1 00:00:01,139 --> 00:00:11,900 En primer lugar, antes de empezar a hablar sobre protección de datos, me gustaría presentarme. 2 00:00:12,480 --> 00:00:17,980 Me llamo Lucía Atena y actualmente soy la delegada de protección de datos de la Consejería de Educación. 3 00:00:18,500 --> 00:00:23,500 Pero no soy la delegada de los datos que se traten en el ámbito de la consejería, 4 00:00:23,940 --> 00:00:30,239 sino que también del tratamiento que se hace en todos los centros educativos públicos de la Comunidad de Madrid. 5 00:00:30,239 --> 00:00:35,719 Por ese motivo, quería que supierais que yo soy vuestra delegada de protección de datos 6 00:00:35,719 --> 00:00:39,240 y que podéis acudir a mí y a mi equipo siempre que lo necesitéis, 7 00:00:40,240 --> 00:00:45,600 ya que mi labor, tal y como establece la normativa, es de asesoramiento y formación. 8 00:00:46,039 --> 00:00:48,640 En definitiva, que estamos aquí para ayudaros. 9 00:00:49,140 --> 00:00:53,899 Para que os deis cuenta de la importancia que tiene la materia de la que voy a hablaros, 10 00:00:54,299 --> 00:00:57,700 es preciso que os haga alusión a la Constitución Española, 11 00:00:57,700 --> 00:01:04,420 ya que en su artículo 18 hace mención al derecho al honor, a la intimidad personal y familiar 12 00:01:04,420 --> 00:01:08,519 y a la propia imagen como derecho fundamental de todos los españoles. 13 00:01:08,920 --> 00:01:15,180 Además de la Constitución Española, hay más normativa que protege estos derechos fundamentales. 14 00:01:15,819 --> 00:01:20,439 En primer lugar, hay que hacer alusión al Reglamento General de Protección de Datos, 15 00:01:20,980 --> 00:01:23,739 aprobado en 2018 por la Unión Europea, 16 00:01:23,739 --> 00:01:28,340 y que sienta las bases de aplicación de la normativa en protección de datos. 17 00:01:29,079 --> 00:01:35,299 En nuestro país se aprobó la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, 18 00:01:35,299 --> 00:01:42,299 que desarrolla la normativa europea y que incorpora un título muy interesante relativo a los derechos digitales, 19 00:01:43,420 --> 00:01:47,579 haciendo especial mención a la protección de los menores en Internet. 20 00:01:47,780 --> 00:01:53,640 La Agencia Española de Protección de Datos, como autoridad de control, ha elaborado una guía para centros educativos, 21 00:01:53,739 --> 00:01:57,620 que es de gran utilidad y que os recomiendo que consultéis. 22 00:01:58,140 --> 00:02:00,060 Está publicada en su página web. 23 00:02:00,280 --> 00:02:03,099 Para resolver dudas y buscar asesoramiento más concreto, 24 00:02:03,680 --> 00:02:08,759 la Delegación de Protección de Datos ha elaborado una página web en materia de protección de datos. 25 00:02:09,379 --> 00:02:14,139 Está en el entorno de EducaMadrid y allí podéis encontrar informes jurídicos, 26 00:02:14,379 --> 00:02:17,219 preguntas frecuentes, novedades y formación. 27 00:02:17,219 --> 00:02:23,439 Por último, no dejéis de consultarnos ante cualquier dificultad en nuestro buzón de correo electrónico 28 00:02:23,439 --> 00:02:30,759 protecciondatos.educacion arroba madrid punto org. Antes de nada es preciso hacer alusión a lo que 29 00:02:30,759 --> 00:02:36,539 es un dato personal. Parece un concepto sencillo pero a veces no lo es tanto. El propio reglamento 30 00:02:36,539 --> 00:02:41,780 general de protección de datos ha definido el concepto de dato personal como toda información 31 00:02:41,780 --> 00:02:47,280 sobre una persona física identificada o identificable. Se considera persona física 32 00:02:47,280 --> 00:02:53,139 