1
00:00:04,780 --> 00:00:09,179
En primer lugar, antes de empezar a hablar sobre protección de datos, me gustaría presentarme.

2
00:00:09,759 --> 00:00:15,279
Me llamo Lucía Atena y actualmente soy la delegada de protección de datos de la Consejería de Educación.

3
00:00:15,779 --> 00:00:20,780
Pero no soy la delegada de los datos que se traten en el ámbito de la consejería,

4
00:00:21,219 --> 00:00:27,519
sino que también del tratamiento que se hace en todos los centros educativos públicos de la Comunidad de Madrid.

5
00:00:28,359 --> 00:00:33,020
Por ese motivo, quería que supierais que yo soy vuestra delegada de protección de datos

6
00:00:33,020 --> 00:00:37,079
y que podéis acudir a mí y a mi equipo siempre que lo necesitéis,

7
00:00:37,539 --> 00:00:42,880
ya que mi labor, tal y como establece la normativa, es de asesoramiento y formación.

8
00:00:43,340 --> 00:00:45,920
En definitiva, que estamos aquí para ayudaros.

9
00:00:46,420 --> 00:00:51,200
Para que os deis cuenta de la importancia que tiene la materia de la que voy a hablaros,

10
00:00:51,600 --> 00:00:54,979
es preciso que os haga alusión a la Constitución Española,

11
00:00:55,439 --> 00:01:01,719
ya que en su artículo 18 hace mención al derecho al honor, a la intimidad personal y familiar

12
00:01:01,719 --> 00:01:07,620
y a la propia imagen como derecho fundamental de todos los españoles. Además de la Constitución

13
00:01:07,620 --> 00:01:13,819
española, hay más normativa que protege estos derechos fundamentales. En primer lugar,

14
00:01:14,299 --> 00:01:19,780
hay que hacer alusión al Reglamento General de Protección de Datos, aprobado en 2018

15
00:01:19,780 --> 00:01:25,180
por la Unión Europea, y que sienta las bases de aplicación de la normativa en protección

16
00:01:25,180 --> 00:01:31,079
de datos. En nuestro país se aprobó la Ley Orgánica de Protección de Datos y Garantía

17
00:01:31,079 --> 00:01:37,040
de los derechos digitales, que desarrolla la normativa europea y que incorpora un título

18
00:01:37,040 --> 00:01:43,599
muy interesante relativo a los derechos digitales, haciendo especial mención a la protección

19
00:01:43,599 --> 00:01:47,980
de los menores en Internet. La Agencia Española de Protección de Datos como autoridad de

20
00:01:47,980 --> 00:01:53,040
control ha elaborado una guía para centros educativos, que es de gran utilidad y que

21
00:01:53,040 --> 00:01:58,959
os recomiendo que consultéis. Está publicada en su página web. Para resolver dudas y buscar

22
00:01:58,959 --> 00:02:04,140
asesoramiento más concreto, la Delegación de Protección de Datos ha elaborado una página

23
00:02:04,140 --> 00:02:09,560
web en materia de protección de datos. Está en el entorno de EducaMadrid y allí podéis

24
00:02:09,560 --> 00:02:16,099
encontrar informes jurídicos, preguntas frecuentes, novedades y formación. Por último, no dejéis

25
00:02:16,099 --> 00:02:20,740
de consultarnos ante cualquier dificultad en nuestro buzón de correo electrónico

26
00:02:20,740 --> 00:02:28,039
protecciondatos.educacion.madrid.org. Antes de nada, es preciso hacer alusión a lo que

27
00:02:28,039 --> 00:02:33,840
es un dato personal. Parece un concepto sencillo, pero a veces no lo es tanto. El propio Reglamento

28
00:02:33,840 --> 00:02:39,080
General de Protección de Datos ha definido el concepto de dato personal como toda información

29
00:02:39,080 --> 00:02:45,680
sobre una persona física identificada o identificable. Se considera persona física identificable

