Ejemplos RGPD en educación
Revisado 25 agosto 2024
Resumen
Asociado a Normativa webs, aplicaciones y protección de datos en educación, y especialmente con Google en educación, y Microsoft Teams en educación Madrid voy viendo casos de centros en Madrid que no cumplen normativa. También asociado a Competencia digital docente y #CompDigEdu surge formación sobre RGPD en centros, y creo que es bueno centralizar información de ejemplos concretos. Inicialmente tenía información dispersa en algunos posts, en incluso dispersa en correos enviados a DPD, e intento centralizar aquí los ejemplos concretos. Todos los posts del blog están en permanente estado de revisión, pero este especialmente.
Por poner un poco de humor
viendo que respondió AEPD
https://twitter.com/AEPD_es/status/1448663567360688130
Detalle
Es un post donde recoger información objetiva: si es un incumplimiento no es nada contra ningún
centro en concreto, es sobre el incumplimiento objetivo de RGPD en educación. A veces es para aclararme a mi mismo si algo que veo ya lo he comunicado a DPD y/o obtenido respuesta, y si procede ir a DPD. También puede servir para ver si algo que se hace es o no correcto / cumple o no RGPD o cómo se debe hacer.
Pongo información de centros por orden alfabético, y dentro de cada uno información cronológica si procede. Me centro en Madrid pero también cito otras CCAA si localizo centros.
Quizá con el tiempo y volumen ponga un listado de "ejemplos/situaciones", citando en ellas errores típicos, dónde se cometen/se han cometido y cómo actuar correctamente.
Pendiente citar aquí centros asociados a Apple 2021 https://twitter.com/FiQuiPedia/status/1350041031618781186
En post Normativa webs, aplicaciones y protección de datos en educación se pueden citar ejemplos como sanción AEPD a ClassDojo
En noviembre 2022 veo este vídeo que comenta ideas interesantes
https://mediateca.educa.madrid.org/videointeractivo/plh9thsw3wme7xka
Hacer limpieza (con enlaces a ayuda y normativa) (vídeo enriquecido)
Resolver distintas situaciones en el aula virtual
Listado de centros
- IES Bertendona, Bilbao
- IES Cardenal Cisneros, Alcalá de Henares
- IES Federico García Lorca, La Puebla, Sevilla
- IES Gerardo Diego
- IES Gregorio Peces Barba Colmenarejo
- IES Las Encinas
- IES Pintor Antonio López
- IES Salvador Allende
- IES Victoria Kent
- Bachillerato Internacional
- Colegio Seminario Rozas
Otros temas
- ClassDojo
- Edebé en aulas virtuales
- Vigilancia de redes sociales
- Listados de academias oposiciones
- TeachTokers
- Sociescuela
IES Bertendona, Bilbao
IES Bertendona - Google Suite Para Centros Educativos
https://martindebertendona.hezkuntza.net/es/g-suite-for-education
enlaza dos documentos
Política de Uso de Cuentas G Suite del IES Bertendona.
Aceptación y Autorización de Uso de Cuentas G Suite del IES Bertendona.
IES Cardenal Cisneros Alcalá de Henares
14 noviembre 2022
Veo en PGA que cita edisciplina. Ya lo había comentado con IES Gerardo Diego antes.
También este año contamos con la aplicación informática “eDisciplina” que intentará agilizar todo el mecanismo de entrega de partes tanto a padres como a Jefatura. Dicha aplicación actualmente está en período de pruebas y se instalará durante el segundo trimestre una vez realizada la formación por todo el claustro.
Escribo correo a DPD
---
Comento este tema visto en un centro público que considero posible incumplimiento de RGPD.
De nuevo pido que se tomen si procede las acciones que sean necesarias, ya sé que no seré informado de su progreso.
https://site.educa.madrid.org/ies.cardenalcisnero.alcala//wp-content/uploads/ies.cardenalcisnero.alcala/2022/10/PGA-2022-2023-con-diligencia-19-oct.pdf
"También este año contamos con la aplicación informática “eDisciplina” que intentará agilizar todo el mecanismo de entrega de partes tanto a padres como a Jefatura."
