Archivo de la etiqueta: asociación española de protección de datos

«La escuela y su cambio permanente» por Julián Plaza García

Julián Plaza García

Socio-Director de PlazaIuris Abogados. Responsable del departamento legal de GlobalNet Solutions. Delegado de Protección de Datos de la Fundación Educativa Franciscanas de Montpellier

En la época de la Grecia clásica, el periodo del día reservado al ocio se denominaba skholé y se asociaba básicamente al desempeño de actividades dedicadas al cultivo del intelecto; posteriormente, el mundo romano pasó a emplear el término schola para referirse al lugar de encuentro en donde llevar a la práctica la actividad indicada, y con el transcurso del tiempo pasó a identificarse el término escuela con la institución dedicada a la enseñanza. Innumerables han sido los cambios y vicisitudes por los que ha pasado la escuela a lo largo de la historia.

Desde hace unos años asistimos a un proceso de adaptación de la escuela y el sistema educativo a la “digitalización”; la norma incluso lo viene contextualizando, pues ya la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de derechos digitales remarca la necesidad para alumnos, profesores y centros educativos de disponer de competencias digitales; esta ley viene a completar el Reglamento UE General de Protección de Datos 2016/679 respecto al tratamiento de datos personales y, a su vez, no sin críticas, ha incluido una serie de nuevos derechos, los denominados “digitales” y entre estos, el derecho a la educación digital.

Durante estos últimos meses, la comunidad educativa se vio obligada a adaptarse al cambio que suponía el ‘abandono presencial’ de las escuelas y el inicio de una etapa de enseñanza a distancia. Desapareció de forma radical todo el potencial de experiencias, de vivencias, de aprendizajes compartidos que ofrece una escuela in situ; tantos proyectos que se quedaron en el camino, sin duda han dejado una cicatriz en todos aquellos que pensamos que la escuela debe ser ese lugar en donde encontrar la felicidad.

Frente a estas dos circunstancias inesperadas e impuestas, el abandono presencial de la escuela y la digitalización de la enseñanza cabe hacer balance de lo aprendido hasta ahora con el objetivo de afrontar el futuro que comienza el próximo mes de septiembre. Hago esta reflexión, desde el seguimiento cotidiano que he llevado a cabo del proceso de educación a distancia, por la vía digital, de los colegios de la Fundación Educativa Franciscanas de Montpellier, de la cual soy delegado de protección de datos.

Ahora, visto lo acaecido y con la incertidumbre de qué nos deparará septiembre, con mayor motivo debemos dar respuesta a situaciones que se han producido en este último tercio del curso escolar para afrontar la pretensión de la citada norma en materia de educación digital, que se resume de la siguiente manera:

“Artículo 83. Derecho a la educación digital.

El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales…

  1. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.”

“Artículo 84. Protección de los menores en Internet.

  1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.”

Venimos asistiendo estos días al planteamiento reivindicativo sobre los costes que va a suponer para los trabajadores el teletrabajo y si estos los debe asumir el empleador. Pues bien, la comunidad educativa deberá hacer frente a su propia realidad; así como no se concibe una escuela sin pupitres, sin pizarras, sin material escolar, no se puede afrontar con garantías el cumplimento de la citada norma sin cubrir antes las necesidades que demanda una educación digital.

Frente a estas pretensiones, nos debemos preguntar ¿Cuántos alumnos no han dispuesto de equipos informáticos, por no decir de un espacio apropiado en sus casas, para acceder a la educación necesaria?, ¿Con qué medios de control y de seguridad han contado los alumnos que sí han dispuesto de equipos informáticos?

En este contexto entra en juego el artículo dos, apartado uno de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor:

“Todo menor tiene derecho a que su interés superior sea valorado y considerado como primordial en todas las acciones y decisiones que le conciernan, tanto en el ámbito público como privado. En la aplicación de la presente ley y demás normas que le afecten, así como en las medidas concernientes a los menores que adopten las instituciones, públicas o privadas, los Tribunales, o los órganos legislativos primará el interés superior de los mismos sobre cualquier otro interés legítimo que pudiera concurrir.

