Ir al contenido principal

Normativa webs, aplicaciones y protección de datos en educación

Revisado 3 febrero 2021

Resumen

En el entorno educativo el uso de webs, aplicaciones y la protección de datos es especialmente importante. Hay cierta normativa que no siempre se conoce ni se sigue. En mayo 2018 entró en vigor el nuevo reglamento europeo de protección de datos (RGPD) que viene a sustituir a la normativa anterior (LOPD). En educación se tratan datos protegidos de alumnos, padres, docentes y creo que a menudo surgen dudas/se desconoce/se gestiona mal sobre qué cosas se pueden hacer o se están haciendo. Intento recopilar y compartir información. De momento combino cosas y quizá por volumen luego separo.
En 2020 el tema de COVID-19 implica revisar muchas cosas y asociado a videoconferencias/grabar en sus domicilios coloco información que puede ser general, pendiente reordenar.
Las instrucciones de inicio de curso 2020-2021 incluyen referencias a protección de datos.
En julio 2020 surge una sentencia de UE con implicaciones en uso de apps.

Posts relacionados:

Detalle

Índice
  • Decálogo Madrid junio 2019 e ideas generales
  • Instrucciones Madrid 
    • Noviembre 2019
    • Inicio de curso 2020/2021 
    • Instrucciones v2.0 noviembre 2021
  • Raíces
    • ACNEEs en Raíces
    • Ficheros datos en Raíces
  • ASES
  • Formación Madrid
  • Normativa
    • Ley orgánica 3/2018 y educación
    • Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.
    • Real Decreto-ley 14/2019 y educación
    • Sentencias TJUE sobre RGPD y educación
    • Normativa en Comunidad Valenciana
    • Documentación DPD consejerías educación
  • Formularios y solicitudes RGPD / AEPD
    • Petición de mis datos a la Comunidad de Madrid
  • RGPD en situaciones asociadas a educación
    • Información AEPD y consejerías educación
    • No presentar datos que la administración ya tiene
    • Aplicaciones a usar en educación: opensource
    • AMPAS
    • Eventos
    • Grabación en centros educativos
    • RGPD y alumnos mayores de edad
    • Tutores que no autorizan aplicaciones no corporativas
    • Fotografías con alumnos en centros educativos
    • Fotografías en redes sociales tomadas de redes sociales
    • Redirección el correo corporativo a cuentas de correo externas
    • Videoconferencias y exámenes vigilados con alumnos menores de edad en sus domicilios 
    • Uso de dispositivos y equipamiento personal, teletrabajo
    • Uso de Google Forms y Microsoft Forms
    • RGPD y religión en educación
    • Toma de temperatura
    • Reconocimiento facial en aulas
    • Pruebas COVID 
    • Formularios de los centros sobre datos alumnos
  • Sanciones AEPD 
  • Firmas manuscritas
  • Quién tiene responsabilidad en datos protegidos obtenidos vía transparencia
  • Referencias
  • SEPD Supervisor Europeo de Protección de Datos
  • Otros temas

Decálogo Madrid junio 2019 e ideas generales


El post lo decido escribir tras ver esta novedad publicada por Madrid el 4 junio 2019


































04/06/2019 - Decálogo de buenas prácticas en el uso de aplicaciones educativas


La Consejería de Educación e Investigación de la Comunidad de Madrid en su constante interés por el correcto uso de la tecnología en los centros educativos ha elaborado un decálogo de buenas prácticas en el uso de aplicaciones educativas. Dicho decálogo ha sido elaborado desde la Dirección General de Becas y Ayudas al Estudio, en colaboración con la Delegada de Protección de Datos de la Consejería de Educación.
En él se indican algunas recomendaciones como la necesidad de que los centros analicen la protección de datos personales antes de utilizar cualquier aplicación informática externa a las ofrecidas por la Consejería de Educación e Investigación.

Enlace al pdf
https://www.educa2.madrid.org/web/educamadrid/principal/files/8d86c046-d8e6-4627-a1fd-118c2efaaea6/Dec%C3%A1logoPD.pdf?t=1559641630493

13 septiembre 2019 la Dirección General de Bilingüismo y Calidad de la Enseñanza. <dgmce@educa.madrid.org> lo envía a todos los docentes de secundaria, con otro enlace pero mismo contenido.

Estimado/a docente:

La Consejería de Educación y Juventud de la Comunidad de Madrid en su constante interés por el uso adecuado de la tecnología en los centros educativos ha elaborado un “Decálogo de buenas prácticas en el uso de aplicaciones educativas”. Dicho decálogo ha sido elaborado desde la Dirección General de Bilingüismo y Calidad de la Enseñanza, en colaboración con la Delegada de Protección de Datos de la Consejería de Educación y Juventud.
En este documento se indican algunas recomendaciones como la necesidad de que los centros analicen la protección de datos personales antes de utilizar cualquier aplicación informática externa a las ofrecidas por la Consejería de Educación y Juventud.

Consideramos importante que todos los docentes de la Comunidad de Madrid garanticen el correcto uso de la tecnología en los centros educativos por parte de los alumnos.
ENLACE DESCARGA
Un saludo.
Dirección General de Bilingüismo y Calidad de la Enseñanza.
Consejería de Educación y Juventud.

Enlace ahora es
http://innovacion.educa.madrid.org/home/docs/Decalogo_2019.pdf


Pongo aquí el texto de esos 10 puntos y lo uso para guión para comentar, ahora o en alguna revisión del post, algo relacionado

1.-  La  plataforma  educativa  de  EducaMadrid  provee  a  toda  la comunidad educativa un amplio conjunto de servicios web, herramientas educativas y escenarios virtuales para la enseñanza y el aprendizaje.
La  plataforma  EducaMadrid  permite  trabajar  en  un  entorno  seguro  dado que no se generan perfiles automatizados, los servidores se localizan en la Comunidad  de  Madrid  y  no  existen  trasferencias  internacionales,  no  hay cesión de datos y no deja huella digital.

EducaMadrid  ofrece  entre  otros  servicios  el  de  correo  electrónico,  aula  virtual, nube  de  almacenamiento,  comunicación  mediante  redes,  difusión  de  documentos transmedia, páginas web, wikis, blogs, formularios, foros, etc. Junto con el desarrollo de software  de  libre  distribución  basado  en  Linux, Max_MadridLinux  se  ofrece  un  amplio conjunto  de  herramientas  ofimáticas  tanto  en  local  como  on-line  para  trabajar  la competencia digital de los alumnos.
Los  datos  personales  solo  se  podrán  alojar  en  plataformas  de  la  Consejería competente en materia de Educación. Cuando sea necesario emplear otras tecnologías se garantizará la anonimización de los datos que se almacenen de los alumnos y los que éstos generen.


>Hay profesores que utilizan plataformas como additio, idoceo o similares, y creo que es poco habitual la anonimización, ni el conocimiento por los docentes de que deben realizarla.

2.-  Cada  centro  acordará  en  la  PGA  (Programación  General  Anual)  las aplicaciones  educativas  que  se emplearán  durante  el  año  escolar,  en  el apartado  específico TIC,  una  vez  analizado  las  políticas  de  privacidad  de dichas  aplicaciones  garantizando  el  cumplimiento  de  la  normativa  en Protección de aplicación educativa.La web institucional del centro educativo deberá alojarse en la plataforma EducaMadrid   y   las   comunicaciones   mediante   correo   electrónico   se realizarán a través de las cuentas de EducaMadrid.

Las  cuentas  de  correo  de  EducaMadrid  de  perfil  alumno  recibirán  únicamente correos  de  cuentas  de EducaMadrid,  si  fuera  necesario  por  motivos  pedagógicos  se podrá ampliar el perfil y podrán recibir correos de otros dominios siempre que cuenten con la autorización expresa de los tutores legales. 


>Es muy habitual que se usen correos personales sin la autorización de los padres. En mi experiencia depende del centro y la situación, pero no todos los alumnos ni siempre tienen operativa su cuenta de EducaMadrid


Según se establece en el BOCM de 3 de mayo de 2004, “a partir de la puesta en marcha del Portal EducaMadrid, las páginas web institucionales de los centros y servicios educativos públicos dependientes de la Consejería de Educación de la Comunidad de Madrid se alojarán en la dirección URL que dicha Consejería facilita a tal efecto.” 

Hablan de las INSTRUCCIONES de la Viceconsejería de Educación, sobre la inclusión en el Portal Educamadrid de las páginas o sitios web de los centros y servicios educativos.
http://www.bocm.es/boletin/CM_Boletin_BOCM/2004/05/03/10400.PDF

Se pueden consultar en otros sitios
https://www.educa2.madrid.org/web/recursostic/inicio/-/visor/instrucciones-de-la-viceconsejeria-de-educacion-sobre-la-inclusion-en-el-portal-educamadrid-de-las-paginas-o-sitios-web-de-los-centros-y-servicios-educativos

Esa normativa la cité en 2014 al realizar una página web de un centro (esa web fue mi proyecto final en un curso del portal EducaMadrid) que antes estaba hecha en HTML estático sin usar el portal.

La página desde 2014 ha sido remodelada desde entonces y el enlace no está en los menús de la web, pero el enlace directo sigue funcionando en junio 2019

https://www.educa2.madrid.org/web/centro.ies.mateoaleman.alcala/normativa/-/visor/normativa-pagina-web-ies-mateo-aleman-politica-de-privacidad-y-de-proteccion-de-datos-de-caracter-personal-

Copio el contenido aquí por si desapareciese
Normativa página web IES Mateo Alemán. Política de privacidad y de protección de datos de carácter personal.

Esta web realizada en el Portal de EducaMadrid se inició en el año 2014, migrando una web anterior que no utilizaba dicha herramientas. En la realización de esta web se tiene en cuenta la siguiente normativa, que se intenta aplicar aunque en ocasiones hay excepciones que se comentan y justifican. La propia plantilla para web de centros IES que ofrece EducaMadrid en 2014 no sigue exactamente esta normativa, por lo que existe cierta flexibilidad.
Respecto al mapa de la página web , se puede consultar el apartado 5. Estructura de contenidos y el Anexo I,
Se sigue el criterio de "mantener" los epígrafes indicados como obligatorios:
Se añaden epígrafes indicados como opcionales:
Respecto a privacidad se puede consultar el apartado 8. Protección de datos personales, derecho al honor, a la intimidad y a la propia imagen, y derechos de autor. Se incluye aquí el Anexo II Consentimiento escrito y firmado para la utilización de fotografías y o datos personales en las páginas web de los centros y servicios educativos
Aunque el IES Mateo Alemán con ciclos de FP colabora con empresas, es importante esta aclaración del apartado 9. Autoría y referencias comerciales:
Así mismo se admitirá una enumeración de las empresas que colaboran con el centro, por ejemplo, en la denominada “Formación en Centros de Trabajo”. En ningún caso podrá hacerse publicidad, ni enlaces a las páginas corporativas de las empresas desde las páginas web de los centros y servicios educativos.
El contenido de los sitios web tampoco podrá incluir publicidad de productos o servicios comerciales, ni referencias a que las páginas se ven mejor con un navegador u otro.
Respecto a actualización de la información, se pueden consultar los apartados 4. Criterios para facilitar el uso y la navegabilidad y el apartado 11. Actualización. Inicialmente se incluirá la fecha de última actualización solamente en la página inicial, ya que hacerla visible al usuario sería laborioso: internamente el Portal de EducaMadrid sí que permite ver la fecha de creación y actualización de cada contenido.  Inicialmente no se sigue el criterio de borrar la información con más de un año, para migrar la información existente y ayudar a estructurar la web en vista de su contenido histórico.
todas las páginas incluirán, en lugar visible, el nombre del centro y la fecha de la última actualización (cada información debe incluir su propia fecha de actualización, ya que pueden coexistir en un mismo sitio web páginas actualizadas en momentos muy diversos).
Cada centro o servicio educativo deberá revisar periódicamente sus páginas y asegurarse que no aparezcan datos cuya fecha de actualización tenga una antigüedad superior a un año. Se retirará periódicamente la información obsoleta.
Respecto a información corporativa, se puede consultar el apartado 3. Aspectos corporativos.
En todas las páginas incluidas en el sitio web representativo de cada centro o servicio educativo a los que se refieren estas Instrucciones, debe figurar el logotipo del Portal Educamadrid y su enlace, así como el logotipo de la Consejería de Educación de la Comunidad de Madrid y el enlace a sus páginas institucionales.
En la página principal o index del sitio web representativo de cada centro o servicio educativo, aparecerán también, en lugar visible, los enlaces al Centro de Profesores y a la Dirección de Área Territorial correspondientes.
En este documento (página 26 del pdf) se indica
En las páginas web de los Fondos Estructurales o de actuaciones cofinanciadas por los mismos, deberá mencionarse la participación de la Unión Europea en la página principal a través de la frase “Proyecto cofinanciado por la Unión Europea” y del Fondo que participa.
Debe realizarse, asimismo, un enlace (por ejemplo, pinchando sobre la bandera de la UE) con la página Web de la Comisión Europea sobre Política Regional:
http://ec.europa.eu/regional_policy/index_es.htm
Asimismo, dicha página debe reunir los mismos requisitos que el resto de las medidas de publicidad:
El emblema de la Unión Europea.
• La referencia a la Unión Europea (con las palabras “UNIÓN EUROPEA”, por ejemplo debajo del emblema de la UE).
• La referencia Fondo que cofinancia, con su nombre entero (no las siglas).
• El lema del Fondo (descrito en el punto 4 de la Guía)
En la cabecera de toda la página web se ha colocado la bandera de la UE, pero por limitaciones del portal de EducaMadrid en el momento de realizar esta página web no se ha podido colocar un enlace desde la imagen de la bandera en la cabecera, por lo que solamente se hace "en la página principal"
Se incluye un documento con la política de privacidad del IES (el existente en la web del IES Mateo Alemán antes de 2014, pendiente de revisión)


Relacionado, en 2022 se publica en https://www.educa2.madrid.org/recursos

Política de privacidad de las páginas web de los centros

3. - El centro deberá informar con un lenguaje claro y sencillo a los alumnos y a los tutores legales sobre la utilización la plataforma EducaMadrid como herramienta pedagógica en un entorno seguro.

Cuando sea imprescindible el uso de aplicaciones educativas externas a las
institucionales
, es preciso informar convenientemente, a los alumnos y a los tutores legales, del uso de estas herramientas una vez estudiada la viabilidad de su uso conforme al punto anterior. En cualquier caso en el uso de estas aplicaciones o plataformas educativas se anonimizará o pseudonimizará los datos personales necesarios para los alumnos


Resulta curioso que el punto en su descripción hable de uso de EducaMadrid y en la primera frase de la "explicación" hable de uso imprescindible de uso de aplicaciones externas.
¿Qué es imprescidible?
¿Qué uso?
¿Qué aplicaciones externas?
¿Dónde está definido y diferenciado anonimizar de pseudoanonimizar?


Me recuerda este post de 15 septiembre 2018 https://www.xarxatic.com/ilusos/


4.-  La plataforma  educativa  de  EducaMadrid  pone  al  servicio  de  la comunidad  educativa  servicios  seguros  de  almacenamiento  en  la  nube como  el  Cloud  de  EducaMadrid, las  Aulas  Virtuales  o  la  Mediateca,  entre otros.

Podrán emplearse otros medios externos a la plataforma Educativa por parte de los alumnos a modo de consulta, o links referenciados por los docentes. En ningún caso debe  incitarse  a  los  alumnos  a  publicar  en  abierto  actividades  educativas  en  la  que exista  cesión  de  datos  personales  y  si  fuera  necesario  ha de  garantizarse  la  no trazabilidad.
El  artículo  92  de  la  Ley  Orgánica  3/2018  de  5  de  diciembre  de  Protección  de Datos  y  garantías  de  los  derechos  digitales  establece  “Los  centros  educativos  y cualesquiera  personas  físicas    o  jurídicas  que  desarrollen  actividades  en  las  que participen menores de edad garantizarán la protección del interés superior del menor y sus  derechos  fundamentales,  especialmente  el  derecho  a  la  protección  de  datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

5.- Para la grabación y difusión de imágenes, videos y audios,  la mediateca de  EducaMadrid  permite  alojar  dichos  formatos  multimedia,  de  video, audio,  pdf,  presentaciones,  etc.,  de  manera  pública  con  licencia  Creative Commons, o con restricciones que puede establecer el docente para que se comparta de manera restringida.

El  centro  está  legitimado  al  tratamiento  de  las  imágenes  grabadas  por  él  con fines  educativos  sin  necesidad  de  contar  con  el  consentimiento  del  alumno  o  de  sus tutores legales, siempre y cuando no haga difusión pública de las mismas.  
En  caso  de  que  las  imágenes  grabadas  vayan  a  ser  difundidas  a  través  de  la revista del centro, de la página web, de redes sociales... el centro necesitará contar con un  consentimiento  informado.  Se recomienda  que,  aunque  se  cuente  con  dicho consentimiento, las imágenes no permitan la identificación del alumno.
Las  imágenes,  vídeos  y  audios  que  se  capten  para  compartir  con  las  familias deberá  accederse  mediante  un  entorno  privado  en  Educamadrid  al  que  solo  puedan acceder las personas interesadas mediante usuario y contraseña.
El artículo 6 de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y garantías  de  los  derechos  digitales  establece  “Cuando  se  pretenda  fundar  el tratamiento  de  los  datos  en  el  consentimiento  del  afectado  para  una  pluralidad  de finalidades  será  preciso  que  conste  de  manera  específica  e  inequívoca  que  dicho consentimiento se otorga para todas ellas.”


6.-  Se  desaconseja  la  publicación  de  imágenes  o  videos  en  internet  en abierto. Cuando la actividad educativa establezca la necesidad de emplear entornos  externos  a  los  suministrados  por  EducaMadrid,  se  mantendrán los  archivos  digitales que  contengan  datos  personales  alojados  en  los servidores  de  Educamadrid  ubicando  en  la  plataforma  externa  enlaces  a dichos contenidos.

En los casos en los que un centro educativo necesite difundir sus actividades en plataformas externas a EducaMadrid, habitualmente porque participa con otros centros educativos  externos  a  la  Comunidad  de  Madrid  en  proyectos  tales  como  Erasmus+, eTwinning,  intecomunidades,  etc.,  deberá  alojar  en  servidores  de  EducaMadrid  todos los  contenidos  sensibles  que  indica  el  reglamento  de  protección  de  datos.  Para  ello empleará  la  nube  de  almacenamiento,  la  mediateca  y  las  licencias  correspondientes para compartir el recurso.
Se necesitará contar con el consentimiento de las personas interesadas cuando la grabación de las imágenes vaya a ser objeto de difusión informando expresamente los  medios  en  los  que  será  difundida,  plataforma  eTwinning,  web  del  proyecto Erasmus+,  etc.  No  obstante  se  recomienda  que  la  imagen  física  de  los  alumnos  no permita su identificación.
Las  imágenes  y  vídeos  de  los  alumnos  publicados  en  internet  en  abierto  no podrán permitir la identificación de los alumnos (podrán publicarse de espaldas, desde arriba etc...).
Los familiares del alumnado que participen en un evento abierto a las familias pueden grabar imágenes del evento siempre y cuando se trate de imágenes captadas exclusivamente para su uso personal y doméstico, pues en ese caso esta actividad está excluida de la aplicación de la normativa de protección de datos.
Si  las  imágenes  captadas  por  los  familiares  se  difundieran  fuera  del  ámbito privado,  familiar  y  de  amistad,  por  ejemplo  mediante  su  publicación  en  internet  en abierto, los familiares asumirán la responsabilidad por la comunicación de las imágenes a terceros que no podrían realizar salvo que hubieran obtenido el consentimiento previo de los interesados.
El artículo 6 de la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos y  garantías  de  los  derechos  digitales  establece  “Cuando  se  pretenda  fundar  el tratamiento  de  los  datos  en  el  consentimiento  del  afectado  para  una  pluralidad  de finalidades  será  preciso  que  conste  de  manera  específica  e  inequívoca  que  dicho consentimiento se otorga para todas ellas.”