identificable, toda persona cuya identidad pueda determinarse directa o indirectamente, 33 00:02:53,539 --> 00:02:59,580 en particular mediante un identificador, como por ejemplo un nombre, un número de identificador, 34 00:03:00,080 --> 00:03:05,500 datos de localización, un identificador en línea o uno o varios elementos propios de 35 00:03:05,500 --> 00:03:11,219 la identidad física, fisiológica, genética, psíquica, económica, cultural o social de 36 00:03:11,219 --> 00:03:16,539 dicha persona. Es decir, un dato numérico como es el NIA del alumno es un dato personal 37 00:03:16,539 --> 00:03:21,340 y también sus iniciales y en definitiva cualquier elemento propio de su identidad que pudiera 38 00:03:21,340 --> 00:03:26,379 identificarle de alguna manera. Por tanto, debemos ser conscientes de que el concepto 39 00:03:26,379 --> 00:03:31,400 de dato personal es realmente amplio y que incluye algunas características propias del 40 00:03:31,400 --> 00:03:36,240 alumno como puede ser su expediente académico, su rendimiento escolar o sus trabajos. 41 00:03:36,740 --> 00:03:41,000 No podemos olvidar que estamos hablando de un colectivo vulnerable, tal y como lo establece 42 00:03:41,000 --> 00:03:46,139 la propia normativa, ya que en muchas ocasiones estamos tratando con menores de edad. Así, 43 00:03:46,139 --> 00:03:50,199 Así el propio Reglamento General de Protección de Datos establece una especial protección 44 00:03:50,199 --> 00:03:54,919 a este colectivo, ya que considera que los niños pueden ser menos conscientes de los 45 00:03:54,919 --> 00:04:00,300 riesgos, consecuencias, garantías y derechos sobre el tratamiento de sus datos personales. 46 00:04:00,300 --> 00:04:06,060 Por tanto, al tratar datos que no son nuestros y que son, en muchas ocasiones, de menores, 47 00:04:06,060 --> 00:04:08,759 es preciso que seamos todavía más cuidadosos. 48 00:04:08,759 --> 00:04:14,199 Entonces, ¿cómo podemos evitar riesgos en el tratamiento de datos personales? 49 00:04:14,199 --> 00:04:20,160 primer lugar, anonimizando. Es decir, que sea imposible la identificación de la persona que 50 00:04:20,160 --> 00:04:26,680 estamos hablando, que no pudiera ser ni identificada ni identificable. Sabemos que esto es prácticamente 51 00:04:26,680 --> 00:04:32,860 imposible, ya que simplemente con el IP de un ordenador podríamos llegar a identificar a una 52 00:04:32,860 --> 00:04:39,360 persona. Pero cuanto más difícil sea la identificación de la persona, menos probabilidades 53 00:04:39,360 --> 00:04:44,279 tendremos de correr riesgos. En segundo lugar, el propio Reglamento General de Protección 54 00:04:44,279 --> 00:04:49,139 de Datos entiende que cuando hacemos un uso doméstico o personal de los datos personales 55 00:04:49,139 --> 00:04:54,319 no se produce un tratamiento de datos, es decir, cuando el dato no sale de nuestro ámbito 56 00:04:54,319 --> 00:05:00,279 doméstico y personal. Un ejemplo podría ser el caso de las fotografías que toman 57 00:05:00,279 --> 00:05:04,519 las familias en la función de Navidad del Centro, siempre que la finalidad sea para 58 00:05:04,519 --> 00:05:09,379 un uso personal, pero que en ningún caso podría aplicarse a la publicación de esa 59 00:05:09,379 --> 00:05:15,399 imagen en una red social. Por tanto, recordad que no hay tratamiento de dato personal cuando 60 00:05:15,399 --> 00:05:19,920 no existe el no existe dato personal, cuando no es posible la identificación de la persona 61 00:05:19,920 --> 00:05:26,620 y cuando el uso que va a hacerse es doméstico o personal. Los