Muy útil para ser tenido en cuenta por los papás

No por simple deja de ser útil el folleto que publicó la Agencia Española de Protección de Datos el año pasado, dirigido a padres e hijos con unas cuantas cuestiones esenciales (derechos, deberes y recomendaciones) sobre el derecho a la Protección de datos expuestas de forma escueta y sencilla con cuatro ideas claras para ser entendidas por unos y otros. Quizá debería repartirse a todas las familias en los colegios para ir concienciando a niños y mayores...

Protección de Datos inicia procedimiento de infracción al IES Abastos por colocar cámaras

VALENCIA, 28 Oct. (EUROPA PRESS) -
La Agencia Española de Protección de Datos ha acordado iniciar procedimiento de declaración de infracción al Instituto de Enseñanza Secundaria (IES) Abastos de Valencia por la colocación de 22 cámaras de vigilancia de en las instalaciones educativas, según la resolución adoptada por el organismo.
La institución acordó el pasado 4 de noviembre iniciar las actuaciones previas de inspección para determinar si la instalación en el instituto de un sistema de cámaras de vigilancia --con el fin de evitar actos vandálicos, según explicó la dirección del centro-- podía ser motivo de sanción. Poco después, el día 26 del mismo mes, la Agencia recibió la denuncia interpuesta por el Sindicato de Estudiantes en la que se solicitaba además la "depuración de las posibles responsabilidades" ya que aseguraban que había cámaras en los aseos de mujeres.
Por su parte, la dirección del instituto ya había anunciado, ante la polémica suscitada, que retiraría las cámaras de vigilancia que se habían colocado en "zonas de especial sensibilidad" como los baños y que no procedería a la instalación de un sistema de reconocimiento por huellas dactilares en los accesos al edificio, previsto en un principio.
Tras estudiar el caso, la Agencia determina que los hechos pueden incurrir en una presunta infracción de diversos artículos de la Ley Orgánica de Protección de Datos de Carácter Personal. En concreto, alude al punto 4.1 de la norma, que señala que los datos personales "sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido".
También se refiere al artículo 6.1, que advierte de que el tratamiento de esos datos "requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa", y al número 20, que dice que la creación de los ficheros de las Administraciones Públicas as sólo podrá hacerse por medio de disposición publicada en el BOE y que estas disposiciones deberán indicar la finalidad y usos, las personas o colectivos sobre los que se obtendrán datos y el procedimiento de recogida de los mismos. El incumplimiento de todos estos extremos puede suponer una infracción de carácter "muy grave", especifica el texto.
En el acuerdo --que se ha notificado a la Conselleria de Educación, el Sindicato de Estudiantes y el propio instituto-- se refleja que con fecha 3 de diciembre de 2008 los inspectores de la Agencia realizaron una visita al centro, en la que comprobaron que se llegó a instalar una cámara dentro del aseo de chicas enfocando a la puerta de entrada, aunque posteriormente fue cambiada de ubicación y sacada fuera del baño.
También se recalca que el fichero que se genera con las imágenes grabadas no había sido inscrito en ese momento en el Registro General de la Agencia de Protección de Datos.
Finalmente, señala que el acceso a las imágenes grabadas se encontraba protegido y que las imágenes sólo se visualizaban cuando algún alumno lo solicitaba con motivo de algún robo o acto de vandalismo y el visionado se producía siempre en presencia del director o jefe de estudios.

HOY, 19 DE OCTUBRE DE 2009 SE CUMPLE UN NUEVO PLAZO PARA LA IMPLANTACIÓN DE MEDIDAS DE PROTECCIÓN DE DATOS.

