La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Sebastián Espuny abril de 2009

Publicada porDomingo Marín Vidal Modificado hace 5 años

Presentaciones similares

Presentación del tema: "Sebastián Espuny abril de 2009"— Transcripción de la presentación:

1 Sebastián Espuny abril de 2009
Ley de Protección de Datos “Un enfoque práctico para centros educativos” Sebastián Espuny abril de 2009

2 Perfil del ponente Ingeniero Informático
Experiencia en implantaciones LOPD en empresas y centros educativos

3 Introducción LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) REAL DECRETO 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la anterior ley. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Debe recordarse que la aplicación de la Ley Orgánica de Protección de Datos se extiende a todos los ficheros de titularidad pública que contengan datos de carácter personal, con las únicas excepciones que la propia Ley establece

4 Antecedentes normativos
1978, Constitución Española. artículo "La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos“ 1992. La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal de 26 de Octubre (LORTAD) LORTAD. Su ámbito de aplicación se circunscribe a los ficheros de carácter automatizados. La Directiva Europea 95/46 CE de 24 de Octubre del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

5 Ley complementaria LSSI: Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico

6 Introducción Por su parte, la Ley Orgánica 2/2006, de 3 de mayo, de Educación, contiene importantes previsiones en materia de protección de datos personales de los alumnos. Consultar Disposición Adicional Vigésimo tercera (“Datos personales de los alumnos”) Por su parte, la Ley Orgánica 2/2006, de 3 de mayo, de Educación, contiene importantes previsiones en materia de protección de datos personales de los alumnos. En concreto, en relación con el tratamiento de dicha información personal, es necesario hacer una especial mención a lo establecido por la Disposición Adicional Vigésimo tercera (“Datos personales de los alumnos”) de dicha Ley Orgánica. Consultar pdf.

7 Objetivo de esta jornada
Analizar cómo afecta la legislación vigente en materia de protección de datos al ámbito educativo no universitario en el ejercicio de su actividad y, muy especialmente, Analizar el tratamiento de datos de carácter personal de los alumnos y de sus familiares, así como del personal docente y no docente de los Centros de enseñanza El objeto de esta jornada es analizar cómo afecta la legislación vigente en materia de protección de datos al ámbito educativo público no universitario en el ejercicio de su actividad y, muy especialmente, analizar el tratamiento de datos de carácter personal de los alumnos y de sus familiares, así como del personal docente y no docente de los Centros de enseñanza

8 Destinatarios de esta jornada:
Directores Jefes de Estudio Miembros de equipo directivo AMPA Personal docente y administrativo Padres, madres y tutores legales Alumnos Comunidad educativa Los destinatarios de esta jornada son los responsables del tratamiento de datos, Directores, Jefes de Estudio y miembros de equipos directivos de Centros educativos públicos no universitarios. También se dirige a las asociaciones de padres de alumnos, al personal docente, a los padres, madres y tutores legales, a los propios alumnos y, en general, a la comunidad educativa, con especial atención a la actividad desplegada por los directivos –responsables de la gestión pública– y empleados públicos responsables de los servicios educativos no universitarios.

9 Obligaciones (a grandes rasgos)
Declarar Recoger y tratar Garantizar derechos Cesiones (cuidado) Auditoría

10 La Agencia de Protección de Datos
Ente de derecho público con personalidad jurídica propia que actúa con independencia de la administración pública. Funciones Velar por el cumplimiento de la LOPD Potestad sancionadora Atender peticiones y reclamaciones Informar de los derechos Promover campañas de difusión

11 ¿Qué es un dato personal?
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Nombre, apellidos, dirección Teléfono Foto Grabación audio y video Datos biométricos, huella dactilar ADN

12 ¿Qué es un fichero? Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

13 ¿Qué entendemos por tratamiento?
Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Por tratamiento ha de entenderse aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

14 Introducción El centro escolar recaba datos de: Alumnos
Padres de alumnos Empleados Terceras personas Todo Centro escolar recaba tanto de los alumnos, como de sus empleados públicos –administrativos y docentes– multitud de datos de carácter personal, y sobre ellos gestiona ficheros y/o tratamientos de datos, bien en soporte informático, bien en soporte papel (Vg. nombre, domicilio, teléfono, DNI, dirección de correo electrónico, etcétera). Estos datos se refieren principalmente a los alumnos, a los profesores y al personal de administración y servicios de los Centros, pero también pueden hacer referencia a terceras personas que –como consecuencia de su actividad ordinaria– entran en contacto tanto con los Centros docentes como con los propios Órganos administrativos dependientes de la Consejería de Educación o de las Corporaciones locales (colaboradores externos, padres y madres, tutores, profesionales individuales)

15 Introducción Los centros se relacionan con: Hacienda, Seguridad Social
Policía, Guardia Civil, Juzgados Entidades bancarias Compañías de seguros Empresas externas Los Centros de enseñanza y la Administración educativa se relacionan con diferentes organizaciones, asociaciones, Órganos y Administraciones públicas (Seguridad Social, Hacienda, Juzgados, Tribunales, Policía, Guardia Civil, entidades bancarias para domiciliación de cobros y pagos, agentes y compañías de seguros, empresas, etcétera).