7.- La plataforma educativa de EducaMadrid Social pone al servicio de la comunidad  educativa  servicios  de  microblogueo.  También  dispone  de canales de mensajería instantánea y actividades de chat y foros a través de las   aulas   virtuales.   El   acceso   solo   está   permitido   a   usuarios   de EducaMadrid.

Estos servicios de microblogueo y comunicación, que pueden incluir vínculos a páginas web, documentos y cualquier información de carácter general, permiten hacer pública  la  actividad  educativa  del  centro  respetando  las  normas  de  uso  establecidas para su difusión.
Cuando el material sea de elaboración propia, se almacenará en los espacios de EducaMadrid  y se compartirá  el  enlace.  Además,  es  recomendable  que  el  usuario configure  las  opciones  de  privacidad  en  su  perfil  de  usuario  con  el  fin  de  permitir  el acceso  a  la  información  publicada  únicamente  a  un  grupo  conocido  y  definido previamente por él.
No se recomienda el uso de mensajería instantánea, chats, foros,... fuera de los canales institucionales
La  AEPD    a  través  de  su Guía  de  centros  docentes  no  recomienda  el  uso  de mensajería  instantánea  como  cauce  de  comunicación  entre  el  centro  educativo  y  los alumnos   o   tutores   legales.   “Si   fuera   preciso   establecer   canales   específicos   de comunicación,  deberían  emplearse  los  medios  y las  herramientas  establecidas  por  el centro educativo puestas a disposición de alumnos y profesores”.

Esto enlaza con la mensajería de Raíces, Roble, que es anunciada en abril 2019. Ver post Raíces: programa de gestión educativa Madrid.
Pero no veo que impida usar SMS, que se utilizaba antes, y que Roble inicialmente no permite.



8.-  Es   necesario   establecer   medidas   de   seguridad   para   evitar   el ciberacoso, en todas sus formas, a través de medios digitales. El menor no debe contactar ni seguir a nadie fuera del entorno educativo, ni compartir información que les identifique. La plataforma educativa de EducaMadrid permite  el  acceso  solo  a  usuarios  de  EducaMadrid  y  su  actividad  está alojada en servidores propios de la Comunidad de Madrid.

Es importante conocer qué permiten y qué no las normas de comportamiento de cada  espacio  virtual.  Si  hay  un  comportamiento  irrespetuoso  que  no  cumple  esas normas   se   debe   informar   a   los   responsables,   moderadores,   administradores   o proveedores  del  servicio,  en  el  caso  de  EducaMadrid,  será  suficiente  con  informar  al profesor responsable de la actividad y si fuera necesario, este podría contactar con los responsables de EducaMadrid para analizar el problema.
El documento “CIBERBULLYING: guía de recursos para centros educativos en casos de ciberacoso”, publicado por el Defensor del Menor de la Comunidad de Madrid establece el protocolo de intervención. 

El  Decreto  32/2019,  de  9  de  abril,  del  Consejo  de  Gobierno,  por  el  que  se establece el marco regulador de la convivencia en los centros docentes de la Comunidad de Madrid, en su Artículo 12, punto 2, letra j, establece que el plan de convivencia de un centro debe promover que los padres o tutores sean formados en temas de convivencia, acoso, ciberacoso y uso responsable de las nuevas tecnologías.

Se cita el decreto 32/2019, que trato en post separado Normativa convivencia centros docentes Madrid

9.-  Las  contraseñas  empleadas  en  las  plataformas  digitales  deben  ser robustas, es decir, deben estar compuestas por mayúsculas, minúsculas, números y caracteres especiales para que no sean fáciles de adivinar. La plataforma  EduacaMadrid  solicita  el  cambio  de  contraseña  al  usuario periódicamente  con  criterios  de  robustez  y  dispone  de  los  mecanismos oportunos de cambio de la misma por parte del usuario.

Se   recomienda   no   escribir   contraseñas   en   ordenadores   de   los   que   se desconozca  su  nivel  de  seguridad  y  puedan  estar  monitorizados,  así  como  en ordenadores de uso público (bibliotecas, cibercafés, espacios públicos, etc.). Así mismo, se  recomienda  cerrar  las  sesiones  iniciadas  de  manera  que  ningún  usuario  posterior pueda acceder a nuestros servicios. Es importante cambiar las contraseñas de manera periódica y de manera puntual cuando se detecte algún tipo de incidencia que pudiera poner en riesgo la información.
En  la  publicación  “Contraseñas: Políticas  de  seguridad  para  las  pyme”  del Instituto Nacional de Ciberseguridad (Incibe) se recogen las recomendaciones de uso y protección de las contraseñas. La gestión de las contraseñas es uno de los aspectos más  importantes  para  asegurar  nuestros  sistemas  de  información.  Las  contraseñas deficientes o mal custodiadas pueden favorecer el acceso y el uso no autorizado a la información.


Un tema que podría hacer para mejorar la seguridad sería el login único y admitir certificados (al menos para docentes): en Madrid en junio 2019 yo tengo un usuario distinto para EducaMadrid y otras cosas

https://twitter.com/FiQuiPedia/status/1130935089645404165
Es absurdo. 
Aplicaciones (AC=Admite Certificado): 
-AFD, que ya no uso (sí AC) 
-Educamadrid (no AC) 
-ASES (sí AC web, no en app) 
-Raíces (no AC, en web hay opción certificado no implementada). 
-Roble (no AC, app que si se es padre y profe usa mismo usuario) 
Afortunada sin raíces

10.-  Se pondrá especial cuidado al objeto de evitar compartir contenidos de datos personales que puedan poner en peligro la seguridad del alumno cuando  la  actividad  educativa  requiera  la identificación  y  registro  de usuarios de manera digital para el acceso a edificios, el uso de aplicaciones en  museos  o  actividades  culturales,  la  asistencia  a  centros  educativos extranjeros durante visitas, etcétera
Antes  de  registrar  a  los  alumnos  a  cuentas,  aplicaciones  en  museos  o actividades  culturales...  es  preciso  leer  la  política  de  privacidad  de  la  empresa  o institución  que  solicita  los  datos  para  tener  conocimiento  de  las  posibles  cesiones, finalidades, transferencias internacionales a países no seguros... Hay que recordar que sólo  deben  cederse  aquellos  datos  que  sean  estrictamente  necesarios  para  la realización de la actividad y que en todo momento debe primar la protección de los datos de los alumnos.
El artículo 5 del REPD establece  entre sus principios que los datos  personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos).”
Actualmente  estamos  frente  a  un  cambio  de  paradigma  en relación  a  la protección  de  los  datos  del  usuario  por  lo  que  hay  que  evitar  la  cesión  de  datos    de manera indiscriminada en el uso de las tecnologías. Siempre debe primar la protección de los datos de los alumnos.
Sin  perjuicio  de  los  10  puntos  de  este  decálogo,  en  todo  momento  se  deberá priorizar  el desarrollo de la competencia digital del alumno. Por ello, hay que velar para evitar que se genere huella digital y,  a la vez, hay que optimizar el contacto con las TIC y con una variedad de software de modo que se alcance su independencia digital. Esto potenciará  su  capacidad  de  aprendizaje  a  lo  largo  de  la  vida,  así  como  su  desarrollo competencial.

Noviembre 2019

Se reciben dos documentos

Propuesta de Instrucción 2019-2020 CONSENTIMIENTO v1.docx
https://drive.google.com/open?id=0B-t5SY0w2S8iQ3lVWFN5SzRIajJOLTBpRlVuUWFpYUU2SzUw

CONSENTIMIENTO INFORMADO MENOR 14 AÑOS PARA FAMILIAS 2019.docx
https://drive.google.com/open?id=0B-t5SY0w2S8iOXVWamVPcjc0UURIRHVtczhDbDF6ZkFjT0tR

Inicio de curso 2020/2021

Las instrucciones de inicio de curso incluyen por primera vez un apartado específico sobre protección de datos.

https://www.educa2.madrid.org/web/educamadrid/principal/files/7c653f50-b8ca-492b-9949-2b394a829334/instrucciones%20inicio%20de%20curso%2020%2021_2_19466891.pdf?t=1594377006513
CSV: 0981583806249335051204


14.   PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
14.1. Publicación de listados y comunicación de calificaciones
Las  publicaciones  de  listados  deberán  realizarse  preferentemente  en  un  entorno  seguro  de EducaMadrid al que sólo se pueda acceder mediante usuario y contraseña. Si esto no fuera posible las publicaciones deberán realizarse en tablones de anuncios alojados en el interior del centro, y suficientemente alejados de las puertas principales de los edificios. En ningún caso podrá aparecer  el  nombre  y  dos  apellidos  junto  con  el  DNI  completo.  Para  anonimizar  cualquier  número  de identificación  personal  (DNI,  NIA...)  se  deberá  atender  al  criterio  establecido  por  la  Agencia Española de Protección de Datos en su “Orientación para laaplicación provisional de la disposición adicional séptima de la LOPDGDD” Para  evitar  perder  el  control  de  la  privacidad  de  los  datos  y  la  seguridad  y  confidencialidad  de  la información, las calificaciones deberán comunicarse a través de la plataforma ROBLE y, de no ser posible,  a  través  de  la  plataforma  educativa  EducaMadrid,  donde  la  información  sólo  estará accesible mediante sus credenciales a los propios alumnos, o a sus tutores legales, sin que puedan acceder personas distintas.

4.2. Custodia y confidencialidad de los documentos

Para evitar poner en riesgo la seguridad y confidencialidad de la información y la privacidad de los datos el personal del centro educativo deberá tener especial cuidado en la custodia y transporte de documentos que contengan datos personales, así como los entregados por los alumnos en forma de trabajos, pruebas o exámenes. La forma más segura de conservarlos es digitalizarlos y alojarlos en la nube de EducaMadrid, devolviendo los originales que hayan sido presentados en papel. Para documentos  con  información  de  carácter  administrativo  la  opción  óptima  es  alojarlos  en  las plataformas de gestión RAICES o SICE.

Si  no  es  posible  la  digitalización,  dichos  documentos  deberán  guardarse  bajo  llave  y  se  deberá actuar con diligencia mediante una política de mesas limpias para evitar que queden al alcance de terceros (por ejemplo, no dejarlos encima de una mesa al finalizar la jornada, etc.).

Cuando se precise consultar algún documento en formato papel que contenga datos personales o confidenciales, el personal docente deberá hacerlo en el propio centro, o en caso de que ello no sea  posible,  deberán  ser  digitalizados  y  ubicados  en  medios  de  compartición  de  la  plataforma EducaMadrid, como la nube, el aula virtual o la mediateca con acceso mediante credenciales.

En especial deberá evitarse el uso de dispositivos de almacenamiento extraíble (pendrive USB, CD, etc.),  así  como  remitir  documentos  con  datos  personales  por  correo  electrónico  y,  menos  aún, redirigiendo los mensajes a una dirección personal no corporativa.

En el caso excepcional de que no exista otra alternativa y haya que emplear el correo electrónico y la  información  deberá  cifrarse  y  en  ningún  caso  se  transportará  junto  con  la  contraseña  de descifrado

14.3. Notificación de brechas de seguridad
 Cuando se detecte una brecha de seguridad, el centro educativo deberá informar inmediatamente a la Delegación de Protección de Datos y a las autoridades educativas. El director del centro deberá recabar la información de lo acontecido y reflejarlo en un informe, para lo que podrá contar con el apoyo y guía de la Delegación.



Pero también hay otras referencias (el marcado en negrita está en el original)

11.   TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
11.1. Características y funciones del coordinador
...
Las funciones del coordinador TIC, sin perjuicio de su posterior desarrollo, tendrán por finalidad:
...
3.   Tener  conocimiento  actualizado  de  los  informes  y  comunicados  de  la  Delegación  de Protección de Datos de la Consejería de Educación y Juventud (https://dpd.educa2.madrid.org/)  en  relación  con  las  TIC  y  difundirlos  dentro  de  su comunidad educativa.
4.   Ejercer  el  papel  de  administrador  principal  de  los  servicios  educativos  EducaMadrid  del centro (cuentas de usuario, espacios web, aulas virtuales, encuestas EducaMadrid, etc.), asegurando que toda la comunidad educativa cuenta con un correo en EducaMadrid.
...
12. Promover  el  conocimiento,  uso  y  difusión  de  los  recursos  que  la  plataforma  educativa EducaMadrid  (https://www.educa2.madrid.org/educamadrid/)  pone  a  disposición  de  la comunidad educativa.
...
El  uso  de  las  TIC  lleva  aparejado  el  cumplimiento  de  las  políticas  de  seguridad  de  la información  y  de  la privacidad  de  los  datos  personales.  En  este  sentido,  es  necesario subrayar   que   las   Direcciones   Generales,   según   su   ámbito   competencial,   son   los responsables  del  tratamiento  de  los  datos  personales.  Tanto  las  Direcciones  de  Área Territorial  como  los  centros  educativos  deben  actuar  en  cumplimiento  de las  directrices e instrucciones que de éstas emanen en lo relativo a la protección de datos personales.
Los centros educativos deberán adoptar una serie de medidas de seguridad, de carácter técnico y organizativo,  que  garanticen  la  seguridad  de  los  citados  datos,  es  decir,  su  integridad  y confidencialidad  y  la  protección  frente  al  tratamiento  no  autorizado  o  ilícito  y  contra  su  pérdida, destrucción o daño accidental.
Cualquier  actividad  de  tratamiento  que  se  realice  mediante  tecnologías  de  la  información  y  las comunicaciones debe sustentarse en recursos dotados de medidas de seguridad acordes, según el tipo de información que se maneje, a los requisitos del Esquema Nacional de Seguridad (se cita Real  Decreto  3/2010,  de  8  de  enero,  por  el  que  se  regula  el  Esquema  Nacional  de  Seguridad  en  el  ámbito  de  la Administración Electrónica)
Los  centros  y  las  Administraciones  educativas,  como  responsables  del  tratamiento,  tomarán medidas  para  garantizar  que  cualquier  persona  que  actúe  bajo  su  autoridad  y  tenga  acceso  a información personal actúe con la diligencia debida para que cada empresa prestadora de servicios, en  su  calidad  de  encargado  del  tratamiento  y,  en  su  caso,  los  subencargados,  garanticen  el cumplimiento de las medidas de seguridad exigibles.
Por  todas  estas  razones,  cada  centro  acordará  en  la  PGA  las  aplicaciones  educativas  que  se emplearán durante el curso escolar en el apartado específico TIC. Para ello, además de analizar las políticas de privacidad de dichas aplicaciones garantizando el cumplimiento de la normativa de Protección  de  Datos,  la  PGA  incorporará  el  análisis  de  riesgos  previo  que,  entre  otras  cosas, pondere la cesión de los datos y la finalidad de la aplicación educativa. (Véase apartado 14.5 “Uso de aplicaciones y plataformas educativas”)
...
11.3.Uso de plataformas y aplicaciones informáticas vinculadas al aprendizaje
El uso de la plataforma EducaMadrid es el recomendado para la actividad curricular con los alumnos y para la adquisición de su competencia digital pues:
a)   no se generan perfiles automatizados,
b)   se evita la huella digital del alumno y,
c)   no existen ni cesión ni trasferencia internacional de datos, pues sus servidores se localizan en la Comunidad de Madrid.

15 septiembre 2020

Se publica documento

INSTRUCCIONES  Y  RECOMENDACIONES  SOBRE  PROTECCIÓN  DE  DATOS PERSONALES PARA LOS CENTROSDOCENTES PÚBLICOS DE LA COMUNIDAD DE MADRID

https://www.educa2.madrid.org/web/educamadrid/principal/files/4b4b11a7-1d8e-4601-9c3b-b5fb6ea2e29f/InstruccionesyRecomendacionesPDCentros20_21_20089085.pdf?t=1600097234148

CSV 1202584449362708709680

 

Pongo el índice

1.Recogida y tratamiento de datos por los centros educativos

2.Publicación de listados y comunicación de calificaciones

3.Custodia y confidencialidad de los documentos

4.Notificación de brechas de seguridad

5.Obtención del consentimiento informado

6.Uso de aplicaciones y plataformas educativas

7.Contratos de servicios, contratos menores y cláusulas de protección de datos.

8.Redes sociales y publicaciones en Internet

9.Publicación de información académica y/o del alumnado en blogs del profesorado

10.Grabaciones de las sesiones de los órganos colegiados

11.Grabaciones audiovisuales efectuadas en los centros educativos

12.Acceso  por  el  profesorado  al  contenido  de  un  dispositivo  electrónico  del alumnado

13.Utilización de aplicaciones de mensajería

14.Publicación de menús en el comedor del centro

15.Acceso  de  los  familiares  a  información  sobre  ausencias  escolares  de  sus descendientes

16.Comunicación de información escolar del alumnado a sus familiares

17.Acceso a la información académica por padres separados

18.Comunicaciones de datos de alumnado

Comunicación de datos de alumnado a otro centro educativo

Comunicación de datos a otros centros situados en otros países

Comunicación de datos a la Administración educativa

Comunicación de datos a otras Administraciones públicas distintas de la autonómica

Comunicación de datos a las fuerzas y cuerpos de seguridad

Comunicación de datos a servicios sociales

Comunicación de datos a centros sanitarios

Comunicación de datos a otras entidades externas para el desarrollo de actividades extraescolares

Comunicación de datos del alumnado y sus familiares a las asociaciones de madres y padres de alumnos (AMPA).

19.Publicación en la web de datos del profesorado, tutores y otros responsables

20.Videovigilancia

21.Tratamiento de datos por las AMPA.

22.Guías útiles sobre protección de datos personales

Instrucciones v2.0 noviembre 2021

En https://dpd.educa2.madrid.org/


22-11-2021 Nuevas instrucciones sobre protección de datos

Hemos publicado la segunda versión 2.0 de las Instrucciones sobre protección de datos en centros educativos de la Comunidad de Madrid que incluye actualización de contenidos y nuevos asuntos de interés, basados en las consultas que los centros formulan a nuestra Delegación de Protección de Datos.

Deseamos y esperamos que os resulten de utilidad en vuestra actividad diaria y estaremos encantados de aclarar cualquier cuestión relacionada con ello a través de nuestros puntos de contacto.

CSV 1054942376530358747482

Raíces

Hay post separado, pero pongo cosas aquí

ACNEEs en Raíces


25 febrero 2019
EOEP Y EAT: La protección de datos de los menores amenazada por Raíces
CCOO ha denunciado formalmente que el alojamiento de informes psicopedagógicos que "exige" el sistema integral de gestión educativa es contraria a la normativa vigente sobre protección de datos de carácter personal. Por otra parte, el sindicato pide que la consignación de datos básicos y de evaluación del alumnado ACNEE y ACNEAE no sea introducido utilizando las claves de orientadores/as.
http://www.feccoo-madrid.org/noticia:369855--La_proteccion_de_datos_de_los_menores_amenazada_por_Raices


26 febrero 2019
Educación ordena incluir datos médicos de alumnos con necesidades especiales en la nube de Raíces
Comisiones Obreras denuncia que se incumple la normativa regional que establece que los informes psicopedagógicos no salgan del centro donde el alumno está matriculado
https://cadenaser.com/emisora/2019/02/26/radio_madrid/1551179046_988323.amp.html

Hasta ahora los informes psicopedagógicos de los alumnos con necesidades especiales o con alguna adaptación curricular, los que elaboran los equipos de orientación educativa, se adjuntan como una carpeta anexa al expediente de cada niño y se custodian en el propio centro por el secretario o la secretaria. Sin embargo, al incluir esos datos en una red compartida como es Raíces - tal y como indican las instrucciones que la consejería ha dado a los orientadores y a las que ha tenido acceso la Cadena SER - esos datos podrán ser consultados por los equipos directivos de centros públicos y concertados. "Se perderá el ámbito de custodia que marca la ley", según denuncia la secretaria de la Federación de Enseñanza de Comisiones Obreras en Madrid, Isabel Galvín. "Las propias órdenes de evaluación publicadas por la consejería de educación no avalan ni justifican que se cuelguen los informes psicopedagógicos en esta red que es una red compartida por toda la administración educativa de Madrid", explica Galvín, "de hecho estos informes contienen datos que deben ser custodiados por los centros".