centros educativos están 62 00:05:26,620 --> 00:05:31,579 legitimados para el tratamiento de los datos personales. Así viene recogido en la propia 63 00:05:31,579 --> 00:05:37,579 ley de educación. Podemos recoger datos y tratarlos, pero tenemos que atender a un principio 64 00:05:37,579 --> 00:05:43,300 muy importante en protección de datos, que es el principio de minimización. Es decir, 65 00:05:43,860 --> 00:05:48,759 siempre que vayamos a recoger un dato personal nos tenemos que preguntar ¿para qué queremos 66 00:05:48,759 --> 00:05:54,220 ese dato? ¿Cuál es su finalidad? Y por tanto no recoger datos que no vayamos a utilizar 67 00:05:54,220 --> 00:05:59,420 con seguridad. No debemos pedir datos que a lo mejor pudieran tener sentido en un pasado 68 00:05:59,420 --> 00:06:01,079 pero que ahora no lo tienen. 69 00:06:01,420 --> 00:06:04,360 Podría poner el ejemplo del domicilio del alumno. 70 00:06:04,879 --> 00:06:07,800 A lo mejor en el pasado podría tener sentido recabar ese dato, 71 00:06:08,220 --> 00:06:10,959 ya que se hacían envíos postales a las familias. 72 00:06:11,439 --> 00:06:14,579 Pero a día de hoy las comunicaciones con las familias llevan otro cauce 73 00:06:14,579 --> 00:06:17,879 y a lo mejor podría no tener sentido recabar ese dato. 74 00:06:18,480 --> 00:06:21,759 Con esto no estoy diciendo que no pueda pedirse el domicilio a los alumnos, 75 00:06:22,300 --> 00:06:26,759 simplemente estoy invitando a hacer una reflexión cada vez que solicitemos un dato. 76 00:06:26,759 --> 00:06:33,899 Es muy importante que pensemos antes de pedir el dato si realmente es esencial para cumplir el objetivo que se pretende, 77 00:06:34,360 --> 00:06:40,759 ya que una vez que lo pedimos vamos a tener que protegerlo y aumentan las probabilidades de correr un riesgo de forma innecesaria. 78 00:06:41,740 --> 00:06:47,319 Llegado a este punto me gustaría transmitiros una idea que para mí es esencial en esta materia 79 00:06:47,319 --> 00:06:53,459 y es que me gustaría que fuerais conscientes de lo que valen nuestros datos y los datos de nuestros alumnos. 80 00:06:53,459 --> 00:07:04,439 Un ejemplo muy claro es que con nuestro nombre, dos apellidos y el DNI podrían hacer una suplantación de nuestra identidad y contratar un contrato de telefonía en nuestro nombre. 81 00:07:05,040 --> 00:07:12,040 Por ese motivo la norma ha prohibido la publicación de forma conjunta del nombre, los dos apellidos y el DNI completo. 82 00:07:12,459 --> 00:07:14,939 Por otro lado, nuestros datos valen mucho dinero. 83 00:07:15,459 --> 00:07:22,139 Como probablemente habréis oído, los datos personales son el petróleo del siglo XXI y muchas empresas lo usan para ganar dinero. 84 00:07:22,139 --> 00:07:27,759 Por tanto, hay personas que están interesadas en nuestros datos para venderlos de forma delictiva. 85 00:07:28,240 --> 00:07:34,300 Con esto lo que quiero transmitir es que aunque pensemos que no, porque no somos personas conocidas, 86 00:07:34,699 --> 00:07:39,420 nuestros datos y la de nuestros alumnos son interesantes para determinadas personas. 87 00:07:40,000 --> 00:07:45,920 Por eso debemos protegerlos con proactividad, como señala el propio Reglamento General de Protección de Datos. 88 00:07:45,920 --> 00:07:52,579 Por tanto, para proteger los datos que tratamos con proactividad, como nos obliga el Reglamento General de Protección de Datos, 89 00:07:52,920 --> 00:07:56,139 hay que atender los posibles riesgos que puedan existir en el tratamiento. 90 00:07:56,759 --> 00:08:00,480 En primer lugar, atender a las posibles cesiones que se hagan de los datos. 