16 Introducción Abordaremos ciertos problemas derivados del acceso a los datos personales de los alumnos por parte de sus padres, madres o tutores legales. Podemos adelantar que corresponde a “los padres que ostenten la patria potestad la representación legal de sus hijos menores no emancipados (artículo 162 del Código Civil)”. A tenor de diferentes normas referidas al consentimiento de menores, se debe concluir que los mayores de catorce años disponen de la madurez precisa para consentir, por si mismos, el tratamiento automatizado de sus datos de carácter personal. Respecto a los restantes menores de edad, será preciso recabar el consentimiento de sus padres o representantes. Si bien es necesario analizar el caso concreto y circunstancias de los menores de catorce años.

17 Principios de calidad de los datos
Recogida leal y lícita Finalidades legítimas y no incompatibles Datos adecuados, pertinentes y no excesivos Datos exactos y actualizados Cancelación de datos Garantizar derechos ARCO 1. Hablar de las fuentes públicas 2. buscar algún ejemplo para colegios 3. Datos no excesivos en proceso de admisión, datos que no tocan (religión, etc) 4. Procedimientos masivos de actualización 5. Datos de admisión, sanciones disciplinarias, informes psicológicos, etc Acceso Rectificación Cancelación Oposición

18 Clasificación de datos
Identificativos Infracciones penales y administrativas Características personales Circunstancias sociales Académicos y profesionales Detalles del empleo Económico financieros Especialmente protegidos — Identificativos: Nombre, apellidos, DNI, nº de Seguridad Social, dirección, teléfono, imagen, voz, etcétera. — Características personales: Estado civil, familia, datos de nacimiento, sexo, características físicas. — Circunstancias sociales: Aficiones, estilo de vida, licencias, permisos, autorizaciones, etc. — Académicos y profesionales: Formación, titulaciones, experiencia profesional, historial del estudiante… — Detalles del empleo: Cuerpo, escala, datos no económicos de nómina, puesto de trabajo, categoría del trabajador, etc. — Económico-financieros: Ingresos, rentas, bienes, datos económicos de nómina, datos bancarios, seguros, hipotecas, subsidios, beneficios, planes de pensiones, etc. — Protegidos: Ideología, religión, creencias, filiación, origen racial, salud y vida sexual.

19 Datos especialmente protegidos
Ideología Religión Creencias Afiliación sindical Vida sexual Origen racial o étnico Salud Alcoholismo, consumo de drogas, etc - Garantías y cautelas especiales - Especial atención al consentimiento de las personas a las que se refieren, y, en el caso de los menores de edad, al de sus padres, tutores o representantes legales, en el momento de recabarlos.

20 Obligaciones Obligados a adoptar medidas de seguridad, sólo por el hecho de mantener ficheros y realizar tratamientos. Implantar medidas adecuadas (nivel básico, medio o alto) Documento de seguridad Documento de seguridad, imprescindible y de confección obligatoria.

21 Obligaciones Declarar los ficheros de datos personales
Recoger y tratar adecuadamente los datos Facilitar derechos ARCO Garantizar la seguridad en el tratamiento de datos personales Garantizar la seguridad en la cesión de datos Realizar cada dos años una auditoría

22 Creación y actualización de ficheros
Identificar ficheros Inscripción en el Registro de Ficheros de Datos Personales

23

24 Datos de las diferentes áreas

25 Tratamientos DATOS TIPO AFECTADOS SEGURIDAD Matriculación, admisión
Identificativos, académicos, comerciales, circunstancias sociales, económicos Alumnos, padres, tutores legales MEDIO, ALTO Expediente académico Curriculares Alumnos Servicios complementarios (comedor, transporte…) Identificativos BAJO, ALTO

26 Tratamientos DATOS TIPO AFECTADOS SEGURIDAD
Expediente personal docente Identificativos, académicos, profesionales Personal docente BÁSICO Expediente personal no docente Identificativos, profesionales Personal no docente Control horario/absentismo Identificativos Empleados

27 Tratamientos DATOS TIPO AFECTADOS SEGURIDAD Evaluación del alumno
Identificativos, especialmente protegidos, académicos, sociales, económicos. Alumnos Padres o tutores ALTO Expediente del equipo de orientación

28 Otros tratamientos Sistemas de gestión documental
Software con bases de datos propias Contratos, nóminas Contabilidad Currículums recibidos Outlook y programas de correo

29 Ficheros a declarar (Ejemplo)
Expediente alumnos Personal Comedor Evaluación (Equipos de orientación) Expediente (Equipos de orientación) Servicios complementarios Base de datos propia Cada centro de enseñanza deberá analizar los datos personales que se recojan para el desarrollo de sus actividades e, independientemente de que esos datos estén o no relacionados en la lista anterior, identificar los ficheros o tratamientos de datos personales correspondientes y continuar con el proceso de declaración.