1 marzo 2019
Sobre este tema me planteo ideas, pendiente de mirar más:

Los datos pueden estar en la red pero dado su nivel de confidencialidad, creo que debería exigirse un control de acceso. Es decir: los sube el equipo de orientación de un IES, pero el equipo tiene derecho a saber qué personas (usuarios) y cuándo han accedido a esa información. Si no se exige una auditoría de seguridad a ese nivel, los datos no están seguros en Raíces. Un orientador los guardaba hasta ahora en su despacho y él custodiaba físicamente el acceso, y si le piden que delegue en Raíces, deben ofrecer garantías y el orientador exigirlas.

Ficheros datos en Raíces

Tras ver lo de fichero LOPD enero 2018, me planteo si es legal haber hecho la primera evaluación primaria con raíces en diciembre 2017 sin existir el fichero

http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_publica/busqueda_general/index-ides-idphp.php

Buscando aparece

Responsable:     CONSEJERIA DE EDUCACION E INVESTIGACION
SECRETARÍA GENERAL TÉCNICA DE EDUCACIÓN E INVESTIGACIÓN
SECRETARÍA GENERAL TÉCNICA DE EDUCACIÓN E INVESTIGACIÓN     CIF:     S7800001E     Ficheros Inscritos:     1   

Pero enlace no funciona

Igual se puede argumentar que en proceso de implantación el fichero es de SICE y todavía no de raíces, que estaban usando los datos ya registrados de SICE, pero creo que es irregular. Si era válido el fichero de SICE, ¿por qué crear otro?

Buscando lo anterior
ORDEN 1196/2014, de 4 de abril, por la que se crea, se modifica y se suprimen ficheros, que contienen datos de carácter personal, de la Consejería de Educación, Juventud y Deporte

ORDEN 4050/2009, de 27 de agosto, por la que se crean dos ficheros y se suprimen cinco ficheros, que contienen datos de carácter personal, dependientes de la Dirección General de Infraestructuras y Servicios
Se crean los ficheros automatizados “alumnos SICE” y “personal SICE”, dependientes de la Dirección General de Infraestructuras y Servicios ...

¿No hay ni intento de fichero asociado a nexus educación?


En mayo 2018 entra en vigor RGPD y en 2019 veo que enlace anterior no va

De la inscripción de ficheros al registro de actividades
La obligatoriedad actual de inscribir los ficheros en la Agencia por parte de aquellos que tratan datos será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades
https://www.aepd.es/blog/2017-03-16.html

http://www.comunidad.madrid/gobierno/informacion-juridica-legislacion/proteccion-datos

http://www.comunidad.madrid/sites/default/files/rat_web_educacion_e_investigacion_190221.pdf

ASES

Dentro de la aplicación ASES (Auto Servicio del Empleado público) para ver nóminas, indica (asociado a alta/actualización datos con móvil y mail) en junio 2019
https://gestiona4.madrid.org/ases_app/secure/index.jsf

(*) La información marcada con este símbolo no es obligatoria. Su uso queda circunscrito exclusivamente a lo previsto en el fichero con datos de carácter personal “Personal de la Comunidad de Madrid” cuyo responsable es la Dirección General de Presupuestos y Recursos Humanos (BOCM nº 75, de 29 de marzo de 2006 y nº 187, de 8 de agosto de 2013) y se empleará sólo a efectos de notificación de trámites relacionados con la finalidad del fichero. La introducción de estos datos supone el consentimiento expreso por parte del usuario para el uso de los mismos, sólo para estos fines, a través del Sistema de Autoservicio del Empleado. El usuario podrá revocar en cualquier momento este consentimiento.


Formación Madrid

Hay varios temas: formación en protección de datos (a docentes, pero con tema de decreto 32/2019 también a familias y a alumnos), y también formación en EducaMadrid y en aplicaciones externas a EducaMadrid, esas que en principio no se deberían utilizar.

24 octubre 2018
https://twitter.com/sanz_ismael/status/1055140715850809344
Reglamento General de Protección de Datos. Jornada para centros educativos con @GoogleES Hoy sala del @CRIFAcacias llena con @crepresa @GonzaloETC e @ieducando #rgpdcrif
https://twitter.com/directorcra/status/1055178599018438656
Para la próxima charla estaría bien traer a alguien de la @AEPD_es a alguien de los servicios jurídicos de la @ComunidadMadrid y a representantes de @educamadrid . Ya que usamos un excelente recinto público como es el @CRIFAcacias promocionemos nuestras herramientas públicas


Noviembre 2018
(090) PROTECCIÓN DE DATOS EN EL ÁMBITO EDUCATIVO
http://crif.acacias.educa.madrid.org/index.php?option=com_crif_cursos&id=2789&view=uncurso&lista=inscripcionnocerrada&orden=&Itemid=28
PONENTE/S:
Lucía Tena Nogues. Delegada para la protección de datos de la Consejería de Educación e Investigación;
Herminia Gil. Técnico de apoyo en la Oficina de la Delegada de Protección de Datos.
Jesús Sánchez de León. Asesor Técnico Docente Subdirección General de Programas de Innovación
OBJETIVOS:
1. Proporcionar a los equipos directivos respuestas a las preguntas frecuentes sobre protección de datos en el ámbito educativo;
2. Evitar errores en la aplicación de las políticas de protección de datos en el ámbito educativo.
CONTENIDOS:
1. El reglamento europeo sobre protección de datos;
2. Aplicaciones y servicios de internet que almacenan datos de los alumnos de la Consejería de Educación e Investigación;
3. La protección de datos del alumnado;
4. La protección de datos del profesorado y familias.

23 enero 2019
https://twitter.com/elticdelcolon/status/1088014877082423298
Por un lado, si usamos Google y sus herramientas está mal, porque deberíamos usar la de @educamadrid por seguridad. Por otro lado, nos venden las posibilidades de Google for Education. Agradecería explicaciones para saber cómo actuar @sanz_ismael http://innovacion.educa.madrid.org/transformaciondigital/


https://twitter.com/javierfpanadero/status/1194237364211716097
La administración me manda un curso de Google Classroom y otros sistemas de gestión por un lado, por otro, me pide que asegure YO que cumplen la LOPD.


(082) INTRODUCCIÓN A ALGUNOS ENTORNOS VIRTUALES DE APRENDIZAJE PARA PRIMARIA
http://ctif.madrideste.educa.madrid.org/index.php?option=com_crif_cursos&id=1507&view=uncurso&lista=default&orden;=&cursoacademico=0&Itemid=54

CONTENIDOS:
1. Google Classroom
2. Aula Virtual de EducaMadrid
3. Schoology
4. Buenas prácticas para la protección de datos con menores

Normativa

Se cita normativa en general, y para algunas se comenta algún detalle.


Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807



Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330
En concreto Anexo II. Medidas de seguridad


14 noviembre 2018
INSTRUCCIONES DE LA DIRECCIÓN GENERAL DE EDUCACIÓN INFANTIL, PRIMARIA Y SECUNDARIA POR LAS QUE SE ESTABLECEN DIVERSOS MODELOS DE DOCUMENTOS  ACADÉMICOS DE LAS PRUEBAS LIBRES PARA LA OBTENCIÓN DEL TÍTULO DE GRADUADO EN EDUCACIÓN SECUNDARIA OBLIGATORIA DESTINADAS A PERSONAS 
MAYORES DE DIECIOCHO AÑOS EN LA COMUNIDAD DE MADRID PARA LAS 
CONVOCATORIAS DEL AÑO 2019
http://www.comunidad.madrid/sites/default/files/doc/educacion/2018-11-14_instrucciones_pruebas_libres_tgeso_18_anos_2019._texto_12636495.pdf
 Cuarta. Protección de datos
1. Los centros que participen en estas pruebas adoptarán, en relación con el tratamiento de los  datos personales de los candidatos inscritos en las mismas, las medidas establecidas al  respecto en el nuevo Reglamento Europeo (UE) 2016/679 de Protección de Datos.
2. El interesado podrá ejercer, entre otros, sus derechos de acceso, rectificación, supresión,
oposición y limitación del tratamiento ante el centro correspondiente, según lo recogido en el  epígrafe 59 del mencionado nuevo Reglamento Europeo (UE) 2016/679 de Protección de
Datos, por lo que los centros deberán conservar la documentación de cada uno de los
candidatos participantes en las pruebas, la cual estará, en caso de ser requerida, a disposición  de la Dirección General de Educación Infantil, Primaria y Secundaria.
3. De conformidad con el artículo 15.5 de la Orden 2649/2017, de 17 de julio, los ejercicios de los  aspirantes participantes en estas pruebas quedarán archivados en los centros en los que se  hayan celebrado las mismas durante, al menos, los tres meses siguientes a la finalización del  plazo de reclamación, o hasta la resolución, en caso de recurso, por parte del organismo  correspondiente.

3 diciembre 2018
(Comunidad Valenciana)
https://xarxatic.com/normativa-de-proteccion-de-datos-en-los-centros-publicos-valencianos/

RESOLUCIÓN de 28 de junio de 2018, de la Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte, por la que se dictan instrucciones para el cumplimiento de la normativa de protección de datos en los centros educativos públicos de titularidad de la Generalitat.
http://www.dogv.gva.es/datos/2018/12/03/pdf/2018_11040.pdf


8 enero 2019 
ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN INTEGRAL A LA INFANCIA Y LA ADOLESCENCIA FRENTE A LA VIOLENCIA
https://www.mscbs.gob.es/normativa/audiencia/docs/LO_proteccion_integral_violencia_menores.pdf


14 febrero 2019 (Comunidad Valenciana)
Ley 26/2018, de 21 de diciembre, de derechos y garantías de la infancia y la adolescencia.
https://www.boe.es/diario_boe/txt.php?id=BOE-A-2019-1986

3.2.8. Utilización de aplicaciones de mensajería por parte del profesorado para comunicación con familiares del alumnado
Las comunicaciones entre el profesorado y los familiares del alumnado deben llevarse a cabo a través de los medios puestos a disposición de ambos por el centro educativo o la conselleria competente en materia de educación.


20 febrero 2019
DICTAMEN 12019 SESIÓN ORDINARIA DEL PLENO 20 DE FEBRERO DE 2019
Sobre el Anteproyecto de Ley Orgánica de Protección integral a la infancia y la adolescencia frente a la violencia
http://www.ces.es/documents/10180/6054375/Dic012019.pdf

1 marzo 2019
La nueva Ley de Protección de la Infancia incluye 11 cambios legales
http://elsemanaldelamancha.com/not/28085/la-nueva-ley-de-proteccion-de-la-infancia-incluye-11-cambios-legales-

El Consejo de Ministros aprobó el 28 de diciembre, a propuesta de los ministerios de Justicia, Sanidad, Consumo y Bienestar Social e Interior, el anteproyecto de Ley Orgánica de Protección Integral de la Infancia y la Adolescencia frente a la Violencia.


15 julio 2019

RESOLUCIÓN de 5 de julio del secretario autonómico de Educación y Formación Profesional, por la cual se dictan instrucciones en materia de ordenación académica y de organización de la actividad docente en los centros que imparten enseñanzas deportivas de régimen especial en la Comunitat Valenciana, durante el curso 2019-2020.
https://www.dogv.gva.es/datos/2019/07/15/pdf/2019_7118.pdf
Por todo esto, no se podrán utilizar aquellas plataformas informáticas o aplicaciones informáticas móviles (conocidas como ‘apps’), diferentes de las dispuestas o autorizadas por la conselleria competente en materia de educación, que tengan como finalidad:
a) Tanto la comunicación con las familias, como con el alumnado.
b) El seguimiento del alumnado a través de cuadernos de notas de
progreso y su calificación.

27 julio 2019
https://twitter.com/pab_reb/status/1155144721712521217
@idoceo_es @AdditioApp  De las Instrucciones de Funcionamiento para el curso 2019/2020:




9 agosto 2019
Al llamar a AEPD para preguntar sobre reclamación, hago otra pregunta que me resuelven oralmente. La duda es si datos especialmente sensibles deben tener, por normativa, algún tipo de medidas de seguridad (registro de los accesos realizados, lo hago pensando en informes ACNEEs en Raíces). Me indican que ahora no (parece que antes RGPD sí), no hay ninguna normativa que fije el nivel de seguridad asociado a cada tratamiento de datos, es una decisión de cada responsable de tratamiento.

Ley Orgánica 3/2018 y educación


Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. que básicamente se trata de una nueva ley que sustituye a la anterior "LOPD" (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.) y a Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

En artículo 7 se indica algo importante, que es la edad de los 14 años
https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673#a7

Artículo 7. Consentimiento de los menores de edad.

1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.




Artículo 34. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
...
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.



Artículo 83. Derecho a la educación digital.
1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Administraciones educativas deberán incluir en el diseño del bloque de asignaturas de libre configuración la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.

2. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.

3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.

4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.

...

Disposición adicional vigésima primera. Educación digital.

Las Administraciones educativas darán cumplimiento al mandato contenido en el párrafo segundo del apartado 1 del artículo 83 de esta ley orgánica en el plazo de un año a contar desde la entrada en vigor de la misma.


...
Disposición final décima. Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de Educación.

Se incluye una nueva letra l) en el apartado 1 del artículo 2 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación, que queda redactado como sigue:

«l) La capacitación para garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente, con el respeto y la garantía de la intimidad individual y colectiva.»




Un tema relacinado, aunque no cite educación explícitamente, y enlaza con COVID-19 y clases no presenciales
https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673#a8-10
Artículo 88. Derecho a la desconexión digital en el ámbito laboral.
1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.

https://www.boe.es/buscar/act.php?id=BOE-A-2021-9347
Por último, el capítulo XII recoge el papel de la Agencia Española de Protección de Datos en la protección de datos personales, garantizando los derechos digitales de las personas menores de edad al establecer un canal accesible y la retirada inmediata de los contenidos ilícitos.

Real Decreto-ley 14/2019 y educación

Se comenta en Consejo Ministros 31 octubre 2019
https://www.lamoncloa.gob.es/consejodeministros/Paginas/enlaces/311019enlace-admin-elect.aspx

https://www.lamoncloa.gob.es/consejodeministros/referencias/Paginas/2019/refc20191031.aspx#SeguridadElec

Se cita
ubicación de determinadas bases de datos y datos cedidos a otras Administraciones públicas. 

El motivo es político
https://www.lavanguardia.com/politica/20191031/471299226086/gobierno-pedro-sanchez-real-decreto-proyecto-republica-republica-digital-independentista-cataluna.html

Pero tiene impacto en educación
Primero se comenta en forma de hilo
https://twitter.com/xarxatic/status/1190165925720403968
¿Sabrán los defensores del uso de Google Apps -y otros- en el aula que con el Real Decreto de “Seguridad Digital” que ha aprobado el gobierno están cometiendo delito si, a partir de la semana que viene usan esas aplicaciones de servidores fuera de la UE con sus alumnos?

Luego ya en post

https://xarxatic.com/en-que-nos-va-a-afectar-el-real-decreto-de-seguridad-digital/
También va a afectar a los docentes y centros educativos públicos (sí, remarco lo de públicos porque, en este caso el RD solo va a afectar a la administración pública, aunque las empresas privadas que gestionan los centros privados concertados, también podrían verse obligados a cumplirla -no conozco excesivamente la jurisprudencia cómo les afectaría-), en referencia a las herramientas que usen con sus alumnos.



https://civio.es/el-boe-nuestro-de-cada-dia/2019/11/05/las-administraciones-publicas-tienen-seis-meses-para-que-todas-sus-bases-y-servicios-con-datos-personales-esten-alojadas-en-servidores-europeos/


Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
https://boe.es/boe/dias/2019/11/05/pdfs/BOE-A-2019-15790.pdf

No hace mención directa a educación; se podría incluir si se interpreta de manera amplia el "correspondientes"

Artículo 4. Modificación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público queda modificada en los siguientes términos:
Uno. Se introduce un nuevo artículo 46 bis, que queda redactado como sigue:
«Artículo 46 bis. Ubicación de los sistemas de información y comunicaciones para el registro de datos.
Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea

7 noviembre 2019
https://www.lainformacion.com/opinion/borja-adsuara/la-republica-digital-catalana-y-el-real-decreto-ley-espanol/6517845/

¿Quiere esto decir que el DNI y el DNI-e son las únicas maneras de identificarse ante las Administraciones Públicas? No, porque el art. 3, que modifica la Ley del Procedimiento Administrativo Común de las Administraciones Públicas, prevé otras formas de hacerlo, pero todas respaldadas por autoridad (de una “lista de confianza de prestadores de servicios de certificación”) y, en última instancia, por el DNI.

https://twitter.com/FiQuiPedia/status/1192341830454693888
Detalle sobre posible impacto en educación: en  @ComunidadMadrid equipos directivos usan certificados de @Camerfirma, que creo también da servicio en LATAM
La ubicación de sus servidores ahora es clave

Sentencias TJUE sobre RGPD y educación

Aparte de TJUE, hay recopilación del poder judicial (general sobre RGPD)

https://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunal-Supremo/Actividad-del-TS/Estudios/Acceso-a-la-informacion-y-proteccion-de-datos-de-caracter-personal--Actualizado-a-12-de-julio-de-2021-

 

https://twitter.com/directorcra/status/1284764542824861696
¿Qué implicaciones tiene esta noticia en el uso de ciertas apps en los colegios, cuya utilización se basaba en que cumplían el #privacyshield ?

17 julio 2020
Se rompe el escudo de privacidad
https://www.audens.es/blog/se-rompe-el-escudo-de-privacidad/

21 septiembre 2020

Facebook tells Irish court that probe threatens its EU operations - newspaper

https://mobile.reuters.com/article/amp/idUSKCN26B0CV

(Reuters) - Facebook has told Ireland's High Court it cannot see how its services could operate in the European Union if regulators freeze its data transfer mechanism, the Sunday Business Post reported, citing court documents seen by the paper.

The U.S. social media giant last week said that the Irish Data Protection Commission, its lead EU regulator, had made a preliminary decision that the mechanism it uses to transfer data from the EU to the United States "cannot in practice be used".


Normativa en Comunidad Valenciana

ORDEN 19/2013, de 3 de diciembre, de la Consellería de Hacienda y Administración Pública, por la que se establece las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat.
http://www.dogv.gva.es/portal/ficha_disposicion.jsp?L=1&sig=011122%2F2013&url_lista=

Artículo 5. Tratamiento de la información

...

4. Queda prohibido, asimismo, transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos, salvo autorización expresa del organismo responsable del tratamiento de la información, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la Administración de la Generalitat y la empresa responsable de la prestación del servicio, incluyendo los acuerdos de nivel de servicio que procedan, el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.


Resolución de 5 de julio de 2019, del secretario autonómico de Educación y Formación Profesional, por la que se aprueban las instrucciones para la organización y el funcionamiento de los centros que imparten Educación Secundaria Obligatoria y Bachillerato durante el curso 2019-2020.
http://www.dogv.gva.es/datos/2019/07/18/pdf/2019_7221.pdf

12.3. Uso de plataformas informáticas en los centros educativos públicos de titularidad de la Generalitat 1. La Orden 19/2013 sobre normas para la utilización segura de medios tecnológicos en la Administración de la Generalitat, establece que queda prohibido transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos (como es el caso de los servicios en la nube «on cloud»), excepto autorización expresa de la conselleria competente en materia de educación, verificando el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización. Por lo tanto, como norma general, tendrán que emplearse las herramientas que la conselleria competente en materia de educación ponga a disposición de los centros. Además, el artículo 5.4 de la mencionada Orden 19/2013 establece que cualquier externalización del tratamiento requiere la suscripción de un contrato expreso entre la conselleria competente en materia de educación, como responsable del tratamiento, y la empresa responsable de la prestación del servicio, como encargada de tratamiento, que en este caso serían las empresas propietarias de estas plataformas. La obligatoriedad de este «contrato por encargo», así como las condiciones que recoge, se encuentran especialmente especificadas en el artículo 28 del reciente Reglamento general de protección de datos (RGPD).