Como comenté para IES Gerardo Diego, en principio solo se debería usar raíces. Usar otra aplicación implica que los datos, sensibles, están en otro dominio y los gestiona otra empresa, debería haber un consentimiento.
https://edisciplina.es/privacidad.html
---
15 noviembre 2022
Respuesta DPD
Gracias por la información que nos facilita, la hemos enviado al Responsable del tratamiento para que la estudie y determine las acciones a tomar.
IES Federico García Lorca, La Puebla, Sevilla
https://ieslorcalapuebla.es/nuestro-centro/g-suite/
IES Gerardo Diego
27 septiembre 2022
Envío correo a DPD
----
Comento varias cosas que he visto en un centro público que considero posibles incumplimientos RGPD.
De nuevo pido que se tomen si procede las acciones que sean necesarias, ya sé que no seré informado de su progreso.
- En https://iesgerardodiego.com/secretaria/matriculacion/ desde ACCESO A LOS FORMULARIOS DE MATRÍCULA se enlaza a https://matricula.santarroa.es/Landing?id=GerardoDiego. En principio solo se debería usar para matrícula raíces: los datos están en otro dominio y los gestiona otra empresa, debería haber un consentimiento.
- En https://iesgerardodiego.com/secretaria/admision-alumnos/ se cita este impreso https://iesgerardodiego.com/wp-content/uploads/2021/03/SOLICITUD-EXCELENCIA.docx que para curso 2021-22 cita la inexistente Agencia de Protección de Datos de la Comunidad de Madrid (AEPDCM) y ley 15/1999, derogada https://boe.es/buscar/act.php?id=BOE-A-2018-16673#dd
- En https://iesgerardodiego.com/padres-alumnos/comunicacion-profesores/ se enlaza https://iesgerardodiego.com/wp-content/uploads/2022/07/comunicacion-Centro-familias-22_23.pdf donde se cita
Comunicación de partes disciplinarios leves. Se realizarán a través de la plataforma edisciplina comunicacion@edisciplina.es creada para tal fin y llegará a los correos electrónicos facilitados. En este caso también recibirán un documento en papel a través de sus hijos que deberán firmar.
En principio solo se debería usar raíces. Usar otra aplicación implica que los datos, sensibles, están en otro dominio y los gestiona otra empresa, debería haber un consentimiento.
https://edisciplina.es/privacidad.html - En https://iesgerardodiego.com/secretaria/matriculacion/ se enlazan formularios de consentimiento
ALUMNOS MENORES DE 14 AÑOS
ALUMNOS MAYORES DE 14 AÑOS PERO MENORES DE EDAD
ALUMNOS MAYORES DE EDAD
Que indica "EL CENTRO EDUCATIVO HA APROBADO EL USO DE LAS SIGUIENTES APLICACIONES EDUCATIVAS
EXTERNAS QUE CONSTAN EN LA PROGRAMACIÓN GENERAL ANUAL PUBLICADA EN LA WEB DEL CENTRO1
Y QUE REQUIEREN CONSENTIMIENTO PREVIO: Plataforma/Aplicación 1 EDUCAMADRID..." pero entiendo que EducaMadrid no requiere consentimiento previo.
IES Gregorio Peces Barba, Colmenarejo
Se puede ver como secretaría usa correo de dominio propio
https://www.educa2.madrid.org/web/ies.gpb/secretaria
Que se puede ver que es de Gmail
Al final se indica "El IES GPB y toda su comunidad educativa también
disfruta de un convenio con Google para el uso de las aplicaciones
G-Suite para educación, fundamentalmente Classroom, Gmail y Drive, bajo
el dominio @iesgpb.net
Para solicitarlo se puede enviar un email refiriendo la solicitud a:
tic.ies.colmenarejo@educa.madrid.org indicando igualmente
Nombre y Apellidos, Curso y Clase"
De nuevo pido que se tomen acciones, ya sé que no seré informado de su progreso.