30 Ficheros a declarar (Ejemplo)
Por parte de organismos de la Consejería: Registro de entrada-salida Control horario Recursos humanos Videovigilancia

31 Recogida y tratamiento adecuado de los datos personales
Recogida de la información Mantenimiento y actualización de los datos Secreto profesional y comunicación de datos a terceros Los equipos de orientación Recogida y tratamiento de datos mediante cámaras o videocámaras

32 Recogida de la información
Adecuados, pertinentes y no excesivos Rediseñar formularios, cuestionarios y pantallas Solicitar consentimiento para tratar datos Solicitar consentimiento para ceder datos a otros organismos Los datos que se recojan serán los adecuados, pertinentes y no excesivos para la finalidad que se pretende. Esto implica que todos los formularios, cuestionarios o pantallas deberán ser diseñados velando por recabar tan solo aquellos datos que sean estrictamente necesarios. Los datos que recoja el centro educativo u organismos de la Consejería de Educación para el ejercicio de sus competencias, es decir, en todos aquellos trámites que resulten necesarios para el desarrollo de su actividad como Administración Pública, no requerirán el consentimiento de los interesados, siempre que no se trate de datos especialmente protegidos (tales como la afiliación sindical, religión o creencias, salud, vida sexual, origen racial en cuyo caso sí será imprescindible el consentimiento expreso y por escrito del titular).

33 Excepciones Cuando se trate de ceder datos a Jueces, Ministerio Fiscal, Tribunales, Defensor del Pueblo, etc Cuando sea necesario para la prevención, diagnóstico médico, asistencia sanitaria, siempre y cuando se realice por un profesional sanitario sujeto a secreto profesional.

34 Cláusulas En TODOS los impresos o formularios de recogida de datos, con independencia del soporte de los mismos (en papel, a través de Internet, etc.), debe incluirse información relativa a los derechos que asisten a los ciudadanos, así como el lugar y modo de ejercerlos. Cláusulas Solicitud de admisión Otros documentos Conselleria SUGERENCIA: CARTELES Y TRÍPTICOS INFORMATIVOS

35 2.2.1. Recogida de la información
No se puede recabar de los menores, información sobre los demás miembros del grupo familiar ni sobre características del mismo, sin el consentimiento de los titulares de tales datos. Sí puede recabarse identidad y dirección de los padres con la única finalidad de recabar la anterior autorización. En ningún caso podrán recabarse de los menores datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

36 No olvidemos que… Los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información a la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad.

37 Mantenimiento y actualización de los datos
Datos permanentemente actualizados y serán cancelados cuando queden obsoletos o no tengan ya ninguna finalidad No se puede denegar el acceso o la actualización de los datos por motivos de complejidad o volumen de la información almacenada

38 Nos vemos obligados a: Procedimientos individualizados a petición de los interesados Procedimientos masivos periódicos de actualización y cancelación Declarar a la AGPD cualquier modificación o supresión de ficheros Tener procedimientos individualizados de actualización a petición de los interesados, así como procedimientos masivos periódicos de actualización y cancelación de los datos que mantengan la información actualizada. Cuando se modifiquen o se supriman ficheros de datos de carácter personal, esa modificación o supresión deberá declararse de la misma forma que se declaró su creación, siguiendo los pasos descritos en esta jornada. Los datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados y el fichero deberá ser suprimido.

39 Secreto profesional Secreto profesional, en cualquier fase del tratamiento Deber de secreto, conocido por todas las personas de la organización que tratan o utilizan datos personales En cualquier fase del tratamiento, las personas que utilizan los datos de carácter personal están obligadas al secreto profesional, es decir, no podrán revelar la información a terceros. Este deber de secreto debe ser conocido por todas las personas de la organización que tratan o utilizan datos de carácter personal.