Documentación DPD consejerías educación

Se cita puntualmente asociado a algunos temas, centralizada aquí para Madrid

https://dpd.educa2.madrid.org/ 

Documento "Protección de datos y uso de las TIC" de julio 2020 realizado por EOI Madrid Embajadores, que enlaza a dpd.

https://mediateca.educa.madrid.org/documentos/hjejdr2mauaciskh

 

Guía básica de protección de datos para los centros educativos

https://apdcat.gencat.cat/web/.content/03-documentacio/publicacions/documents/2891.pdf

PROTECCIÓN DE DATOS EN CENTROS EDUCATIVOS

PREGUNTAS FRECUENTES

Consejería de Educación y Juventud

Delegación de Protección de Datos

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Presentaciones/PREGUNTAS%20FRECUENTES%20PD%20CENTROS%20EDUCATIVOS.pdf?t=1581609818084

 

Grabación del Curso para coordnadores TIC de la Jefa de servicio de la DPD  Herminia Gil

Se require para verlos iniciar sesión en la mediateca.

https://mediateca.educa.madrid.org/video/iqh3jicp4ikabquw
https://mediateca.educa.madrid.org/video/xn37rujklalgibtq
https://mediateca.educa.madrid.org/video/exi5iieeku17drft

Presentaciones curso para coordinadores TIC enero 2021

https://drive.google.com/file/d/1cZ0BRSy3886cYrdyRoI95ySMrFbqjRfz/view?usp=sharing

https://drive.google.com/file/d/15p_2hoyE_0DPkbQZm_4DmZP6rrvMn1og/view?usp=sharing

https://drive.google.com/file/d/1FXs2blPFGQ8gxZiKZpa03CqiPhgOXhmU/view?usp=sharing 




Formularios y solicitudes RGPD / APD

Una persona puede ejercer sus derechos asociados a RGPD

En la APD tiene información general
https://www.aepd.es/reglamento/derechos/index.html

La normativa de protección de datos permite que puedas ejercer ante el responsable del tratamiento tus derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Y en APD hay formularios
https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos

Se citan, con un formulario para cada uno:


    Derecho de acceso
    Derecho de rectificación
    Derecho de oposición
    Derecho de supresión ("al olvido")
    Derecho a la limitación del tratamiento
    Derecho a la portabilidad
    Derecho a no ser objeto de decisiones individuales automatizadas
    Derecho de información
    Derechos Schengen


Ejemplos concretos de formularios:
https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-rectificacion.pdf

https://www.aepd.es/sites/default/files/2019-09/formulario-derecho-de-oposicion.pdf


En acceso indica entre otras cosas
"2. Se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello."


>Creo que realizar esa solicitud a la Comunidad de Madrid como empleado puede ser interesante. El plazo es un mes. Veo que en "micuenta" hay información básica de aplicaciones a la que estoy autorizado,

https://gestiona.madrid.org/usui_micuenta/index.jsf
(el acceso vía internet existe no parece funcionar, pero sí vía intranet)
https://intranet3.madrid.org/usug_micuenta_intra/index.jsf


Datos usuario

En esta pantalla usted puede visualizar sus Datos Personales. En caso de que los datos que aparezcan en ella no sean correctos, o no existan, rellene la ficha FGA_AG01 con los datos correctos y con la firma de su responsable, póngase en contacto con el Centro de Atención a Usuarios (CAU), en el email icmcau@madrid.org o a través del propio Portal CAU:http://intranet.madrid.org/portalcau http://www.madrid.org/portalcau.



Se pueden ver registros de tratamiento de Madrid aquí
http://www.comunidad.madrid/gobierno/informacion-juridica-legislacion/proteccion-datos
En concreto educación
http://www.comunidad.madrid/sites/default/files/rat_web_educacion_e_invest_190522.pdf
Pdf de 10 páginas con letra diminuta

Hay datos de FSE, y cosas curiosas como guardar IP en ciertos casos.

Datos de Delegados de Protección de Datos de la Comunidad de Madrid por consejerías aquí
http://www.comunidad.madrid/sites/default/files/dpds_para_web_0.pdf

Ahí se indica protecciondatos.educacion@madrid.org

http://www.madrid.org/es/transparencia/consejeria/delegada-proteccion-datos

Delegada de Protección de Datos

Comunidad de Madrid

Datos de interés
Responsable: 
Sra Dª. Lucía Tena Nogues
Dirección: 
C/ Alcalá, 30 - 32.
Código Postal: 
28014
Distrito: 
Centro
Municipio : 
Madrid
Telefono: 
91 720 04 86
Transportes próximos: 

En marzo 2020 quedan resto de formularios asociados a la "Agencia de Protección de Datos de la Comunidad de Madrid", que desapareció en 2013
Protección de datos de carácter personal en la Comunidad de Madrid
https://gestionesytramites.madrid.org/cs/Satellite?cid=1142613974787&language=es&pagename=ServiciosAE%2FPage%2FPSAE_contenidoFinal

Se puede ver que en 2020 un trámite usa este impreso
http://gestiona.madrid.org/i012_impresos/run/j/VerImpreso.icm?CDIMPRESO=1290F1

LEY 8/2012, de 28 de diciembre, de Medidas Fiscales y Administrativas.
https://www.bocm.es/boletin/CM_Orden_BOCM/2012/12/29/BOCM-20121229-2.PDF
Artículo 61
Extinción de la Agencia de Protección de Datos de la Comunidad de Madrid


Petición de mis datos a la Comunidad de Madrid

Teniendo los formularios, me surge la idea de ejercer mi derecho a conocer qué datos tiene míos.
Es un tema que tenía en mente desde enero 2018, cuando en una respuesta de la consejería de educación me citan una sentencia judicial ¿cómo pueden tener ellos mis datos?

5 julio 2019, realizo solicitud.

---
EJERCICIO DEL DERECHO DE ACCESO
DATOS DEL RESPONSABLE DEL TRATAMIENTO.
Nombre / razón social: Delegada de Protección de Datos Comunidad de Madrid, Consejería de Educación e Investigación, Secretaría General Técnica
Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/ Alcalá nº 30-32 C.Postal 28014 Localidad Madrid Provincia Madrid Comunidad Autónoma Madrid
...
SOLICITA
Que se le facilite gratuitamente el derecho de acceso por ese responsable en el plazo de un mes a contar desde la recepción de esta solicitud, y que se remita, a la dirección indicada, la siguiente información:
-Copia de mis datos personales que son objeto de tratamiento por ese responsable.
-Los fines del tratamiento así como las categorías de datos personales que se traten.
-Los destinatarios o categorías de destinatarios a los que se han comunicado mis datos personales, o serán comunicado.
-Si mis datos personales no se han obtenido directamente de mí, la información disponible sobre su origen.
-La existencia del derecho a solicitar la rectificación, supresión o limitación del tratamiento de mis datos personales, o a oponerme a dicho tratamiento.
-El derecho a presentar una reclamación ante una autoridad de control.

Entendiendo que la información general puede estar en http://www.comunidad.madrid/sites/default/files/rat_web_educacion_e_invest_190522.pdf, pero el origen de la petición es que en la respuesta a la petición de transparencia 09-OPEN-00173.6/2017 firmada por EL DIRECTOR GENERAL DE RECURSOS HUMANOS (D.G. de Recursos Humanos (Educación)) Miguel José Zurita Becerril el 16 enero 2018 se indicó explícitamente "En relación con el apartado 2 de la solicitud de acceso a la información pública, señalar que ha sido sustanciado, en la Sentencia 351/2017 del Juzgado de lo Contencioso Administrativo nº 31 de Madrid, procedimiento abreviado 413/2016 del demandante y solicitante de la presente petición de información." por lo que ejerzo mi derecho a saber qué datos personales almacena o tiene acceso la Consejería de Educación asociados a procesos judiciales en los que yo haya intervenido, ya que los usa en su respuesta, datos que no considero incluidos en el enlace anterior, donde asociados a justicia solamente se citan las siguientes actividades de tratamiento
33 Gestión ordinaria del personal docente.
34 Prevención y actuación frente al acoso y la violencia en el trabajo
38 Consultas al Registro Central de Delincuentes Sexuales
39 Aplicación del régimen disciplinario del personal docente y no docente adscrito a los centros docentes públicos no universitarios.
y no veo que encaje la información sobre un contencioso administrativo en ninguno de ellas.

En Azuqueca de Henares, a 5 de julio 2019.
---

11 julio 2019
Recibo respuesta
---
Estimado Enrique,

En relación con su solicitud de acceso a la información, le comunicamos que únicamente consta en la Secretaría General Técnica de la Consejería de Educación e Investigación (en adelante Consejería) la copia, remitida por el Juzgado de lo Contencioso-Administrativo n º 31 de Madrid, de la sentencia recaída en el Procedimiento Abreviado 413/2016, al que se hace referencia en los documentos que remite y donde usted es el demandante.

De conformidad con la ley de lo contencioso-administrativo, cuando el órgano judicial admite a trámite la demanda, este solicita a la Administración que remita el expediente relativo al objeto del recurso. En su caso, el expediente se refiere a la resolución de la Dirección General de Recursos Humanos que desestimaba su solicitud de abono de ciertas retribuciones; por lo tanto, los datos personales remitidos al juzgado estaban referidos a esa solicitud.

Dichos datos constan en la Consejería con motivo de la relación laboral existente entre usted y esta Administración y que usted mismo aportó como interesado en los procesos selectivos en los que ha participado. La información sobre la protección de sus datos se refleja en el Registro de Actividades de Tratamiento de esta Consejería publicada en la página web de la Comunidad de Madrid y se detallan en las actividades que usted mismo enumera en su solicitud:

Gestión ordinaria del personal docente.
Prevención y actuación frente al acoso y la violencia en el trabajo.
Consultas al Registro Central de Delincuentes Sexuales.
Aplicación del régimen disciplinario del personal docente y no docente adscrito a los centros docentes públicos no universitarios.

Además, se informa sobre el tratamiento de datos personales en la actividad de tratamiento “Reclamaciones, Recursos y otras impugnaciones
Administrativas”, que pueden dar origen a la interposición de recursos contencioso-administrativos.

La remisión de datos personales a las Fuerzas y Cuerpos de Seguridad del Estado y a órganos judiciales no constituye en sí misma una actividad de tratamiento y la cesión de datos se produce como resultado de una obligación legal, de acuerdo con la normativa de protección de datos (art. 6.1.c) del Reglamento General de Protección de Datos de 26 de abril de 2016 y entrada en vigor el 25 de mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Cuando existe la cesión de datos, la actividad de tratamiento correspondiente recoge esta circunstancia.


Esperamos que esta información resulte de utilidad,
---
Citan artículo 6.1.c
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

Citan la línea 55 " Reclamaciones, Recursos y otras impugnaciones administrativas" que incluye


nombre y apellidos, DNI/CIF/Documento identificativo, dirección postal, dirección electrónica (email,etc.), firma, firma electrónica, teléfono,  sexo, estado civil, nacionalidad, edad, fecha y lugar de nacimiento, datos de familia, características de alojamiento, vivienda, situación familiar, propiedades, posesiones, pertenencia a asociaciones, licencias, permisos y autorizaciones.datos bancarios,  préstamos, ingresos, rentas, inversiones, bienes patrimoniales, planes de pensiones, jubilación, avales y datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios

6 agosto 2019
Envío correo
---
Habiendo transcurrido un mes sin recibir los datos que solicitaba, solicito información de si se me van a facilitar y en qué plazo, para plantear la reclamación a AEPD. Solamente se me respondió el 11 Julio argumentando sobre mi comentario de la motivación de mi solicitud, pero no se me han facilitado datos. Mi solicitud indicaba, por ejemplo "Copia de mis datos personales que son objeto de tratamiento por ese responsable."
---

9 agosto 2019
Llamo por teléfono a AEPD, y me indican que ante silencio de plazo un mes, debo poner reclamación a AEPD, vía sede (hay un año de plazo para la reclamación). Me confirman que es un mes natural, y que el mes de agosto no se computa como inhábil.

https://sedeagpd.gob.es/sede-electronica-web/
La reclamación lleva a una página donde no hay algo exclusivo de este caso
https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/limeSurvey.jsf
Aparecen solo 5 opciones:
MOROSIDAD, DEUDAS IMPAGADAS NO RECONOCIDAS
PUBLICIDAD Y COMUNICACIONES COMERCIALES O PROMOCIONALES
PUBLICACIÓN DE DATOS EN INTERNET
VIDEOVIGILANCIA
OTROS
Elijo "otros"

Pide datos de los reclamados presuntos infractores: añado solamente a la Comunidad de Madrid, Calle Alcalá, 30-32 - 28014 Madrid,

Me pide dato CIF, uso S7800001E

Luego pide datos
Aclaración de los hechos reclamados
* Tipo   
EJERCICIO DE DERECHOS   
* Categoría   
ACCESO
* Subcategoría
NO SE HA CONTESTADO SATISFACTORIAMENTE A LA PETICIÓN DE ACCESO, DOCUMENTÁNDOSE CON COPIA DEL ESCRITO.
(No marco NO SE HA CONTESTADO EN EL PLAZO DE UN MES DESDE LA RECEPCIÓN DE LA SOLICITUD)


---
5 julio 2019 ejerzo derecho de acceso enviando correo electrónico a     protecciondatos.educacion@madrid.org
Adjunto: correo enviado en pdf, y los 3 pdfs anexados al correo.
11 julio 2019 recibo un correo, en el que se me cita artículo 6.1.c del tratamiento para argumentar sobre lo que comentaba como argumentación de mi solicitud.
Adjunto: correo recibido en pdf (concateno en mismo pdf correo 6 agosto al no poder enviarse más de 5 ficheros)
6 agosto 2019, pasado un mes natural, envío correo indicando que no he recibido los datos solicitados.
9 agosto 2019 llamo a AEPD y me indican que el plazo es de un mes natural sin ser el mes de agosto inhábil.

Como comento en mi solicitud, al ejercer el derecho de acceso me interesa conocer cómo se almacenan y consultan los datos sobre los procesos judiciales que hay entre la Comunidad sus empleados. No dudo que la Comunidad los pueda almacenar, pero creo que es relevante saber quién y cómo pueden acceder a los mismos, como por ejemplo es un hecho que se realizó al gestionar una solicitud de transparencia.
---

Permite adjuntar máximo 5 ficheros, no adjunto correo 6 agosto 2019.

Utiliza autofirma, envía los datos y genera un justificante

Número de Registro: 039957/2019

Lo puedo ver con mi certificado en
https://sedeagpd.gob.es/sede-electronica-web/vistas/consultaExpediente/listadoProcedimientos.jsf

22 agosto 2019
Recibo notificación, y en ella 4 documentos

3._CONTESTACION_EJERCICIO_DERECHOS_ENRIQUE_GARCIA_SIMON.pdf    3.1._GARCIA_SIMON_413__DEMANDA.pdf
3.2._GARCIA_SIMON_413__EXPEDIENTE_D._GRA._RR._HH..pdf
3.3._GARCIA_SIMON_413_TESTIMONIO_SENTENCIA.pdf

No comparto los 3 últimos por tener datos personales, pero sí el primero
Lo pongo como enlace pero también como texto
---
En relación con su comunicación mediante correo electrónico de fecha 6 de agosto de 2019 dirigido a esta Delegación de Protección de Datos, reiterando su solicitud de 5 de julio de 2019, y en la cual solicitaba“Copia de sus datos personales que son objeto de tratamiento por ese responsable”,  realizamos las siguientes consideraciones:La  Secretaria  General  Técnica  de  la  Consejería  de  Educación  y  Juventud  (antes  de Educación   e   Investigación),   como   responsable   de   la   actividad   de   tratamiento “Reclamaciones,  Recursos  y  otras  impugnaciones  Administrativas”,  ha  tramitado los siguientes recursos  de  alzada  que  usted  interpuso  contra  distintas  resoluciones de  laDirección General de Recursos Humanos, con las siguientes referencias: RA 355/2012, RA 484/2012, RA 986/2014 y RA 412/2016.La  documentación  contenida  en  los  expedientes  administrativos  de  los  tres  primeros recursos  se  encuentra,  en  formato  papel,  en  el Archivo  Central de  la  Consejería  por tratarse de procedimientos completamente finalizados y transcurrido el plazo máximo de su permanencia de cinco años en la unidad administrativa de origen, establecido porel artículo 13 de la Ley 4/1993, de 21 de abril, de Archivos y Patrimonio Documental de la Comunidad de Madrid1, donde permanecerán hasta diez años, salvo que se consulten en raras ocasiones y se resuelva su traslado al Archivo Regional.Por lo tanto, en atención a su solicitud sobre la información relativa al tratamiento de sus datos de carácter personal, la Secretaría    General Técnica dejó de tratarlos de manera activa con  el  traslado  de  la  documentación  que  los  contiene  al  Archivo  Central  de  la Consejería,  donde  aquella  se  custodia  en  base  a  las  competencias establecidas  por  la legislación en materia archivística. No  obstante, habida  cuenta  de  que  el  tratamiento  es  la  mera  conservación, si  desea consultar dichos expedientes administrativos, podrá solicitar una vista de ellos al Área de Recursos e Informes de la Subdirección General de Régimen Jurídico, de acuerdo con el artículo 38 de la referida Ley 4/1993, de 21 de abril2.

1Artículo 13. Los Archivos de la Asamblea, el Consejo de gobierno y la Administración de la Comunidad de Madrid, incluida la institucional, se organizan teniendo en cuenta las cuatro fases que, según su edad, atraviesan los documentos del modo siguiente: 1. En los archivos de oficina se custodiarán los documentos de archivo generados por las diferentes unidades administrativas en tanto dure su trámite o su uso sea muy  frecuente.  En  todo  caso,  la  permanencia  en  ellos  no  será  superior  a  cinco  años  desde  el  fin  de  su tramitación, salvo excepciones razonadas. Se excluye la documentación de apoyo informativo. 

2Artículo 38. El acceso público a los documentos constitutivos de Patrimonio Documental madrileño se regulará  reglamentariamente  conforme  a  los  siguientes  criterios:  1.  Los  documentos  públicos  cuyo trámite haya finalizado y desde el momento en que su ingreso se haya registrado en los Archivos Centrales o directamente en Archivo de fase posterior serán accesibles a cualquier interesado, incluidas las razones de investigación histórico-científica, de acuerdo con la Constitución y con la legislación vigente. 

En  cuanto  al  recurso  de alzada RA 412/2016,  sí  consta  en el  archivo  electrónico  de  la unidad  gestora  toda  la  documentación  relativa  al  mismo,  incluyendo  el  testimonio remitido  por el  Juzgado  de  lo  Contencioso-Administrativo  nº  31  de  Madrid  de  la Sentencia  351/2017  recaída  en su  procedimiento  abreviado  413/2016, donde  usted recurría   la   desestimación   presunta   del   recurso   de   alzada.   Dado   el   carácter desestimatorio de la sentencia, que no requería de ningún acto posterior por parte de esta  Consejería,  dicha  copia  se  encuentra  archivada  y  la  conservación  de  la  misma conteniendo sus datos personales es el único tratamiento que recibe en la actualidad. Como interesado en el procedimiento, le remitimos una copia de toda la documentación en formato digital relativa al mismo como anexo a esta notificación, dado que el correo electrónico no es un medio adecuado para remitir documentos que contienen datos de carácter personal. En cualquier caso, si usted no está conforme con la información que ha recibido, podrá ejercer su derecho de reclamación ante la Agencia Española de Protección de Datos de acuerdo al art. 13.2.d del RGPD.
---


Pendiente ver si me notifica AEPD (no veo en sede AEPD manera de añadir una notificación por mi parte, solamente poner nueva reclamación). Me dan los datos de justicia, pero nada más. Lo de justicia era mi interés, pero yo no me limitaba a pedir esos datos. Y sigo sin ver cómo dan datos: hacen un documento en el que sacan el listado de mis recursos de alzada ¿de dónde?


