Schools

The 10 things you need to know to adapt to the new gdpr data protection regulations

This decalogue is dedicated to the teaching staff and management and administrative staff of the schools and institutes of Barcelona. Its main objective is to clearly present the requirements that the new data protection regulations impose on schools with regard to the processing of students’ personal data, as well as to propose specific measures and examples to help guarantee their protection and compliance. These proposals are based on the empirical study Entorns Segurs (Safe Environments) developed by Eticas, and which has had the support of Barcelona City Council.

1. Crea una cultura de protecció de dades

Responsabilitat Proactiva

Cal que l’escola tingui una actitud de Responsabilitat Proactiva en la protecció de dades, és a dir, una actitud conscient, diligent i sistemàtica davant de tots els tractaments de dades personals que dugui a terme. S’ha de poder demostrar el compliment davant les persones interessades i davant l’Autoritat de protecció de dades. Per aconseguir-ho, cal seguir els següents passos:

Mapeja les dades

Fes un exercici de d’autoanàlisi (o demana ajuda) de totes les dades personals dels alumnes que recopila i tracta centre, posant ènfasi en:

  • Origen de les dades (pares, alumnes, Departament o generades per l’escola)
  • Gestions o operacions en què s’utilitzen les dades
  • Interessats (alumnes, pares, docents, comunitat educativa)
  • Tipologia (acadèmiques, familiars, imatge, etc.)

 

A l’estudi “Entorns segurs” Eticas va identificar quatre tipus de sistemes de dades a les escoles:

  1. Les TECNOLOGIES ADMINISTRATIVES, com per exemple el programari per a la gestió de dades o els serveis de correu electrònic administrats pels consells escolars i l’administració pública.
    Per exemple: Clickedu, Esemtia
  2. Les TECNOLOGIES FÍSIQUES de monitorització, que són els sistemes utilitzats per la seguretat i control en les escoles, com ara sistemes d’identificació biomètrica o CCTV (circuit tancat de televisió).
  3. Les EdTech, és a dir aquelles tecnologies dedicades a l’educació i la pedagogia, com, per exemple, aplicacions personalitzades o sistemes de gestió de l’aprenentatge.
    Per exemple: Moodle, Google Apps for Education (Google aula, Google Docs)
  4. Els DISPOSITIUS PERSONALS dels alumnes, com els telèfons intel·ligents, ordinadors personals o tauletes.
  5. Les XARXES SOCIALS: Twitter, Instagram, Facebook y YouTube per comunicar l’activitat escolar i aplicacions de missatgeria, particularment WhatsApp

Valora el risc

Fes una valoració del risc que pot generar el tractament d’aquestes dades tenint en compte la implicació que pot tenir en els menors a curt, mitjà i llarg termini.

  • Què passaria si aquestes dades es filtréssin?
  • Poden les dades que tenim impactar  negativament en la vida dels i les nostres alumnes en el futur?
  • Tenim tots els contractes en regla en relació a la protecció de dades?

Adopta les mesures pertinents

Després de valorar el risc, les mesures concretes a aplicar han de tenir en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com el risc per als drets i les llibertats de les persones. S’ha de poder demostrar el compliment davant les persones interessades i davant l’Autoritat de protecció de dades.

Un exemple d’aquestes mesures és la limitació o eliminació del ús de informació personal (imatges facials dels estudiantes, noms, etc.) a les xarxes socials de l’escola, com Instagram, Twitter o Facebook

2. Protegeix les dades des del disseny

Integra la privacitat als sistemes d’administració

El Reglament introdueix els conceptes de privacitat des del disseny i privacitat per defecte. Això implica que el responsable ha d’aplicar, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix, les mesures tècniques i organitzatives adequades concebudes per aplicar de manera efectiva els principis de protecció de dades (com per exemple la seudonimització), i integrar les garanties necessàries en el tractament per complir els requeriments del Reglament.

Així mateix, el responsable ha d’aplicar les mesures tècniques i organitzatives adequades per garantir que, per defecte, només es tracten les dades personals necessàries per a cada finalitat específica del tractament.

Exemple: Quan es dissenya una aplicació per a ús escolar, el primer que cal fer és valorar com afecta a la privacitat dels alumnes i dissenyar-la amb el màxim nivell de protecció. És a dir, ja des del disseny i per defecte cal que es garanteixi un nivell alt de protecció de la privacitat per als alumnes.