40 Secreto profesional Cláusulas de confidencialidad en los contratos de trabajo El responsable del fichero está obligado a proporcionar a su personal información al respecto. Cláusulas Se recomienda introducir en los contratos de trabajo o de prestación de servicios personales, cláusulas de confidencialidad El responsable del fichero o tratamiento está obligado a proporcionar a su personal que trate datos de carácter personal formación al respecto

41 Secreto profesional Este tipo de cláusulas hay que tenerlas en cuenta también con otro tipo de personal y con empresas externas Personal de limpieza, mantenimiento, seguridad… Empresas externas: informática, autobuses, comedor, animación infantil, etc Este mismo tipo de cláusulas hay que introducirlas también respecto a otro tipo de personal, ya sea interno o perteneciente a una entidad externa con la que se contratan los servicios, aunque no tenga acceso habitual a datos de carácter personal, tal y como ocurre con el personal de limpieza, mantenimiento o seguridad.

42 Comunicación de datos a terceros
Sólo podrán ser comunicados a terceros con el consentimiento del afectado No es necesario el consentimiento cuando se trate de gestión de becas, libro de escolaridad, etc Tampoco para casos excepcionales que marquen otras leyes, ni para peticiones de jueces, tribunales, etc Los datos personales de los alumnos, padres o tutores, sólo podrán ser comunicados a terceros con el consentimiento del afectado (o su padre o representante legal, en caso de minoría de edad o incapacidad), aunque tal consentimiento no será necesario para entregar datos a otras Administraciones Públicas (Comunidad de Madrid, Administración General del Estado) que ejerzan competencias similares, así como en los casos excepcionales que marquen otras leyes. Idéntica conclusión se extrae cuando en el caso de peticiones expresas de los Jueces, Tribunales, Ministerio fiscal y Defensor del Pueblo.

43 Los equipos de orientación
Especial atención y seguimiento a esos datos por ser especialmente sensibles La información recabada debe ser la estrictamente necesaria para la función docente y orientadora Medidas organizativas de nivel alto Como anteriormente se ha expuesto, los equipos de orientación en sus diversas especialidades tratan datos de los alumnos que deben ser objeto de una especial atención y seguimiento como consecuencia de la función que tienen asignada. Entre estas categorías de datos podemos citar los datos familiares, origen social, características familiares, etc La información recabada será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso.

44 Recogida y tratamiento de datos mediante cámaras o videocámaras
Informe que las justifique Principios de idoneidad, necesidad y proporcionalidad En ningún caso podrán instalarse en aseos, baños, vestuarios…. En relación a la declaración de este tipo de ficheros, la peculiaridad fundamental consiste en que en el procedimiento de creación/declaración de ficheros a la documentación ya señalada en dicho apartado, ha de añadirse un informe del responsable del fichero o tratamiento en el que justifique la necesidad de la instalación de dichos dispositivos, con base en tres principios: idoneidad, necesidad y proporcionalidad

45 Recogida y tratamiento de datos mediante cámaras o videocámaras
Si la instalación de las cámaras o videocámaras es susceptible de conseguir el objetivo propuesto (juicio de idoneidad) Si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad) Si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

46 Facilitar derechos ARCO
Derecho de acceso: informar a un ciudadano sobre sus propios datos Derecho de rectificación: corregir datos incorrectos Derecho de cancelación: bloquear datos Derecho de oposición: oponerse al tratamiento de datos Denegación de los derechos Toda persona cuyos datos son tratados por el sistema educativo tiene el derecho de acceder, rectificar y cancelar los datos personales propios que obren en poder de un responsable de fichero o tratamiento.

47 Recomendaciones Publicar en la WEB del centro educativo formularios e instrucciones para el ejercicio de estos derechos Formularios e instrucciones disponibles también en Secretaría

48 Derechos ARCO Requisitos de la solicitud del derecho: Identificación
Dirección a efectos de notificaciones Fecha, Firma Petición Se debe contestar la solicitud, aún siendo ésta incompleta (deberá solicitar la subsanación) Si la solicitud de ejercicio del derecho no reúne los requisitos necesarios (identificación de quien lo ejerce, dirección a efectos de notificaciones, fecha, firma y petición en que se concreta la solicitud así como, en su caso, documento acreditativo de la petición que formula), el responsable del fichero deberá solicitar la subsanación de los mismos al afectado o interesado. En definitiva, el responsable ha de contestar aun cuando la solicitud de ejercicio del derecho la curse a través de cauces que no sean los establecidos al efecto por el responsable del fichero o tratamiento.

49 Derechos ARCO El ejercicio de derechos por parte del ciudadano ha de ser totalmente gratuito. Comentar lo de cláusulas de nuevos alumnos, proporcionar números de teléfono a padres....

50 Derecho de acceso Obligación de informar gratuitamente de lo siguiente: Datos de los que dispone Origen de los datos Si se han comunicado a alguna otra institución u organismo ajenos al propio responsable.

51 Derecho de acceso El responsable del fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que acredite un interés legítimo al respecto.