5 septiembre 2019
Planteo nueva reclamación AEPD
---
9 agosto 2019 planteo reclamación a AEPD con número de Registro: 039957/2019 (no adjunto de nuevo ea documentación)
22 agosto 2019 recibo contestación de la administración. Se me indica que si no estoy conforme ejerza el derecho de reclamación ante AEPD (adjunto documentos)
No estoy conforme con la respuesta de 22 agosto 2019 porque solo se me facilitan datos asociados al comentario sobre la motivación de mi solicitud, pero no se me han facilitado todos mis datos, tal y como se refleja en mi solicitud, que indicaba, por ejemplo "Copia de mis datos personales que son objeto de tratamiento por ese responsable." y me he dirigido al responsable de educación, reflejando que hay varias actividades de tratamiento por ese responsable
33 Gestión ordinaria del personal docente.
34 Prevención y actuación frente al acoso y la violencia en el trabajo
38 Consultas al Registro Central de Delincuentes Sexuales
39 Aplicación del régimen disciplinario del personal docente y no docente adscrito a los centros docentes públicos no universitarios.
Entiendo que se me han facilitado solo mis datos asociados a actividad
55 Reclamaciones, Recursos y otras impugnaciones administrativas
---
Número de Registro: 042106/2019


23 septiembre 2019
Recibo notificación de AEPD a mi reclamación.
Es documento pdf firmado. Pongo texto quitando datos personales
Básicamente se resume en unos párrafos tipo al principio, un párrafo que dicen que inadmiten, y otro párrafo tipo al final.
---
N/Ref.: E/08865/2019
Fecha entrada: 9 de agosto de 2019
828-150719
En relación con la documentación que ha sido remitida a esta Agencia referida a CONSEJERÍA DE EDUCACIÓN E INVESTIGACIÓN DE LA COMUNIDAD DE MADRID le confirmo, en primer lugar, su recepción.
La normativa de protección de datos prevé que los datos se traten de un modo que garantice una seguridad y confidencialidad adecuadas, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
El responsable y el encargado del tratamiento, así como todas las personas que intervengan en cualquier fase de este, estarán sujetos al deber de confidencialidad, obligación complementaria de los deberes de secreto profesional, que se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
El responsable y el encargado del tratamiento deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta para ello el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Entre las medidas aplicadas debe incluirse un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que una norma le obligue a ello.
Para evaluar la adecuación del nivel de seguridad deben tenerse particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
La identificación de infracciones, por vulneración de medidas de seguridad o por ruptura del deber de confidencialidad, se vincula generalmente con casos en los que la documentación con datos personales hubiera sido expuesta fuera del ámbito de protección que suponen las instalaciones donde son tratados los datos o con la constatación de la existencia de una observación de los datos tratados por parte de terceros, no apreciándose en el presente caso indicios documentales suficientes que
permitan deducir una vulneración del deber de confidencialidad o que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no sean las apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
La normativa de protección de datos pone a disposición de los afectados varios mecanismos para la resolución de las cuestiones relativas al tratamiento de sus datos personales. Si alberga dudas al respecto o desea ejercitar sus derechos puede, a través de los canales de contacto expresamente previstos, dirigirse directamente al responsable del tratamiento. En el caso de que el responsable no haya resuelto las cuestiones planteadas, puede alcanzar una solución amistosa, poniéndose en contacto con el Delegado de Protección de Datos (DPD) que, en su caso, haya designado el responsable o el encargado de tratamiento, entre cuyas funciones figura la de supervisar en su ámbito el cumplimiento de la normativa de protección de datos.
También puede, sin perjuicio de las acciones ejercitables ante los Tribunales de Justicia, hacer uso de los mecanismos de mediación, procedimientos extrajudiciales y otros procedimientos de resolución de conflictos previstos para resolver las controversias surgidas con los responsables del tratamiento. A través de www.aepd.es puede obtener información adicional, incluyendo formularios para el ejercicio de sus derechos.
En el presente caso, tras el análisis realizado sobre los documentos aportados y las circunstancias concurrentes, no se aprecian indicios racionales de la existencia de una infracción en el ámbito competencial de la Agencia Española de Protección de Datos, por lo que, de acuerdo con lo previsto en el artículo 65.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, SE ACUERDA inadmitir la reclamación.
Contra este acto, que pone fin a la vía administrativa, y de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de este acto resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos

---
De acuerdo a lo que indica AEPD, no puedo volver a pedir datos en 6 meses
"2. Se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión
durante el plazo de seis meses, a menos que exista causa legítima para ello."


9 enero 2020
Planteo nueva solicitud. Pongo texto genérico, sin motivación, aunque podría citar que quiero situarme para solicitar la supresión de la información que sea posible y considere procedente cuando en el Concurso General de Traslados deje de estar vinculado en la Comunidad de Madrid.


10 enero 2020
Recibo correo

En relación con su solicitud le informamos lo siguiente:

La Comunidad de Madrid tiene su propio procedimiento para el ejercicio de derechos con su formulario correspondiente, donde se le requiere información relativa a la forma de notificación y a su forma de identificarse como titular delos datos personales a los que solicita el acceso. Podrá obtener información y el modelo oficial en el siguiente enlace:


Siguiendo las instrucciones del enlace, el formulario de solicitud deberá presentarse en el Registro electrónico o en el Presencial, al que contestaremos a través de la plataforma de Notificaciones Telemáticas, mediante la que usted ha sido ya notificado por esta Delegación de Protección de Datos en relación con otra solicitud de ejercicio de derechos, salvo que elija que se le notifique en su domicilio.

Sin embargo, esta Delegación no va a notificarle información relativa a sus datos personales a su dirección de correo electrónico debido a que este medio no es una forma válida de notificación, pues no permite dejar constancia fehaciente de la misma y porque al solicitar copia de sus datos personales, el correo electrónico tampoco garantiza la entrega segura y confidencial de dichos datos.

En consecuencia, de acuerdo con los artículos 66.6, y 68.1 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, deberá presentar su solicitud en el modelo oficial en el plazo de diez días, transcurrido el cual, si así no lo hiciera, se le tendrá por desistido de su petición.

En espera de sus noticias, reciba un cordial saludo,

Tramito
Ejercicio de Derechos en materia de protección de datos personales tratados por la Administración de la Comunidad de Madrid
https://gestionesytramites.madrid.org/cs/Satellite?cid=1354786662101&c=CM_ConvocaPrestac_FA&noMostrarML=true&pageid=1142687560411&pagename=ServiciosAE%2FCM_ConvocaPrestac_FA%2FPSAE_fichaConvocaPrestac&vest=1142687560411

El impreso es
http://gestiona.madrid.org/i012_impresos/run/j/VerImpreso.icm?CDIMPRESO=1291F1

Hay que indicar los ficheros
1.B.1 Gestión ordinaria del personal docente. RGPD
1.B.2 Prevención y actuación frente al acoso y la violencia en el trabajo
1.B.3 Selección de personal docente, adquisición de nuevas especialidades; creación de listas de aspirantes a interinidad y listas de inspectores accidentales.
1.B.4 Provisión de puestos de trabajo de personal docente en centros docentes públicos no universitarios
1.B.5 Gestión de personal no docente adscritos a los centros docentes públicos no universitarios.
1.B.6 Aplicación del régimen disciplinario del personal docente y no docente adscrito a los centros docentes públicos no universitarios.
1.B.8 Tratamiento de datos para el control horario o para el control de acceso por los trabajadores de centros educativos.

3.6 Gestión de personal al servicio de la Consejería de Educación y Juventud


6 marzo 2019
Recibo respuesta, comparto anonimizada
https://drive.google.com/open?id=1Gm8lS59iLFENN0_OsSam0v858yxm3E4J


RGPD en situaciones asociadas a educación 

Información general
16 noviembre 2021
Protección de datos y privacidad del alumnado (no solo en redes sociales)

Información AEPD y consejerías de educación

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-la-utilizacion-de

Decálogo de recomendaciones

El informe, que también aporta orientaciones, incluye un decálogo de recomendaciones para fomentar la protección de datos a través del buen uso de aplicaciones en centros docentes.

A continuación se recoge un resumen del mismo:

    1. Los centros educativos deben velar por que la incorporación de las tecnologías en las aulas se realice respetando el derecho a la protección de datos de aquellos cuya información personal se trata.
    2. Los centros deben utilizar únicamente aquellas aplicaciones que ofrezcan información claramente definida sobre quién trata los datos, para qué y con qué finalidad, así como dónde se almacenan, el tiempo que se guardan y las medidas de seguridad.
    3. La política de seguridad de los centros debe incluir a las aplicaciones utilizadas y los profesores deben solicitar autorización para su uso al centro, el cual debe hacer una evaluación de la aplicación en materia de seguridad de la información.
    4. Los centros deben informar de manera sencilla y transparente a los padres o tutores sobre la utilización de la tecnología en las aulas, así como de las apps que utilicen para tratar datos personales de los alumnos.
    5. Las aplicaciones utilizadas deben permitir el control por parte de los tutores o profesores de los contenidos subidos por los menores, y en especial de los contenidos multimedia.
    6. Debe tenerse especial cuidado con la publicación de fotografías o vídeos de alumnos facilitados por terceros, tales como otros alumnos o profesores.
    7. Deben establecerse programas informativos de concienciación para profesores y alumnos sobre protección de datos y la importancia del uso correcto de aplicaciones, sobre todo en lo concerniente a la publicación de imágenes y vídeos, configuración de opciones de privacidad o uso de contraseñas robustas, entre otros.
    8. Al utilizar sistemas de almacenamiento en nube se debe evitar incluir especialmente datos de salud, contraseñas, datos bancarios o material audiovisual de contenido sensible.
    9. Cuando exista en el centro una plataforma educativa que permita la interacción entre alumnos, y entre estos y los profesores, se aconseja que se prime su utilización para este fin, sin establecer mecanismos de comunicación adicionales.
    10. Para los casos de tratamientos especiales de datos que puedan suponer un mayor riesgo, tal como el reconocimiento facial de menores de edad, el centro docente debe obtener el consentimiento expreso de los alumnos (si son mayores de 14 años) o de los padres o tutores (si son menores de 14 años) y asegurarse de la finalidad para la que se utilizan.
 

INFORME SOBRE LA UTILIZACIÓN POR PARTE DE PROFESORES Y ALUMNOS DE APLICACIONES QUE ALMACENAN DATOS EN NUBE CON SISTEMAS AJENOS A LAS PLATAFORMAS EDUCATIVAS
https://www.aepd.es/sites/default/files/2019-09/guia-orientaciones-apps-datos-alumnos.pdf

GUíAS SECTORiALES AEPD  I  Guía para centros educativos
https://www.aepd.es/sites/default/files/2019-10/GuiaCentrosEducativos.pdf

Guía para el tratamiento de datos en los centros educativos, Cantabria
https://www.educantabria.es/docs/info_institucional/Guia_tratamiento_datos_2019.pdf

 

Algunas recomendaciones en materia de privacidad para la enseñanza online

https://www.educacion.navarra.es/documents/27590/1633870/AEPD-Recomendaciones+en+materia+de+privacidad+para+la+ense%C3%B1anza+online.pdf/f55de8e4-9d34-c86d-beb4-be9f9c6d7382

11 noviembre 2020

Protección de datos en los Centros Educativos

https://www.youtube.com/watch?v=S5RZRWTvZQg

(vídeo de 1 hora)

Conferencia asociada al curso “Protección de datos, privacidad y derechos digitales”. Ponente: Subdirector General del Registro General de Protección de Datos (AEPD). Temas: centros docentes, profesores y protección de datos como actuar, las clases online en tiempo de pandemia, la protección de datos en las redes sociales, los menores y su concienciación  #EducaSeguro  

En minuto 45 se cita tema de difundir casos COVID19.

 No presentar datos que la administración ya tiene

https://twitter.com/FiQuiPedia/status/1196824418745569280
Tramitando Concurso Traslados autonómico Madrid con trámite online (ok: obligatorio por art14.2e Ley 39/2015 https://boe.es/buscar/act.php?id=BOE-A-2015-10565#a14, me identifico con certificado)
Mejoras:
1. Me pide datos que tiene @ComunidadMadrid
  (art53.1.e Ley 39/2015 https://boe.es/buscar/act.php?id=BOE-A-2015-10565#a53)  

2. Pide/no pone datos que, además de que ellos conocen, aplicación no explica bien y que al cumplimentar se ponen mal si no se lee detalle de lo que piden: tengo destino definitivo pero sí debo cumplimentar "Año Func. Carrera Sit. Provisionalidad"
3. Esta mejora espero llegará algún día. Baremar la antigüedad de interinidad y año prácticas ¿por qué valen lo mismo cursos hechos antes de ser de funcionario carrera que cuando sí se es, pero no vale la antigüedad si no se es funcionario de carrera?

Aplicaciones a usar en educación

Aparte del correo corporativo, está el tema de usar otras.
Muchas veces enlaza con opensource.
 

https://twitter.com/lfajardo/status/1341481577373708291

La tecnología en educación no puede ser la de las redes (ni Meet ni Teams) que no tienen los valores que exige la #LOPDgdd https://boe.es/buscar/act.php?id=BOE-A-2018-16673#a8-5 en dignidad humana, valores constitucionales, derechos fundamentales,...

 
 
 
Algunas CCAA prohíben explicitamente no usar cosas corporativas.
26 septiembre 2020 
Cuestiones resueltas por la DPD sobre el uso de plataformas  externas y el correo no corporativo. Para aquellos compañeros que tienen dudas sobre si pueden negarse a utilizar ciertas plataformas 
 
Quiero trasladar las siguientes consultas de privacidad y protección de datos sobre plataformas externas y uso de correo no corporativo encentros públicos asociadas a mi condición de empleado público de la Consejería de Educación en la Comunidad de Madrid, donde soy docentede secundaria.
 La consulta es suficientemente general, y aplica tanto a funcionarios como a interinos.Dado el interés general, anticipo que deseo compartir públicamente la respuesta recibida para queoriente a otros docentes, por lo que solicito permiso para compartirla.
1. ¿Un centro, que emplea una aplicación o plataforma educativa no corporativa o no complementaria, puede utilizar el correo perteneciente aesa plataforma (no corporativo, distinto del de Educamadrid) para las comunicaciones con las familias?
El correo corporativo que está a disposición de los empleados de una organización es para urso estrictamente profesional. Por ello, no debe serredirigido a un correo de uso privado o personal o de una plataforma ajena, ya que contiene información confidencial que solo a la organizaciónpertenece (no al empleado), puesto que si no existiese esa relación laboral, esa actividad y su contenido no se estarían produciendo. (Para másinformación, leer el apartado 13 de las instrucciones, y el enlace a una infografía sobre el uso del correo, donde debemos sustituir "salud" por"educa" en el ejemplo propuesto).
Además, debe evitarse el correo electrónico para las comunicaciones de datos personales y utilizar ROBLE siempre que sea posible para estemenester. Si se puede utilizar sin problema para envío de circulares, ejercicios prácticos, u otro tipo de información que no contenga datospersonales.
Los correos de plataformas ajenas jamás deben utilizarse para la actividad profesional, porque de este modo la organización pierde el controlde la seguridad de la información y su trazabilidad y el usuario se convertirá en el único responsable en caso de incidente o brecha deseguridad por pérdida de datos o comunicación a terceros no autorizados, que puede acarrear, en su caso, una reclamación ante la AgenciaEspañola de Protección de Datos y una sanción por su parte además de posibles consecuencias disciplinarias para el empleado.
 2. En caso de respuesta afirmativa: 
La respuesta es negativa
2.1. Si decido usar ese correo o corporativo, ¿puedo asumir responsabilidades asociadas a protección de datos si lo utilizo? 
Queda contestado en el apartado anterior
2.2. ¿Podría negarme a usarlo?, ¿de qué manera debo argumentar a la organización las razones para abstenerme (no saber o garantizarmedidas de seguridad en ese correo, o no tener obligación de asumir responsabilidades de protección de datos profesionales en medios nocorporativos)?
Además de que podrías negarte a usarlo, es que no pueden obligarte a usarlo, por las razones expresadas. ...
3. En caso de respuesta negativa: 
No sólo puede, sino que como profesional, debe negarse a utilizarlo.
3.1. Si decido usar ese correo o corporativo, ¿puedo asumir responsabilidades asociadas a protección de datos si lo utilizo?
Permíteme contestar con un ejemplo en forma de pregunta: ¿Podríamos imaginar que un empleado del Banco XXX o del Corte XXX utilizase un correo no corporativo para las relaciones profesionales con sus clientes y la decisión que esa empresa adoptaría si tuviese conocimiento de ello?
4. Si trabajo en un centro, que emplea una aplicación o plataforma educativa no corporativa o no complementaria, ¿podría negarme a usarla ysolo utilizar la plataforma corporativa (Educamadrid)? 
En primer lugar, los profesores tienen libertad de cátedra para impartir sus conocimientos y utilizar para ello todas o parte de las herramientasque tienen a su disposición en el ejercicio de su labor docente, siempre que todos los alumnos reciban en igualdad de condiciones la educacióncon los mismos índices de calidad dentro del centro.
Además, tal como se indica en las instrucciones, un centro educativo no puede utilizar por su cuenta aplicaciones ajenas, porque de partidaestá incumpliendo la normativa sobre protección de datos, que exige una vinculación jurídica entre el responsable (que es la Consejería, no elcentro educativo ni el profesor) y el prestador de servicio. 
Por otra parte, la Consejería está negociando convenios con distintos prestadores de plataformas educativas para utilizarlas de maneracomplementaria a los sistemas de gestión (RAICES; ROBLE) y la plataforma EducaMadrid. Dichos convenios se van a aprobar en breve pero,mientras tanto, los centros educativos deben esperar a recibir las instrucciones de la Dirección General de Bilingüismo y Calidad dela Enseñanza, que tiene la responsabilidad de determinar las directrices sobre el uso de las plataformas educativas y debenabstenerse de utilizarlas para introducir datos personales hasta que el convenio establezca la forma de hacerlo, que va a ser diferente acomo los centros vienen haciéndolo hasta ahora. 
Sin embargo, es una buena práctica diseñar y analizar los riesgos para el tratamiento de los datos personales en la plataforma, velando porque sean los mínimos posibles y estén seudonimizados o anonimizados siempre que sea posible. Pero las familias, en principio, no van a poder intervenir en la actividad y por ello no debéis solicitar su consentimiento. 
Por favor, en este sentido, leed atentamente el apartado de las instrucciones y recomendaciones sobre protección de datos para el curso2020-2021, que podéis encontrar publicadas en nuestra página web, especialmente el apartado "6. Uso de aplicaciones y plataformaseducativas", para tenerlo todo claro y preparado cuando se informe a todos los centros el momento en que pueden utilizar aplicaciones ajenas.
Esperamos que esta información os resulte de utilidad
Un saludo y mucho ánimo.

El caso de Comunidad Valenciana se comenta en este hilo https://twitter.com/manuelabat/status/1233413827334754305 que por descargar este lo muevo  post sobre Google ya que cita Google varias veces.

Se piensa en aplicaciones para docencia (alumnos/docentes), pero también para administración, como el proceso de matrícula

13 junio 2020

https://twitter.com/EinerEiner71/status/1271694793916235779

 La @ComunidadMadrid ha paralizado las apps que los IES habían contratado por su cuenta y con ello las matrículas del curso que viene a la espera de una app suya (dicen).
Privados y concertados sí pueden hacer matriculaciones online.
Familias nerviosas por su plaza.
2+2...