La creació d’un entorn segur per les dades personals de l’estudiantat abasta tant els aspectes tècnics com aquells relacionats amb l’administració de dades

  • En termes tècnics és important que asseguris la restricció de l’accés als ordinadors i als dispositius de l’escola mitjançant contrasenyes robustes (i la seva actualització), com tancant els ordinadors i altres dispositius cada vegada que s’utilitzen.
  • En termes del planificació administrativa, el projecte Entorns Segurs va trobar deficiències significatives en la definició del període de retenció de les dades per part dels centres educatius i en termes de la seva correcta eliminació. Tot i que l’escola està obligada a mantenir algunes dades, per tal de ser capaços de comunicar-se amb l’alumnat en el futur, les mateixes s’haurien d’eliminar una vegada no són necessàries. El Departament d’Ensenyament recomana que han mantenir-se sempre i quan s’utilitzin per al seu propòsit inicial, el que significa que una vegada que la seva funció s’ha dut a terme, les dades han de ser eliminades.

3. Vetlla per les dades sensibles

Tingues especial rigor a l’hora de recollir i tractar dades que revelin:

Origen ètnic o racial

Opinions polítiques

Dades genètiques

Dades genètiques

Aficilació sindical

Vida o orientació sexual

Dades de salut

Dades biomètriques

S’ha d’avaluar la proporcionalitat de recollir certes dades, com informació biomètrica dels alumnes, en relació al risc que suposa per la seva seguretat donada la seva capacitat de singularitzar a les persones. Per exemple, en cas de recollir empremtes digitals, s’hauria d’analitzar la necessitat funcional d’aquests identificadors personals i avaluar possibles alternatives que puguin assolir la mateixa operativitat.

4. Pregunta't per a què reculls les dades

Principi de finalitat

Les dades s’han de recollir amb finalitats determinades, explícites i legítimes i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats. El tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials .

En aquest sentit, la mateixa llei orgànica 2/2006, de 3 de maig, d’educació (LOE) estableix que la informació que recullin les escoles en exercici de la seva funció educativa ha de ser l’estrictament necessària per a la funció docent i orientadora, i no es pot tractar amb finalitats diferents de l’educativa sense consentiment exprés.

Ús / Propòsit: És important conèixer el propòsit del processament de la informació per poder jutjar la legitimitat dels mateixos i la proporcionalitat de les mesures adoptades. La qüestió del propòsit s’ha de posar en relació amb l’Article 6 GDPR. Com criteri fonamental s’ha de tenir en compte l’ús estrictament educatiu de les dades a ser recollides i utilitzades.

5. Recull dades mínimes i exactes

Principi de minimització de les dades

Les dades han de ser adequades, pertinents i s’han de limitar al que sigui necessari en relació amb els fins per als quals es tracten. Cal revisar amb cura les dades que es pretenen recollir perquè només es recullin aquelles que, d’acord amb aquest principi, siguin necessàries per a assolir la finalitat perseguida.

Les dades han de ser exactes i, si fos necessari, han d’estar actualitzades; La manca d’actualització de les dades personals pot afectar la mateixa gestió acadèmica o, fins i tot pot comportar la revelació indeguda de dades a terceres persones.

6. Demana sempre consentiment

Principi de minimització de les dades

Per a casos en què es necessiti tractar les dades amb finalitats diferents a la funció docent i orientadora, com ara la publicació de fotografies al web de l’escola, o el lliurament de dades a cases de colònies, museus o altres establiments que es visitin, es necessita el consentiment del titular de les dades, o del seu representant en el cas dels menors. Aquesta manifestació de voluntat ha de ser:

  • Lliure: la persona ha de tenir la possibilitat de rebutjar lliurement que es tractin les seves dades.
  • Específica: el consentiment es refereix a tractaments concrets i per a una finalitat determinada, explícita i legítima del responsable del tractament, sense que es puguin fer habilitacions genèriques.
  • Informada: cal informar els interessats perquè amb antelació al tractament, en puguin conèixer l’existència i les finalitats.
  • Inequívoca: la sol·licitud i l’atorgament del consentiment s’han de produir de forma clara.


MENORS DE 14 ANYS: Cal el consentiment dels pares o tutors

MAJORS DE 14 ANYS: Podran consentir per ells mateixos

Tenint en compte que l’escola utilitza cada cop més eines tecnològiques per a recopilar, tractar i difondre dades, cal tenir cura de les condicions de privacitat que ofereix cadascuna d’elles. Cal, doncs, proporcionar un full de consentiment específic i complert per a cada eina utilitzada que tracti dades de menors..