52 Derecho de acceso El responsable del fichero deberá resolver la petición del ciudadano/a en el plazo máximo de un mes a partir de la recepción de la solicitud y, en todo caso, deberá justificar su denegación indicando que contra esta decisión el ciudadano puede interponer el correspondiente recurso en la Agencia de Protección de Datos

53 Derecho de rectificación
Obligación de corregir gratuitamente los datos incompletos o inexactos relativos a cualquier ciudadano/a que lo solicite. Obligación de realizar la rectificación si procede en un plazo máximo de diez días a partir de la recepción de la solicitud y notificar la admisión o no de la rectificación al interesado.

54 Derecho de cancelación
Obligación de cancelar gratuitamente los datos de un ciudadano que así lo solicite, cuando su tratamiento no se ajuste a la ley por ejemplo, cuando se estén tratando datos sin que el correspondiente fichero haya sido declarado e inscrito en el RGPD

55 Derecho de cancelación
La cancelación supone - en un primer momento - un bloqueo de los datos y su eliminación posterior La cancelación, si procede, se debe realizar en un plazo máximo de diez días Excepciones: plazos de conservación, otras leyes, etc La cancelación deberá suponer –en un primer momento– el bloqueo de los datos, manteniéndolos exclusivamente a disposición de las Administraciones Públicas competentes y de los Jueces y Tribunales, y borrándolos cuando hayan prescrito las posibles responsabilidades derivadas del tratamiento. El centro deberá realizar la cancelación si procede en un plazo máximo de diez días a partir de la recepción de la solicitud. Los derechos de rectificación o cancelación no procederán cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplic… Asimismo, los derechos de rectificación o cancelación podrán denegarse cuando exista una norma con rango de Ley o norma de derecho comunitario de aplicación directa que impida al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiere el acceso.

56 Derecho de cancelación
Existen supuestos en los que no es posible la cancelación de los datos, aun cuando el titular de los mismos así lo pretenda Ejemplo: expediente académico de los alumnos

57 Derecho de oposición El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de datos de carácter personal.

58 Implantación de medidas de seguridad
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, establece las medidas de seguridad que deberán cumplir tanto los ficheros automatizados como los manuales

59 Niveles de seguridad Básico Medio Alto

60 Medidas de nivel BÁSICO
Aplicables a TODOS los ficheros que contengan datos de carácter personal

61 Medidas de nivel MEDIO Aplicables a ficheros personales con información sobre: Infracciones administrativas o penales Económicos, financieros… Características físicas de personas Aspectos de la personalidad o comportamiento Para todos los ficheros que traten datos de carácter personal y contengan información sobre infracciones administrativas o penales, aquéllos de los que sean responsables las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, los de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros, los de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que se relacionen con el ejercicio de sus competencias y los de las Mutuas de accidentes de trabajo y, por último, aquéllos que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y permitan evaluar determinados aspectos de su personalidad o comportamiento.

62 Medidas de nivel ALTO Aplicables a ficheros personales con información sobre: Ideología, religión, creencias Afiliación sindical Origen racial o étnico Salud Vida sexual Gráfico Alto: aplicable a los ficheros que traten datos de carácter personal y contengan información sobre ideología, religión, creencias, afiliación sindical, origen racial o étnico, salud o vida sexual y los ficheros con fines policiales cuya información haya sido recabada sin consentimiento de los afectados.

63 Implantación de medidas de seguridad
La designación de un responsable de seguridad, al que debe dotarse de autoridad suficiente. La asignación de medios materiales (personal, presupuesto, equipos informáticos, etc.) Definir una política de seguridad incluyendo obligaciones y recomendaciones para el personal del centro. La concienciación de los usuarios, mediante notificaciones internas, sesiones de difusión o formación sobre protección de datos personales y sobre la política de seguridad adoptada por el centro, u otros medios.

64 Implantación de medidas de seguridad
Elaborar un documento de seguridad cuyo cumplimiento es obligatorio para todo el personal que tenga acceso a datos personales y a las aplicaciones informáticas y sistemas de información correspondientes, y que debe incluir, como mínimo:

65 Documento de seguridad. Estructura
Ámbito de aplicación Medidas, normas, procedimientos de actuación Funciones y obligaciones del personal Descripción y estructura de los ficheros Procedimiento de notificación, gestión y respuesta ante las incidencias Procedimiento de backups y recuperación Procedimiento transporte de soportes, destrucción, etc • Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos. • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido reglamentariamente. • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. • Estructura de los ficheros con datos de carácter personal, incluyendo una descripción del sistema de información que los tratan. • Procedimiento de notificación, gestión y respuesta ante las incidencias • Procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de éstos últimos.