Quiero mencionar que ya mencioné este centro como IES Colmenarejo junto con otros y se comentó hace un año que se actuaría.2021-02-08-7.+CONTESTACIÓN+SOBRE+USO+GOOGLE.pdf
https://drive.google.com/drive/folders/15fT75fC4QSYI3cna3JxXmW9XTI75CwOF
---
3 marzo 2022
Respuesta DPD
---
En efecto y tal y como se
puede leer en el escrito que nos remite desde esta Delegación se informó
a los responsables para que tomaran las medidas oportunas. Vamos a
contactar con el centro para
investigar qué ha ocurrido y comprobar que no se están utilizando
servicios no autorizados. El documento que nos enlaza tiene como última
fecha de modificación del 20 de marzo de 2020 y quizás simplemente se
trate de información desactualizada.
---
27 septiembre 2022
Sigo viendo en web https://www.educa2.madrid.org/web/ies.gpb/secretaria correo administracion@iesgpb.net
IES Las Encinas
En https://www.ieslasencinas.es/proyectos/google-education
Se puede ver como el centro habla de uso de Google incluyendo Gmail
También se puede ver, para el curso actual en
https://www.ieslasencinas.es/curso-2122/novedades-2122
como indica explícitamente el uso de gmail.. ACTIVACIÓN DEL CORREO INSTITUCIONAL para alumnos y familias.
Ya están disponibles las cuentas de correo del instituto, tanto de alumnos como de familias, que deberán activar cuanto antes, como medio de comunicación con el centro y, especialmente, para conectarse a las reuniones en línea. Son cuentas de GMAIL. Para cualquier incidencia, jefatura@ieslasencinas.es
Usuario del alumno: número de matrícula@ieslasencinas.es
Usuario de las familias: el correo del alumno con una F delante (ej. F123456@ieslasencinas.es)
Contraseña inicial (que deberán cambiar inmediatamente): IesLasEncinas (respetando las mayúsculas).
14/09/21
IES Pintor Antonio López
Se puede ver en su web
https://www.iespintorantoniolopez.org/webdocumentossecretaria/index/
este enlace en la web asociado a curso 2021-22, aunque internamente cite 2020-21
https://iespintorantoniolopez.org/files/DocumentosSecretaria/DOCUMENTOS-MATRICULA-2021-2022.zip
En concreto documento Autorizacion-apertura-correo-Google.pdf que adjunto.
De nuevo pido que se tomen acciones, ya sé que no seré informado de su progreso.
Aparentemente y con la información que nos aporta parece que el centro está utilizando el servicio de correo de Google bajo un acuerdo privado con esa misma compañía. Este servicio no está habilitado ni siquiera bajo las condiciones del convenio firmado entre la Consejería de Educación y Google y aunque el centro estuviera adscrito a dicho acuerdo las cuentas de correo a utilizar son las corporativas de EducaMadrid.
Como ya le hemos informado en otras ocasiones vamos a proceder a investigar la situación y en caso de confirmarse solicitaremos que para que se adopte las medidas necesarias lo antes posible.
IES Salvador Allende
21 febrero 2022
Envío correo a DPD
---
Según el documento
entiendo que no es posible la redirección, y por lo tanto tampoco usar el correo externo.
Sin embargo en este centro público se usa el servidor de correo de Microsoft, sin usar EducaMadrid
http://www.iessalvadorallende.es/files/Secretaria/Informacion%20cambio%20servidor%20de%20correo.pdf
Me gustaría que se confirmase si lo que hace ese centro es correcto, ya que el centro sí tiene actualizado un documento de política de privacidad
http://www.iessalvadorallende.es/files/portada/POLITICA_DE_PRIVACIDAD_MATRICULA%20.pdf
y si no fuese así, que se tomasen medidas---
23 febrero 2022
Respuesta DPD
---
En las Directrices de uso de los servicios de Office 365 en Centros Públicos de la Comunidad de Madrid que se puede encontrar en la dirección web https://www.educa2.madrid.org/recursos se dice lo siguiente:
"Los servicios de correo electrónico serán deshabilitados para todas las cuentas de usuarios, sea cual sea el perfil."
Por lo tanto, ni siquiera bajo las condiciones del acuerdo de colaboración con Microsoft firmado por la Consejería se pueden utilizar las cuentas de correo de Office 365 debiendo utilizarse siempre los correos corporativos de EducaMadrid. Ante esta situación está claro que el centro no está actuando conforme a las instrucciones y directrices bajo las que se fundamenta dicho acuerdo y parece estar utilizando las cuentas de correo de Office de manera externa al mismo.
