1
00:00:02,930 --> 00:00:08,490
Hola y bienvenidos a la parte quinta del curso formativo en materia de protección de datos

2
00:00:08,490 --> 00:00:14,529
personales. Soy Julia Portero y soy asociada de tecnología y privacidad en EFI Halofir.

3
00:00:15,669 --> 00:00:20,750
En el presente vídeo vamos a abordar las funciones y potestades de la autoridad

4
00:00:20,750 --> 00:00:25,989
administrativa en materia de protección de datos personales, así como su impacto en

5
00:00:25,989 --> 00:00:31,609
nuestra actividad del día a día. La Agencia Española de Protección de Datos, como su nombre

6
00:00:31,609 --> 00:00:36,829
indica, es la autoridad de control competente para supervisar la aplicación de la normativa

7
00:00:36,829 --> 00:00:41,869
en materia de protección de datos, con el fin de proteger los derechos de las personas

8
00:00:41,869 --> 00:00:45,689
físicas en lo que respecta al tratamiento de sus datos personales.

9
00:00:46,630 --> 00:00:51,450
Es una autoridad pública, establecida por el Gobierno estatal como autoridad de control,

10
00:00:51,609 --> 00:00:54,890
que actúa con plena independencia en el ejercicio de sus funciones.

11
00:00:56,229 --> 00:01:01,590
La normativa prevé que tanto los particulares como las entidades que traten datos personales

12
00:01:01,590 --> 00:01:07,769
cooperen con esta autoridad de control. Así, las administraciones y los centros educativos

13
00:01:07,769 --> 00:01:13,010
como entidades que tratan datos personales ostentan un deber de colaboración con la

14
00:01:13,010 --> 00:01:19,170
agencia. Esta colaboración se ejecutará habitualmente a través del Delegado de Protección

15
00:01:19,170 --> 00:01:24,489
de Datos, bien de la Consejería de Educación, bien del propio centro, que actúa como canal

16
00:01:24,489 --> 00:01:29,469
de contacto con la autoridad de control y asesora a los docentes sobre el cumplimiento

17
00:01:29,469 --> 00:01:36,049
de la normativa en el día a día. En concreto, la normativa asigna a la agencia las siguientes

18
00:01:36,049 --> 00:01:42,370
funciones. Controlar la aplicación de la norma y hacerla aplicar. Promover la sensibilización

19
00:01:42,370 --> 00:01:47,870
del público y su comprensión de los riesgos y derechos en relación con el tratamiento de datos

20
00:01:47,870 --> 00:01:55,469
personales con especial atención en las actividades dirigidas específicamente a los niños. Facilitar

21
00:01:55,469 --> 00:02:00,829
información y ofrecer asesoramiento a cualquier interesado en relación con el ejercicio de sus

22
00:02:00,829 --> 00:02:08,110
derechos. Tratar las reclamaciones presentadas por un interesado o una organización e investigar en

23
00:02:08,110 --> 00:02:13,909
la medida oportuna el motivo de tal reclamación. Como se aprecian las funciones asignadas a la

24
00:02:13,909 --> 00:02:19,009
autoridad de control, el tratamiento de datos de los menores de edad constituye uno de los

25
00:02:19,009 --> 00:02:24,509
principales focos de la agencia, en virtud del especial cuidado y garantías que la normativa

26
00:02:24,509 --> 00:02:31,189
atribuye a los derechos de estos. En este sentido, la agencia cuenta con recursos específicos

27
00:02:31,189 --> 00:02:37,189
relativos al tratamiento de los datos de menores, por ejemplo, su canal joven o el canal peritario,

28
00:02:37,629 --> 00:02:43,750
donde comparte diferentes recursos e infografías dirigidos al personal docente con relación al

29
00:02:43,750 --> 00:02:49,909
tratamiento de datos personales que se ejecuta en los centros educativos. Por ello, dado el

30
00:02:49,909 --> 00:02:55,189
continuo y considerable tratamiento de los datos de los menores que realizan los centros educativos,

31
00:02:55,750 --> 00:03:01,310
el cual se encuentra amparado en la labor docente y de enseñanza, resulta especialmente relevante

32
00:03:01,310 --> 00:03:07,689
que este tratamiento de datos observe y garantice, asimismo, el derecho fundamental a la protección

33
00:03:07,689 --> 00:03:13,930
de los datos personales. Para ejecutar las funciones que se le atribuyen por la normativa,

34
00:03:13,930 --> 00:03:19,810
la agencia cuenta con poderes de investigación, poderes correctivos y poderes consultivos.

35
00:03:19,909 --> 00:03:22,689
que se concretan en la potestad de

36
00:03:22,689 --> 00:03:30,009
ordenar a las entidades que tratan datos que faciliten cualquier información que requieran para el desempeño de sus funciones,

37
00:03:31,430 --> 00:03:34,370
llevar a cabo investigaciones en forma de auditorías,

38
00:03:35,990 --> 00:03:44,810
sancionar a todo responsable o encargado del tratamiento con una advertencia, un apercibimiento o incluso una sanción pecunaria

39
00:03:44,810 --> 00:03:48,949
cuando los tratamientos de datos previstos puedan infringir la normativa.

