II Encuentro ANDATIC

4 Febrero 2.012

① Marco Jurídico

② Leyes y Reglamentos

③ Agencia Española de Protección de

Datos (AEPD )

④ Los Principios de la protección de datos

⑤ Las medidas de seguridad

⑥ Preguntas frecuentes sobre la aplicación

de la normativa en los Centros de

Enseñanza

⑦ Modelos orientativos de Clausulas

legales para Impresos y Formularios

• Directiva 95/46 CE: establece un marco jurídico común para todos los

países miembros de la Unión Europea.

• Constitución española del 1978.

• Ley Orgánica 15/1999, de protección de datos de carácter personal

(LOPD).

• Real Decreto 994/1999, por el que se aprueba el Reglamento de

medidas de seguridad (derogado).

• Real Decreto 1720/2007, por el que se aprueba el Reglamento de

desarrollo de la LOPD.

• Instrucción 1/2006, de 8 de Noviembre, de la Agencia Española de

Protección de Datos, sobre el tratamiento de datos personales con fines

de vigilancia a través de sistemas de cámaras o video cámaras.

MARCO JURÍDICO ESTATAL

La Comisión Europea ha propuesto el 25 de enero de 2012 una

reforma general de las normas de protección de datos de la UE

de 1995 con objeto de ampliar los derechos a la privacidad en línea

e impulsar la economía digital europea

Leyes y Reglamentos

http://www.datosempresariales.com/

LOPD

Ley Orgánica 15/1999, de 13 de diciembre,

de Protección de datos

de carácter personal.

RLOPD

Reglamento de la LOPD

En la actualidad está en vigor el Real

Decreto 1720/2007, de 21 de diciembre,

por el que se aprueba el Reglamento de

desarrollo de la LOPD.

Reglamento de Desarrollo de la LOPD (RLOPD)

• Define los niveles de seguridad exigibles a

los ficheros y tratamientos de datos

• Indica cuáles deben ser las medidas

mínimas de seguridad que han de cumplir

todos los ficheros con datos de carácter

personal y que resultan de obligado

cumplimiento para todas las organizaciones,

tanto públicas como privadas.

• Extiende la aplicación a ficheros no

automatizados

La amplitud del objeto de la LOPD

ha determinado la configuración

de un nuevo derecho:

EL DERECHO A LA

AUTODETERMINACIÓN

INFORMATIVA

http://egovflash.wordpress.com

La autodeterminación informativa es un

derecho fundamental derivado del derecho a la

privacidad, que se concreta en la facultad de

toda persona para ejercer control sobre la

información personal que le concierne,

contenida en registros públicos o privados,

especialmente (pero no exclusivamente) los

almacenados en medios informáticos

Que es distinto e independiente al derecho de

la intimidad y propia imagen

(STC 292/2000)

• Es el derecho fundamental que tienen todos los

ciudadanos a que sus datos personales no sean

utilizados por parte de terceros sin la autorización

debida. Se trata de evitar que, a través de un

tratamiento automatizado o manual, se pueda llegar

a confeccionar información identificable con la

persona titular de los datos que pueda afectar a su

intimidad, a su entorno social o profesional.

• Es un derecho fundamental consistente en el

ejercicio de control por parte del titular de los datos

sobre quién, cómo, para qué, dónde y cuándo son

tratados los datos relativos a su persona.

La protección de datos

como derecho

fundamental

Los datos

personales

son míos

http://cualitativaunimet.blogspot.com

En el art. 3 de la Ley Orgánica 15/1999 de

la LOPD se indica:

“… cualquier información que concierne a

personas físicas, identificadas e

identificables”.

Dicho concepto abarca toda información

numérica, alfabética,

gráfica, acústica

o de cualquier otro tipo,

susceptible de recogida, registro,

tratamiento o transmisión concerniente a

una persona física

identificada o identificable.

¿Qué es un dato de carácter

personal?

“La ley será de aplicación a los datos de carácter

personal registrados en soporte físico que los

haga susceptible de tratamiento, y a toda

modalidad de uso posterior de estos datos por

los sectores público y privado”.

¿Cuál es el ámbito

de aplicación?

Agencias de Protección

de Datos

• Agencia Española de Protección de datos.

• Agencias Autonómicas de Protección de datos.

https://www.agpd.es/

http://www.tecnologiapyme.com

Fichero

Conjunto organizado de datos

de carácter personal,

cualquiera que fuere la forma o

modalidad

de su creación,

almacenamiento,

organización y

acceso.

http://www.ideare-casa.com

Responsable del Fichero

Cualquier persona física, jurídica u órgano

administrativo que decida

sobre la

FINALIDAD,

CONTENIDO y

USO DEL TRATAMIENTO

http://www.benjalink.com

Encargado de Tratamiento

Es la persona o entidad que accede a los datos

de carácter personal para prestar algún tipo de

servicio al responsable del fichero.