30
00:02:45,680 --> 00:02:52,039
toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante

31
00:02:52,039 --> 00:02:58,460
un identificador, como por ejemplo un nombre, un número de identificador, datos de localización,

32
00:02:58,919 --> 00:03:03,759
un identificador en línea o uno o varios elementos propios de la identidad física,

33
00:03:03,960 --> 00:03:10,020
fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Es decir,

34
00:03:10,479 --> 00:03:15,740
un dato numérico como es el NIA del alumno es un dato personal y también sus iniciales y en

35
00:03:15,740 --> 00:03:20,159
definitiva cualquier elemento propio de su identidad que pudiera identificarle de alguna

36
00:03:20,159 --> 00:03:25,400
manera. Por tanto, debemos ser conscientes de que el concepto de dato personal es realmente

37
00:03:25,400 --> 00:03:30,560
amplio y que incluye algunas características propias del alumno como pueden ser su expediente

38
00:03:30,560 --> 00:03:35,819
académico, su rendimiento escolar o sus trabajos. No podemos olvidar que estamos hablando de

39
00:03:35,819 --> 00:03:40,879
un colectivo vulnerable, tal y como lo establece la propia normativa, ya que en muchas ocasiones

40
00:03:40,879 --> 00:03:45,280
estamos tratando con menores de edad. Así, el propio Reglamento General de Protección

41
00:03:45,280 --> 00:03:49,819
de Datos establece una especial protección a este colectivo, ya que considera que los

42
00:03:49,819 --> 00:03:54,479
niños pueden ser menos conscientes de los riesgos, consecuencias, garantías y

43
00:03:54,479 --> 00:03:58,659
derechos sobre el tratamiento de sus datos personales. Por tanto, al tratar

44
00:03:58,659 --> 00:04:03,400
datos que no son nuestros y que son en muchas ocasiones de menores, es

45
00:04:03,400 --> 00:04:08,240
preciso que seamos todavía más cuidadosos. Entonces, ¿cómo podemos evitar

46
00:04:08,240 --> 00:04:13,280
riesgos en el tratamiento de datos personales? En primer lugar, anonimizando.

47
00:04:13,719 --> 00:04:17,759
Es decir, que sea imposible la identificación de la persona que estamos

48
00:04:17,759 --> 00:04:23,959
hablando, que no pudiera ser ni identificada ni identificable. Sabemos que esto es prácticamente

49
00:04:23,959 --> 00:04:29,379
imposible, ya que simplemente con el IP de un ordenador podríamos llegar a identificar

50
00:04:29,379 --> 00:04:36,639
a una persona. Pero cuanto más difícil sea la identificación de la persona, menos probabilidades

51
00:04:36,639 --> 00:04:41,560
tendremos de correr riesgos. En segundo lugar, el propio Reglamento General de Protección

52
00:04:41,560 --> 00:04:46,439
de Datos entiende que cuando hacemos un uso doméstico o personal de los datos personales

53
00:04:46,439 --> 00:04:52,879
no se produce un tratamiento de datos, es decir, cuando el dato no sale de nuestro ámbito doméstico y personal.

54
00:04:53,459 --> 00:04:59,680
Un ejemplo podría ser el caso de las fotografías que toman las familias en la función de Navidad del Centro,

55
00:05:00,240 --> 00:05:08,180
siempre que la finalidad sea para un uso personal, pero que en ningún caso podría aplicarse a la publicación de esa imagen en una red social.

56
00:05:08,180 --> 00:05:14,720
Por tanto, recordad que no hay tratamiento de datos personal cuando no existe dato personal,

57
00:05:14,899 --> 00:05:20,860
cuando no es posible la identificación de la persona y cuando el uso que va a hacerse es doméstico o personal.

58
00:05:21,639 --> 00:05:26,180
Los centros educativos están legitimados para el tratamiento de los datos personales.

59
00:05:27,279 --> 00:05:30,100
Así viene recogido en la propia ley de educación.