40
00:03:49,909 --> 00:03:57,629
ordenar al responsable o encargado del tratamiento que atienda las solicitudes de ejercicios de derechos del interesado

41
00:03:57,629 --> 00:04:04,909
y, por último, imponer una prohibición temporal o definitiva de realizar un tratamiento de datos.

42
00:04:05,949 --> 00:04:09,569
En virtud de las funciones y poderes que ostenta la agencia,

43
00:04:09,569 --> 00:04:15,569
la normativa prevé que ésta pueda solicitar a los centros y a las entidades que tratan datos personales

44
00:04:15,569 --> 00:04:20,750
personales la documentación que acredite el cumplimiento de la normativa de protección de

45
00:04:20,750 --> 00:04:26,730
datos, como por ejemplo el registro de actividades del tratamiento, documento que toda entidad debe

46
00:04:26,730 --> 00:04:33,769
elaborar para identificar los distintos tratamientos de datos que afectúa. En el mismo sentido y como

47
00:04:33,769 --> 00:04:39,050
se analizará en detalle en el bloque 3 relativo a ciberseguridad, se prevé la obligación de las

48
00:04:39,050 --> 00:04:45,170
entidades de que en caso de una brecha o violación en la seguridad de los datos personales, notificar

49
00:04:45,170 --> 00:04:51,750
a la agencia. Por último, es necesario reseñar el derecho de los interesados a presentar una

50
00:04:51,750 --> 00:04:57,310
reclamación en materia de protección de datos, bien ante el delegado de protección de datos de

51
00:04:57,310 --> 00:05:03,449
un centro educativo, bien directamente ante la autoridad de control. Por todo ello, en atención

52
00:05:03,449 --> 00:05:09,250
a las funciones de control, sensibilización y asesoramiento, así como a sus poderes de

53
00:05:09,250 --> 00:05:15,250
investigación, correctivos y consultivos, resulta especialmente relevante ser conscientes de la

54
00:05:15,250 --> 00:05:22,149
labor de la agencia y del alcance de nuestro deber de colaboración con ésta. Muy en concreto, para el

55
00:05:22,149 --> 00:05:27,990
caso de que un centro educativo se vea afectado por una reclamación, por ejemplo, un supuesto que

56
00:05:27,990 --> 00:05:33,449
podría constituir un caso de reclamación, bien ante el delegado de protección de datos de un centro,

57
00:05:33,769 --> 00:05:39,069
bien directamente ante la agencia, sería el caso de un padre o progenitor que haya ejercitado un

58
00:05:39,069 --> 00:05:45,069
derecho de acceso en materia de petición de datos ante el centro educativo de su hijo para conocer

59
00:05:45,069 --> 00:05:51,430
la información de la que dispone el centro sobre el mismo y no haya recibido, por ejemplo, respuesta

60
00:05:51,430 --> 00:05:58,069
o en la respuesta facilitada no se le haya incluido la información al respecto. En caso de que la

61
00:05:58,069 --> 00:06:02,689
reclamación se presente ante el delegado de petición de datos de un centro, éste deberá

62
00:06:02,689 --> 00:06:09,649
revisar y analizar la misma. Para ello, debe cerciorarse de que el solicitante está identificado,

63
00:06:10,170 --> 00:06:15,069
pudiendo solicitarle información al respecto, el nombre completo, la vinculación con el centro,

64
00:06:15,509 --> 00:06:21,949
el alumno con el que guarda relación, etc. En segundo lugar, resulta obligatorio dar

65
00:06:21,949 --> 00:06:27,110
respuesta a la solicitud efectuada, bien en sentido positivo, procediendo a realizar la

66
00:06:27,110 --> 00:06:32,410
acción solicitada, facilitar la información en el ejemplo mencionado, o bien denegando la

67
00:06:32,410 --> 00:06:38,550
solicitud, justificando motivadamente por qué no se puede atender la misma, conforme nos exige la

68
00:06:38,550 --> 00:06:44,670
normativa de protección de datos. En el caso de que la reclamación contra el centro educativo se

69
00:06:44,670 --> 00:06:50,290
interponga directamente ante la propia agencia, ésta evaluará si procede a admitir la trámite.