Asociado a sanción sobre uso ClassDojo

https://www.aepd.es/es/documento/reposicion-ps-00052-2020.pdf

AMPAS

Ver http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf#page=48
VI TRATAMIENTO DE DATOS POR LAS AMPA


13 septiembre 2018
Las AMPA y el cumplimiento obligatorio del RGPD
https://protecciondatos-lopd.com/empresas/proteccion-datos-ampa/


2 marzo 2019
Plantillas de documentos para las AMPAS
Protección de Datos de Carácter Personal
https://www.fapaginerdelosrios.org/ampas/documentos-modelo/entryid/1799

Eventos

Se puede pensar en eventos, asambleas...
24 agosto 2018
Protección de Datos en empresas de organización de eventos
https://protecciondatos-lopd.com/empresas/organizacion-eventos/

Grabación en centros educativos

31 enero 2018
El uso de la videovigilancia en los centros educativos
https://abogadium.com/eltintero/articulo/el-uso-de-la-videovigilancia-en-los-centros-educativos


Cámaras en aulas

Asimismo, la instalación de cámaras o videocámaras en el interior de las aulas, ha suscitado polémica en ciertas ocasiones, haciendo necesario un debate sobre la proporcionalidad de tal medida. El criterio mantenido, es que habrá que analizar los supuestos específicos en los que se plantee dicha medida, realizando una ponderación entre la intromisión en la privacidad de los interesados, y la necesidad de proteger otros intereses como la integridad física o psicológica de profesores y alumnos, sobre todo en casos de especial conflictividad. No obstante, con carácter general la AEPD tiende a considerar desproporcionada esta medida, dado que además de la intromisión en la privacidad de los menores de edad que puede originarse, se estaría ejerciendo control laboral sobre el docente.
     Sí se contempla, por ejemplo, la posibilidad de que la captación de imágenes se produjese únicamente durante horario no lectivo, en momentos en los que las aulas se encontrasen desocupadas, y con el fin de evitar daños en las instalaciones y materiales del centro. En tal supuesto, no habría a priori intromisión en la privacidad de las personas, dado que las aulas se encontrarían vacías.



9 septiembre 2019
La Fiscalía propone instalar cámaras en las aulas para frenar el incremento de abusos sexuales a menores
La Memoria del Ministerio Público de 2018 detecta una subida del 23% de este tipo de delitos. "Se consolida una línea clara y acusadamente ascendente en los últimos años"
https://amp.elmundo.es/espana/2019/09/09/5d758007fdddffac2b8b45d7.html
 El Ministerio Público explica que un «relevante» número de estos delitos tienen como víctimas a menores, se llevan a cabo «por personas cercanas a la víctima» y no se trata de actos aislados, «sino repetidos durante apreciables períodos de tiempo». Y sugiere una medida para disminuir estos casos: la instalación de cámaras en determinados lugares. «La gravedad de ciertas denuncias y lo delicado de los entornos en que se producen los hechos (espacios de encomienda o custodia de menores para su cuidado, educación, entrenamiento, etcétera) podría llevar a normalizar la adopción de medidas de grabación en vídeo de espacios cerrados (despachos, aulas...)». Esas grabaciones disuadirían de la comisión del delito o facilitaría la siempre problemática acreditación de los hechos. Y, añade la Fiscalía, también evitaría «que determinadas personas se vean sometidas a tan lacerantes como infundadas sospechas o imputaciones».

https://www.fiscal.es/memorias/memoria2019/FISCALIA_SITE/capitulo_IV/cap_IV_1_2.html


Capítulo IV. ÓRGANOS TERRITORIALES DEL MINISTERIO FISCAL - 1. ÁREA PENAL
1.2 Evolución cualitativa de la criminalidad


– Aspectos criminológicos de interés.

• Un relevante número de estos delitos, sobre todo agresiones o abusos sexuales, tienen como víctimas a menores y se llevan a cabo por personas cercanas a la víctima, a lo que se une que no se trata de actos aislados sino repetidos durante apreciables períodos de tiempo. Son entornos familiares, educativos o de tiempo libre los que mejor catalogan estos escenarios. Esto suele generar dificultades para la actividad probatoria y, no pocas veces, resultados procesales adversos ante la imposibilidad de poner de manifiesto ante el tribunal indicios derivados de un ilícito que se mueve en un entorno de extrema intimidad en su ejecución y donde además se añade una connotación de vergüenza derivada de la peculiar vejación sufrida por las víctimas, que en ocasiones les lleva a manifestarse con claro rechazo de la intervención de la administración de justicia. Este rechazo inicial propicia incluso la desaparición de pruebas, de manera que el inicio final del proceso se da en situaciones difícilmente reversibles por la pérdida de un transcendental bagaje probatorio.

La gravedad de ciertas denuncias y lo delicado de los entornos en que se producen los hechos (espacios de encomienda o custodia de menores para su cuidado, educación, entrenamiento, etc.) podría llevar a normalizar la adopción de medidas de grabación en video de espacios cerrados (despachos, aulas…), que eviten la imposibilidad de acreditación del hecho o el que determinadas personas se vean sometidos a tan lacerantes como infundadas sospechas o imputaciones.


La Fiscalía abre la puerta a instalar cámaras en las aulas para frenar los abusos a menores
El Ministerio Público apunta que los abusos contra adolescentes tienden a llevarse a cabo por personas cercanas a la víctima, como "entornos familiares, educativos o de tiempo libre"
https://www.elconfidencial.com/amp/espana/2019-09-09/fiscalia-abusos-aulas-camaras-despachos-colegios_2217655/


https://twitter.com/adsuara/status/1171137554063745024
Si lo hicieran, no lo basarían en el consentimiento; como la DGT no te pide permiso para grabarte con sus cámaras y radares. Es por tu seguridad.

10 septiembre 2019
La AEPD tiene una guía que aconseja donde pueden instalarse cámaras de videovigilancia en los colegios
https://confilegal.com/20190910-la-aepd-tiene-una-guia-que-aconseja-donde-pueden-instalarse-camaras-de-videovigilancia-en-los-colegios/

Guía sobre el uso de videocámaras para seguridad y otras finalidades
https://www.aepd.es/media/guias/guia-videovigilancia.pdf

3.8 Entornos escolares
Supuestos específicos de tratamiento de imágenes con fines de seguridad
La  captación  de  imágenes  en  entornos  como colegios, guarderías, centros lúdicos y  espacios  similares  donde  los  menores  puedan  ser  objeto  de  grabación,  requiere  adoptar ciertas cautelas.

La instalación de cámaras de videovigilancia en estos entornos con el fin de controlar conductas que puedan  afectar  a  la  seguridad,  sólo  será  legítima  cuando  la  medida  sea  proporcional  en  relación  con  la infracción que se pretenda evitar y, en ningún caso, debe suponer el medio inicial para llevar a cabo funciones de vigilancia.

La utilización e instalación de estos sistemas debe ser proporcional al fin perseguido, que en todo caso deberá ser legítimo. Y en todo caso deberán tenerse en cuenta las siguientes indicaciones:
·La zona objeto de videovigilancia será la mínima imprescindible abarcando espacios públicos como accesos o pasillos.
·No podrán instalarse en espacios protegidos por el derecho a la intimidad como baños, vestuarios o  aquellos  en  los  que  se  desarrollen  actividades  cuya  captación  pueda  afectar  a  la  imagen  o  a  la  vida privada como los gimnasios.
·Salvo en circunstancias excepcionales, no podrán utilizarse con fines de control de asistencia escolar.
·Se pueden instalar cámaras en los patios de recreo y comedores cuando la instalación responda a la protección del interés superior del menor, toda vez que, sin perjuicio de otras actuaciones como el control presencial por adultos, se trata de espacios en los que se pueden producir acciones que pongan en riesgo su integridad física, psicológica y emocional.
·La  grabación  en  las  aulas  mientras  los  alumnos  realizan  pruebas  de  nivel  de  conocimientos  sería  desproporcionado. 

En 2020 surge la idea si se graban clases: no sería viable por volumen y por conexión centros, por ver tema de consentimiento.

4 junio 2020

https://twitter.com/Gauguinepicuro/status/1268505405426106369

¿Recordáis un viejo reclamo de algunas asociaciones de padres y madres, e incluso chamanes educativos, sobre grabar las clases de los docentes? Pues apuntad esto: el curso que viene, con la excusa de la pandemia, se podrán cámaras en clases para la asistencia virtual de la mitad

 

https://twitter.com/FiQuiPedia/status/1298257025135030273

Es para plantear a @AEPD_es
 
Se ha citado: "...el profesor pueda activar la cámara para que el alumno asista a clase desde su casa. Esto, por supuesto, se debe negociar con cada profesor."
Como dices no resuelve retransmitir intervenciones de menores.
https://www.comunidad.madrid/file/223251/download?token=vDkWOBSH


 

https://twitter.com/FiQuiPedia/status/1298265065838149634

"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say"

https://www.mic.com/articles/119602/in-one-quote-edward-snowden-summed-up-why-our-privacy-is-worth-fighting-for

 

https://twitter.com/dePlaymobil/status/1298398836088594432
Vamos a hablar de las ocurrencia cámaras en las aulas. Esta tarde hemos hablado de la privacidad del alumnado y de cómo las cámaras en las aulas vulneran sus derechos. Los docentes no podemos exponer nuestra imagen ni mucho menos a nuestros alumnos menores. (Sigo)
Seguramente no os gustaría que alguien pueda grabar y difundirpara burlarse algo que afecte a vuestros propios hijos: desde que un profesor les llame la atención, hasta una respuesta errónea, una petición de ir al baño o que se caigan de la silla. Todo eso y más pasa en una aula.

Todos los años recordamos a los chicos la importancia de su privacidad como para ahora poner su imagen, la del profesor o las intervenciones de todos en clase a disposición de otros adolescentes para que acaben convertidas en memes o sean materiel de ciberacoso.

Seguramente no te gustaría que se difundiera ese momento en que tu hijo o hija se pone nervioso y dice alguna tontería y todos los demás se ríen o a tu hija pidiendo por favor ir al baño porque le ha bajado la regla. Especialmente si se convierte en motivo de burlas.

Eso en cuanto la retransmisión en steaming de lo que pasa en un aula sin estricta relación con lo académico. Luego, desde el punto de vista pedagógico es completa te absurdo. Puede que la señora Ayuso piense que una clase es como un telediario y que se puede retransmitir.

Verás qué sorpresa cuando alguien le explique que un porcentaje nada despreciable del tiempo en el dios es interacción. ¿Cómo hace el trabajo en parejas o en grupos un alumno mirando el aula como el que ve Gran Hermano Vip? Si mis alumnos están haciendo un rol play o discutiendo

puntos de vista sobre un tema, o evaluando el trabajo de un compañero, o elaborando una presentación ¿cómo participa el que mira desde casa?. Un aula de la ESO o de Bachillerato NO es una conferencia de un profesor.

Así que la compra de cámaras parece una ocurrencia sin mucho sentido más allá que hacer creer al público que no tiene mucha idea de educación que se va a abordar el problema de qué hacer cuando haya que poner a un montón de alumnos en cuarentena. La verdad es que no hay un plan.

Disculpad algunos errores y palabras sin sentido. El texto predictivo de mi móvil está en inglés y es un poco difícil escribir rápido en castellano. Espero que el mensaje en general haya queda claro. 

 

 

https://bibliotecnica.upc.edu/es/professors/enregistrament-activitats-academiques#enregistrament-difusio-classes-universitaries

La comunicación pública en Internet de las clases impartidas por el profesorado de una universidad sólo se puede llevar a cabo con la autorización expresa del mismo

 

6 septiembre 2020 planteo consulta AEPD

---

En la presentación realizada por la Comunidad de Madrid para el curso 2020/2021se ha planteado instalar 6100 cámaras en las aulas.
https://www.comunidad.madrid/file/223268/download?token=MmiWxW4C
"6.100 cámaras de grabación para las clases de Secundaria, FP y Bachillerato. También habrá cámaras para emitir las clases de Primaria"

Quería saber qué consentimientos son necesarios:
1. Para ser captadas: además del docente, las cámaras pueden tomar sonido y/o imagen de alumnos, que pueden ser menores.
2. Para ser difundidas en directo o en diferido a otros docentes, alumnos o padres.
3. Para ser almacenadas y accedidas.

---

13 septiembre 2020

Vuelta a las aulas 2020 | Educación instalará cámaras en 2.000 aulas para asegurar las clases semipresenciales

https://www.elcomercio.es/sociedad/educacion/vuelta-aulas-asturias-camaras-clases-semipresenciales-secundaria-fp-20200913124937-nt_amp.html

15 septiembre 2020

En documento publicado por DPD Madrid, se cita

Informe sobre la legalidad de las grabaciones efectuadas en centros educativos

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Informes/20200214%20INF%20Grabaciones%20ambito%20educativo%20v2.pdf?t=1584085773847 

(fechado en marzo 2020)

"Grabación de una sesión docente por parte del profesional

Como  ya  se  ha  indicado,  la  Ley Orgánica  2/2006,  de  3  de  mayo,  de  Educación,  en  su artículo  111.bis,  establece  en  su  apartado  5  que  se  promoverá  el  uso,  por  parte  de  las Administraciones educativas y los equipos directivos de los centros, de las Tecnologías de la Información y la Comunicación en el aula, como medio didáctico apropiado y valioso para llevar  a  cabo  las  tareas  de  enseñanza  y  aprendizaje.  En  este  sentido,  la  grabación  de prácticas o pruebas de conocimientos suponen una metodología más de trabajo por parte del profesional de la enseñanza.

La AEPD en su informe 2019-0036, aborda el caso en que la grabación se llevaa cabo por el propio docente, la cual puede ser conveniente o incluso necesaria para el ejercicio de la función educativa, cuyo fundamento se encontraría igualmente en el artículo 6.1.e), debiendo limitarse su acceso al personal docente y a los alumnos a los que vaya dirigida, sin que pueda ser utilizada ulteriormente para otros fines, como  su  divulgación  pública,  que  requeriría  del  consentimiento  expreso  de  los afectados."


Informe  sobre  la  grabación  de  actividades  y  evaluaciones  online  realizadas  por  los alumnos

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Informes/20200507%20INF%20Grabaci%C3%B3n%20actividades%20no%20presenciales%20-%20C-Educativos%20CMadrid.pdf?t=1589200359665

 

24 octubre 2020

https://amp.20minutos.es/noticia/4429538/0/agencia-proteccion-datos-recuerda-profesores-negarse-clases-online/

La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, aseguró que hay casos de profesores que han tratado de negarse a dar clases online amparándose en sus derechos de imagen, algo a lo que, según la institución pública, no pueden acogerse.

"Nos hemos enterado de casos de profesores que se negaban a dar clase por protección de datos para no dar su imagen y no continuar la enseñanza de forma online; en este caso, su contrato es el que rige y no solo pueden, sino que deben permitir que sus alumnos sigan formándose", aclaró Mar España en el encuentro La Pandemia en los Medios de Comunicación. 

La AEPD ha dejado claro que la enseñanza telemática "está legitimada" por "una misión de interés público, que es la función educativa y que está amparada en una norma de rango legal, la Ley Orgánica de Educación, al igual que si se tratase de educación presencial". Por tanto, "la obligación de asistir a una clase virtual sería la misma que la de asistir a clase presencial". 

https://www.aepd.es/es/la-agencia/agenda/mesa-redonda-digital-sobre-la-influencia-de-los-medios-en-la-sociedad-durante-la 


26 octubre 2020 

Noticia reciente que se puede relacionar

https://egida.es/1500-euros-de-multa-por-llevar-una-dashcam-en-el-coche

https://egida.es/wp-content/uploads/2020/10/ps-00108-2020.pdf

AEPD ya había comentado en 2018

https://www.aepd.es/es/prensa-y-comunicacion/blog/camaras-board-y-proteccion-de-datos

4 noviembre 2020

Recibo respuesta AEPD a consulta planteada 6 septiembre 2020, que me remite a DPD

https://drive.google.com/file/d/1ubnwNWH8XhtsbrEsmCAyu8IuyNi4kOqJ/view?usp=sharing

Básicamente me remite a DPD, confirma que no hace falta consentimiento al estar amparado por LOE, confirma que sí hay obligación de asistir a las clases virtuales, y aporta enlaces

¿Pueden los centros educativos impartir clases y realizar exámenes online sin el consentimiento de los interesados?

https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00304

¿Qué cautelas se deben adoptar en las clases y exámenes online?

https://sedeagpd.gob.es/sede-electronica-
web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00305

Sobre cámaras, no de educación

https://twitter.com/Togado2/status/1399671408758857731

INSTALACIÓN Cámaras video vigilancia en AAPP no requieren consentenimiento expreso empleados públicos ni ser informados explícitamente para que puedan ser usadas como prueba en exptes disciplinarios.

STS 1564/2021

 

https://twitter.com/SecuoyaGroup/status/1460288216720945162 

La AEPD sanciona [a la Consejería de Educación de Madrid] la grabación de sesiones de evaluación (falta de legitimación y falta de información).  

Expediente Nº: PS/00412/2020

https://www.aepd.es/es/documento/ps-00412-2020.pdf

 

RGPD y alumnos mayores de edad

Cuando un alumno es mayor de edad, tiene todos los derechos y sus padres no pueden pedir tutorías ni conocer sus calificaciones.
Ideas en este hilo
https://twitter.com/egparraga/status/1173299507997679624

Se cita este informe de 2018
https://twitter.com/mininacheshire/status/1173324941434994689

https://www.aepd.es/media/informes/2018-0036-Cesion-a-progenitores-datos-mayores-de-edad.pdf

En 2020 el enlace es
https://www.aepd.es/es/documento/2018-0036.pdf


Concluye con este párrafo, que se puede resumir en que el alumno mayor de edad debe dar su consentimiento para dar datos a otros

En consecuencia debe examinarse, caso a caso, cual es el interés legítimo que ostenta quien solicita los datos, si el conocimiento de los datos que constan en la Universidad es necesario para la finalidad perseguida por aquél y, finalmente, si el interés legítimo ostentado debe prevalecer sobre los derechos y libertades del interesado, al que debe informarse a fin de que pueda ejercer su derecho de oposición al tratamiento. 

1 marzo 2020
Envío correo a protecciondatos.educacion@madrid.org

Asunto "Posible brecha de seguridad Roble y formularios obsoletos"
---
Buenas noches,
Escribo este correo ya que no veo la opción en la web
para notificar lo que considero que es una brecha de seguridad, que de confirmarse creo que debe notificarse a AEPD según artículo 33 RGPD

El tema es que en Raíces, con el acceso de padres vía Roble, se facilitan credenciales a los padres de alumnos menores de edad.
Pero hay una casuística que no veo contemplada, y es que el día que los alumnos cumplen 18 años, las credenciales de los padres deben ser automáticamente revocadas, ya que no puede consultar datos de otra persona que ya es mayor de edad sin recabar su consentimiento. Es un tema que ocurre habitualmente en 2º Bachillerato, ya que a lo largo del año natural en el que termina el curso los alumnos suelen cumplir los 18 años. Es un tema ya tratado por AEPD


También quiero informar que en 
existen, en 2020, trámites que usan formularios de la extinta "Agencia de Protección de Datos de la Comunidad de Madrid", APDCM, que desapareció en 2013

En esa página se usan otros, y algunos en 2020 tienen el logo de APDCM

Un saludo
Enrique
---

9 marzo 2020
Recibo correo

Buenos días, Enrique.

Hemos revisado los enlaces que nos indicas.

En relación al primer enlace se ha ordenado que se desindexe para evitar que sea accesible a los ciudadanos y procedemos a retirar el fichero, pero conseguimos ver cómo accedéis a las tres últimas URLs, ¿están vinculadas a nuestros portales – Administración Electrónica o Portal del Ciudadano- o sea realizado una búsqueda en Google?  Voy a solicitar que se desindexen, pero no tengo claro dónde descolgar los ficheros. Si penden de Robles, dímelo y vemos quién es competente para realizar dicha solicitud.