Las limitaciones a la capacidad de obrar de los menores se interpretarán de forma restrictiva y, en todo caso, siempre en el interés de menor”.

Concluiremos que surgirán otras situaciones derivadas de esta nueva realidad, incluso puede que la educación se torne mixta, al menos durante un tiempo, compaginando clases presenciales y a distancia, pero sea cual fuere el escenario deberemos afrontarlo pensando siempre en el interés superior del menor.

En palabras de Heráclito de Éfeso, “la realidad de las cosas de la vida está en el cambio permanente”, y la escuela deberá adaptarse una vez más, pero sin que ello suponga perder de referencia que es la escuela, en torno al maestro, el eje central en donde se educa y adquieren sentido las virtudes morales.

En GlobalNET, somos especialistas en Educación e Innovación. Impulsamos la digitalización de vuestro colegio bajo dos pilares fundamentales: la tecnología con propósito educativo o a disposición de la educación, y la conexión siempre de forma segura. Infórmate.

Comparte este artículo en:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

¿Estamos preparados para la nueva Ley Europea de Protección de Datos?

Las empresas deben empezar a prepararse para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo del año pasado y será aplicable a partir del mismo mes de 2018, sustituyendo a la actual LOPD y el reglamento que la desarrolla. Es importante porque lleva un tiempo adaptarla.

protección de datos

O incluso crearla de cero, como ocurre con muchas organizaciones que no tienen protegidos los datos de los interesados sin consecuencia alguna.

El problema está en que, cuando llegue el año que viene y se aplique el Reglamento (UE) 2016/679, las sanciones pueden ser tan gordas que perjudiquen gravemente a la compañía e incluso la harían desaparecer. Por ejemplo, se contemplanimportantes multas administrativas que pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio anterior”, la que sea de mayor cuantía. No es broma puesto que junto a la multa, se añade la pérdida de credibilidad y de clientes.

Supongamos que un trabajador lee, de forma casual, una información confidencial, este hecho se considera como fuga de datos, con lo que conlleva. Para evitarlo, hay que formar a los empleados, controlar quién ve qué y registrar las incidencias ocurridas, además de crear y actualizar las copias de respaldo y de redactar un buen documento de seguridad.

Lo que pretende la nueva legislación es que las empresas sean proactivas, es decir, que piensen en términos de protección de datos desde el punto en que se diseña un producto o servicio que implique su tratamiento.

Para ayudar tanto a las grandes corporaciones, como a las pymes y micropymes, la Asociación Española de Protección de Datos (AEPD) ha presentado tres documentos con materiales y recursos.

En concreto, una guía, unas directrices para los contratos entre responsables y encargados del tratamiento (dos de las figuras claves de la normativa) y una completa publicación para saber qué información deben proporcionar las empresas a los ciudadanos con la RGPD y cómo hacerlo.

El primer documento, Guía del Reglamento General de Protección de Datos para responsables de tratamiento”, incluye una serie de obligaciones, recomendaciones y enlaces para ampliar información, entre los que, desde GlobalNET Solutions, destacamos los siguientes:

  • Las empresas tienen una responsabilidad proactiva, con medidas organizativas y técnicas, respecto a los datos que manejan. En concreto:

    • análisis de riesgo: en el caso de pymes, con tratamientos de poca responsabilidad, bastará con una reflexión, mínimamente documentada que deberá responder a una serie de preguntas (ver página 17 del documento);

    • registro de actividades de tratamiento: en principio, están exentas las organizaciones con menos de 250 trabajadores;

    • protección de datos desde el diseño y por defecto: debe aplicarlas el responsable con anterioridad al inicio del tratamiento y mientras se está desarrollando;

    • medidas de seguridad;

    • notificación de “violaciones de seguridad de los datos”;

    • evaluación de impacto sobre la protección de datos: las autoridades pertinentes deben, por obligación, confeccionar listas adicionales de tratamientos que requerirán de la RGPD y también de los que no, lo que no sustituye ni excluye la responsabilidad de quien trata los datos;

    • y Delegado de protección de datos: figura obligatoria en una serie de casos, cuya designación debe hacerse pública y comunicarse a las autoridades de supervisión competentes. Además, deben estar certificados por entidades acreditadas por la Entidad Nacional de Acreditación y se permite que sean externos a la organización.