Esta relación deberá estar regulada en un

CONTRATO que deberá constar por escrito o

en alguna otra forma acreditada donde se

detallen los deberes y obligaciones de las dos

partes en cuanto a la protección de datos

“Es la persona física o jurídica, pública o

privada, u órgano administrativo que, solo

o conjuntamente con otros, trate datos

personales por cuenta del responsables

del tratamiento o del responsable del

fichero”

http://schoolboardsecrets.blogspot.com

Procedimiento de Acceso.

Procedimiento de Oposición.

Procedimiento de Rectificación.

Procedimiento de Cancelación.

Derechos ARCO

Acceso por

terceros

Comunicación

Deber

de Secreto

Seguridad

Datos

Protegidos

Consentimiento

Deber

de Información

Calidad

de los datos

PRINCIPIOS

LOPD

Niveles de seguridad

3 niveles atendiendo a

la naturaleza de la

información tratada

La obligación de adoptar medidas de un

determinado nivel, implica adoptar también

la del nivel inmediatamente inferior.

Todos los ficheros que contengan

datos personales

Ficheros con datos relativos a:

• Comisión de infracciones

administrativas o penales.

• Hacienda Pública.

• Servicios Financieros

• Solvencia patrimonial y crédito.

• Ficheros que contengan datos

personales suficientes para

realizar evaluación de

personalidad

Ficheros con datos:

• Ideología,

• afiliación sindical.

• Religión, creencias.

• Origen racial.

• Salud.

• Vida sexual.

http://www.agpd.es

Un usuario educado en seguridad

es la base de cualquier entorno

fiable en la seguridad de la

información.

Sin una adecuada educación se

convierte en el eslabón más débil, que

rompe cualquier política de seguridad.

http://orlando-gauna.blogspot.com

Autenticación: Contraseñas

La contraseña es como el cepillo de

dientes: hay que usarlo

regularmente, cambiarlo a menudo y

no compartirlo con nadie.

http://www.we-dwoje.pl

Autenticación: contraseñas

Requisitos de una buena contraseña

(buenas prácticas generalmente aceptadas)

• Al menos 6 caracteres

• Que incluye al menos uno de los siguientes caracteres:

o Mayúsculas ( A .. Z )

o Minúsculas ( a .. z )

o Números ( 0 .. 9 )

o Especiales y de puntuación ( , @ * = & % $ ^ ! )

• No usar nunca palabras contenidas en un diccionario

• No usar matrículas, fechas de cumpleaños, boda, etc.

• Emplear contraseñas que sean fáciles de recordar

Destrucción de

datos personales

• Reglamentación

• Cuando se vaya a desechar un soporte o documento

Destrucción de la información que contenga

• Solución

• Ficheros en papel

• Empleo de destructoras

de papel

• Ficheros Informatizados:

• Software de borrado seguro

• Si es necesario, destrucción física del soporte

• Empresas certificadas de destrucción de soportes

http://www.recovermyfiles.com.es

PREGUNTAS FRECUENTES

① Derecho a la protección de datos

② Inscripción de ficheros

③ Ámbito de aplicación de la normativa

④ Principio del consentimiento

⑤ Datos especialmente protegidos

⑥ Principio de información

⑦ Principio de calidad de los datos

⑧ Acceso a los datos por cuenta de terceros

⑨ Deber de secreto

⑩ Medidas de seguridad

① Derecho a la protección de datos

• ¿Qué es el derecho a la protección de datos

de carácter personal?

② Inscripción de ficheros

• ¿Quién es el responsable de notificar los ficheros en el

Registro General de Protección de Datos de los

Centros de Enseñanza Pública?

③ Ámbito de aplicación de la normativa

• Los ficheros de un centro concertado, ¿se rigen por lo establecido

para los ficheros de titularidad privada o pública?

• ¿Sería aplicable la LOPD a los informes psicopedagógicos?

• Encuestas anónimas (alumnos/familiares) para realizar un estudio salud

y hábitos alimentarios, ¿sería aplicable LOPD?

• Centro de enseñanza con cámaras de vigilancia (sin

grabación), ¿sería aplicable la Instrucción 1/2006, de 8 de

noviembre, de AEPD sobre LOPD con fines de

vigilancia.

④ Principio del consentimiento

1. ¿A partir de qué edad puede una persona consentir

sobre el tratamiento de sus datos?

2. ¿Puede un centro publicar en su página web imágenes

del alumnado sin su consentimiento previo?

3. ¿Puede el alumn@ negarse a que ss padres conozca sus

calificaciones?

4. ¿Sería aplicable la excepción al consentimiento del art.11.2.a LOPD

a aquellos casos en que una norma infralegal autorice

la cesión de datos de carácter personal?

5. ¿Puede un centro público ceder los datos del alumnado a una

editorial especializada en literatura juvenil, sin el consentimiento de

aquéllos?