Gracias por tu ayuda,

10 marzo 2020
Contesto
Te comento cómo se llega a esos 3 impresos: no los he buscado con Google, tal y como comentaba se llega a través de la página del trámite que enlazaba

Desde esa página se llega a esos formularios a través de estos enlaces de la página
que enlaza a

que enlazan a

que enlaza a 

Un saludo


Tutores que no autorizan aplicaciones no corporativas

Para utilizar aplicaciones no corporativas además de un informe que debe validar el DPD, hay que pedir consentimiento a tutores. La duda es qué pasa si se niegan

Cito

Curso "Protección de datos, privacidad y derechos digitales (LOPDGDD) en los centros educativos"
Bloque 2. Gestión de la Privacidad en los Centros Educativos
...
6. Recursos tecnológicos. Ejemplos prácticos. Sistemas de mensajería.
...
El centro, tras informar convenientemente a los interesados (alumnos, representantes legales de éstos, profesores y demás personal usuario de la aplicación) deberá recabar su consentimiento. Si un alumno o su representante legal no presta su consentimiento el centro educativo deberá garantizar por escrito que el alumno va a recibir las mismas atenciones con una efectividad educativa equivalente mediante los medios corporativos al alcance del centro, sin que ello suponga para el alumno ningún tipo de discriminación frente al resto de alumnos que sí utilizarán la aplicación. Si, tras explicar esto con claridad al alumno y a sus representantes legales, el centro constata la imposibilidad de garantizar la no discriminación de aquel, el centro educativo deberá cesar en su intención de utilizar la aplicación con el grupo de alumnos. En su explicación es preceptivo que el centro informe a los representantes legales del alumno de que, en caso de que no queden conformes con la decisión del centro, estos están en su derecho de reclamar al respecto ante la autoridad nacional de protección de datos (AEPD)

Fotografías con alumnos en centros educativos

21 septiembre 2016
https://www.is4k.es/blog/fotos-en-el-cole-si-o-no

28 marzo 2019
¿El colegio puede publicar fotos de mis hijos en Internet?
http://www.consumer.es/web/es/tecnologia/internet/2019/03/28/226694.php

4 octubre 2019
https://xarxatic.com/uso-de-imagenes-de-alumnos-en-las-redes-sociales/

9 marzo 2021

RECOMENDACIÓN DIRIGIDA A LOS CENTROS EDUCTIVOS PARA NO PUBLICAR IMAGENES CUANDO NO ES NECESARIO

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Recomendaciones/20210309%20Recomendaciones%20Centros%20-%20RECOMENDACION%20NO%20PUBLICAR%20IMAGENES%20SIN%20NECESIDAD.pdf?t=1615900323835

Consentimiento orlas

CONSENTIMIENTO INFORMADO PARA EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL DEL ALUMNADO MENOR DE 14 AÑOS Y DE SUS FAMILIARES

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Modelos/Consentimientos/20200210%20Consentimiento%20informado%20-%20Orlas%20-%20Menor14.docx?t=1581577134789

doy/damos nuestro consentimiento para la realización de fotografías destinadas a la confección de la orla correspondiente al curso actual

Consentimiento vídeo

CONSENTIMIENTO INFORMADO PARA EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL DEL ALUMNADO Y DE SUS FAMILIARES

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Modelos/Consentimientos/20200430%20Consentimiento%20informado%20-%20Video-recuerdo.docx?t=1588240571676

autorizo/autorizamos la incorporación de la imagen/video del alumno en la producción de un video como recuerdo del curso académico


Fotografías en redes sociales tomadas de redes sociales

23 agosto 2020

https://twitter.com/escar_gm/status/1297406635451846656  

¿PUEDEN UTILIZAR LOS PARTICULARES EN SUS CUENTAS PRIVADAS EN RRSS IMÁGENES DE TERCEROS, SIN SU CONSENTIMIENTO, OBTENIDAS DE CUENTAS PÚBLICAS EN LAS REDES SOCIALES?
Se pronunció sobre esta cuestión, entre otras, la STS, Sala Civil, 476/2018, de 20-07-18 (ponente Rafael Saraza)
Dorso de la mano con el dedo índice señalando hacia abajo

En este supuesto la parte demanda publicó en su cuenta personal d Twitter fotografías en las q el demandante (quien era empleado subordinado de la empresa) aparecía, perfectamente reconocible, en diversos actos públicos, q había obtenido en cuentas públicas en las redes sociales.

A dichas fotos en las que aparecía el demandante acompañó comentarios, tales como:
“Sigues de baja?”
“Ahora trabajas en la moda y en la imagen?”
“Y de fiesta! Estás de baja y haces campaña en Madrid? Y por el morro!” “Baja enfermedad común. No parece enfermo. No parece no”

Alega el recurrente q esas publicaciones suponen una intromisión ilegítima en sus dchos fund a la propia imagen y a la intimidad personal,solicitando a la parte dda el pago d una indemnización.

1. Respecto del DCHO A LA PROPIA IMAGEN,entiende el TS q NO HAY INTROMISIÓN ILEGÍTIMA

Recuerda esta resolución q la STC 14/2003 afirma q la determinación d los límites del dcho a la propia imagen debe salvaguardarse el interés d la persona en evitar la captación o difusión d su imagen sin su autorización o sin q existan circunstancias q legitimen esa intromisión.

En este caso, CONCURREN CIRCUNSTANCIAS QUE EXCLUYEN EL CARÁCTER ILEGÍTIMO de la afectación del derecho a la propia imagen del demandante:

A) La captación de la imagen del demandante se hizo en EVENTOS PÚBLICOS, EN COMPAÑÍA DE OTRAS PERSONAS Y CON EL CONSENTIMIENTO DEL AFECTADO.

B) LA PREVIA PUBLICACIÓN DE SU IMAGEN EN INTERNET SE HIZO EN CUENTAS de Facebook, Instagram o Twitter DEL PARTIDO POLÍTICO AL QUE ESTABA AFILIADO O DE AMIGOS, en los que la parte demandada no tuvo intervención y respecto de la que el demandante no hizo objeción alguna.

Si bien en la STS 91/2017, de 15 de febrero (*confirmada por la STC de 24 de febrero de 2020) se estableció q el consentimiento del titular de la imagen para que el público en gral pueda ver su foto en una cuenta abierta en una red social,...

... NO conlleva autorización para hacer uso de la misma y publicarla de forma distinta, pues no constituye el consentimiento expreso q exige la ley.

Xo tb ha d afirmarse q LA PRESTACIÓN D CONSENTIMIENTO XA LA PUBLICACIÓN D LA PROPIA IMAGEN EN INTERNET CONLLEVA CONSENT. XA LA DIFUSIÓN d esa imagen CUANDO tal difusión,x sus características,SEA UNA CONSECUENCIA NATURAL DEL CARÁCTER ACCESIBLE DE LOS DATOS PUBLICADOS EN INTERNET.

Mientras que en la sentencia citada SE NEGÓ QUE LA PUBLICACIÓN DE UNA FOTOGRAFÍA del perfil de Facebook de quien no tenía la consideración de personaje público, EN las ediciones en papel y digital de UN PERIÓDICO,...

... TUVIERA ESA NATURALEZA D «CONSECUENCIA NATURAL» del carácter accesible de la fotografía en Internet, NO PUEDE DECIRSE LO MISMO RESPECTO D LA UTILIZACIÓN PRIVADA EN CUENTAS D TWITTER (o de otras RRSS) D PARTICULARES d las imágenes q se hallan disponibles al público en Internet

En estos casos, LA INCLUSIÓN DE UNA IMAGEN EN UN TUIT EQUIVALE A LA INCLUSIÓN EN EL PROPIO TUIT DEL ENLACE A LA WEB EN Q TAL IMAGEN SE HALLA,lo q puede considerarse como una «consecuencia natural» d la publicación consentida de la imagen en un determinado sitio web d acceso gral

LOS «USOS SOCIALES» LEGÍTIMOS DE INTERNET, como son la utilización en las comunicaciones típicas de la red de las imágenes referidas a actos públicos previamente publicadas en la red, bien «retuiteando» el tuit en que aparece la imagen,...

... bien insertándola directamente en otro tuit o en la cuenta de otra red social, bien insertando un «link» o enlace al sitio web donde la imagen se encuentra publicada, EXCLUIRÍAN EL CARÁCTER ILEGÍTIMO DE LA AFECTACIÓN DEL DERECHO A LA PROPIA IMAGEN, conforme al art. 2.1 LOPDH.

2. Respecto del DERECHO A LA INTIMIDAD PERSONAL, entiende el TS que SÍ EXISTE INTROMISIÓN ILEGÍTIMA debido a la comunicación publica de comentarios relativos a la baja por enfermedad d un empleado de la empresa x quien tiene conocimiento de tal circunstancia por razón de su cargo

La información relativa a la salud física o psíquica d una persona está comprendida dentro del ámbito propio y reservado frente al conocimiento de los demás q preserva el dcho a la intimidad del art. 18.1 de la CE, ya q estos datos constituyen un elemento imp. de su vida privada.

LA INFORMACIÓN SOBRE LA SITUACIÓN DE BAJA LABORAL DEL DEMANDANTE y las conjeturas sobre la enfermedad causante de la baja AFECTAN, por tanto, A SU DERECHO A LA INTIMIDAD.

Además la dda había sido la superior del dte en la empresa en la q este trabajaba,con lo q se está en el caso del art.7.4 LOPDH,q considera intromisión ilegítima en la intimidad la revelación d datos privados d una persona conocidos a través d la actividad prof d quien los revela

El TS estima parcialmente el recurso y condena a la parte demandada a indemnizar al demandante en la cantidad de 6.000 euros por la intromisión ilegítima en su derecho a la intimidad personal.

Os dejo enlace a la resolución
Dorso de la mano con el dedo índice señalando hacia abajo


http://poderjudicial.es/search/openDocument/f13f4899ab1e3bde



#JurisprudenciaCivilTS

 

Redirección del correo corporativo a cuentas externas

Lo había comentado en el post Configurar cliente para leer correo educamadrid
En mayo 2020 se prohíbe esa redirección en Madrid

25 mayo 2020 

REDIRECCIÓN DEL CORREO ELECTRÓNICO DE EDUCAMADRID A CUENTAS DE CORREO AJENAS A LA COMUNIDAD DE MADRID
https://drive.google.com/open?id=1QFS9HMPFjqurUZ82UmVGhhgcexTiPAZf


Videoconferencias y exámenes vigilados con alumnos menores de edad en sus domicilios

Surge asociado a la suspensión de clases presenciales por COVID-19
No veo claro cómo cumplir RGPD sin consentimiento expreso de los padres, y sabiendo que puede ser grabado
Un docente podría hacer una videollamada, alguien hace capturas de todas las caras de menores (y lo que se vea de sus casas) y las difunde. El que difunde tiene responsabilidad, pero también veo del que ha organizado la multiconferencia sin autorización expresa.

Es cierto que se puede grabar sin consentimiento una conversación en la que seamos parte, pero no difundir sin consentimiento
https://www.xataka.com/legislacion-y-derechos/legal-grabar-movil-audio-video-a-otra-persona-su-consentimiento-para-recabar-pruebas
Para tenerlo claro
Así pues, si te planteas grabar algún tipo de conversación, debes tener en cuenta que:
  1. Puedes grabar, en voz o en vídeo, todas las conversaciones de las que formes parte.
  2. Estas grabaciones son legales.
  3. No tienes por qué avisar de que estás grabando la conversación.
  4. Lo que no se puede es revelar el contenido de estas conversaciones.
  5. Sin embargo, pueden servir como prueba en un juicio.
  6. No puedes grabar conversaciones, ni en voz ni en imagen, ajenas, en las que no estés participando.
  7. Si lo haces, puedes incurrir en algún tipo de delito.

En la guía de AEPD se indica
https://www.aepd.es/sites/default/files/2019-10/GuiaCentrosEducativos.pdf#page=37

Si la grabación de las imágenes se produjera por el centro escolar con fines educativos, como trabajos escolares o evaluaciones, el centro o la Administración educativa estarían legitimados para dicho trata-miento sin necesidad del consentimiento de los alumnos o de sus padres o tutores. Cuando la grabación de las imágenes no se corresponda con dicha función educativa, sino que se trate de imágenes de acon-tecimientos o eventos que se graban habitualmente con fines de difusión en la revista escolar o en la web del centro, se necesitará contar con el consentimiento de los interesados, a quienes se habrá tenido que informar con anterioridad de la finalidad de la grabación, en especial de si las imágenes van a estar accesibles de manera indiscriminada o limitada a la comunidad escolar.
...
¿Pueden los centros educativos captar imágenes de los alumnos durante las actividades escolares? 
Cabría distinguir entre la toma de imágenes como parte de la función educativa, en cuyo caso los centros estarían legitimados para ello, de las grabaciones que no responderían a dicha función, por ejemplo, la difusión del centro y de sus actividades, para lo que se deberá disponer del consentimiento de los interesados o de sus padres o tutores. 

En guía Cantabria se dice lo mismo citando a AEPD
https://www.educantabria.es/docs/info_institucional/Guia_tratamiento_datos_2019.pdf

B.8.1 Grabación de imágenes
¿Qué requisitos deben observarse si la grabación es realizada por una persona del centro educativo?
Según la AEPD, podemos distinguir dos situaciones:
•Si  la  grabaciónde  las  imágenes  se  produce  por  el  centro  escolar con   fines   educativos,   como   trabajos   escolares   o   actividades evaluables,  el  centro  o  la  Consejería  de  Educación,  Cultura  y Deporte estarán legitimados para  dicho tratamiento sin  necesidad del consentimiento del alumnado o de sus familiares o tutores. Ello no significa que esas imágenes se puedan hacer públicas.


En abril 2020 intento plantear consulta a AEPD vía sede, pero no está operativa
https://sedeagpd.gob.es/sede-electronica-web/vistas/formConsulta/consulta.jsf 

30 abril 2020
Planteo consulta

---
Con la suspensión de clases presenciales por COVID-19 se plantea desde las administraciones "obtener evidencias del desempeño de los alumnos durante el periodo no presencial, como en los medios (videoconferencia, correo electrónico, plataformas educativas, telefonía, etc.)"
(documento de Madrid descargable de http://www.madrid.org/csv con CSV 1202799775520815571418)
Mi consulta es, dado que se trata de menores:
-Cómo dan autorización, y más en esta situación, a videoconferencias o conversaciones telefónicas con alumnos. Además de imágenes de menores, se realizan es su domicilio y supone tomar imágenes de su domicilio.
-Qué validez tienen las "evidencias" obtenidas por esas vías; un proceso de reclamación de la evaluación, que incluso puede llegar a inspección, podría plantear grabar y custodiar vídeo/audio (como se hace en los exámenes de las escuelas oficiales de idiomas), sin que esté claro quién, cómo y dónde se custodian esas grabaciones.
-Se plantean en algunas situaciones exámenes online vigilados, que suponen vídeo/audio del alumno mientras lo realiza.  Qué posibilidad tienen los padres y los alumnos de negarse a ser vigilados así, dado que se matricularon inicialmente en un curso presencial, y pueden plantear que no tienen por qué disponer de dispositivos y/o ponerlos operativos para esa función de ser vigilados con vídeo/audio  
---


Nº de Registro: 015645/2020

4 mayo 2020
Tratamiento y Protección de los Datos Personales en desarrollo pruebas de Evaluación No Presenciales
https://covid19.ugr.es/noticias/tratamiento-proteccion-datos-personales-eveluacion-no-presencial

RESOLUCIÓN DE LA RECTORA DE 4 DE MAYO DE 2020 SOBRE EL TRATAMIENTO Y PROTECCIÓN DE LOS DATOS PERSONALES EN EL DESARROLLO DE LAS PRUEBAS DE EVALUACIÓN NO PRESENCIALES.
http://covid19.ugr.es/sites/servicios_files/servicios_covid19/public/ficheros/noticias/2020-05/resol.pdf


11 mayo 2020
Resolución Madrid (10 páginas) con enlaces internos
https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Informes/20200507%20INF%20Grabaci%C3%B3n%20actividades%20no%20presenciales%20-%20C-Educativos%20CMadrid.pdf?t=1589200359665
CSV 0926244429448231741675, copia local
REALIZACIÓN DE ACTIVIDADES EDUCATIVAS NO PRESENCIALES EN LOS CENTROS EDUCATIVOS DE LA COMUNIDAD DE MADRID
https://drive.google.com/open?id=19PAU-y4Qbo8kiBUxjtVuiyWhc-bN6P8v


Tiene numerosos enlaces internos
https://dpd.educa2.madrid.org donde citan otros documentos como modelos


https://dpd.educa2.madrid.org/modelos


15 abril 2020
https://www.aepd.es/es/prensa-y-comunicacion/blog/tratamientos-datos-personales-situaciones-emergencia

AEPD “Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo”
https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf


Se citan
https://www.educa2.madrid.org/recursos



Nuevos recursos para teletrabajar




https://www.aepd.es/es/documento/2020-0036.pdf
La consulta plantea una serie de cuestiones relativas al uso de técnicasde reconocimiento facial en la realización de pruebas de evaluación online,partiendo de que el estado de alarma declarado por Real Decreto 463/2020, de14 de marzo, por el que se declara el estado de alarma para la gestión de lasituación de crisis sanitaria ocasionada por el COVID-19, ha determinado lamigración de todas las actividades docentes a entornos online.

18 mayo 2020
Delegación de protección de datos. Política de privacidad para la grabación de pruebas de evaluación del alumnado mediante plataformas educativas u otras herramientas
https://www.educa2.madrid.org/web/educamadrid/principal/files/73067ce0-c41f-42c4-bc27-aa1264a01c15/Circular_Proteccion_de_datos_20_05_2020.pdf?t=1589965049777

(Enlace público sin datos de firma con fecha día 20, 6 páginas, documento original con firma digital de fecha 19 marzo compartido aquí https://drive.google.com/file/d/1Sej-EwhORboU3EZMPdaJI4lbISZn85wG/view)


19 mayo 2020
Notificación "POLÍTICA DE PRIVACIDAD PARA LA GRABACIÓN DE PRUEBAS DE EVALUACIÓN DEL ALUMNADO MEDIANTE PLATAFORMAS EDUCATIVAS U OTRAS HERRAMIENTAS" a centros DAT Norte, CSV 1204101309216063716435
Compartido aquí https://drive.google.com/open?id=1LmxYAMODa6MglVjp1XGYZpHeq7rISHB_)
Indica "Esta información está dirigida a todos los centros educativos, que deben darle la mayor difusión posible entre su comunidad educativa, publicándola en su página web y comunicándola personalmente a los profesores, así como a los alumnos y sus familias."



21 mayo 2020
Agencia Española de Protección de Datos Algunas recomendaciones en materia de privacidad para la enseñanza online
https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Recomendaciones/AEPD-Recomendaciones%20en%20materia%20de%20privacidad%20para%20la%20ense%C3%B1anza%20online.pdf?t=1590064757465

Uso de dispositivos y equipamiento personal, teletrabajo

Es algo que debe facilitar la empresa, en este caso la administración, y la responsabilidad de protección de datos está asociada a esos dispositivos.
Si redireccionar el correo no es viable porque los datos no están en dispositivos de la administración, tampoco sería posible usar un dispositivo personal y almacenar el correo en local.

28 marzo 2020
https://twitter.com/FiQuiPedia/status/1243942154638163968
Se habla de que los docentes estamos teletrabajando en casa, y creo que procede compartir este texto del contrato de teletrabajo que firmé con una empresa privada el 1 febrero 2005.
Y sería similar para "telealumnos" en etapas con educación gratuita
https://www.boe.es/buscar/act.php?id=BOE-A-2006-7899#a88

26 mayo 2020
https://twitter.com/FiQuiPedia/status/1265215274103554048
Si uso un cliente de correo en un dispositivo que no me facilita @educacmadrid y descargo correos, el responsable de esos datos y de su seguridad paso a ser yo. Mientras no me den dispositivo y almacenamiento seguro, debe ser correo web y dimensionarse como tal.


27 mayo 2020
https://twitter.com/diegoredondo13/status/1265688171557326849
Atención a la respuesta de la Delegación de Protección de Datos sobre el uso de la Red doméstica de Internet para el teletrabajo.