60
00:05:30,819 --> 00:05:37,199
Podemos recoger datos y tratarlos, pero tenemos que atender a un principio muy importante en protección de datos,

61
00:05:37,199 --> 00:05:43,240
que es el principio de minimización. Es decir, siempre que vayamos a recoger un dato personal,

62
00:05:43,720 --> 00:05:49,180
nos tenemos que preguntar ¿para qué queremos ese dato? ¿Cuál es su finalidad? Y por tanto,

63
00:05:49,459 --> 00:05:54,720
no recoger datos que no vayamos a utilizar con seguridad. No debemos pedir datos que a lo mejor

64
00:05:54,720 --> 00:06:00,699
pudieran tener sentido en un pasado, pero que ahora no lo tienen. Podría poner el ejemplo del

65
00:06:00,699 --> 00:06:05,699
domicilio del alumno. A lo mejor en el pasado podría tener sentido recabar ese dato, ya que

66
00:06:05,699 --> 00:06:11,000
hacían envíos postales a las familias, pero a día de hoy las comunicaciones con las familias

67
00:06:11,000 --> 00:06:16,500
llevan otro cauce y a lo mejor podría no tener sentido recabar ese dato. Con esto no estoy

68
00:06:16,500 --> 00:06:21,399
diciendo que no pueda pedirse el domicilio a los alumnos, simplemente estoy invitando a hacer una

69
00:06:21,399 --> 00:06:27,600
reflexión cada vez que solicitemos un dato. Es muy importante que pensemos antes de pedir el

70
00:06:27,600 --> 00:06:32,259
dato si realmente es esencial para cumplir el objetivo que se pretende, ya que una vez que

71
00:06:32,259 --> 00:06:37,399
lo pedimos vamos a tener que protegerlo y aumentan las probabilidades de correr un riesgo

72
00:06:37,399 --> 00:06:42,639
de forma innecesaria. Llegado a este punto me gustaría transmitiros una idea que para

73
00:06:42,639 --> 00:06:48,040
mí es esencial en esta materia y es que me gustaría que fuerais conscientes de lo que

74
00:06:48,040 --> 00:06:53,279
valen nuestros datos y los datos de nuestros alumnos. Un ejemplo muy claro es que con nuestro

75
00:06:53,279 --> 00:06:59,519
nombre, dos apellidos y el DNI podrían hacer una suplantación de nuestra identidad y contratar

76
00:06:59,519 --> 00:07:05,319
un contrato de telefonía en nuestro nombre. Por ese motivo, la norma ha prohibido la publicación

77
00:07:05,319 --> 00:07:10,839
de forma conjunta del nombre, los dos apellidos y el DNI completo. Por otro lado, nuestros

78
00:07:10,839 --> 00:07:15,399
datos valen mucho dinero. Como probablemente habréis oído, los datos personales son el

79
00:07:15,399 --> 00:07:20,779
petróleo del siglo XXI y muchas empresas lo usan para ganar dinero. Por tanto, hay

80
00:07:20,779 --> 00:07:25,699
personas que están interesadas en nuestros datos para venderlos de forma delictiva. Con

81
00:07:25,699 --> 00:07:31,579
esto lo que quiero transmitir es que aunque pensemos que no porque no somos personas conocidas

82
00:07:31,579 --> 00:07:37,420
nuestros datos y la de nuestros alumnos son interesantes para determinadas personas por

83
00:07:37,420 --> 00:07:42,720
eso debemos protegerlos con proactividad como señala el propio reglamento general de protección

84
00:07:42,720 --> 00:07:48,220
de datos. Por tanto para proteger los datos que tratamos con proactividad como nos obliga el

85
00:07:48,220 --> 00:07:52,680
reglamento general de protección de datos hay que atender los posibles riesgos que puedan existir

86
00:07:52,680 --> 00:07:57,500
en el tratamiento. En primer lugar, atender a las posibles cesiones que se hagan de los

87
00:07:57,500 --> 00:08:03,240
datos. Tenemos que ser muy conscientes que las cesiones deben hacerse siempre que estén

