1
00:00:03,690 --> 00:00:08,349
Hola, mi nombre es Jorge Castellanos y desempeño mi trabajo en la Delegación de Protección de

2
00:00:08,349 --> 00:00:13,289
Datos de la Consejería de Educación. En este vídeo vamos a hablar de un tema que constituye

3
00:00:13,289 --> 00:00:18,030
una de las consultas más frecuentes en la delegación, el uso de aplicaciones y plataformas

4
00:00:18,030 --> 00:00:23,929
informáticas por parte de los centros educativos. En el contexto actual, el uso de la informática

5
00:00:23,929 --> 00:00:28,510
en los colegios e institutos se ha incrementado notablemente, tanto a nivel de herramientas que

6
00:00:28,510 --> 00:00:33,429
permiten realizar tareas de soporte a la gestión del centro, como en las aulas, donde frecuentemente

7
00:00:33,429 --> 00:00:38,109
se usan aplicaciones educativas como complemento al proceso de enseñanza-aprendizaje.

8
00:00:38,869 --> 00:00:43,049
Sin embargo, la gestión de los datos personales que se puedan realizar en estas plataformas

9
00:00:43,049 --> 00:00:47,649
requiere una atención especial para cumplir con la normativa vigente en materia de protección

10
00:00:47,649 --> 00:00:53,649
de datos. En este bloque abordaremos las responsabilidades, riesgos y medidas necesarias para garantizar

11
00:00:53,649 --> 00:00:56,710
la seguridad y privacidad de los datos en el ámbito educativo.

12
00:00:57,329 --> 00:01:01,570
Lo primero que debemos tener claro son determinados conceptos básicos de protección de datos.

13
00:01:02,070 --> 00:01:05,129
Aunque ya se han tratado anteriormente, vamos a hacer un rápido repaso.

14
00:01:06,209 --> 00:01:10,709
Comenzaremos mencionando una figura fundamental en protección de datos, el responsable del

15
00:01:10,709 --> 00:01:15,569
tratamiento, que es la persona que determina la finalidad y los medios que se utilizarán

16
00:01:15,569 --> 00:01:17,969
en el tratamiento de datos personales que se realiza.

17
00:01:18,629 --> 00:01:22,549
En el caso de los centros públicos de la Comunidad de Madrid, esta figura recae en

18
00:01:22,549 --> 00:01:26,390
la dirección general a la que pertenece el centro, mientras que en centros concertados

19
00:01:26,390 --> 00:01:30,730
y privados, esta figura es el responsable o titular del centro educativo.

20
00:01:31,469 --> 00:01:35,510
Por lo tanto, los docentes no son los responsables de los tratamientos que realizan

21
00:01:35,510 --> 00:01:40,930
y no pueden decidir de manera unilateral qué medios y o herramientas van a utilizar

22
00:01:40,930 --> 00:01:43,870
si éstas tratan datos personales de terceras personas.

23
00:01:44,829 --> 00:01:50,290
Esto puede parecer una limitación importante, sin embargo, tiene sus motivos. Vamos a verlos.

24
00:01:50,849 --> 00:01:54,590
Según recoge el Reglamento General de Protección de Datos en su razón 75,

25
00:01:54,590 --> 00:02:00,209
un tratamiento de datos personales puede suponer un riesgo para los derechos y libertades de las personas físicas.