66 Documento de seguridad (nivel medio)
Identificación responsable seguridad Controles periódicos Procedimiento asignación y gestión de claves Procedimiento evitar intentos de acceso reiterados Control de acceso físico Registro de incidencias más exhaustivo Si el fichero o tratamiento tiene nivel de seguridad medio, además de lo señalado con carácter general, el documento de seguridad deberá contener además lo siguiente: La identificación del responsable o responsables de seguridad. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Procedimientos de asignación de claves, identificación y autenticación, así como del establecimiento y mantenimiento de sistemas que impidan los intentos reiterados de acceso. Procedimientos que regulen el control de acceso físico a los lugares donde estén instalados los equipos físicos que den soporte a los sistemas de información. El Registro de incidencias deberá contener, además de lo señalado para el nivel de seguridad básico, los procedimientos realizados de recuperación de datos, indicando las personas concretas que ejecutaron el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Se precisa autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de datos, autorización que deberá constar en el documento de seguridad.

67 Documento de seguridad (nivel alto)
Gestión de soportes, etiquetado, cifrado Equipos portátiles, pendrives, etc Procedimientos gestión y almacenamiento de backups Registro de accesos Procedimientos y medidas en transmisión de datos a través de internet, redes Wi-Fi Ejemplo de documento de seguridad En el caso de ficheros con un nivel de seguridad alto, el documento de seguridad deberá contener además: Procedimientos de gestión de soportes con etiquetado comprensible, procedimientos de distribución de los mismos, de cifrado de la información y procedimientos previstos para el caso de tratamiento de datos personales en dispositivos portátiles. Procedimientos de gestión y almacenamiento de las copias de respaldo. El Registro de Accesos. Procedimientos y medidas a tomar para la transmisión de datos a través de redes públicas o redes inalámbricas de telecomunicaciones en cuanto a su cifrado, protección y transmisión.

68 Medidas de seguridad Ficheros automatizados Tabla 1 Tabla 2 Tabla 3

69 Medidas de seguridad Ficheros no automatizados. Básicamente las mismas que los documentos automatizados, pero además: Criterios de archivo Custodia de la documentación Tabla 1 Tabla 2

70 Auditoría de Seguridad
Cada dos años (nivel medio o alto) Objetivo: verificar el cumplimiento de medidas de seguridad La normativa sobre protección de datos establece la obligación de realizar auditorías de seguridad cada dos años para verificar el cumplimiento de las medidas de seguridad en los sistemas de información y en las instalaciones de tratamiento y almacenamiento de datos que den soporte o alberguen ficheros de datos de carácter personal de nivel medio o alto.

71 Auditoría de Seguridad
Se han de revisar: Normas, estándares, políticas de seguridad y criterios. Procedimientos, gestión de acceso de usuarios, respaldo y recuperación, incidencias, soportes, etc. Mecanismos y sistemas de control, identificación y autenticación, control de accesos, registro de accesos. Sistemas seguridad, cifrado de datos, almacenamiento de las contraseñas. Dispositivos de seguridad en puertas, armarios, archivadores que puedan estar implicados en las medidas de seguridad implantadas a los ficheros. Este análisis de la auditoría deberá comprender la revisión de: • Normas, estándares, políticas de seguridad y criterios. • Procedimientos, gestión de acceso de usuarios, respaldo y recuperación, incidencias, soportes, etc. • Mecanismos y sistemas de control, identificación y autenticación, control de accesos, registro de accesos. • Sistemas seguridad, cifrado de datos, almacenamiento de las contraseñas. • Dispositivos de seguridad en puertas, armarios, archivadores que puedan estar implicados en las medidas de seguridad implantadas a los ficheros.

72 Acceso a datos por parte de terceros
Viajes y actividades extraescolares Servicio de comedor Datos especialmente protegidos de salud (celíacos, alérgicos, religiones, etc) Servicio de autobuses Empresas de informática Cualquier otra empresa externa

73 Acceso a datos por parte de terceros
Los contratos firmados a estos efectos deben recoger las garantías precisas sobre el tratamiento de datos de carácter personal recogidos en sus ficheros. Cláusulas

74 ¿Tiene la AEPD datos de carácter personal de los alumnos y/o profesores? ¿Y de los ciudadanos en general? No, la AEPD no tiene los datos de las personas incluidas en los ficheros inscritos en el Registro de Ficheros de Datos Personales. Únicamente dispone de la información relativa a la descripción de dichos ficheros, su finalidad, servicios o unidades ante los que se pueden ejercer los derechos de acceso, rectificación y cancelación, así como sobre los responsables de los mismos.

