Post on 26-Jul-2015
Protección de datos en centros educativos
La gran cantidad de datos de carácter personal que tratan los centros de educación es algo que preocupa especialmente a la Agencia Española de Protección de Datos. Este organismo vela por el cumplimiento de la normativa aplicable en esta materia.
Apunte
s
D e s d e C o h a e r e n t i s
Consultores prestamos
s e r v i c i o s i n t e g r a l e s a
centros de educación y
cent ros format ivos que
incluyen la implantación y
adecuación a la normativa
sobre protección de datos
de carácter personal, así
c o m o o t r o s s e r v i c i o s
legales y de seguridad.
P a r a m á s i n f o r m a c i ó n
póngase en contacto con
n o s o t r o s a t r a v é s d e
in fo@cohaerent is .com, o
visite nuestros canales web
en:
www.cohaerentis.com
blogs.cohaerentis.com
www.twitter.com/cohaerentis
¿Que me aporta este documento?
Preocupa especialmente el tratamiento de los datos de salud y la implantación de las medidas de seguridad en los centros, debido al gran número de ficheros con datos de carácter personal, teniendo en cuenta las distintas finalidades con la que se tratan dichos datos.
Hemos querido aprovechar nuestra experiencia implantado la normativa de protección de datos de carácter personal en centros educativos y de formación, para realizar una serie de preguntas y respuestas prácticas sobre la aplicación de la normativa, para que puedan ser de utilidad en los centros.
También identificamos, los errores comunes cometidos.
Si detecta su caso en el cuadro azul de la derecha, en las siguientes páginas, puede preguntarnos, a través del los datos de contacto que tiene en esta página.
El principio de calidad de los datos
¿Los profesores y trabajadores del centro educativo saben que tienen que cancelar datos y cómo hacerlo?
El centro educativo debe dar instrucciones a sus trabajadores (profesores, personal administrativo, etc), especificando cómo cancelar los datos de carácter personal una vez que ha terminado la finalidad de tratamiento.
Los datos de carácter personal que se tratan en los centros están en diferentes soportes y ubicaciones, por ejemplo:
• Formulario de admisión
• Expediente académico
• Sistema informático de gestión de alumnos
• Departamento de orientación
En l a p rác t i ca , muchos
t raba jadores desconocen
c u á l e s s o n l o s
procedimientos que deben
llevar a cabo para cancelar
datos porque, además, es
el propio centro el que debe
instrumentalizar y facil itar
dichos procesos.
Muchos no lo hacen.
¿Se ha transmitido alguna premisa a los trabajadores desde la dirección del centro para que no se recojan más datos de los necesarios para la prestación del servicio?
Los datos que se recaben de los titulares deben ser adecuados pertinentes y no excesivos.
Es decir, se recabarán únicamente aquellos datos que sean necesarios de acuerdo a la finalidad para la que se están recogiendo.
A veces, los servicios extraescolares que organizan sus propias actividades tienden a hacer su propia recogida de datos:
- AMPA
- Página web
En ocasiones se tiende a
recabar más datos de los
q u e s o n e s t r i c t a m e n t e
necesarios.
Por ejemplo, profesión de
los padres a t ravés de
f o r m u l a r i o s w e b p a r a
apunta rse a ac t i v idades
extraescolares, para lo cual,
no es necesario saber dicha
profesión.
El principio de información
Los formularios utilizados por el centro para recabar datos, ¿tienen cláusulas de información sobre el tratamiento de los datos, la finalidad para la que se recaban, con todos los requisitos que existe la Ley?
En los formularios desde los que se recaben datos de carácter personal, debe aparecer de manera clara y legible, la información requerida por la ley: existencia de fichero o ficheros en los que se incorporan los datos, carácter obligatorio o facultativo de la respuesta, consecuencias de la negativa a suministrarlos, ejercicio de derechos de acceso, rectificación, cancelación y oposición, identidad y dirección del responsable del fichero.
Los posibles formularios desde los que se recaban datos son:
• Hojas de matriculación
• Hojas de gestión de becas
• Hojas de actividades extraescolares
• AMPA, etc...