  • Los encargados de ellos pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas previstos por el RGPD.

  • La responsabilidad última de aplicar el tratamiento sigue siendo del responsable.

  • La información proporcionada a los interesados debe ser concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo (La LOPD solo prevé que sea expresa, sencilla e inequívoca). Asimismo, el consentimiento debe otorgarse con una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado. Nada de casillas premarcadas.

  • En general y con mínimas excepciones, estos son derechos de ejercicio gratuito para el interesado. Incluyen el derecho a pedir el acceso a sus datos personales, el derecho a solicitar su rectificación o supresión, el derecho a decidir la limitación de su tratamiento, el derecho a oponerse a este, y el derecho a la portabilidad de los datos.

  • Cuidado con las transferencias internacionales, fuera del espacio común europeo, que solo se pueden hacer bajo una serie de condiciones específicas.

  • El RGPD se refiere en varios lugares a los tratamientos de los datos de menores, que reciben una especial protección. Incluyen actividades de formación y sensibilización dirigidas a ellos.

Para ayudarnos en la implementación del reglamento, la guía se hace eco de la “Lista de Verificación”, que “pretende ayudar a las organizaciones a llevar a cabo de forma ordenada una valoración de su situación frente a las principales obligaciones del RGPD. Su contenido sigue el de la guía, y se presenta como un listado de preguntas que responsables y encargados deberán formularse, y responder adecuadamente, a la hora de determinar cuál es su situación ante la aplicación del RGPD” (págs. 31 y ss.).

lista de verificación - ley de protección de datos

También existe una lista simplificada cuando los responsables realizan solo un número limitado de tratamientos, con bajo nivel de riesgo para los derechos y libertades de los interesados. Esto afectará sobre todo a pymes y micropymes (págs. 34 y ss.).

En cuanto a la “Guía para el cumplimiento del deber de informar”, desde la AEPD recomiendan revisar y aplicar dicha obligación desde ya. Se refiere a la obligación de informar al interesado, por parte del responsable de tratamiento, en el momento en que se soliciten los datos y siempre antes de la recogida o registro de estos. Si proceden de fuentes indirectas y legítimas, se le notificará en un plazo razonable pero siempre antes del mes de obtención de los datos, junto con otros requisitos.

El lenguaje debe ser claro, conciso y comprensible. A modo de sugerencia de estilo, se pueden seguir estas pautas: se sugiere utilizar una exposición bien estructurada, en base a “preguntas y respuestas”, continuando con los epígrafes generales antes descritos; se debe buscar un equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos; y se debe evitar el abuso de citas legales, “jerga” confusa, o términos ambiguos o con escaso sentido para las personas destinatarias.

Los datos se recogen exclusivamente para fines determinados, explícitos y legítimos que hay que especificar, y no serán tratados de manera o incompatible con estos fines. En caso de que se quieran utilizar para otros objetivos, deberá informarse al interesado antes del tratamiento ulterior.

También se informará sobre la elaboración de perfiles con los datos recavados, incluyendo la importancia que tiene y sus consecuencias.

Por supuesto, desde GlobalNET Legal, estamos a tu disposición para cualquier duda o consulta, y para implementar en tu empresa, sea cual sea su tamaño, el nuevo RGPD.

Gracias por comentar y por compartir

Comparte este artículo en:Share on Facebook

Facebook

Tweet about this on Twitter

Twitter

Share on LinkedIn

Linkedin

Email this to someone

email