④ Principio del consentimiento

(continuación)

6. ¿Qué medidas debería tomar el centro de enseñanza

si desean realizar una visita guiada con alumnos a un

planetario?

7. ¿Es necesario el consentimiento expreso y por escrito de los

alumno@ o de sus padres, madres o representantes legales para

ceder determinados datos de su expediente para realizar el cambio e

un centro a otro?

8. ¿Puede ceder el centro a la AMPA sin su consentimiento previo?

9. Si los miembros de las Fuerzas y Cuerpos de Seguridad solicitan la

cesión de los datos del alumnado, ¿deberían el centro facilitar los

citados datos?

④ Principio del consentimiento

(continuación)

10. La página web de un centro con imágenes

distorsionadas, ¿sería necesario contar son su consentimiento

11. Un periódico local desea hacer un reportaje gráfico en el centro de

enseñanza, en el cual se incluyan imágenes del alumnado, ¿qué

precauciones debería tomar el centro con respecto a LOPD?

12. Durante las revisiones médicas y campañas de vacunación del

alumnado de los centros de enseñanza, ¿Qué requisitos deberían

observar los centros para que dicha cesión fuese conforme a la

LOPD?

⑤ Datos especialmente protegidos

1. ¿Tiene el dato de opción por la asignatura Religión la

consideración de dato especialmente protegido?

2. ¿Que consideración tienen los datos psicológicos incluidos

en los informes de los orientador@?

3. ¿Tiene el dato de origen racial del alumnado la

consideración de dato especialmente protegido?

4. ¿Qué naturaleza tienen los ficheros manejados por el

profesorado sobre calificaciones parciales, conductas y

actitudes del alumnado, entrevistas con los padres, etc…

⑥ Principio de información

• Empresa de chocolatina desea organizar concurso

de dibujo, en colaboración con el centro para cuya participación

los alumn@s deben facilitar sus datos y gustos alimenticios,

¿qué factores debería tener en cuenta el centro?

⑦ Principio de calidad de datos

• Un centro de carácter público solicita, para la admisión de los alumn@s,

el dato sobre la ideología de sus padres y madres. ¿Sería conforme a

la LOPD?

⑧ Acceso a los datos por cuenta de terceros

• Un centro tiene contratado el servicio de transporte escolar, la cual

además de hacer el transporte, recoge un listado de los mismos para

hacer los carnés de acceso a dicho servicio. ¿Qué medidas debería

tomar el centro para adecuar tal comunicación de datos a la LOPD?

• Un centro tiene en sus dependencias contenedores de reciclaje de

papel, los cuales son retirados por una empresa de reciclaje. ¿Qué

medidas debería llevar a cabo el centro para cumplir con la LOPD?

⑨ Derecho de secreto

• ¿En qué consiste?

• ¿Puede el Presidente de la Comisión de Baremación hacer

públicos los datos procedentes de los certificados de IRPF

presentados por los padres de un alumn@ admitido en el

centro?

⑩ Medidas de Seguridad

• ¿Puede el profesorado crear nuevos ficheros ofimáticos con

datos de carácter personal, en los PC´s del centro sin el

consentimiento de la Secretaría?

• ¿Se puede el personal docente exámenes para corregirlos en

casa?

• ¿Qué ocurre si se deja abandona en la calle, junto al

contenedor, informes psicopedagógicos de los alumn@s?

• ¿Es correcto dejar los contenedores de reciclaje en los

pasillos del centro, sin haber sido destruidos previamente con

exámenes de los alumn@s?

• Precauciones para el traslado de datos de nivel alto. Ejemplo:

informes psicopedagógicos.

• ¿Quién es el responsable de informar al profesorado y

Personal de Administración sobre sus obligaciones en materia

de LOPD?

• ¿Qué ocurre si un docente tuviese acceso a un documento

impreso con información del personal del centro restringido al

equipo directivo?

ANEXO I

① Solicitud de Plaza.

② Matriculación.

③ Solicitud de Beca.

④ Fichas de Jefatura de estudios.

⑤ Inscripción en las Actividades Extraescolares.

⑥ Solicitud de Plaza en el Comedor Escolar.

⑦ Solicitud del Servicio de Transporte Escolar.

⑧ Consentimiento para la publicación de Datos de

carácter personal del alumnado en la Página Web

del centro de enseñanza.

ANEXO II

① Tratamiento de imágenes del alumnado.

ANEXO III

① Solicitud para la obtención de la autorización

expresa para trabajar con dispositivos móviles fuera

de los locales del centro educativo.

Responsable del Fichero

Dirección de Derechos ARCO

Ya sabes un poquito

más del Sr. LOPD

Ha sido un placer presentároslo

Y sobre su amiga la

Agencia Española de

Protección de Datos

http://www.agpd.es

http://www.agpd.es

http://www.agpd.es