¿Se ha solicitado el consentimiento de los titulares de los datos para tratar sus datos con todas las finalidades para las que se van a utilizar?
La respuesta a esta pregunta está relacionada con la anterior.
Se dispondrá del consentimiento para todos los tratamientos en función de la información que se haya facilitado.
Evidentemente, no se puede contar con el consentimiento para tratar los datos con una determinada finalidad si no se ha informado al titular de dicha finalidad.
Puesto que la información
que se facilita en muchas
ocasiones es incompleta, el
consentimiento para tratar
los datos también lo es.
Muchas veces ni se informa
a los titulares de los datos
de sus derechos de acceso,
rectificación, cancelación y
oposición
La rea l idad es que , en
m u c h a s o c a s i o n e s , l a
información que se facilita a
los titulares de los datos en
l o s f o r m u l a r i o s e s
incompleta y no cumple con
t o d o s l o s r e q u i s i t o s
establecidos por el principio
de información de la Ley.
El principio de consentimiento
¿Se ha incorporado en los formularios de recogida de datos los derechos de los titulares de dichos datos?
Se debe informar a los titulares de los datos de los derechos que les asisten como garantía del ejercicio del derecho fundamental a controlar qué se hace con sus datos de carácter personal
Dichos derechos son:
• Acceso
• Rectificación
• Cancelación
• Oposición
¿Ha definido la dirección del centro algún procedimiento para que las personas encargadas de hacerlo, sepan cómo atender al ejercicio de los derechos por parte de los titulares de los datos?
Desde la dirección del centro debe partir la iniciativa de una labor de concienciación y divulgación para que el personal del centro sepa cómo atender el ejercicio de los derechos por parte de los titulares de los datos.
Asimismo, el centro debe definir un procedimiento en el que se describa cómo debe atenderse el ejercicio de dichos derechos.
S e e c h a d e m e n o s e n
m u c h o s f o r m u l a r i o s d e
r e c o g i d a , n o s ó l o e l
informar a los titulares de
los datos de la posibilidad
de ejercitar sus derechos,
s ino ante qu ién pueden
ejercerlos.
L a c o n c i e n c i a c i ó n d e l
personal que trabaja en los
c e n t r o s e d u c a t i v o s n o
c u m p l e l o s r e q u i s i t o s
mín imos para a tender e l
ejercicio de este t ipo de
derechos.
La no contestación ante el
ejercicio de dichos derechos
puede implicar la exigencia
d e l a a t e n c i ó n d e l o s
mismos, directamente ante
l a Agenc i a Españo l a de
Protecc ión de datos por
parte del titular de los datos.
Derechos de los titulares de los datos
Inscripción de ficheros
¿Se ha solicitado por parte del centro el consentimiento expreso de los alumnos o de los padres o tutores de los alumnos para el tratamiento de sus datos de salud?
Es necesario contar con el consentimiento expreso (y el mejor modo de probar que se dispone del consentimiento expreso es, tenerlo por escrito) de los alumnos (cuando son mayores de 14 años) o de sus padres o tutores (cuando son menores de 14 años) para tratar los datos de salud de estos.
Son casos típicos en los que se tratan datos de salud:
• Revisiones médicas realizadas a los alumnos desde el centro
• Realización de test psicotécnicos.
¿El centro ha declarado ante la Agencia Española de Protección de Datos los ficheros desde los que se tratan datos de carácter personal?
El centro debe declarar ante el organismo competente, en este caso, el Registro de la Agencia Española de Protección de Datos, cuando se trata de centros privados (también concertados) o, la Agencia de Protección de Datos de la Comunidad correspondiente (si existe dicho organismo en la Comunidad) cuando se trata de centros públicos, todos los ficheros con los que gestionan los datos de los alumnos y de sus familias.
La finalidad de tratamiento de los datos,
Y, el nivel de seguridad aplicable a los ficheros que están declarando.
Muchos cen t ros no han
not i f i cado f icheros o no
todos los ficheros desde los
que se t ra tan da tos de
ca rác te r pe r sona l en e l
centro.