75 ¿Cómo puede un alumno o un profesor conocer la información que de él mismo tiene su Centro Educativo? ¿Para ejercitar su derecho de acceso es suficiente que acompañe una copia de su DNI? El derecho de acceso se ejerce mediante solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado, acompañando copia de su Documento Nacional de Identidad e indicando el fichero o ficheros a consultar. "1. Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas de consulta del fichero: a) Visualización en pantalla. b) Escrito, copia o fotocopia remitida por correo, certificado o no. c) Telecopia. d) Correo electrónico u otros sistemas de comunicaciones electrónicas. e) Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable". La información proporcionada por el responsable del fichero deberá contener los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

76 ¿Es posible denegar el ejercicio del derecho de acceso que la LOPD reconoce a los alumnos y/o profesores por la dificultad o el elevado coste que puede suponer su ejercicio? No. La LOPD prevé que los datos de carácter personal sean almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. No obstante, la LOPD limita el ejercicio de ese derecho a los ciudadanos, pudiendo ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

77 ¿Tomar fotografías de alumnos en Centros escolares vulnera la LOPD?
n conclusión, la LOPD será de aplicación únicamente si las fotografías se registran en un fichero que permita su tratamiento, y siempre que el fichero no sea de carácter doméstico. En su caso, la posible vulneración del derecho a la propia imagen de alumnos y profesores por parte de los padres, deberá analizarse a la vista de lo regulado en la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al honor, a la intimidad personal y familiar y a la propia imagen, correspondiendo la decisión al respecto a los órganos jurisdiccionales. Explicar lo del intercambio de fotos entre alumnos, etc. Diferencias entre si las proporciona el colegio o no

78 ¿Los datos recogidos para una determinada finalidad pueden utilizarse para cualquier otra que se pueda plantear a posteriori? Los datos no podrán utilizarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos, aunque la recomendación normal es que estas tareas se realicen con datos disociados, eliminando cualquier dato que identifique o permita identificar a las personas.

79 ¿Puede cualquier empleado de un centro de enseñanza acceder a los datos de carácter personal contenidos en los ficheros? Dentro de la finalidad a la que se refiera el fichero, cada empleado sólo deberá tener acceso a aquéllos datos que resulten necesarios para el cumplimiento de sus funciones, cumpliendo así con el principio de calidad de los datos.

80 ¿Las calificaciones académicas de los alumnos de un Centro Educativo pueden publicarse en los tablones o en Internet? No es lo mismo en Universidad, pruebas de acceso, etc (Principio de publicidad del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común). Con carácter general, las notas de calificación de cada asignatura tienen como destinatario al alumno, con lo cual constituiría una cesión de datos. Así, en principio, para que pueda realizarse una cesión de datos personales debe existir consentimiento de los interesados o bien, entre otras excepciones establecidas por la LOPD, deberá existir una norma con rango de Ley que exima de dicho consentimiento. Deberá garantizarse el acceso restringido de dichos estudiantes, o de la persona que ostente su patria potestad o tutela

81 ¿Puede un profesor acceder al expediente académico de un alumno?
En la medida en que un profesor tiene una relación directa con cada uno de sus alumnos tendrá legitimidad para acceder a los expedientes académicos de cada uno de ellos, siempre que dicho acceso tenga una finalidad académica y por tanto compatible con las finalidades declaradas del fichero. Sin embargo, hay que señalar que el acceso de los profesores al Fichero Expedientes de Alumnos o Gestión Académica no debería ser indiscriminado, sino que cada profesor debería tener acceso solamente a los datos de sus propios alumnos, pues no estaría justificada la finalidad del acceso a los datos del resto de los alumnos. En consecuencia, el responsable del fichero deberá establecer los controles de acceso necesarios para cumplir con esta medida, teniendo en consideración lo previsto en el artículo 91 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.

82 ¿Pueden repartirse las notas de todos los alumnos con sus nombres entre los
miembros del Consejo Escolar para analizar sus dificultades específicas e impulsar las mejoras necesarias? Repartir entre los miembros del Consejo Escolar las calificaciones de todos los alumnos con sus nombres para analizar las dificultades que puedan tener e impulsar las mejoras necesarias, podría ser contrario al artículo 4 de la LOPD. Se trataría de un acceso excesivo a la información de carácter personal que no se encontraría justificado pues, de acuerdo con la propia pregunta, el total de los alumnos no necesitara mejorar, ni tendría dificultades de aprendizaje; únicamente un número determinado de ellos precisaría de atención específica. En consecuencia, sería únicamente respecto de estos alumnos sobre los que habría que interactuar. No obstante, también seria factible que se comunicasen al Consejo Escolar, de forma disociada, las calificaciones de los alumnos de tal forma que la información no se pudiese asociar con personas identificadas o identificables.

83 ¿Los padres y tutores de los alumnos tienen derecho a solicitar las calificaciones académicas del Centro Educativo? Como norma general, los padres tienen potestad sobre los menores de 18 no emancipados. Lo que se plantea aquí, es que si los padres tienen derecho a solicitar notas de alumnos que no quieren. Barrera, 16 años.