Dada esta situación y en función de los artículos 36 y 37 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y los artículos 38 y 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 tomaremos las medidas necesarias para que esta situación se corrija por parte del centro, sin embargo y puesto que no nos indica usted que sea parte afectada, por ejemplo formando parte del claustro de profesores, no será informado del estado del proceso.
---
IES Victoria Kent
21 febrero 2022
Envío correo DPD
---
Según
no es posible la redirección de correo.
En el documento
se indica "Los servicios de correo electrónico de Google (Gmail) serán deshabilitados para todas las cuentas de usuarios, sea cual sea el perfil. Será obligatorio utilizar el correo de EducaMadrid."
Sin embargo el IES Victoria Kent de Fuenlabrada indica en su página web que se usa Gmail
https://www.educa2.madrid.org/web/centro.ies.victoriakent.fuenlabrada/politica-de-privacidad
"Las cuentas del centro se encuentran bajo plataforma dotada por GOOGLE SUITE for Education, e incluye los siguientes servicios principales integrados: Gmail,..."
"Gmail: una dirección de correo electrónico privado y cerrado. Restringido al propio dominio del centro para los alumnos."
Me gustaría que se me confirmase si ese uso es correcto, y en caso negativo, se realicen las actuaciones necesarias para evitarlo.---
23 febrero 2022
Respuesta DPD
---
Tal y como comenta en el correo que nos envía no se puede utilizar, ni siquiera bajo el acuerdo de colaboración entre la Consejería de Educación y Google, las cuentas de correo de Gmail. Por lo tanto y en respuesta a su consulta confirmamos que el centro no está actuando de manera correcta.
Dada esta situación y en función de los artículos 36 y 37 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y los artículos 38 y 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 tomaremos las medidas necesarias para que esta situación se corrija por parte del centro, sin embargo y puesto que no nos indica usted que sea parte afectada, por ejemplo formando parte del claustro de profesores, no será informado del estado del proceso.
---
27 septiembre 2022
Veo sigue igual, y en https://www.educa2.madrid.org/web/centro.ies.victoriakent.fuenlabrada/politica-de-privacidad se cita la inexistente Agencia de Protección de Datos de la Comunidad de Madrid (AEPDCM) y ley 15/1999, derogada https://boe.es/buscar/act.php?id=BOE-A-2018-16673#dd
Bachillerato internacional
Es para un post separado, aplica a varios centros. Una organización externa corrige exámenes, y es encargado de tratamiento
El IB se considera una entidad responsable del tratamiento de datos cuando realiza su labor educativa. Tras llevar a cabo un análisis legal con la ayuda de una asesoría externa, ha concluido que es una entidad responsable del tratamiento de datos personales por cuanto procesa datos personales de alumnos, así como de miembros del personal de Colegios del Mundo del IB y de otros grupos de interés del IB como parte de su labor educativa. Los coordinadores del IB u otros miembros del personal de los colegios y los grupos de interés del IB envían datos personales (p. ej., datos de alumnos y del personal del colegio) al IB y este determina los medios y propósitos reales del tratamiento de dichos datos personales, y actúa con independencia a la hora de hacerlo. Por ejemplo, el IB obtiene datos de los coordinadores del IB acerca de los alumnos y evalúa los trabajos de clase de estos, diseña y corrige los exámenes del Programa del Diploma para los alumnos y, posteriormente, otorga un diploma del IB a los alumnos que han cumplido los requisitos establecidos.A la hora de tratar los datos personales en calidad de entidad responsable del tratamiento de estos, el IB está sujeto a las disposiciones del RGPD aplicables a los responsables del tratamiento de datos.
