a partir del 25/05/2018. La Conselleria d'Educació, Investigació, Cultura i Esport (en endavant CEICE) de la Generalitat Valenciana publica la Resolució de 28 de juny de 2018 i dicta instruccions per al compliment de la normativa de protecció de dades en els centres educatius públics de titularitat de la Generalitat. Amb aquesta resolució s'avança a la Llei Orgànica 3/2018 de Protecció de Dades Personals i Garantia de Drets Digitals. Malgrat haver-la actualitzat amb posterioritat, l'Agència Espanyola de Protecció de Dades (en endavant AEPD) publica una Guia per a Centres Educatius i s'avança també a la Llei Orgànica 3/2018.

El Reglament 2016/679.

Imatge de Pete Linforth en Pixabay

Aquest reglament introdueix, a l'àmbit educatiu, algunes novetats, entre les que cal destacar les següents:

  • Principi de responsabilitat proactiva.
  • Valoració del riscos.
  • Aplicació de mesures de seguretat.
  • Avaluació de l'impacte.
  • Designació d'un delegat de protecció de dades.
  • Necessitat de sol·licitar el consentiment exprés per al tractament de dades sensibles o transferència internacional de dades.
  • En el suposat de "violació de seguretat" ha de comunicar-se a l'AEPD i a les persones interessades.

Drets ARCO (Accés, Rectificació, Cancel·lació, Oposició)

La Llei 3/2018.

Introdueix, a l'àmbit educatiu, dos importats apreciacions:

  1. Inclou a l'article 2 (finalitats) de la LOE-LOMQE la "capacitació de l'alumnat per a garantir la seua plena inserció en la societat digital".
  2. Indica que ha de desenvolupar-se, en el bloc d'assignatures de lliure configuració autonòmica, la competència digital (ús segur de les TICs).

La Resolució de 28 de juny de 2018.

Aquesta Resolució es desenvolupa e través de 6 annexes i és la que més concreta la forma d'actuar als centres educatius de la Comunitat Valenciana.

  1. Manual informatiu en matèria de protecció de dades per als centres educatius públics de titularitat de la Generalitat.
  2. Marc normatiu (a falta de la Llei Orgànica 3/2018).
  3. Tractament inscrits a l'AEPD (fitxers declarats per la CEICE).
  4. Models amb exemples de registre de les activitats de tractament de dades (Registre d'Activitats de Tractament - RAT: denominació, responsable, finalitat, exercici de drets, conservació,...).
  5. Model de sol·licitud de consentiment per a la recollida de dades.
  6. Model de cartell d'avís per a la captació d'imatges per mares, pares i familiars.

És evident que el primer annex és el de major rellevància. Analitzem-lo...

Manual informatiu en matèria de protecció de dades per als centres educatius públics de titularitat de la Generalitat.

Imatge de jan mesaros en Pixabay

Aquest annex es divideix en 6 apartats:

