Entrada destacada

Becas y ayudas para alumnos con necesidad específica de apoyo educativo

Convocatoria 2019-2020 Plazo de presentación :  d el 28 de julio al 26 de septiembre de 2019 Información general Convocato...

viernes, 25 de mayo de 2018

GDPR en Educación y espacios educativos

Hoy viernes 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos o GDPR, la normativa que sustituye a la actual Ley Orgánica de Protección de Datos que se aplicará a los 28 países de la Unión Europea.
ORIENTA ha actualizado sus términos y condiciones de privacidad bajo las directrices de nuestra Asesoría Jurídica y Representantes Legales

https://drive.google.com/open?id=1966BGCXkEvSQV8ixTGklmOOiUl5Dai4m
pincha la imagen para descagar la guía de nuestro Drive Profesional

En concreto, afectará tanto a instituciones físicas como a organizaciones que desempeñan su actividad profesional o comercial en ella: la escuela es uno de esos ámbitos y, por tanto, deberá adaptarse a la nueva norma. 

Os recomendamos la Guía para Centros Educativos (accede a través de la imagen)  elaborada por la Agencia Española de Protección de Datos. En ella se ha incluido un decálogo para el uso correcto de los datos personales que os será de utilidad.

¿Qué implica la GDPR en centros educativos?

Básicamente requiere (en el caso de los centros escolares) que sus responsables analicen los datos que tratan, con qué finalidad lo hacen y el tipo de tratamiento que realizan. Así, podrán establecer cómo aplicar las medidas adecuadas para su protección.
La puesta en marcha de la norma GDPR dará luz verde a nuevos derechos que reforzarán la capacidad de control que posee una persona sobre sus datos, además de su derecho de acceso, es decir, el derecho a conocer quien tiene esa información, a quién se la comunican o con qué motivo. Asimismo, determina las obligaciones que necesitan cumplir sus responsables a la hora de tratarla.
En este nuevo escenario, y al igual que una compañía privada tiene bajo su poder datos  referidos a personas, en el ámbito educativo sucede algo similar. Los centros disponen no sólo de material acerca de sus trabajadores sino también de sus estudiantes: fotografías, documentación, evaluaciones, expedientes, informes médicos…; en algunas situaciones, incluso, manejan datos de categorías especiales que por sus características exigen un control más estricto (por ejemplo, etnia o raza).
Responsabilidad proactiva

¿De qué modo esto afectará a los colegios y la protección de sus datos? 

 Julián Prieto, responsable del área de menores de la Agencia Española de Protección de Datos explica que las escuelas tienen el deber de adoptar las medidas establecidas por la norma GDPR para que se cumplan dichos principios y que esa ‘responsabilidad proactiva’ resulte efectiva. Esto implica que tienen que estar preparadas para solicitar datos personales cuando así lo requiera la situación y documentar su uso, sin olvidar las medidas para su protección. Desde el punto de vista legal esto se conoce como ‘privacidad por defecto’ y significa que los sistemas de tratamiento de los colegios se configurarán de forma restrictiva y sólo las personas implicadas decidirán qué aspectos de su información desean hacer públicos.

Un delegado para la protección de datos

Una nueva figura aparece en escena, la del Delegado de Protección de Datos. Obligatoria para prevenir situaciones de incumplimiento, “informará, asesorará y supervisará el tratamiento de datos que lleven a cabo los centros educativos y que éstos o las administraciones educativas habrán de designar” detalla Prieto.
Además de garantizar el cumplimiento de la legislación en materia de protección, el Delegado de Protección de Datos podrá desempeñar otras actividades como las relacionadas con labores de asesoramiento, auditorías o formación de personal.
El responsable del área de menores de la Agencia Española de Protección de Datos, recuerda que se “deberá adecuar la información que se ofrece a los interesados, o a sus padres si se trata de menores de 14 años a lo que dispone el reglamento, adecuar los procedimientos para atender el ejercicio de sus derechos de los interesados y articular el procedimiento para notificar a las autoridades las brechas de seguridad que puedan tener”.

