Como es ya conocido, el próximo 25 de mayo de 2018 será de aplicación efectiva y directa en España el nuevo Reglamento Europeo de Protección de Datos de Carácter Personal (RGPD). Este Reglamento supondrá la modificación de algunos aspectos del régimen actual y la introducción de nuevas obligaciones en relación con su cumplimiento que afectará a las empresas grandes y pequeñas, instituciones, organizaciones, administración pública. Quisiera destacar en este artículo algunas novedades que afectarán de una manera directa al sector educativo, y en concreto a los centros formativos:
-
Deberán realizar una valoración del riesgo que implique el tratamiento de datos personales (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado). Y también planificar los servicios que ofrezcan para adoptar las medidas que, por defecto, garanticen el tratamiento necesario para la finalidad para la que se recabaron y que no estén accesibles a un número indeterminado de personas.
-
Tendrán que hacer evaluaciones de impacto, en los siguientes supuestos, que se completarán con los que determine la Agencia Española de Protección de Datos (AEPD) o las autoridades autonómicas correspondientes:
-
-
Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
-
Observación sistemática a gran escala de una zona de acceso público (vídeovigilancia).
-
-
Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o les afecte de modo similar.
-
Habrán de designar obligatoriamente un Delegado de Protección de Datos, figura que hasta hoy no existía. El Delegado puede estar en la plantilla de la organización o ser contratado como externo y deberá ser experto en la legislación que regula la protección de los datos personales.
-
Deberán elaborar un registro de actividades respecto del tratamiento de datos de carácter personal que se realice.
-
Tendrán que recabar el consentimiento de los alumnos o de sus padres o tutores, mediante una clara acción afirmativa del interesado y, en el caso de datos sensibles o para transferencias internacionales, el consentimiento además deberá ser expreso.
-
En el caso de que se produzca una “violación de seguridad”, deberán notificarlo a la AEPD o a la Autoridad autonómica correspondiente y, en su caso, también comunicarlo a los interesados.
Conforme a lo anterior, recordaros que en GlobalNet Legal, como especializados en la materia, estamos en disposición de poder ofrecer nuestros servicios jurídicos para llevar a cabos todas las acciones necesarias que necesite su centro educativo en la implementación y cumplimiento del nuevo Reglamento:
-
Cumplimiento de la normativa de privacidad y tratamiento de datos personales para centros educativos.
-
Información y asesoramiento al responsable, encargado del tratamiento y empleados con acceso a datos personales de sus obligaciones según el nuevo Reglamento.
-
Supervisión de la implementación y aplicación de las políticas del centro educativo en materia de protección de datos personales.
-
Controlar y verificar la implementación y aplicación de la normativa en relación con la protección y la seguridad de los datos.
-
Asignación de responsabilidades y formación de personal que participa en operaciones de tratamiento.
-
Asesoramiento acerca de la evaluación de impacto relativa a la protección de datos.
-
Cooperación con la autoridad de control.
-
Gestión de respuestas a las solicitudes de la AEPD.
Abogado TIC y Responsable de GlobalNET Legal