Hoy, 19 de octubre de 2009 (SEGÚN DT. 2ª RD 1720/2007 -dieciocho meses desde su entrada en vigor-) expira el plazo para la implantación efectiva de las Medidas de Seguridad de Nivel Medio en relación a los FICHEROS NO AUTOMATIZADOS (EN PAPEL) que existieran en la fecha de entrada en vigor del RD 1720/2007 de 21 de diciembre por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre de protección de Datos de Carácter Personal, es decir, todos aquellos preexistentes a 19 de abril de 2008. En los creados con posteridoridad a esta última fecha ya deberían haber sido implantadas las medidas de razón.

Sanción por incumlimiento del deber de secreto.

Muy interesante resulta esta Resolución de la Agencia Española de Protección de Datos del pasado mes de mayo, en la que se sanciona a un centro escolar por publicar un listado de alumnos beneficiarios de ciertas becas... En este caso, podemos decir lo mismo que ya apuntamos en una entrada anterior... Si en vez de tratarse de un centro público hubiera sido uno privado, la sanción a éste hubiera sido una multa de 60.000 a 300.000 euros.

Otro interesante y reciente informe de la AEPD sobre imágenes de alumnos en las páginas web de los colegios

Versa este informe sobre la publicación de unas fotos de una alumna en la página web de su colegio con motivo de actividades extraescolares. Condensa brevemente el espíritu de la norma al respecto y la línea interpretativa de las Autoridades en materia de Protección de Datos al respecto.
De imprescindible lectura resulta el apartado referido a entornos escolares (páginas 25 y 26) de la Guía de Videovigilancia editada en 2009 por la Agencia Española de Protección de Datos.

La "mayoría de edad" a efectos de Protección de Datos

El artículo 13 del Reglamento de la Ley Orgánica de Protección de Datos (RD 1720/2007) dice lo siguiente:

"Consentimiento para el tratamiento de datos de menores de edad.
1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales."

Del mismo podemos extraer una interesante consecuencia que se preguntan a menudo profesores y colegios: hasta los 14 años, son los padres quienes tienen que consentir o no sobre los tratamientos de los datos de sus hijos. A partir de dicha edad serán los propios alumnos quienes decidan sobre lo que consienten hacer con sus datos personales.
En relación con ello y habida cuenta de la previsión del artículo 11 de la Ley 15/1999 de Protección de Datos en el sentido de que para comunicar datos a un tercero se requiere el previo consentimiento del interesado, la cuestión que se suscita a menudo es si tienen derecho los padres a conocer los datos académicos de sus hijos (las notas). Y la respuesta... Si tenemos en cuenta lo establecido por el artículo 154 del Código Civil en cuanto a la potestad de los padres ("Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral") y ello lo ponemos en relación con lo previsto por el artículo 11.2.a de la Ley Orgánica 15/1999 ("el consentimiento no será preciso cuando la cesión está autorizada en una Ley") parece claro -y así lo afirmó en los informes 227/2006, y 466/2004 de la AEPD- que existe una norma con rango de Ley que habilita dicha cesión o comunicación de datos de carácter personal, por lo que la cesión de los datos académicos o psicopedagógicos que guarden directa relación con los deberes formativos se encontraría amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 en relación con el artículo 154 del Código Civil.
Mas, la cuestión se complica si tenemos en cuenta lo siguiente: que los informes citados son de los años 2004 y 2006, mientras que el RD 1720/2007 que contiene el artículo 13 transcrito al principio es posterior, y que, además, el propio artículo 154 del código Civil dice en su último párrafo que "Si los hijos tuvieren suficiente juicio deberán ser oídos siempre antes de adoptar decisiones que les afecten". En definitiva, ¿qué pasa si el alumno mayor de 14 años se opone expresamente a la cesión de sus datos académicos a sus padres? ¿seguirá manteniendo la AEPD la doctrina manifestada en sus informes de 2004 y 2006?