  1. Conceptes bàsics.
    • Dada de caràcter personal: qualsevol informació que permeta identificar la identitat d'una persona.
    • Dades especialment protegides: aquelles especialment sensibles (religió, salut, vida sexual,...).
    • Tractament de dades: qualsevol activitat en què hi hagen dades de caràcter personal (matrícula, trasllat d'expedients,...).
    • Responsable del tractament de dades: persona física o jurídica que decideix sobre la finalitat, contingut i ús del tractament de dades.
    • Encarregat del tractament de dades: persona física o jurídica, autoritat pública, servei o organisme que tracta les dades personals per compte del responsable de tractament de dades.
    • Delegat de protecció de dades: persona amb coneixements especialitzats en protecció de dades designada pel responsable o encarregat de dades.
  2. Principis.
    • Legitimació per al tractament de dades: poden tractar-se les dades si els titulars donen el seu consentiment.
    • Qualitat de les dades: el tractament ha de ser lícit, lleial i transparent, de forma que únicament han de tractar-se les dades estrictament necessàries.
    • Transparència i informació: encara que no siga necessari el consentiment, s'ha de facilitar informació.
    • Mesures de seguretat: cal valorar el risc i adoptar les mesures adients en cada cas.
    • Deure de secret: les persones amb accés a les dades han de guardar secret sobre les mateixes.
    • Cancel·lació de dades: sols hi ha que mantindre les dades el temps indispensable.
  3. Tractament de dades.
    • La Llei Orgànica d'Educació legitima el tractament de dades per a l'exercici de la funció docent (dades familiars, característiques i condicions personals, historial acadèmic, dades de salut,...)
    • En la recollida de dades:
      • Sempre ha d'informar-se e l'ús a les persones interessades.
      • Les famílies i l'alumnat ha de col·laborar amb el centre en la recollida i actualització de dades.
      • El professorat pot recollir dades per a ús educatiu quan ho considere necessari.
      • L'accés a dispositius electrònics de l'alumnat requereix consentiment previ.
      • El professorat no pot utilitzar programaris de missatgeria instantània (sols correu electrònic corporatiu @gva, Aules, Itaca Web Família)
      • Els vídeos i fotos en les activitats extraescolars i complementàries sols poden prendre's amb consentiment previ.
      • Quan l'interès superior del menor ho aconselle podran utilitzar-se mitjans de comunicació no oficials (missatgeria instantània), realitzar fotos i accedir a dispositius electrònics.
    • Publicació de dades:
      • La publicació de llistats d'admesos ha de fer-se sense possibilitat d'accés indiscriminat a les dades, és a dir, es recomanable publicar únicament el resultat final del barem de puntuació.
      • Si hi han motius fundats (per exemple, una víctima de violència de gènere), por exercir-se el dret a oposició d'aparèixer publicat en un llistat.
    • Les qualificacions han de facilitar-se de forma individualitzada.
    • Accés a la informació de l'alumnat:
      • El professorat pot accedir a l'expedient acadèmic i a les dades de salut del seu alumnat.
      • L'alumnat i els seus familiars tenen dret a accés als instruments de qualificació (Llei 39/2015 - article 53) i a les faltes d'assistència (sols per a les persones que tinguen la pàtria potestat, independentment de la custòdia).
    • Comunicació de dades:
      • Poden comunicar-se les dades estrictament necessàries de l'alumnat, sense el consentiment previ, entre centres educatius, a l'administració educativa, a les forces i cossos de seguretat, als centres sanitaris i als serveis socials (interès major del menor).
      • Es requereix consentiment previ per a la comunicació de dades a l'AMPA i altres entitats externes.
  4. Tractament d'imatges.
    • La presa d'imatges per a finalitats educatives no requereix de consentiment previ, però en la resta de casos si és necessari informar i recavar el consentiment de les famílies.
    • Les famílies poden prendre imatges en les activitats extraescolars i complementàries però sols per a ús personal, és a dir, no poden difondre-les.
  5. Tractament de dades a Internet.
    • No poden utilitzar-se plataformes educatives externes a la Conselleria (excepte autorització expressa).
    • La publicació de dades en la Web del centre requereix de consentiment previ de les persones interessades. Millor fer-ho en un tauló d'anuncis o en una secció Web amb accés restringit.
  6. Certificat del registre central de delinqüents sexuals.
    • Per a exercir oficis o activitats que tinguen contacte habitual amb menors es requereix el certificat de no trobar-se en el registre de delinqüents sexuals.
  7. Videovigilància.
    • La instal·lació d'aparells de videovigilància ha de respondre a criteris de necessitat i sempre que no puguen utilitzar-se mesures menys invasives.
    • No poden instal·lar-se càmeres de videovigilància en serveis, vestuaris, zones de descans i aules.
    • En el suposat que s'instal·len càmeres de videovigilància el centre educatiu ha d'informar amb un distintiu específic.
  8. AMPA.
    • És considera responsable del tractament de dades.
    • La cessió de dades del centre educatiu a l'AMPA requereix de consentiment previ.