84 ¿Es posible que un centro educativo público facilite a la Asociación de Madres y Padres de Alumnos del Centro (AMPA) los datos personales de los alumnos cuyos padres no son socios de la misma? No, cesión

85 ¿Es legítimo el acceso a los informes de Evaluación Pedagógica de los hijos por parte de los padres separados? En su caso, ¿es necesario informar de la solicitud recibida de uno de los padres al otro que tenga la guardia y custodia del hijo? Normalmente, patria potestad compartida (son los representantes legales) Guardia y custodia, uno de los dos

86 ¿Es conforme con la LOPD que se informe a los profesores de un Centro Educativo afectados por riesgos para su integridad física y su salud de que un alumno del centro educativo es portador de una grave enfermedad de carácter contagioso?

87 FIN

88 Datos de contacto: Sebastián Espuny Móvil. 630 528 569
C/ Pablo de Santo Leocadio 7, Entresuelo 8. Vila-real Telf

Descargar ppt "Sebastián Espuny abril de 2009"

Presentaciones similares

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.

Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.
La Agencia de Protección de Datos de la Comunidad de Madrid se crea en la Ley 13/1995, de 21 de abril, modificada por la Ley 13/1997, de 16 de junio,

La Agencia de Protección de Datos de la Comunidad de Madrid se crea en la Ley 13/1995, de 21 de abril, modificada por la Ley 13/1997, de 16 de junio,
Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.

Protección de datos de carácter personal Audiconta Asesores y Consultores, S.A.
Mayo de 2009 Sistema de licitación electrónica de la Comunidad de Madrid Sistema de licitación electrónica de la Comunidad de Madrid

Mayo de 2009 Sistema de licitación electrónica de la Comunidad de Madrid Sistema de licitación electrónica de la Comunidad de Madrid
El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.

El Reglamento de Desarrollo de la LOPD III Jornada de Protección de Datos en las Universidades Madrid, 7 de mayo de 2008 Emilio Aced Félez Subdirector.
1 Las palabras no son neutras: sirven para hacer algo en el que las escucha.

1 Las palabras no son neutras: sirven para hacer algo en el que las escucha.
LOPD LEY ORGÁNICA DE PROTECCIÓN DE DATOS Autor: Santiago Galván Sánchez.

LOPD LEY ORGÁNICA DE PROTECCIÓN DE DATOS Autor: Santiago Galván Sánchez.
C.E.I.P. LAIMÚN (EL EJIDO) CURSO 2014/2015 La Plataforma PASEN es un sistema de comunicación entre el centro educativo y las familias que no puede, en.

C.E.I.P. LAIMÚN (EL EJIDO) CURSO 2014/2015 La Plataforma PASEN es un sistema de comunicación entre el centro educativo y las familias que no puede, en.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.

Diez puntos sobre la Ley para el Acceso Electrónico de los Ciudadanos a las Administraciones Públicas GABINETE DE PRENSA Octubre de 2006.
Introducción 2 El modelo de gestión integral Encaje modelo gestión de la información ERP- PLATAFORMA DE GESTIÓN INTEGRADA 3 Buscar modelos abiertos,

Introducción 2 El modelo de gestión integral Encaje modelo gestión de la información ERP- PLATAFORMA DE GESTIÓN INTEGRADA 3 Buscar modelos abiertos,
CONTENIDOS BLOQUE I: ASPECTOS EPISTEMOLÓGICOS Y NORMATIVOS DE LA ORGANIZACIÓN ESCOLAR. BLOQUE II: LOS DOCUMENTOS INSTITUCIONALES DEL CENTRO EDUCATIVO.

CONTENIDOS BLOQUE I: ASPECTOS EPISTEMOLÓGICOS Y NORMATIVOS DE LA ORGANIZACIÓN ESCOLAR. BLOQUE II: LOS DOCUMENTOS INSTITUCIONALES DEL CENTRO EDUCATIVO.
Información de PMAR.

Información de PMAR.
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
TUTORIAL PROTECCIÓN DE DATOS.

TUTORIAL PROTECCIÓN DE DATOS.
GESTIÓN DE AUTORIZACIONES DE TRANSPORTE DE VIAJEROS POR CARRETERA

GESTIÓN DE AUTORIZACIONES DE TRANSPORTE DE VIAJEROS POR CARRETERA
Protección de Datos de Carácter Personal – Manual Breve

Protección de Datos de Carácter Personal – Manual Breve
Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.

Principios en la UE Las libertades en las cuales se basa el mercado interno son: Libre circulación de bienes, servicios , personas y capital, haciendo.
JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
Unidad 3- Desarrollo de la acción tutorial en línea.

Unidad 3- Desarrollo de la acción tutorial en línea.

Presentaciones similares

Anuncios Google