8. Comparteix responsabilitats

Implicació de tercers en el tractament de dades

A part de les tasques de recollida i tractament de dades dins del context escolar, els centres poden encarregar a terceres persones o entitats un tractament de dades personals o una activitat que comporti el tractament de dades com ara, el servei de menjador o les activitats extraescolars.

En aquest sentit, al projecte Entorns Segurs hem trobat inconvenients per la privacitat del alumnat amb l’externalització/contractació de serveis. És molt important que les autoritaris escolars defineixin requeriments i objectius clars als contractes que puguin acordar amb terceres parts, com editorials u altres empreses/associacions treballant per l’escola. Aquestes organitzacions, que actuen usualment com processadors de la informació, han de tenir competències limitades a l’hora d’administrar les dades personals del alumnat i han d’establir mesures de seguretat per garantir un ús segur d’aquestes dades. Es recomana així mateix que les condicions d’aquests serveis en termes d’administració de dades personals (tipus de dades a ser tractades i objectius específics) formin part del les fulles de consentiment a ser signades pels pares i mares de les alumnes.

Cal que el responsable del tractament (l’escola) garanteixi que l’encarregat d’un tractament implementi les mesures de protecció necessàries.

Responsable del tractament

Persona física o jurídica, autoritat pública, servei o altre organisme que sol o amb altres, determini els fins i mitjans del tractament.En escoles públiques, el Departament d’Ensenyament serà el que establirà qui és el responsable del tractament. En escoles privades: La mateixa escola és la responsable del tractament .

Encarregat del tractament

Persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del responsable del tractament. El responsable del tractament ha de triar un encarregat del tractament que ofereixi garanties suficients respecte de la implantació i el manteniment de les mesures tècniques i organitzatives apropiades, d’acord amb el que estableix l’RGPD, i que garanteixi la protecció dels drets de les persones afectades. Per tant, hi ha un deure de diligència a l’hora d’escollir la persona encarregada que es gestiona a través d’un contracte.

 


Consulta les directrius per a l’elaboració de contractes entre responsables i encarregats del tractament elaborades per l’Agencia Española de Protección de Datos.

9. Analitza els riscos abans de recollir dades

Exercici de pràctica reflexiva

Abans de recollir i tractar dades, cal fer un exercici de pràctica reflexiva i avaluar els riscos que comporta cada tractament per tal de determinar si les mesures implementades són correctes o cal implementar-ne de noves. Passos a seguir

  • Identificar les amenaces (per exemple, accés no autoritzat a les dades personals)
  • Valorar quina és la probabilitat que es produeixi el risc
  • Valorar l’impacte que tindria en les persones afectades

Si es produeix una violació de la seguretat de les dades, el responsable de tractament l’ha de notificar a l’autoritat de control sense dilació indeguda i, si és possible, en un termini màxim de 72 hores. En cas de tenir problemes amb dades sensibles, les autoritats escolars haurien de notificar també als pares dels alumnes.

10. Garanteix els drets dels alumnes

Exercici de pràctica reflexiva

L’escola ha d’informar dels drets que tenen els alumnes sobre les seves dades personals, així com garantir el seu excercici:

Dret d’Accés

L’interessat té dret a saber si el responsable del tractament tracta dades personals seves i, si és així, té dret a accedir-hi i a obtenir la informació.

Dret de Rectificació

L’interessat té dret a rectificar les seves dades personals inexactes i que es completin les seves dades personals incompletes

Dret de Supressió o Dret a l’Oblit

Els interessats tenen dret a obtenir la supressió de les dades («dret a l’oblit»), quan les dades ja no són necessàries per a la finalitat per a la qual es van recollir; es revoca el consentiment en el qual es basava el tractament; l’interessat s’oposa al tractament; Les dades s’han tractat il·lícitament, entre d’altres.

Dret a la Limitació del Tractament

Els interessats tenen dret a obtenir la supressió de les dades («dret a l’oblit»), quan les dades ja no són necessàries per a la finalitat per a la qual es van recollir; es revoca el consentiment en el qual es basava el tractament; l’interessat s’oposa al tractament; Les dades s’han tractat il·lícitament, entre d’altres.

Per a més informació sobre els drets dels ciutadans, consulta la següent infografia de l’Agencia Española de Protección de Datos

Adreces d'interès

Segueix informat

Elaborada per l’Agencia Española de Protección de Datos

Elaborades per l’Agència Catalana de Protecció de Dades

Manuals, vídeos i guies especialment per menors de l’Agencia Española de Protección de Datos

Federació d’Associacions de Mares i Pares d’Alumnes de Catalunya. Novetats sobre protecció de dades i com afecten a les AFA