26
00:02:00,730 --> 00:02:05,810
Esta afirmación nos puede parecer exagerada. ¿Realmente hay un riesgo en que yo utilice una

27
00:02:05,810 --> 00:02:10,650
determinada aplicación para comunicarme con las familias o que, por ejemplo, utilice mi

28
00:02:10,650 --> 00:02:15,750
teléfono móvil para hacer fotos de mis alumnos en las excursiones? Aunque muchas veces no seamos

29
00:02:15,750 --> 00:02:20,750
capaces de verlo, sí lo hay. Además, hay que tener en cuenta que cuando uno de estos riesgos

30
00:02:20,750 --> 00:02:26,189
se materializa, afecta a los titulares de dichos datos personales y estos pueden sufrir las

31
00:02:26,189 --> 00:02:31,650
consecuencias de nuestras acciones. Por ejemplo, supongamos que un alumno presenta una determinada

32
00:02:31,650 --> 00:02:37,050
condición, ya sea personal o médica, que sólo conocen sus docentes. Uno de estos almacena los

33
00:02:37,050 --> 00:02:41,789
documentos que recogen dicha información en una aplicación en su dispositivo personal y,

34
00:02:41,969 --> 00:02:46,550
por error en su uso, lo publica en internet. La información es descubierta meses más tarde por

35
00:02:46,550 --> 00:02:51,430
una familia y, aunque se intenta borrar, ya hay copias del documento en diferentes páginas y la

36
00:02:51,430 --> 00:02:55,849
información está indexada en buscadores. Una simple búsqueda por el nombre del alumno nos

37
00:02:55,849 --> 00:03:00,270
ofrece dicha información sobre la que ya hemos perdido el control y que puede tener consecuencias

38
00:03:00,270 --> 00:03:05,469
sobre él toda su vida. Esta situación, que nos puede parecer de ciencia ficción, se corresponde

39
00:03:05,469 --> 00:03:12,229
con un caso real que hemos tratado en la relegación. Como hemos visto, el riesgo existe. Además, estos

40
00:03:12,229 --> 00:03:17,050
se materializan afectando a los datos personales de diferentes formas. No sólo la filtración de

41
00:03:17,050 --> 00:03:22,090
datos personales lo que debe preocuparnos, también la pérdida. Por ejemplo, en el caso de exámenes

42
00:03:22,090 --> 00:03:27,389
desaparecidos, su modificación ilícita, como puede ser el cambio de una calificación, o que su

43
00:03:27,389 --> 00:03:32,030
tratamiento no cumpla con la normativa europea, hecho que será cuando usamos plataformas que no

44
00:03:32,030 --> 00:03:36,430
están situadas en Europa y que pueden estar sujetas a nuestra normativa de datos personales.

45
00:03:36,949 --> 00:03:41,289
Todo esto genera que los titulares de los datos puedan sufrir las consecuencias de un error en

46
00:03:41,289 --> 00:03:46,729
la gestión de los mismos y debemos minimizar esa posibilidad. Una vez que tenemos claro que existe

47
00:03:46,729 --> 00:03:51,789
el riesgo, comprenderemos que es necesario evitarlo. Según indica el Reglamento General de Protección

48
00:03:51,789 --> 00:03:57,009
de datos, en su artículo 24, para proteger a los titulares de los datos personales, estos

49
00:03:57,009 --> 00:04:01,750
riesgos deben ser minimizados por el responsable del tratamiento, que debe aplicar medidas

50
00:04:01,750 --> 00:04:06,610
técnicas y organizativas adecuadas para poder garantizar y demostrar que el tratamiento

51
00:04:06,610 --> 00:04:11,050
de datos personales que realiza es conforme al Reglamento Europeo de Protección de Datos.

52
00:04:11,689 --> 00:04:16,810
Estas medidas pueden ser, por ejemplo, determinar que todos los tratamientos de datos personales

53
00:04:16,810 --> 00:04:20,870
se realicen en equipos propiedad del centro, que serán configurados con las suficientes

54
00:04:20,870 --> 00:04:26,610
garantías de seguridad para evitar que puedan ser accedidos por terceras personas. Para que el

55
00:04:26,610 --> 00:04:31,449
responsable pueda establecer las medidas de seguridad, el artículo 35 del Reglamento General

56
00:04:31,449 --> 00:04:37,089
de Protección de Datos establece que éste debe realizar, antes de comenzar a tratar datos

57
00:04:37,089 --> 00:04:41,769
personales, una evaluación de impacto de las operaciones de tratamiento de datos personales.