https://www.ibo.org/terms-and-conditions/privacy-policy/
Colegio seminario Rozas
Al ser privado basta con un contrato del centro sin depender de la consejería
https://rozascs.org/wp-content/uploads/2019/10/Acuerdo_CSRozas-y-GSuite_Alumnos_oct2019.pdf
Otros temas
ClassDojo
Apercibimiento a la Comunidad de Madrid por AEPD
https://www.aepd.es/es/documento/ps-00052-2020.pdf
Edebé en aulas virtuales
4 octubre 2022
Envío correo a DPD
---
Actualmente, a 4 octubre 2022, en las aulas virtuales de EducaMadrid existe la opción de añadir un bloque "EdebeON+"
Esto está asociado a recursos de un contrato de emergencia A/SER-028102/2020 que tenía una duración de dos años que se hizo a través de INFORMÁTICA EL CORTE INGLÉS, S.A., actualmente INETUM http://www.madrid.org/cs/Satellite?c=CM_ConvocaPrestac_FA&cid=1354842786883&idPagina=1224915242285&op2=PCON&pagename=PortalContratacion%2FPage%2FPCON_contratosPublicos
Tras añadir el bloque aparece al docente la opción de "Acceder"
Eso lleva a la url https://plus.edebe.com/ donde aparecen todos los libros disponibles.
Si elijo un libro, aparece el siguiente menú
Y en la parte derecha se puede desplegar la opción "grupos"
Y al elegir grupos aparece lo siguiente
Aparece una lista, con nombres y apellidos, de alumnos. Son alumnos de mi actual centro, algunos de los cuales no tengo en este curso y tuve en cursos pasados.
Si se elige "Ver sugerencias de grupos" aparece esto
Informo porque creo que esto es un problema RGPD:
- Fuera del dominio educa.madrid.org están nombres y apellidos de alumnos. Eso entiendo que supone que debería haber un consentimiento informado. Desconozco el detalle de los términos a nivel de protección de datos de ese contrato, pero Edebé tiene sus propios términos
https://plus.edebe.com/privacy_policy
https://www.edebe.com/politica-de-privacidad.asp
- Desconozco qué vía de acceso usa edebé para obtener el listado de alumnos, que es información que solo debe estar en educa.madrid.org. Con lo que he probado he visto que alguno de los alumnos que aparece en la lista me consta que es nuevo en el centro este curso 2022-2023, me consta que alguno es un alumno que tuve hace 2 cursos, y me consta que no muestra solo los alumnos que haya matriculados en el aula desde el que he añadido el recurso (muestra alumnos aunque el aula virtual EducaMadrid NO TENGA NINGÚN ALUMNO MATRICULADO), lo que me lleva a pensar que Edebé de alguna manera obtiene y/o almacena en su servidor nombres y apellidos de alumnos.
- El hecho de hacer sugerencias de nombres en base a datos académicos me sugiere que hay datos académicos fuera de EducaMadrid ligados a datos personales, aparte de un algoritmo sobre ellos.
---
31 octubre 2022
Envié este correo el 4 de octubre de 2022. A día de hoy, 31 octubre 2022, no he recibido respuesta, y sigue siendo posible añadir el bloque en las aulas virtuales de EducaMadrid y desde Edebé ver nombres de alumnos que no están matriculados en el aula virtual donde se ha añadido ese bloque.
4 noviembre 2022
Sobre este tema hemos solicitado información a EducaMadrid y también a la DG competente pero todavía no hemos recibido ningún tipo de respuesta, por eso no nos hemos puesto en contacto con usted.
7 noviembre 2022
Considero que lo que he comunicado se podría considerar brecha de seguridad, dado que no se conoce el alcance de los datos que una entidad externa a EducaMadrid, Edebé, tiene de los alumnos. Analizar la situación y aclararlo considero que es prioritario, dado que artículo 33 RGPD fija un plazo de 72 horas en caso de que constituya un riesgo, y ahora mismo no se tiene la información que permita valorar qué información tiene además de nombres y apellidos y el riesgo que constituye.
Ofrezco mis aulas virtuales a la Delegación para que realice los análisis que considere.
Aparte del análisis, propongo como medida rápida y creo que razonable inhabilitar de manera general el bloque "EdebéON+" en las aulas virtuales mientras se aclara. También se podría solicitar información a Edebé.
10 noviembre 2022
Sobre este tema nos indica el responsable del tratamiento lo siguiente:
El tratamiento está cubierto por un contrato que cumple con el RGPD.