70
00:06:51,209 --> 00:06:56,329
En el caso de que esta reclamación carezca de fundamento o el centro afectado ya haya

71
00:06:56,329 --> 00:07:01,269
adoptado medidas para solventar la incidencia y garantizar los derechos del reclamante,

72
00:07:01,269 --> 00:07:08,550
la agencia podrá inadmitirla. Por ejemplo, en el caso mencionado, si el centro educativo finalmente

73
00:07:08,550 --> 00:07:14,230
ha atendido el ejercicio de derecho del ceso que ha efectuado el padre, una vez la agencia haya

74
00:07:14,230 --> 00:07:20,009
podido verificar que este derecho ha sido atendido, podría inadmitir y archivar la reclamación que el

75
00:07:20,009 --> 00:07:26,069
padre haya podido interponer. Antes de decidir sobre la admisión de la reclamación, la agencia

76
00:07:26,069 --> 00:07:31,810
pueda trasladar la misma a la entidad afectada, al propio centro, a su delegado de protección de

77
00:07:31,810 --> 00:07:37,430
datos o a la consejería o administración correspondiente. En ese caso, el centro o la

78
00:07:37,430 --> 00:07:43,370
administración afectada deberá contestar al reclamante en el plazo de un mes. Adicionalmente,

79
00:07:43,589 --> 00:07:49,170
cabe la posibilidad de que la agencia nos indique expresamente que le facilitemos información sobre

80
00:07:49,170 --> 00:07:54,829
los hechos sobre los que versa la reclamación. En el caso de admitir la reclamación a trámite con

81
00:07:54,829 --> 00:08:01,290
el fin de dirimir si se produce algún incumplimiento de la normativa, la agencia iniciará sus actuaciones

82
00:08:01,290 --> 00:08:08,269
de investigación y el correspondiente procedimiento administrativo. En el marco de las actuaciones de

83
00:08:08,269 --> 00:08:14,050
investigación que puede ejecutar la agencia, las administraciones, los centros e inclusive los

84
00:08:14,050 --> 00:08:19,750
particulares afectados estarán obligados a proporcionar a la agencia los datos y documentos

85
00:08:19,750 --> 00:08:25,350
necesarios para llevar a cabo su actividad de investigación. En concreto, la agencia

86
00:08:25,350 --> 00:08:30,209
podría dirigir a la Administración y a los centros solicitudes de información precisas,

87
00:08:30,810 --> 00:08:36,070
realizar inspecciones o requerir la exhibición o el envío de los documentos que considere

88
00:08:36,070 --> 00:08:43,049
pertinentes. Cuando la solicitud o la reclamación se refiera exclusivamente a la falta de atención

89
00:08:43,049 --> 00:08:48,350
de una solicitud de ejercicio de los derechos que la normativa otorga a los particulares

90
00:08:48,350 --> 00:08:53,549
o interesados, como el derecho de acceso que hemos visto en el ejemplo, la agencia podrá

91
00:08:53,549 --> 00:08:59,690
acordar en cualquier momento la obligación de atender el derecho solicitado. En el caso de

92
00:08:59,690 --> 00:09:05,889
que la reclamación tenga por objeto determinar la posible existencia de una infracción, el

93
00:09:05,889 --> 00:09:11,149
procedimiento administrativo de carácter sancionador podrá culminar en virtud de la

94
00:09:11,149 --> 00:09:16,590
potestad sancionadora de la agencia con un apercibimiento o advertencia y en el caso de

95
00:09:16,590 --> 00:09:23,590
los centros de carácter privado, inclusive con una sanción económica o multa. Al margen de la

96
00:09:23,590 --> 00:09:27,929
actividad de investigación y control, cabe reseñar las potestades de regulación que

97
00:09:27,929 --> 00:09:33,350
ostenta la agencia, que podrá dictar disposiciones que fijen los criterios a los que responderá su

98
00:09:33,350 --> 00:09:38,450
actuación, denominadas en concreto circulares de la Agencia Española de Protección de Datos.

99
00:09:38,990 --> 00:09:43,250
Las circulares de la agencia son de obligado cumplimiento, una vez publicadas en el Boletín

100
00:09:43,250 --> 00:09:48,169
oficial del Estado, por lo que es necesario conocer aquellas que nos resulten de aplicación

101
00:09:48,169 --> 00:09:54,149
en aras de poder ajustarnos a su contenido. Actualmente, la Agencia no ha dictado ninguna

102
00:09:54,149 --> 00:09:59,750
circular aplicable al ámbito educativo o escolar, si bien sí cabe reseñar otros recursos

103
00:09:59,750 --> 00:10:05,190
que, pese a no resultar de obligado cumplimiento, pueden solventar dudas y orientarnos a la

104
00:10:05,190 --> 00:10:10,570
hora de tratar datos personales en las múltiples situaciones que puedan tener lugar en la actividad

105
00:10:10,570 --> 00:10:15,590
rutinaria de los centros educativos. Cabe destacar en este sentido la guía sectorial

106
00:10:15,590 --> 00:10:21,129
de la Agencia para Centros Educativos. Muchas gracias por vuestra atención. En el próximo

107
00:10:21,129 --> 00:10:26,769
vídeo analicaremos los distintos tratamientos de datos personales que la normativa identifica

108
00:10:26,769 --> 00:10:30,049
y que resultan recurrentes en la actividad de los centros educativos.