O b ien, las medidas de
s e g u r i d a d n o t i f i c a d a s
respecto del fichero, no se
c o r r e s p o n d e n c o n l a s
medidas de seguridad que,
en la práctica, se debieran
ap l icar a los datos que
contiene el fichero.
Datos especialmente protegidos
No todos los centros tienen
en cuenta la circunstancia
de que el tratamiento de
los datos de salud requiere
el consentimiento expreso
o no pueden probar que
d i s p o n e n d e d i c h o
consentimiento porque no
lo t i enen por escr i to o
m e d i o e q u i v a l e n t e d e
prueba.
Medidas de seguridad
¿Sabe si las aplicaciones informáticas que se utilizan en el centro para el tratamiento de datos de carácter personal permiten aplicar medidas de seguridad adecuadas en función del tipo de datos que se tratan en dichas aplicaciones?
Los sistemas de información y las aplicaciones desde las que se tratan los datos de carácter personal en los centros, deben permitir aplicar medidas de seguridad adecuadas en función de la naturaleza de los datos que tratan respetando las medidas de seguridad que se exigen en el reglamento de desarrollo de la Ley.
Si se dispone de conexión a Internet, se deben establecer medidas para evitar el acceso no autorizado a los datos contenidos en los sistemas de información.
¿Ha definido el centro un documento de seguridad en el que se especifiquen las medidas de seguridad aplicables a los ficheros?
La tenencia del documento de seguridad es una obligación legal que exige documentar las medidas de seguridad que se deben aplicar a los ficheros que contienen datos en función del tipo de datos que contienen (nivel básico, medio o alto)
Las medidas de seguridad deben aplicarse de manera efectiva, no sólo definirse en dicho documento.
La realidad generalizada es
q u e , s i l o s c e n t r o s
disponen de documento de
s e g u r i d a d , d i c h o
documento es un modelo
no adaptado a la realidad
del centro en cuestión y, en
cualquier caso, las medidas
de seguridad que establece
e l d o c u m e n t o o s o n
insuficientes o, en cualquier
caso, no se aplican.
Muchas veces ni los propios
p r o v e e d o r e s d e l a s
aplicaciones que tratan los
datos facilitan la información
necesaria sobre las medidas
de seguridad que permite
a p l i c a r d i c h o p r o g r a m a
informático.
Las medidas de seguridad
d e c o n t r o l d e r e d e s y
c o m u n i c a c i o n e s , s o n ,
muchas veces, escasas en
los centros.
¿Se llevan los necesarios registros e inventarios exigidos por la normativa?
El centro debe disponer de un registro de incidencias, un procedimiento de notificación de las mismas y de resolución.
Asimismo debe disponer de un inventario de los soportes que contienen datos de carácter personal.
Para el control efectivo de dichos soportes, debe llevar un registro de entrada y salida de soportes de las dependencias del centro.
Se deben realizar copias de seguridad, como mínimo, semanalmente, de los datos personales contenidos en los sistemas.
Debe llevarse un control, mediante mecanismos de identificación y autenticación del acceso a los sistemas de información.
¿Se ha nombrado un responsable de seguridad?
¿Se realizan las auditorías bienales de carácter técnico y organizativo que exige la normativa?
Es necesario nombrar una o varias personas que serán definidas como responsables de seguridad y cuya función principal consiste en garantizar que se cumplen las medidas de seguridad exigidas sobre los ficheros con datos de carácter personal del centro.
Además, debe auditarse, cada dos años, por auditores internos o contratados externamente, el cumplimiento de las medidas técnicas y organizativas exigidas por la normativa.
En muchas ocasiones la
d e s i g n a c i ó n d e l
responsable de seguridad
es f ic t ic ia y meramente
n o m i n a l p o r q u e , e n l a
p r á c t i c a , l a p e r s o n a
d e s i g n a d a n o l l e v a u n
control efectivo de que las
medidas de seguridad que
debería aplicarse.
Muchos centros no han
r e a l i z a d o n u n c a u n a
auditoría de protección de
datos.