En todo caso se ha revisado el aplicativo y en función de sus observaciones y aunque consideran que el contrato da cobertura a las situaciones que usted comenta, se va a modificar el software para evitar que un profesor pueda ver alumnos de otro curso. También se va a eliminar el recomendador de grupos.
Quedamos a su disposición para cualquier aclaración que estime necesaria.
----
Mi respuesta
Gracias por la respuesta, pero creo que es relevante puntualizar lo que dice la consejería:
1. El contrato con Edebé es el asociado a la licitación de número de expediente A/SER-028102/2020
http://www.madrid.org/cs/Satellite?c=CM_ConvocaPrestac_FA&cid=1354842786883&definicion=Contratos+Publicos&idPagina=1224915242285&language=es&op2=PCON&pagename=PortalContratacion%2FPage%2FPCON_contratosPublicos&tipoServicio=CM_ConvocaPrestac_FA
Se pueden ver pliegos que hacen una mención genérica a protección de datos en "4. Seguridad, funcionamiento y continuidad del servicio, que ofrezca, como mínimo las siguientes garantías"
http://www.madrid.org/contratos-publicos/1354842786883/1350930820359/1354852605666.pdf
Y contrato con IECISA (que fue la intermediaria con Edebé) no se cita protección de datos en absoluto
http://www.madrid.org/contratos-publicos/1354842786883/1245472924202/1354868496465.pdf
Por lo tanto creo que procede aclarar la respuesta "El tratamiento está cubierto por un contrato que cumple con el RGPD" y "aunque consideran que el contrato da cobertura a las situaciones que usted comenta" ya que licitación y contrato no citaban ningún tratamiento tal y como define artículo 28.3 RGPD. Se supone que Edebé facilitaba materiales para currículo digital, en ningún momento trataba datos personales.
2. Se contrató en 2020 por dos cursos: contrato en inicio curso 2020-2021 indica "Las licencias adquiridas estarán a disposición de la Consejería de Educación y Juventud de la Comunidad de Madrid durante dos cursos escolares."
16/9/2022 solicité información de acuerdo que permite seguir usando aulaPlaneta y EdebeON, contrato 14,5 M€ emergencia por 2 años en 2020, o acciones para eliminarlos de EducaMadrid, y tras asignarle expediente de transparencia 09-OPEN-00165.1/2022 la respuesta 13/10/2022 fue que "dada la complejidad de la información solicitada" se ampliaba el plazo 20 días, sin que haya tenido respuesta a día de hoy.
Por lo tanto a día de hoy, aparte del contenido del contrato, no hay confirmación de que exista ningún contrato vigente, tal y como exige artículo 28.9 RGPD.
Vigilancia de redes sociales
9 noviembre 2022
Planteo consulta DPD
---
Se ha publicado el documento "Recomendaciones para trabajar la Ciberconvivencia en los centros educativos" del
Grupo de Trabajo de Ciberconvivencia del Observatorio Estatal de la Convivencia Escolar
https://drive.google.com/file/d/1gznvcThRogf8y7WkdLtMYFQvTbVpts0D/view
En el documento, como se puede ver en prensa, sugiere que los docentes "vigilen" las redes sociales.
https://www.europapress.es/sociedad/educacion-00468/noticia-observatorio-convivencia-aconseja-profesores-vigilar-redes-sociales-alumnos-buscar-ciberacosos-20221108195918.html
El documento lo indica somo sugerencia, por ejemplo en
"G.2. Seguimiento proactivo para la detección temprana
...
También puede ser interesante la detección proactiva de situaciones de riesgo para la ciberconvivencia, por ejemplo, mediante la monitorización de comentarios y actividad del alumnado dentro de las plataformas educativas, o el seguimiento de hashtags y menciones relacionadas con el centro educativo en las redes sociales preferidas por el alumnado, así como la creación de alertas en buscadores con términos relacionados con el centro educativo."
Mi consulta es cómo es compatible ese seguimiento, que realiza personal de la consejería como parte de su labor como coordinadores de bienestar o buscando la mejora de la convivencia, con el hecho de que el seguimiento en redes sociales suponga el alta en esas redes sociales. No veo razonable que se use un perfil personal para dicho seguimiento, y si se usase un "perfil asociado al centro/consejería" para dicho seguimiento, entiendo que lo debería autorizar el DPD, aparte de aclarar cómo se manejan los datos personales que se saquen de las redes sociales. Los servicios de alertas en buscadores también suelen requerir registro, por ejemplo https://www.google.es/alerts, y surge una consulta similar sobre qué cuenta utilizar.