91 00:08:01,000 --> 00:08:06,819 Tenemos que ser muy conscientes que las cesiones deben hacerse siempre que estén justificadas. 92 00:08:07,399 --> 00:08:09,160 Algunos ejemplos podrían ser estos. 93 00:08:09,160 --> 00:08:21,899 Las cesiones a Lampa del colegio, cuando ellos sean los que gestionan un servicio, como puede ser el servicio de comedor, pero para el resto de actividades de Lampa es preciso pedir consentimiento a los interesados. 94 00:08:22,680 --> 00:08:36,100 Se puede ceder datos a otras consejerías si está justificado y en la cesión de datos a la policía se puede ceder, pero es preciso establecer un cauce, siempre que exista una investigación abierta y que se solicite por escrito. 95 00:08:36,100 --> 00:08:42,639 Para evitar que los datos puedan recabar en manos equivocadas, hay que atender a unas medidas de cautela. 96 00:08:43,240 --> 00:08:44,919 Algunas de ellas son las siguientes. 97 00:08:45,679 --> 00:08:50,779 No usar pendrive para compartir o trasladar información de profesores y alumnos. 98 00:08:51,179 --> 00:08:53,179 Es mejor utilizar la nube de EducaMadrid. 99 00:08:53,720 --> 00:09:00,919 En el caso de que fuera estrictamente necesario el uso de dispositivos externos, la información siempre debe estar cifrada. 100 00:09:01,840 --> 00:09:08,340 No dejar información encima de las mesas, descuidar los listados y hacer paso de mano a mano de la información de los alumnos. 101 00:09:08,340 --> 00:09:14,179 En definitiva, ser consciente de que un descuido en el tratamiento de los datos podría dar lugar a un incidente de seguridad. 102 00:09:14,539 --> 00:09:17,559 Por último, quería hacer alusión a la siguiente pregunta. 103 00:09:18,379 --> 00:09:22,879 ¿Qué podría ocurrir si hago un mal uso de los datos de los profesores o de los alumnos? 104 00:09:23,700 --> 00:09:29,299 En primer lugar, señalar que la Ley Orgánica de Protección de Datos no prevé una sanción 105 00:09:29,299 --> 00:09:33,519 económica a las administraciones públicas por el mal uso de los datos. 106 00:09:34,299 --> 00:09:39,519 Sí regula una resolución de apercibimiento y la posibilidad de que se proponga el inicio 107 00:09:39,519 --> 00:09:41,620 de actuaciones disciplinarias al funcionario. 108 00:09:41,840 --> 00:09:48,500 Lo que regula es una amonestación con denominación del cargo responsable y su publicación en 109 00:09:48,500 --> 00:09:54,340 el boletín que corresponda, la comunicación al defensor del pueblo y la publicación en 110 00:09:54,340 --> 00:09:57,080 la página web de la Agencia Española de Protección de Datos. 111 00:09:57,639 --> 00:10:03,080 Tenemos que hacer alusión al Código Penal en su título décimo, que regula los delitos 112 00:10:03,080 --> 00:10:07,120 contra la intimidad, el derecho a la propia imagen y a la inviolabilidad del domicilio. 113 00:10:07,580 --> 00:10:12,340 Concretamente, en su capítulo primero habla del descubrimiento y revelación de secretos 114 00:10:12,340 --> 00:10:20,200 en sus artículos 197 a 201 y agrava todas las penas cuando el delito lo cometen autoridades 115 00:10:20,200 --> 00:10:25,120 o funcionarios públicos, se persigue de oficio y no es necesario denuncia. No podemos olvidar 116 00:10:25,120 --> 00:10:30,299 el deber que tenemos todos como funcionarios públicos de confidencialidad y de guardar 117 00:10:30,299 --> 00:10:35,879 secreto. Si tenéis dudas de cualquier tipo, por favor, no dudéis en consultarnos al buzón 118 00:10:35,879 --> 00:10:37,019 de protección de datos. 119 00:10:42,340 --> 00:10:44,340 ¡Gracias!