Registro de actividades

Con esta reforma, se mejoran los derechos de privacidad de docentes, alumnos y personal que trabaje en centros de enseñanza porque se les garantiza el acceso a sus datos, traslado u oposición a que terceros accedan a ellos.
La obligación de documentar procesos y proteger la información también será mayor. Elaborarán informes y presentarán pruebas que demuestren que cumplen con lo establecido por la ley (caso de irregularidad lo comunicarán en un plazo máximo de 72 horas). Por último, los registros de actividades cobran fuerza. La obligación de inscribir los ficheros en la Agencia Española de Protección de Datos se sustituye por esta modalidad que implica describir con detalle  qué datos se recogen, con qué fin se tratan, a quién se comunican, cómo se preserva su seguridad y cuándo se podrán suprimir.

Algunas cuestiones a tener muy en cuenta :
  • La nueva norma revoluciona la concepción de la privacidad y, además, eleva las sanciones en vía administrativa, que pueden llegar a 20 millones de euros. Una multa que no agota todas las consecuencias que puede tener el incumplir la normativa sobre protección de datos, pudiendo las conductas más graves convertirse en una infracción de tipo penal.
  • Afecta tanto a Empresas como a particulares
  • Algunas acciones relativamente sencillas vinculadas al uso de las nuevas tecnologías pueden suponer una ilegalidad que conlleve una sanción económica o, incluso, pena de prisión. Estas son las conductas ilícitas más frecuentes en este ámbito.
  • El artículo 197.1 del Código Penal castiga con penas de cárcel de uno a cuatro años a quien intercepte las telecomunicaciones ajenas sin consentimiento, una norma que también resulta aplicable en el ámbito familiar. La utilización de apps para estos fines, aunque estas tengan la apariencia de legalidad o se hayan comprado en la red, también conllevaría una infracción. Esto repercute, por ejemplo, en no poder revisar el teléfon móvil, apps o redes sociales de otras personas, ni siquiera familiares o pareja. Ley Orgánica de Protección Jurídica del Menor consagra el derecho a la intimidad y al secreto de las comunicaciones de los mismos, también respecto de sus padres.  
  • Difusión de datos de carácter personal a través de Internet. Publicar o revelar información personal o familiar de forma ilegítima está castigado con una pena de prisión que puede oscilar entre uno y cinco años (artículo 197.3 del Código Penal). Si se desconoce el origen ilícito de los datos y no se participó en su obtención, el máximo de la condena será de tres años. De dos a cinco si quien los difunde, además, los obtuvo de forma irregular.
  • Sexting. La AEPD alerta de que la imagen o la voz de una persona es un dato personal, por lo que nadie puede decidir sobre ellas sin el permiso de la persona afectada. En concreto, el reenvío de grabaciones o fotografías de sexting sin la autorización del afectado es un delito (regulado en el artículo 197.1 del Código Penal), aunque su captación se haya realizado con el consentimiento de la persona. Quien reenvíe este tipo de material a través de Whatsapp u otras redes sociales, aunque no conozca a las personas que aparecen en la grabación o las fotografías, debe ser consciente de que su actuación puede verse sancionada dado el caso. La pena que prevé el Código Penal para estas conductas es de tres meses a un año de prisión o una multa de seis a doce meses.
  • Ciberacoso o 'stalking'.  Envío reiterado de mensajes, las actitudes de vigilancia o persecución, o cualquier otra acción que hostigue o limite la libertad de la víctima, y, así, altere "gravemente" el desarrollo de su vida cotidiana. La pena que se prevé es de tres meses a dos años de prisión o una multa de seis a 24 meses.
  • Venganzas informáticas. Por despido o ruptura, por ejemplo, quin decida proceder a borrar o dañar equipos, programas o archivos informáticos de su empresa o expareja, segun  el artículo 264 del Código Penal podrá ser castigado con penas de prisión de seis meses a tres años estas conductas siempre que el resultado sea "grave"

Te recomendamos, además, que revises el Protocolo de Protección de Datos que publicó nuestra Consellería de Educación para  actualizar los datos.

Fuente. Gerencia ORIENTA. Álvarez Real, representantes legales. AEPD