88
00:08:03,240 --> 00:08:09,139
justificadas. Algunos ejemplos podrían ser estos. Las cesiones a Lampa del colegio, cuando

89
00:08:09,139 --> 00:08:14,819
ellos sean los que gestionan un servicio, como puede ser el servicio de comedor, pero

90
00:08:14,819 --> 00:08:20,100
para el resto de actividades de Lampa es preciso pedir consentimiento a los interesados. Se

91
00:08:20,100 --> 00:08:25,980
puede ceder datos a otras consejerías si está justificado y en la cesión de datos a la policía

92
00:08:25,980 --> 00:08:32,000
se puede ceder pero es preciso establecer un cauce siempre que exista una investigación abierta y que

93
00:08:32,000 --> 00:08:38,440
se solicite por escrito. Para evitar que los datos puedan recabar en manos equivocadas hay que atender

94
00:08:38,440 --> 00:08:45,840
a unas medidas de cautela. Algunas de ellas son las siguientes. No usar pendrive para compartir o

95
00:08:45,840 --> 00:08:51,259
trasladar información de profesores y alumnos. Es mejor utilizar la nube de EducaMadrid. En el

96
00:08:51,259 --> 00:08:57,240
caso de que fuera estrictamente necesario el uso de dispositivos externos, la información siempre

97
00:08:57,240 --> 00:09:03,399
debe estar cifrada. No dejar información encima de las mesas, descuidar los listados y hacer paso

98
00:09:03,399 --> 00:09:08,220
de mano a mano de la información de los alumnos. En definitiva, ser consciente de que un descuido

99
00:09:08,220 --> 00:09:12,919
en el tratamiento de los datos podría dar lugar a un incidente de seguridad. Por último, quería

100
00:09:12,919 --> 00:09:17,879
hacer alusión a la siguiente pregunta. ¿Qué podría ocurrir si hago un mal uso de los datos

101
00:09:17,879 --> 00:09:24,179
de los profesores o de los alumnos? En primer lugar, señalar que la Ley Orgánica de Protección

102
00:09:24,179 --> 00:09:30,519
de Datos no prevé una sanción económica a las administraciones públicas por el mal uso de los

103
00:09:30,519 --> 00:09:37,019
datos. Sí regula una resolución de apercibimiento y la posibilidad de que se proponga el inicio de

104
00:09:37,019 --> 00:09:42,899
actuaciones disciplinarias al funcionario. Lo que regula es una amonestación con denominación

105
00:09:42,899 --> 00:09:48,899
del cargo responsable y su publicación en el boletín que corresponda, la comunicación

106
00:09:48,899 --> 00:09:53,399
al defensor del pueblo y la publicación en la página web de la Agencia Española de

107
00:09:53,399 --> 00:09:59,100
Protección de Datos. Tenemos que hacer alusión al Código Penal en su título décimo, que

108
00:09:59,100 --> 00:10:03,539
regula los delitos contra la intimidad, el derecho a la propia imagen y a la inviolabilidad

109
00:10:03,539 --> 00:10:08,899
del domicilio. Concretamente, su capítulo primero habla del descubrimiento y revelación

110
00:10:08,899 --> 00:10:16,659
de secretos en sus artículos 197 a 201 y agrava todas las penas cuando el delito lo

111
00:10:16,659 --> 00:10:21,080
cometen autoridades o funcionarios públicos. Se persigue de oficio y no es necesario denuncia.

112
00:10:21,460 --> 00:10:26,500
No podemos olvidar el deber que tenemos todos como funcionarios públicos de confidencialidad

113
00:10:26,500 --> 00:10:32,659
y de guardar secreto. Si tenéis dudas de cualquier tipo, por favor, no dudéis en consultarnos

114
00:10:32,659 --> 00:10:34,279
al buzón de protección de datos.

115
00:10:38,899 --> 00:10:42,860
CC por Antarctica Films Argentina