Imágenes en los colegios

No cabe ninguna duda sobre que las fotos o imágenes de los alumnos sean dato de carácter personal (art. 5.1.f del RD 1720/2007) y por ello que tales datos queden protegidos por la normativa de PD, siempre y cuando conciernan a personas físicas identificadas o identificables (es decir, si es posible identificar al interesado que sale en la foto). Sentado esto, la pregunta es ¿Pueden los colegios disponer de imágenes de sus alumnos -ficha de matrícula, revista del colegio, etc.-? Y la respuesta es: sí, siempre que tengan el consentimiento de éstos, salvo en los casos en que dicho consentimiento no sea exigible conforme a lo dispuesto en las Leyes.
En cuanto a imágenes tomadas con motivo de videovigilancia, conviene tener en consideración el siguiente Informe Jurídico emitido por la Agencia Española de Protección de Datos, o este otro INFORME emitido por la AEPD con posterioridad a este comentario.

Informe Jurídico de la AEPD de gran utilidad para ser tenido en cuenta por centros docentes

El pasado 1 de octubre de 2008, la Agencia Española de Protección de Datos, en respuesta a una serie de consultas planteadas por un centro docente, emitió un INFORME JURÍDICO de gran interés para el sector, habida cuenta de las cuestiones sobre las que el mismo se pronuncia:
1.- Cuestiones relacionadas con la recabación de datos personales del alumnado.
2.- Cuestiones relacionadas con la cesión de datos por parte del centro a la Universidad.
3.- Cuestiones relacionadas con la comunicación de datos por parte del centro para la tramitación de ayudas.
4.- Cuestiones relacionadas con la conservación de datos de los alumnos.
5.- Cuestiones relacionadas con la inclusión de datos de salud en los partes de baja de los trabajadores y las medidas de seguridad que deberán implantarse sobre los ficheros en que consten estos datos.
SE RECOMIENDA SU ATENTA LECTURA

¿Cuáles son esas obligaciones de seguridad sobre ficheros no automatizados que resultan exigibles desde el pasado 19 de abril de 2009?

Muy sencillas: El archivo de los documentos debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO). Los dispositivos de almacenamiento deberán estar dotados de mecanismos que obstaculicen su apertura (llaves en los archivadores). Y durante la revisión o tramitación de los documentos, la persona a cargo de los mismos debe ser diligente y custodiarlas para evitar accesos no autorizados.

¿Qué hubiera pasado si en vez de tratarse de un instituto público hubiera sido un centro privado?

Al respecto de la Resolución de la Agencia Española de Protección de Datos (AEPD) de 5 de diciembre de 2008, relativa a los hechos acaecidos consistentes en la aparición de diversa documentación comprensiva de datos personales de los alumnos en un contenedor, podemos sacar una interesante conclusión.
En este caso, la cosa ha quedado en una resolución de la AEPD estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción, la notificación a la entidad infractora y lo mismo al Defensor del Pueblo... pues como sabemos, por tratarse de un instituto o colegio público (administración pública) se aplica el artículo 46 de la Ley Orgánica 15/1999. Pero, ¿Qué hubiera ocurrido si en vez de tratarse de un colegio público los hechos hubieran ocurrido en uno privado? Pues que en vez de aplicarsele el artículo 46 se hubiera aplicado el 45.2, lo que hubiera supuesto una sanción de entre 60.000 y 300.000 euros...
LA CONCLUSIÓN: AHORRARSE EL COSTE DE UNA DESTRUCTORA DE PAPEL PUEDE SALIR MUUY CARO.

Sabado 19 de abril de 2009: PLAZO DE IMPLANTACIÓN

El pasado 19 de abril expiró el plazo para la implantación efectiva de las Medidas de Seguridad de Nivel Básico en relación a los FICHEROS NO AUTOMATIZADOS (EN PAPEL) que existieran en la fecha de entrada en vigor del RD 1720/2007 de 21 de diciembre por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre de protección de Datos de Carácter Personal, es decir, todos aquellos preexistentes a 19 de abril de 2008. En los creados con posteridoridad a esta última fecha ya deberían haber sido implantadas las medidas de razón.