P o c o s r e g i s t r o s d e
incidencias se llevan en la
práctica.
El inventario de soportes
suele estar incompleto o no
existe.
E s d i f í c i l e n c o n t r a r ,
también, un regist ro de
e n t r a d a y s a l i d a d e
soportes.
Y , e n d e m a s i a d a s
o c a s i o n e s , n o s
e n c o n t r a m o s q u e s e
c o m p a r t e n c o n t r a s e ñ a s
p a r a a c c e d e r a l o s
equipos.
Medidas de seguridad
Deber de secreto
¿Se firman desde el centro, con los trabajadores del mismo, documentos, contratos en los que se haga especial énfasis en el deber de confidencialidad sobre lo datos de carácter personal que tratan los trabajadores?
Es necesario que se haga especial hincapié entre todos los trabajadores del centro, la especial importancia que implica el tratamiento de datos de carácter personal y las obligaciones de secreto derivadas del tratamiento de dichos datos.
P a r a l o c u a l , a d e m á s , d e fi r m a r l o s correspondientes contratos de confidencialidad, es necesario, impartir cursos de formación y concienciación sobre la importancia de este extremo, debido a las responsabilidades que p u e d e n d e r i v a r p a r a e l c e n t ro d e s u incumplimiento.
¿Cuenta con autorización legal o dispone del consentimiento para realizar comunicaciones de datos a terceros desde el centro?
Si la comunicación (cesión) de datos no está autorizada por ley, es necesario solicitar el consentimiento para realizar comunicaciones de datos a terceros desde los ficheros del centro.
Ejemplos típicos de habilitación legal (dependiendo del tipo de datos que se comuniquen):
• Administración (Comisión de Escolarización, Consejería de Educación, Consejería de Sanidad, Seguridad Social, Servicios Sociales del Ayuntamiento)
• Otros centros (expediente académico); etc.
Ejemplos t íp icos en los que hace fa l ta consentimiento:
• AMPA
• Asociación de antiguos alumnos
• Clubes deportivos, etc
Lamentablemente, y pese a
s u i m p o r t a n c i a , l a
protección de datos suele
s o n a r m á s c o m o u n
e m b r o l l o l e g a l p a r a e l
c e n t r o q u e c o m o u n a
necesidad que requiera una
labor de concienciación por
parte de la dirección.
Los problemas por fugas
de información, aunque sea
t ransmi t ida verba lmente,
que son escuchados por
terceros ajenos, están a la
orden del día.
Muchos centros no tienen
i d e n t i f i c a d o s t o d o s l o s
supuestos en los que se
l l e v a n a c a b o
comunicaciones de datos a
t e r c e r o s p o r l o q u e ,
t a m p o c o s o l i c i t a n e l
c o n s e n t i m i e n t o a l o s
titulares de los datos para
l l e v a r a c a b o d i c h a s
comunicaciones cuando no
existe una habilitación legal
que permita la realización
de dichas cesiones.
Comunicaciones de datos
Prestaciones de servicios por terceros
¿El centro ha firmado contratos de acceso a datos con aquellos terceros que prestan servicios al centro que impliquen el acceso a datos de carácter personal?
Es necesario formalizar un contrato por escrito con los terceros que prestan servicios al centro, cuando para la prestación de los servicios, tengan que acceder a datos de los que es responsable del centro.
Casos típicos de prestaciones de servicios por terceros:
• Empresas de mantenimiento de los sistemas de información
• Empresas de alojamiento de páginas web
• Empresas que elaboran revistas y anuarios del colegio
• Gestorías y asesorías externas
• Empresas que confeccionan y corrigen pruebas psicológicas
• Etc.
Una vez más, los centros
n o s u e l e n t e n e r
i d e n t i f i c a d o s t o d o s l o s
supuestos en los que se
prestan servicios al centro
que implican el acceso a
datos de carácter personal.
O b i e n , l o s c o n t r a t o s
f i r m a d o s c o n l o s
proveedores que prestan
d i c h o s s e r v i c i o s n o
c u m p l e n l o s r e q u i s i t o s
mínimos exigidos por la
normativa.