58
00:04:42,269 --> 00:04:46,910
Esto quiere decir que hay que realizar, antes de emprenderlo, un análisis en profundidad del

59
00:04:46,910 --> 00:04:51,889
tratamiento de datos personales que se pretende realizar, de manera que se pueda determinar qué

60
00:04:51,889 --> 00:04:57,870
riesgos hay y qué medidas debemos aplicar para minimizar dichos riesgos. Hay que tener en cuenta

61
00:04:57,870 --> 00:05:02,410
que la realización de la evaluación de impacto puede determinar que un tratamiento de datos

62
00:05:02,410 --> 00:05:08,050
personales tiene tantos riesgos asociados que no se va a poder realizar. Por lo tanto, es tarea del

63
00:05:08,050 --> 00:05:13,029
responsable, previamente a realizar un tratamiento de datos personales, la realización de los

64
00:05:13,029 --> 00:05:20,529
siguientes pasos. Analizar los riesgos y comprobar la viabilidad del tratamiento. Definir cómo se va

65
00:05:20,529 --> 00:05:29,569
a realizar el tratamiento. Determinar las medidas de seguridad. Y dictar instrucciones para su

66
00:05:29,569 --> 00:05:36,850
realización. En estas circunstancias nos planteamos la siguiente pregunta. ¿Puede un profesor o un

67
00:05:36,850 --> 00:05:42,149
centro educativo público utilizar una aplicación que trata datos personales sin el conocimiento y

68
00:05:42,149 --> 00:05:47,449
la supervisión de su responsable? Si tenemos en cuenta que en ese caso el responsable no sería

69
00:05:47,449 --> 00:05:52,009
consciente del uso de la aplicación por parte de sus docentes, no habría podido analizar el

70
00:05:52,009 --> 00:05:57,310
tratamiento ni identificar los riesgos, tampoco determinar las medidas de seguridad ni gestionar

71
00:05:57,310 --> 00:06:03,110
su alta en el registro de actividades de tratamiento, ¿estaría cumpliendo la norma? Pues evidentemente

72
00:06:03,110 --> 00:06:08,149
no. Primero, porque no estamos cumpliendo con la normativa. Segundo, porque al no analizar el

73
00:06:08,149 --> 00:06:13,290
tratamiento, los riesgos para los titulares de los datos personales podrían ser altos. Por lo

74
00:06:13,290 --> 00:06:17,110
tanto, podríamos ser sancionados por la Agencia Española de Protección de Datos en caso de

75
00:06:17,110 --> 00:06:22,069
reclamación y, además, nuestro incumplimiento podría tener serias consecuencias para los

76
00:06:22,069 --> 00:06:27,569
titulares de los datos personales afectados. Es preciso hacer un ejercicio de responsabilidad y

77
00:06:27,569 --> 00:06:32,730
actuar pensando en que tratamos datos personales de terceras personas, en la mayoría de los casos

78
00:06:32,730 --> 00:06:36,790
menores de edad, que podrían acabar sufriendo las consecuencias de que nosotros no seamos

79
00:06:36,790 --> 00:06:42,230
respetuosos con la norma. En definitiva, el uso de aplicaciones y sistemas informáticos

80
00:06:42,230 --> 00:06:46,829
para realizar el tratamiento de datos personales en los centros educativos requiere cumplir

81
00:06:46,829 --> 00:06:51,410
con una serie de obligaciones, cuyo objetivo principal es proteger a los titulares de los

82
00:06:51,410 --> 00:06:56,029
datos de los posibles riesgos y consecuencias que podrían tener que afrontar en caso de

83
00:06:56,029 --> 00:07:00,850
que la falta de análisis sobre el tratamiento y las medidas de seguridad a implementar provocase

84
00:07:00,850 --> 00:07:03,189
alguna circunstancia que afectase a dichos datos.