---
14 noviembre 2022
Respuesta DPD
---
La Delegación de Protección de Datos es un órgano asesor que carece de capacidad de dar instrucciones, autorizar o denegar determinadas acciones. Nuestra tarea es asesorar a los responsables del tratamiento y tendrán que ser ellos los que den las instrucciones sobre cómo realizar un determinado tratamiento.
Esta Delegación no ha participado en la elaboración del documento que nos presenta, por lo que no podemos responder a cómo pretenden realizar el seguimiento que recomiendan. Actualmente existe un gran número de redes sociales donde los alumnos se crean sus cuentas y la identificación y seguimiento de lo que realiza un alumno en cada una de esas redes puede ser complicado debido a las diferentes opciones de configuración existentes en cuanto a privacidad de los mensajes. Es decir, un alumno podrá estar enviando mensajes a otro sin que estos sean públicos. En todo caso para realizar un seguimiento como el que nos plantea lo recomendable sería crearse una cuenta neutra que carezca de datos personales.
---
Listados de academias oposiciones
https://twitter.com/alba_delcampo/status/1580808196444364801TeachTokers
•Artículo 5.1.d): "Los empleados públicos están sujetos, en el ejercicio de sus funciones, al principio de austeridad en el uso de los recursos públicos destinados al ejercicio de sus funciones y en el disfrute de los derechos y beneficios que les sean reconocidos en razón del servicio."
Sociescuela
Quería plantear una consulta sobre sociescuela https://sociescuela.es/, una aplicación online con la que se pueden realizar cuestionarios de convivencia asociados a sociogramas de la clase, el docente introduce los nombres de los alumnos y luego los alumnos responden preguntas sobre sus compañeros. Permite detectar acoso, y la información puede ser muy sensible. La he usado algún curso siendo tutor por indicación de los departamentos de orientación.
Tiene su propia política de privacidad https://sociescuela.es/pdf/Politica%20de%20Privacidad%20RGPD%202.pdf pero creo que se centra en los datos de los profesores que se han registrado, sin mención clara los datos de los alumnos que se pueden introducir, como sí se hacía en la política anterior a RGPD https://sociescuela.es/pdf/Proteccion_de_Datos_RGPD.pdf
Según la web en el dominio de la Consejería https://www.educa2.madrid.org/web/convivencia/sociescuela se indica que "Desde el curso 2015-2016 la herramienta SociEscuela puede ser utilizada por todos los centros educativos de la Comunidad de Madrid."
Sin embargo, no está mencionada en https://www.educa2.madrid.org/recursos, como sí lo están Smile & Learn, Microsoft y Google, por lo que surgen dudas sobre protección de datos.
¿Hay que informar a los padres que se va a utilizar para alumnos con menos de 14 años?
La política indica 6.1.a y 6.1.b, pero se puede realizar en primaria en secundaria por alumnos menores de 14 años.
¿Aplica 6.1.f RGPD asociado a la educación y los padres / alumnos no pueden negarse a su uso ni ejercer el derecho de cancelación?
¿Como el servidor es externo a la consejería de educación, existe un convenio firmado entre la consejería y sociescuela, Sociescuela Informatica SL CIF B86430709? No lo he localizado en http://gestiona.madrid.org/rcnv_app/secure/buscador/buscador.jsf
Comentar que al escribir esto he visto que además permite "screening": en ese caso sí se anonimiza, y aunque en ese caso la aplicación no guarda datos, la información es extremadamente sensible y sí que puede existir un pdf que asocie códigos de screening a nombres y apellidos, por lo que el que la información sea anónima depende de la custodia de ese fichero (ver pagina 50 https://www.psicologaleon.es/wp-content/uploads/2023/10/Sociescuela_Guia.pdf)
Citan https://sociescuela.es/pdf/Autorizacion%20Familias%20Screening%20Extenso.docx
---
Comentarios
Publicar un comentario