RESOLUCIÓN de 28 de junio de 2018, de la Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte, por la que se dictan instrucciones para el cumplimiento de la normativa de protección de datos en los centros educativos públicos de titularidad de la Generalitat. [2018/11040]
| Sección | III - Convenios y Actos |
| Emisor | Conselleria de Educación, Investigación, Cultura y Deporte |
| Rango de Ley | Resolución |
La Ley orgánica 2/2006, de 3 de mayo, de educación, determina que los responsables de la educación deben proporcionar a los centros los recursos y los medios que necesitan para desarrollar su actividad y alcanzar tal objetivo, mientras que estos deben utilizarlos con rigor y eficiencia para cumplir su cometido del mejor modo posible. Es necesario, por tanto, que la normativa combine ambos aspectos, estableciendo las normas comunes que todos tienen que respetar, así como el espacio de autonomía que se ha de conceder a los centros docentes.
El Reglamento general de protección de datos (RGPD), publicado en mayo de 2016 y aplicable desde 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD ha sustituido, desde mayo de 2018, a la actual Ley orgánica de protección de datos y al reglamento que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos.
El RGPD menciona expresamente el principio de responsabilidad proactiva y lo describe como la necesidad de que se apliquen medidas técnicas y organizativas apropiadas por el responsable del tratamiento, con el fin de garantizar que el tratamiento es conforme a lo dispuesto en le RGPD.
La Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte es el órgano responsable de los ficheros de datos de carácter personal según establece el artículo 9 del Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat, y debe velar, dentro de su ámbito de competencia por el cumplimiento de la legislación en materia de protección de datos. Por tanto, resulta necesario dictar instrucciones respecto a las medidas a llevar a cabo por los centros educativos públicos donde existan tratamientos de datos de carácter personal.
El director o directora del centro educativo deberá dar cumplimiento con los principios y medidas de seguridad recogidas en el anexo I. Dicho anexo será difundido por el director o directora en el propio centro educativo al resto del equipo directivo, al claustro de profesores, al consejo escolar, así como a cualquier otro órgano colegiado del centro que considere oportuno.
Los datos personales que se almacenen (tanto en soporte informático como en papel) que no estén en el sistema informático para la gestión del centro educativo proporcionado por la conselleria competente en materia de educación, serán los estrictamente necesarios para contactar con el alumnado o representante legal del mismo en caso de fallo puntual del sistema de información.
Por todo ello, y en virtud de las competencias establecidas en el Decreto 186/2017, de 24 de noviembre, del Consell, por el que aprueba el Reglamento orgánico y funcional de la Conselleria de Educación, Investigación, Cultura y Deporte, resuelvo:
Primero
Aprobar el manual informativo incluido en el anexo I, al que deberá ajustarse la organización y los tratamientos de información de los centros educativos públicos de la Generalitat.
-
Establecer el marco normativo que figura en el anexo II.
-
Establecer plantillas y modelos de referencia para la aplicación de las materias y procedimientos descritos en el manual informativo en el anexo III.
València, 28 de junio de 2018.- El subsecretario: José Vicente Villar Rivera.
Manual informativo en materia de protección de datos para los centros educativos públicos de titularidad de la Generalitat
-
Conceptos básicos
1.1. Un dato de carácter personal es cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
1.2. Las categorías especiales de datos se refieren a aquellos que revelan circunstancias o información de las personas sobre su esfera más íntima y personal, incluyendo de forma específica en estas categorías los datos biométricos y los datos genéticos. Requieren que se les preste una especial atención y se adopten las medidas técnicas y organizativas necesarias para evitar que su tratamiento origine lesiones en los derechos y libertades de los titulares de los datos.
Forman parte de esta categoría de datos personales aquellos que:
- Sean relativos a la salud.
- Revelen ideología, afiliación sindical, religión y creencias.
- Hagan referencia al origen racial y a la vida sexual.
- Se refieran a la comisión de infracciones penales o administrativas.
En el ámbito educativo es frecuente, sobre todo, el tratamiento de datos relativos a la salud física o mental del alumnado, incluida la prestación de servicios de atención sanitaria que revelan información sobre su estado de salud.
1.3. Los datos de carácter personal son de las personas interesadas: alumnado, madres y padres, tutores, profesorado o personal de administración y servicios.
Cada persona es titular de sus respectivos datos de carácter personal.
1.4. Un fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado, repartido de forma funcional o geográfica.
El Reglamento general de protección de datos, desde ahora y en adelante RGPD, suprime la obligación de notificar los ficheros a la Agencia Española de Protección de Datos y a las autonómicas, y se centra en las actividades del tratamiento.
1.5. Cualquier actividad en que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya sea realizada de manera manual o automatizada, totalmente o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
1.6. El responsable del tratamiento es la persona física que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal. Es lo que la responsabilidad del tratamiento de datos es la persona titular de la subsecretaría de la conselleria competente en materia de educación.
1.7. El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En determinados casos, los centros educativos para cumplir sus funciones necesitan contar con la colaboración de otras personas o entidades que no forman parte de su organización, por ejemplo, para el servicio de comedor, servicio médico, transporte o para la realización de actividades extraescolares.
Estas personas y entidades para prestar sus servicios también tratan los datos de carácter personal del alumnado y de sus familiares o tutores, pero lo hacen por encargo del responsable del tratamiento, es decir del centro o de la Administración educativa.
Las empresas que realizan este tipo de servicios tienen, en relación con el tratamiento de datos personales que realizan, la consideración de encargados de tratamiento.
Es necesario que el tratamiento de datos que implica la prestación del servicio se rija por un contrato que deberá incluir las garantías adecuadas.
No se consideran encargados del tratamiento a las personas físicas que tengan acceso a los datos personales en su condición de empleados del centro o de la Administración educativa que son los responsables del tratamiento.
1.8. La cesión de datos supone su revelación a una persona distinta de su titular.
Los destinatarios de los datos serán las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos a los que se les comuniquen.
Sin embargo, no se consideran cesiones de datos las comunicaciones de los datos del alumnado a las empresas que tengan la condición de encargados del tratamiento, conforme a lo que se indica en el apartado anterior.
1.9. Siempre que los datos personales se envían fuera del ámbito de Espacio Económico Europeo (EEE, constituido por todos los estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein), se produce una transferencia internacional de datos, ya se realice para que el destinatario de los datos preste un servicio al centro educativo o para que los trate para una finalidad propia.
-
Principios de protección de datos
2.1. Legitimación para el tratamiento de datos
El tratamiento de datos personales necesita estar legitimado. Por tanto, se pueden tratar los datos si sus titulares prestan su consentimiento previo. Cuando el titular de los datos es un menor de edad, o menor de una determinada edad establecida por Ley, el consentimiento deberá prestarse por sus familiares o tutores.
El consentimiento para tratar datos personales se puede revocar en cualquier momento, pero la revocación no surtirá efectos retroactivos y se tiene que informar de ello a los interesados.
Pero además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular. La principal de ellas es la referida a los supuestos en que una norma con rango de ley autorice el tratamiento o incluso obligue al responsable a llevarlo a cabo.
También será legítimo el tratamiento de datos cuando sea necesario para el desarrollo y ejecución de una relación jurídica entre la persona responsable y la afectada, o para la satisfacción de un interés legítimo del responsable siempre que dicho interés no prevalezca sobre los derechos y libertades de los afectados, en particular cuando estos sean menores.
Los centros docentes están legitimados por la Ley orgánica 2/2006, de educación (LOE), para el tratamiento de los datos en el ejercicio de la función educativa. También...
Para continuar leyendo
Solicita tu prueba