Recomanacions de la delegació de protecció de dades.

La delegació de protecció de dades de la Generalitat Valenciana facilita una serie de recomanacions molt interessants. A data d'aquesta entrada les recomanacions són les següents:

  1. Exercici del dret d'accés - recomanació 2019-001
    • La persona interessada té dret a obtenir del responsable de tractament la confirmació de les seues dades personals, així com les dades d'ús (finalitats, destinataris del tractament, termini de conservació,...).
  2. Ús d'aplicacions externes als centres educatius - recomanació 2019-002
    • Aquesta recomanació entronca amb l'Ordre 19/2013 de la Conselleria d'Hisenda i Administració Pública d'ús segur de mitjans electrònics en l'Administració de la Generalitat. L'Ordre 19/2013 prohibeix, excepte autorització expressa, transmetre o allotjar informació pròpia de l'Administració de la Generalitat en sistemes d'informació externs.
    • La recomanació puntualitza l'Ordre 19/2013 indicant que seria possible recomanar a l'alumnat l'ús voluntari de l'aplicació, però no obligar a utilitzar-la. És a dir, la inscripció a una o altra aplicació (G-Suite for Education, Office 365 Education, Edmodo, Schoology,...) ha de realitzar-se per l'alumnat (o els seus familiars/tutors en el suposat de ser menors de 14 anys). En aquest cas, l'Administració i el professorat no tindran vincle amb el propietari de la plataforma i les dades cedides es realitzen directament per la persona interessada (l'alumnat). A aquesta afirmació és important realitzar-li un nou aclariment el qual es deriva de la consulta que vaig transmetre personalment al Delegat i Subdelegada de protecció de dades de la Generalitat. En referència a aquest aspecte el Delegat i la Subdelegada puntualitzen que l'ús de l'aplicació no ha de ser habitual en el procés d'ensenyança-aprenentatge. És a dir, aquesta utilització voluntària està pensada per a aplicacions concretes més relacionades a l'accés a recursos electrònics puntuals, com ara, aquells que facilita una editorial determinada i que complementa al procés d'ensenyança-aprenentatge.
    • Sols es permet l'ús de correu electrònic i missatgeria instantània facilitades per la pròpia Conselleria, és a dir, el correu corporatiu @gva, Aules,...
    • En referència a l'ús de quaderns de notes i seguiment de l'activitat docent (IDoceo, Additio,...) sols es permet la seua utilització en mode local i en equips propis de la Conselleria o del centre educatiu que complisquen les exigències de l'Esquema Nacional de Seguretat. És a dir, no poden utilitzar-se aquestes aplicacions, malgrat es fagen operar en mode local, en ordinadors i equips propis del professorat.
    • Es permet utilitzar canals de difusió de subscripció voluntària i xarxes socials sols com a mitjà de difusió de subscripció voluntària, sense que es puga identificar els subscriptors i òbviament sense difondre dades de caràcter personal.
  3. Tractament d'imatges d'alumnes en centres educatius públics - recomanació 2019-003
  4. Elaboració del registre d'activitats de tractament (RAT) - recomanació 2019-004

I què hi ha dels centres privats concertats?

El centres privats concertats, una vegada cedides les dades per part de la Conselleria, són responsables del tractament de dades, i par tant han de complir amb la Llei Orgànica 3/2018 al peu de la lletra.

Y hasta aquí la entrada de hoy. Espero que te resulte útil y que el valencià no haya sido un impedimento. El próximo post volverá de nuevo al castellano.

Aprovecho para informar(te) que estaré unas semanas sin escribir. Toca priorizar y centrar la atención en otro aspecto que ahora mismo es muy importante para mi. Prometo recuperar las entradas no escritas y cumplir con el objetivo de cómputo global anual de  "una entrada cada dos semanas".

Feliz miércoles,

Raül

Imagen destacada de Pete Linforth en Pixabay

 

 

 

 

 

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *