1
00:00:02,859 --> 00:00:07,360
En este vídeo vamos a analizar las distintas figuras que intervienen en un tratamiento

2
00:00:07,360 --> 00:00:12,259
de datos, adquiriendo una visión global de las mismas, para que podamos entender cuál

3
00:00:12,259 --> 00:00:18,260
es el papel de cada una de ellas. No obstante, antes de empezar voy a presentarme. Soy Melissa

4
00:00:18,260 --> 00:00:22,679
Minervini, experta en protección de datos de GetNet Europe, banco adquirente del Grupo

5
00:00:22,679 --> 00:00:28,019
Santander. Agradecer a la Consejería de Educación de la Comunidad de Madrid su invitación a

6
00:00:28,019 --> 00:00:33,140
participar en el presente curso. Y sin más dilación, procedemos a analizar a los distintos

7
00:00:33,140 --> 00:00:39,500
intervinientes en materia de protección de datos. La primera de todas es el interesado, es decir,

8
00:00:40,039 --> 00:00:45,520
la persona física identificada o identificable cuyos datos personales son objeto de tratamiento,

9
00:00:46,020 --> 00:00:51,179
es decir, el titular de los datos. En el caso de educación hablaríamos de los alumnos cuyos

10
00:00:51,179 --> 00:00:57,159
datos tratamos en el centro, pero también de los profesores y demás personal del centro. Al ser el

11
00:00:57,159 --> 00:01:02,380
titular o propietario de los datos es a la persona a la que se debe informar del tratamiento y recoger

12
00:01:02,380 --> 00:01:08,420
su consentimiento en caso de ser la base legal o justificación legal del mismo. El interesado es

13
00:01:08,420 --> 00:01:13,239
el titular de los derechos de protección de datos, que ya veremos más adelante. Es decir, es quien

14
00:01:13,239 --> 00:01:20,280
puede solicitarlos y ejercitarlos. ¿Qué ocurre en el caso de los menores de 14 años? En este caso,

15
00:01:20,620 --> 00:01:24,659
los menores siguen siendo los titulares de los datos y, por tanto, son los que tienen la

16
00:01:24,659 --> 00:01:29,680
consideración de interesado, si bien serán los padres o tutores legales quienes deben ser

17
00:01:29,680 --> 00:01:34,040
informados del tratamiento de los datos de los mismos y los que deben dar su consentimiento

18
00:01:34,040 --> 00:01:40,659
en caso de ser necesario. El responsable del tratamiento es quien decide los fines y los

19
00:01:40,659 --> 00:01:46,480
medios del tratamiento. Puede ser una persona física, jurídica, una autoridad u un organismo

20
00:01:46,480 --> 00:01:52,299
público. En el caso de los centros educativos públicos, el decreto por el que se establece

21
00:01:52,299 --> 00:01:57,260
la estructura orgánica de la Consejería de Educación, Ciencia y Universidades, prevé

22
00:01:57,260 --> 00:02:01,180
que los diferentes centros directivos son responsables del tratamiento de los datos

23
00:02:01,180 --> 00:02:06,620
personales en su respectivo ámbito de actividad. Con centros directivos no nos referimos a

24
00:02:06,620 --> 00:02:11,639
los centros educativos, sino a las diferentes direcciones generales actualmente existentes

25
00:02:11,639 --> 00:02:16,520
de lingüismo y calidad de la enseñanza, enseñanzas artísticas o secundaria, formación

26
00:02:16,520 --> 00:02:22,419
profesional de régimen especial, entre otras. La principal función del responsable del

27
00:02:22,419 --> 00:02:27,099
tratamiento es garantizar la seguridad y el cumplimiento de las normativas aplicables,

28
00:02:27,639 --> 00:02:31,819
Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos

29
00:02:31,819 --> 00:02:37,740
y Garantía de Derechos Digitales. El responsable, al decidir sobre los medios y fines del tratamiento,

30
00:02:38,259 --> 00:02:43,280
tiene una serie de obligaciones, que son asegurar que el tratamiento de los datos tenga una

31
00:02:43,280 --> 00:02:48,500
base legal válida, es decir, que esté justificado conforme a la norma. Garantizar que solo se

32
00:02:48,500 --> 00:02:52,699
recopilan los datos necesarios para los fines que se persiguen y que no se recogen datos

33
00:02:52,699 --> 00:02:57,300
innecesarios. Informar del tratamiento de los datos a los interesados cumpliendo con

34
00:02:57,300 --> 00:03:01,419
los requisitos de transparencia y claridad recogidos en la normativa y que ya analizaremos

35
00:03:01,419 --> 00:03:06,180
más adelante. Permitir que los interesados puedan ejercer sus derechos, que también

36
00:03:06,180 --> 00:03:10,860
se verán más adelante. Definir y aplicar las medidas de seguridad necesarias y adecuadas

37
00:03:10,860 --> 00:03:16,199
conforme al riesgo del tratamiento para evitar así vulneraciones en el tratamiento. Llevar un

38
00:03:16,199 --> 00:03:20,620
registro de actividades de tratamiento, que es un registro en el que se recogen todos los

39
00:03:20,620 --> 00:03:25,159
tratamientos que realiza cada dirección general, cumpliendo con unos requisitos de información

40
00:03:25,159 --> 00:03:30,800
establecidos en la normativa. Contratar encargados del tratamiento que presenten garantías adecuadas

41
00:03:30,800 --> 00:03:35,360
y notificar las brechas de seguridad cuando sea aplicable tanto a la Agencia Española de

42
00:03:35,360 --> 00:03:40,580
Protección de Datos como a los afectados. La calificación como responsable del tratamiento

43
00:03:40,580 --> 00:03:46,219
no es negociable, es decir, no se puede establecer por contrato que no lo es, sino que responde a su

44
00:03:46,219 --> 00:03:51,159
función. Si cumple con los requisitos de determinar los medios y fines del tratamiento, se considerará

45
00:03:51,159 --> 00:03:57,360
responsable del tratamiento. El encargado del tratamiento es el que trata los datos personales

46
00:03:57,360 --> 00:04:01,879
por cuenta del responsable del tratamiento. Al igual que ocurría con el responsable, puede ser

47
00:04:01,879 --> 00:04:08,199
una persona física, jurídica o una autoridad u organismo público. Es una persona física o jurídica

48
00:04:08,199 --> 00:04:12,919
que presta un servicio al centro y para hacerlo necesita acceder a los datos personales que

49
00:04:12,919 --> 00:04:17,839
están bajo su responsabilidad. El responsable del tratamiento no pierde esta consideración

50
00:04:17,839 --> 00:04:22,500
en ningún caso y, por tanto, continúa siendo el responsable del correcto tratamiento de

51
00:04:22,500 --> 00:04:28,180
los datos personales. El responsable puede elegir libremente al encargado, siempre que

52
00:04:28,180 --> 00:04:32,439
se formalice en un contrato por escrito entre ambas partes en las que se regule este tratamiento.

53
00:04:33,040 --> 00:04:37,620
El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías

54
00:04:37,620 --> 00:04:41,720
suficientes respecto a la implantación y el mantenimiento de las medidas técnicas

55
00:04:41,720 --> 00:04:46,399
y organizativas apropiadas, y que garantice la protección de los derechos de las personas

56
00:04:46,399 --> 00:04:50,399
afectadas. Existe, por tanto, un deber de diligencia

57
00:04:50,399 --> 00:04:54,819
en la elección del responsable. Esto significa que el responsable del tratamiento deberá

58
00:04:54,819 --> 00:04:59,220
solicitarle al encargado documentación que verifique el adecuado cumplimiento de la normativa

59
00:04:59,220 --> 00:05:03,959
de protección de datos y revisar, de forma periódica, que estas garantías continúan

60
00:05:03,959 --> 00:05:07,579
en vigor. El encargado debe seguir las instrucciones

61
00:05:07,579 --> 00:05:12,300
del responsable. En caso contrario, se le considerará responsable con todo lo que ello

62
00:05:12,300 --> 00:05:17,500
implica, incluida la posible sanción. En el caso de subcontrataciones o transferencias

63
00:05:17,500 --> 00:05:21,480
internacionales ulteriores, cuestiones que en el ámbito de la educación pública de

64
00:05:21,480 --> 00:05:25,920
la región son muy inusuales, el encargado tendrá que solicitar la autorización del

65
00:05:25,920 --> 00:05:31,180
responsable. El encargado del tratamiento puede adoptar todas las decisiones organizativas

66
00:05:31,180 --> 00:05:36,019
y operacionales necesarias para la prestación del servicio que tenga contratado, pero en

67
00:05:36,019 --> 00:05:40,660
ningún caso podrá modificar los fines y los usos de los datos ni los podrá utilizar

68
00:05:40,660 --> 00:05:45,800
para sus propias finalidades. Las decisiones que adopte deben respetar en todo caso las

69
00:05:45,800 --> 00:05:50,319
instrucciones dadas por el responsable del tratamiento. El encargado del tratamiento

70
00:05:50,319 --> 00:05:56,079
puede desempeñando prestar los servicios como el comedor escolar. El delegado de protección

71
00:05:56,079 --> 00:06:01,480
de datos o también conocido por sus siglas de DPO o DPD en castellano, se encarga principalmente

72
00:06:01,480 --> 00:06:05,660
de supervisar el cumplimiento normativo y asesorar al responsable del tratamiento sobre

73
00:06:05,660 --> 00:06:11,019
la normativa. También actúa como punto de contacto entre el centro y la Agencia Española

74
00:06:11,019 --> 00:06:15,060
de Protección de Datos, punto de contacto con los interesados en caso de que existan

75
00:06:15,060 --> 00:06:20,240
dudas sobre el tratamiento, derechos, reclamaciones, etc. y con los afectados en caso de violación

76
00:06:20,240 --> 00:06:24,720
de seguridad de protección de datos. En cuanto a su nombramiento, en los centros

77
00:06:24,720 --> 00:06:29,379
públicos es obligatorio y luego nombra la propia administración pública y en el caso de los

78
00:06:29,379 --> 00:06:35,939
concertados su nombramiento es recomendado y lo hace el propio centro. Para acabar vamos a hacer

79
00:06:35,939 --> 00:06:42,100
un breve repaso por las autoridades de control en materia de protección de datos. En el caso de

80
00:06:42,100 --> 00:06:50,180
España el órgano supervisor es la Agencia Española de Protección de Datos, AEPD. La AEPD se encarga

81
00:06:50,180 --> 00:06:54,259
de supervisar el cumplimiento normativo y puede imponer sanciones en casos de incumplimiento.

82
00:06:54,720 --> 00:06:58,040
También atiende reclamaciones y consultas de los interesados.

83
00:06:59,120 --> 00:07:04,360
Junto a la Agencia Española de Protección de Datos, existen unas autoridades de control autonómicas,

84
00:07:04,620 --> 00:07:09,339
que son la Agencia Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos

85
00:07:09,339 --> 00:07:12,399
y el Consejo de Transparencia y Protección de Datos de Andalucía.

86
00:07:13,300 --> 00:07:18,519
Estas agencias tienen personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones.

87
00:07:18,519 --> 00:07:23,160
Por otro lado, en Europa existe el European Data Protection Board,

88
00:07:23,160 --> 00:07:27,600
que se encarga de asesorar a la Comisión Europea sobre cuestiones de protección de datos

89
00:07:27,600 --> 00:07:30,180
y también sobre nuevas propuestas de legislación.

90
00:07:30,839 --> 00:07:35,000
También da orientaciones generales, emite guías, recomendaciones, buenas prácticas

91
00:07:35,000 --> 00:07:39,120
sobre el Reglamento General de Protección de Datos y realiza conclusiones de coherencia

92
00:07:39,120 --> 00:07:43,800
para asegurar que todos los Estados miembros interpretan las normas de la misma manera.

93
00:07:44,819 --> 00:07:49,279
Con esto, acabamos este vídeo sobre las figuras intervinientes en materia de protección de datos.

94
00:07:49,720 --> 00:07:50,259
Muchas gracias.