Dentro de portalCAU hay un apatado nuevo 2020 sobre trabajo remoto

https://gestiona3.madrid.org/portalcau/index.php/conexion-remota/inicio-conexion-remoto

Ahí se cita ISLA
Guía ampliada de conexión ISLA
https://gestiona3.madrid.org/portalcau/index.php/centro-de-documentacion/send/114-conexiones/93-isla-acceso-y-soporte-remoto-ras

También VPN
https://gestiona3.madrid.org/portalcau/index.php/centro-de-documentacion/send/114-conexiones/95-guia-rapida-de-acceso-vpn
 
https://ar.madrid.org/sslvpn/Login/Login


Guía ampliada de Recomendaciones de seguridad de la información para el trabajo en remoto
https://gestiona3.madrid.org/portalcau/index.php/centro-de-documentacion/send/115-seguridad/120-guia-ampliada-de-recomendaciones-de-seguridad-de-la-informacion-para-el-trabajo-en-remoto

Y ahí se oficializa usar equipos personales
https://twitter.com/FiQuiPedia/status/1288469378485424129
RECOMENDACIONES DE SEGURIDAD DE LA INFORMACIÓN PARA EL TRABAJO REMOTO @ComunidadMadrid, marzo 2020
"aquellos empleados ... que hagáis uso de vuestro equipo personal."
Oficializan teletrabajo con medios personales.

3 junio 2020

Brechas de seguridad: el correo electrónico y las plataformas de productividad online

https://www.aepd.es/es/prensa-y-comunicacion/blog/brechas-seguridad-correo-electronico-plataformas-productividad

Establecer políticas restrictivas de acceso a las herramientas de productividad corporativas para uso personal o desde dispositivos no corporativos. En caso de permitirlo, establecer medidas de seguridad apropiadas y mecanismos de compartimentación de la información que mantengan separados el ámbito personal del profesional. 


Planteo consulta a DPD https://dpd.educa2.madrid.org/contacta-con-nosotros
---
Quiero trasladar las siguientes consultas sobre privacidad y protección de datos asocidas a uso de medios personales a mi condición empleado público de la Consejería de Educación en la Comunidad de Madrid, donde soy docente de secundaria. La consulta es suficientemente general, y aplica tanto a funcionarios como a contración de interinos.
Dado el interés general, anticipo que deseo compartir públicamente la respuesta recibida para que oriente a otros docentes, por lo que solicito permiso para compartirla.

1. ¿La consejería puede exigirme que aporte y use mis medios personales (dispositivos, conexiones) para mi labor profesional como docente en la consejería de educación?
 
2. En caso de respuesta negativa.
2.1 Si decido aportarlos y usarlos porque la consejería no lo hace, ¿puedo asumir responsabilidades asociadas a protección de datos si los utilizo?
2.1 Si decido no aportarlos ni usarlos, ¿de qué manera debo argumentar a la organización las razones para abstenerme (no tener dispositivo, no tener conectividad, no saber o garantizar medidas de seguridad en mi dispositivo, no saber o garantizar medidas de seguridad en mi conexioń, o no tener obligación de asumir responsabilidades de protección de datos profesionales en medios personales)?

3. En caso de respuesta positiva.
3.1 ¿Puedo asumir responsabilidades asociadas a protección de datos si los utilizo?
3.2 ¿Puede exigirme la consejería que pague, instale y configure aplicaciones (por ejemplo antivirus) y asumir responsabilidades asociadas a protección de datos si no lo realizo?


Preguntar por si se puede exigir puede parecer forzado, pero durante el periodo de confinamiento muchos docentes de la consejería hemos aportado y usado nuestros medios, por lo que esa exigencia se ha realizado de facto, y si volviera a haber un confinamiento, volvería a ocurrir.

Existe documentación (A) donde se oficializa que se puede teletrabajar con medios personales

Existe documentacioń (B) donde se muestra que la consejería ha valorado en la contratación de docentes "si tiene posibilidades de teletrabajo y si dispone de la competencia digital"


A: Guía ampliada de Recomendaciones de seguridad de la información para el trabajo en remoto, marzo 2020
https://gestiona3.madrid.org/portalcau/index.php/centro-de-documentacion/send/115-seguridad/120-guia-ampliada-de-recomendaciones-de-seguridad-de-la-informacion-para-el-trabajo-en-remoto
"aquellos empleados ... que hagáis uso de vuestro equipo personal."
y hay apartado "3 EQUIPOS" donde se indica
Si utilizas ordenadores particulares
Cuando uses equipos particulares, hazlo siempre aplicando las recomendaciones de seguridad.
-Instala y actualiza regularmente las actualizaciones de seguridad del sistema y un programa antivirus en el ordenador particular.
-Es  importante  disponer  de  un  programa  antivirus  activo  en  el  ordenador  personal,  así  como, asegúrate que se actualizan de manera frecuente dichos programas. En el mercado existen algunos antivirus gratuitos: (https://www.osi.es/es/herramientas-gratuitas?combine=&herramienta_selec%5B%5D=115).
-No compartas tu equipo particular para trabajo remoto con terceras personas,en lo posible. En  la  medida  de  lo  posible,  no  compartas  el  ordenador  con  terceras  personas,  de  este  modo garantizaras que solo se instala software autorizado y se acceden a sita web de confianza.

B: REANUDACIÓN DE ACTIVIDAD EDUCATIVA PRESENCIAL EN CENTROS DOCENTES, SUSTITUCIÓN DE FUNCIONARIOS INTERINOS
CSV 0908666022483546153315
http://www.madrid.org/cs/Satellite?blobcol=urldata&blobheader=application%2Fpdf&blobheadername1=Content-disposition&blobheadername2=cadena&blobheadervalue1=filename%3D20200609_reanudacion_actividad_presencial_ares_firmada.pdf&blobheadervalue2=language%3Des%26site%3DPortalEducacionRRHH&blobkey=id&blobtable=MungoBlobs&blobwhere=1353002254894&ssbinary=true


----

Tras la respuesta me planteo escrito por registro (DAT, Registro electrónico común, portalCAU ...) adjuntando respuesta y pidiendo conectividad y dispositivo en caso de no haber educación 100% presencial.
En función de la respuesta citar que sin dispositivo no garantizo que use los míos, y de hacerlo, no asumo responsabilidad alguna.

31 julio 2020
Recibo respuesta de DPD
https://drive.google.com/file/d/1TQ49vw_FO-7toIXlcaz4aFaqha-zIGqI/view?usp=sharing


Estimado Enrique: le contestamos en color rojo sobre su propio mensaje.
Esperamos que nuestras respuestas le hayan sido de utilidad.
Reciba un cordial saludo.

1. ¿La consejería puede exigirme que aporte y use mis medios personales (dispositivos, conexiones) para mi labor profesional como docente en la consejería de educación? No. El uso de un dispositivo personal para cuestiones laborales no ha sido regulado por el legislador. En el caso por el que nos pregunta se trata de una posibilidad que la organización ha habilitado para que el trabajador la adopte si lo considera conveniente y de manera voluntaria.
2. En caso de respuesta negativa.
2.1 Si decido aportarlos y usarlos porque la consejería no lo hace, ¿puedo asumir responsabilidades asociadas a protección de datos si los utilizo? Como Vd. indica, en caso de que voluntariamente decida utilizar sus dispositivos privados para acceder a aplicaciones o recursos de información de la Consejería, ésta asume riesgos derivados de que dicho acceso a información corporativa se realiza desde dispositivos de los que no tiene el pleno control. A este respecto le aconsejamos la lectura de la Guía del INCIBE (Instituto de Ciberseguridad) acerca del uso de dispositivos privados en el ámbito laboral. Como verá en esa guía, por lo general las organizaciones que se encuentran en estos casos elaboran y difunden políticas de uso en las que se recomienda al trabajador que tome medidas para incrementar la seguridad de sus dispositivos (bloqueo automático con contraseña, cifrado del contenido, habilitación del borrado remoto para casos de extravío o robo, no conectar con los sistemas de la organización mediante redes WiFi públicas, no compartir con terceros el dispositivo, etc.). En su mensaje Vd. ha incluido las directrices o políticas en este sentido que ha difundido la Comunidad de Madrid, donde se detallan las medidas que se recomiendan al trabajador, y que no sólo disminuyen los riesgos para la organización, sino también para el propio empleado, y en consecuencia no sólo para la protección de los datos corporativos sino también de los propios.
2.1 Si decido no aportarlos ni usarlos, ¿de qué manera debo argumentar a la organización las razones para abstenerme (no tener dispositivo, no tener conectividad, no saber o garantizar medidas de seguridad en mi dispositivo, no saber o garantizar medidas de seguridad en mi conexioń, o no tener obligación de asumir responsabilidades de protección de datos profesionales en medios personales)? Dado que no existe normativa al respecto, el trabajador puede negarse a emplear sus dispositivos privados sin necesidad de argumentación alguna.
Apuntamos a continuación varias referencias normativas que constituyen la Regulación actual del uso de dispositivos tecnológicos en la relación laboral:
 Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
1.  Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
2.  El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
3.  Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.
Artículo 88. Derecho a la desconexión digital en el ámbito laboral
1.  Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
2.  Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
3.  El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Esta Ley Orgánica introduce modificaciones en el Estatuto de los Trabajadores, incorporando el artículo 20 bis:
Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión.
Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.
Cómo en el Estatuto Básico del Empleado Público, incorporando dentro del listado de derechos individuales del empleado público, el siguiente:
j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.




Se cita

Dispositivos móviles personalespara uso profesional (BYOD)
Una guía de aproximación para el empresario
INCIBE_PTE_AproxEmpresario_008_BYOD-2017-v1
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_dispositivos_moviles_metad.pdf

12 agosto 2020

Planteo escrito

https://twitter.com/FiQuiPedia/status/1293485705071661056

Puesto vía registro 49/139010.9/20
https://gestionesytramites.madrid.org/cs/Satellite?c=CM_ConvocaPrestac_FA&cid=1354424366980&noMostrarML=true&pageid=1255430110037&pagename=ServiciosAE%2FCM_ConvocaPrestac_FA%2FPSAE_fichaConvocaPrestac&vest=1255430110037
El escenario I presencial en Madrid no es realista; sin #VueltaSegura brotes supondrán confinamiento, quizá intermitente y no global en todos los centros, y volverá el teletrabajo.

 

17 agosto 2020

Lo planteo a miembros de la asamblea

https://twitter.com/FiQuiPedia/status/1295301857150210049

y también lo pongo vía transparencia 49/148108.9/20. En este caso la respuesta negativa sí aporta información.

15 septiembre 2020

Documento de Murcia sobre teletrabajo en educación

https://sede.carm.es/eAConsultaWeb/consulta/ConsultaController.jpf?csv=CARM-b58e36bb-f74d-ef92-7094-0050569b6280

"Para ello, el profesorado DEBERÁ POSEER  los conocimientos técnicos necesarios, así como EL EQUIPO INFORMÁTICO Y LOS SISTEMAS DE COMUNICACIÓN imprescindibles para garantizar la adecuada prestación del servicio."


Uso de Google Forms y Microsoft Forms

26 mayo 2020
UTILIZACIÓN DE FORMULARIOS INTERACTIVOS TIPO GOOGLE FORMS PARA TRÁMITES DE MATRICULACIÓN DE ALUMNOS
https://www.educa2.madrid.org/web/educamadrid/principal/files/a9beef88-435f-41ce-b01a-544148496060/UTILIZACION_FORMULARIOS_INTERACTIVOS.pdf?t=1590476394303

RGPD y religión en educación

El tema de religión en educación es algo peculiar, lo comento en est tuit 

https://twitter.com/FiQuiPedia/status/1177999024168869888

Impartir la asignatura de religión en centros públicos obliga a declarar sobre religión, cosa que no permite art 16.2 CE "Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias."
Y eso creo que es un tema RGPD no trivial @AEPD_es

https://app.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=16&tipo=2
 

En los materiales de un curso de protección de datos de septiembre 2020 indica 

"Cabe notar que no tiene la consideración de categoría especial de datos o datos sensibles el que un alumno curse la asignatura de religión, ya que el mero hecho de cursar la misma no implica revelación de su confesión religiosa."

 

Planteo esta duda:

---

Si se argumenta que cursar una religión no implica revelación de confesión religiosa (es cierto que por ejemplo siendo una materia que computa para nota se matriculan hijos de musulmanes en religión católica), no es consistente con art 27.3 CE, ya que si se oferta es con el argumento de respetar las "convicciones" de los padres: la materia de religión se ofrece porque en art 27.3 CE indica "Los poderes públicos garantizan el derecho que asiste a los padres para que sus hijos reciban la formación religiosa y moral que esté de acuerdo con sus propias convicciones." y por desarrollos legales basados en ello y en acuerdos con confesiones religiosas, como acuerdos con la Santa Sede.

Aparte de eso, creo que cursar religión obliga a los padres declarar sobre religión/ideología/convicciones, porque están indicando que hijo curse algo tan sensible como una educación religiosa concreta, cosa que yo creo que no estaría permitido según art 16.2 CE "Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias."

El derecho a la educación religiosa creo que surge de las creencias propias, y si no se está considerando como dato protegido la elección, es reconocer que la elección no es religiosa, y que por lo tanto no está amparada por art 27.3 CE.

Cuando dos derechos colisionan, uno debe prevalecer. Creo que es incompatible la protección de datos de la elección de educación religiosa con que se realice en centros públicos; aunque no se pongan listados de los alumnos que van a cierta materia de religión, creo que cursarla implica "declarar sobre religión" haciendo que haya información pública que ven todos los demás. Por poner una analogía, una persona que marca la casilla en la declaración renta sobre la iglesia católica, no necesariamente está declarando que es católico, pero creo que si marcarlo implicase hacer público lo que ha elegido, no se consideraría viable implementarlo.

 

---

 

 

Ver post  Religión, evaluable, de oferta obligada por los centros 2º Bachillerato Madrid

Reconocimiento facial en educación


También relacionado con exámenes online

5 noviembre 2019

Emotional AI and EdTech: serving the public good?

https://www.tandfonline.com/doi/abs/10.1080/17439884.2020.1686016?journalCode=cjem20

Abstract

Education Technology (EdTech) companies are deploying emotional AI to quantify social and emotional learning. Focusing on facial coding emotional AI that uses computer vision and algorithms to see, recognise, categorise and learn about facial expressions of emotion, this paper evaluates nascent usage of these technologies in education. To do this, it assesses the nature of child rights, the history and modern usage of face-based emotional AI, methodology and efficacy, and what this paper sees as a clash of private and public interests. Concern is shown to be two-fold: first is on method, especially given scope for material effects on students; second are ethical and legal concerns. While proposing a list of considerations for any implementation for these technologies in the classroom, the paper concludes that significant risks exist in deployment of these technologies in the classroom.

 

8 marzo 2020


La Junta de Andalucía plantea a las familias instalar un sistema de reconocimiento facial para ayudar al profesorado a pasar lista en clase

    Educación pregunta a padres y madres cómo valoraría que una cámara identificara a los alumnos en el marco de una encuesta para rediseñar su plataforma digital

https://www.eldiario.es/andalucia/andalucia-educacion-reconocimiento-facial-ipassen_1_1042697.html

17 febrero 2021

This AI reads children's emotions as they learn

https://edition.cnn.com/2021/02/16/tech/emotion-recognition-ai-education-spc-intl-hnk/index.html   

Now, with most of his lessons online, technology is helping Chu to read the room. An AI-powered learning platform monitors his students' emotions as they study at home.

The software, 4 Little Trees, was created by Hong Kong-based startup Find Solution AI. While the use of emotion recognition AI in schools and other settings has caused concern, founder Viola Lam says it can make the virtual classroom as good as — or better than — the real thing. 
 
 




Toma de temperatura

Surge con COVID19 

30 abril 2020
Comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos
    La AEPD expresa su preocupación por este tipo de actuaciones, que suponen una injerencia particularmente intensa en los derechos de los afectados y que se están realizando sin el criterio previo de las autoridades sanitarias.

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-aepd-temperatura-establecimientos

Entre estas medidas se está incluyendo, aparentemente de forma generalizada y en muy variados entornos, la toma de temperatura de las personas para determinar la posibilidad de que puedan acceder a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos o equipamientos.

....

Por otro lado, los controles de temperatura se van a llevar a cabo con frecuencia en espacios públicos, de forma que una eventual denegación de acceso a un centro educativo, laboral o comercial estaría desvelando a terceros que no tienen ninguna justificación para conocerlo que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus. 

...

En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados. Las personas afectadas no pueden negarse a someterse a la toma de temperatura sin perder, al mismo tiempo, la posibilidad de entrar en unos centros de trabajo, educativos o comerciales, o en los medios de transporte, a los que están interesados en acceder. Por tanto, ese consentimiento no sería libre, uno de los requisitos necesarios para invocar esta base legitimadora.

6 mayo 2020

Toma de temperatura. Estado de la cuestión tras el Comunicado de la AEPD de 30 de abril de 2020

https://jorgegarciaherrero.com/toma-de-temperatura-estado-de-la-cuestion-tras-el-comunicado-de-la-aepd-de-30-de-abril-de-2020/

24 junio 2020
Toma de temperatura, ¿existe tratamiento de datos personales?
Si el dato de temperatura no se sujeta a ninguna operación ni registro, se desligaría de la persona física, por lo que no sería un dato personal

https://cincodias.elpais.com/cincodias/2020/06/24/legal/1593024464_863293.html

21 agosto 2020

Varias autonomías obligarán a los padres a declarar que llevan a los niños al colegio sin fiebre
Cataluña, la Comunidad Valenciana y Cantabria harán firmar a las familias una "declaración responsable" en la que se comprometen a tomar la temperatura a los niños y aceptar las medidas sanitarias

https://amp.elmundo.es/espana/2020/08/21/5f4009f021efa012268b4599.html

Pruebas COVID19

Surge en septiembre 2020, lo muevo a post separado Estudio SeroCOL Madrid

Formularios de los centros sobre datos alumnos

En septiembre 2020 surge este hilo

https://twitter.com/PDuchement/status/1305581278260011013

Un padre preocupado me manda una consulta sobre la radical autorización que debe firmar para el uso de las TIC's en el cole de su hijo.

Aquí se ve que muchos centros desconocen las leyes, tanto por defecto, como por exceso.

Yo no sé suficiente catalán, pero nos lo traduce:


-Le crean una cuenta en Google Suite con sus servicios asociados
-Le pueden crear cuenta en cualquier otra red social que consideren necesaria por su uso educativo
-Pueden recuperar y cambiar la contraseña, lo cual les da poder absoluto sobre la cuenta

-Puede acceder a cualquier contenido de cualquiera de las cuentas sin justificación
-Y después de todo eso dicen no ser responsables legalmente absolutamente de nada y que el responsable es el menor

Vamos por parte:
Si las cuentas son de un dominio propio del colegio, pueden ser sus gestores. Así, lo de crearle cuentas de Google Suite, gestionar sus contraseñas y recuperarlas puede tener mucho sentido: simplemente, el centro tiene un control fuerte sobre sus propios recursos

Eso sí, como sean cuentas de gmail sin dominio propio, esto olería a chamusquina, pues las cuentas podrían considerarse propiedad de los alumnos (en su defecto, de sus familias) y no deberían ejercer tanta injerencia.

Pongamos que son de un dominio propio del centro: las cuentas son suyas, el centro las dirige, las gestiona... ok.
Hasta aquí bien.

Vamos entrando en lo ilegal:

Acceder al contenido de las cuentas.

Hay jurisprudencia de colegios PÚBLICOS (donde los profesores tienen cierta consideración jurídica que, en algunas Comunidades, se propone equiparar a la de agentes de la autoridad). Hay casos en los que SI EL ACCESO AL CONTENIDO PERSEGUÍAN EL BIEN SUPERIOR DEL MENOR era legítimo

Pero si el centro no es público y no hay una causa mayor que lo justifique, por mucho que las cuentas sean del dominio del centro, su contenido no debe ser accedido por parte de nadie que no sea su usuario (o su familia según los casos).

De hecho, Google Suite ofrece herramientas a los administradores para gestionar las cuentas sin tener que acceder nunca a su contenido.

Esto es algo que no casa con la normativa vigente.

Así se expresa al respecto la Agencia Estatal de Protección de Datos en su Guía Sectorial específica para CENTROS EDUCATIVOS.

Aquí no hay discusión.

Que un mecanismo excepcional de urgencia se emplee con asiduidad o quede autorizado ad æternum es totalmente injustificable.



Seguimos. Vamos ahora a otra cosa divertida: "¡Me das autorización a crearle cuentas donde me apetezca y para siempre!".

¿Pero este colegio tiene un asesor de protección de datos?

Pues claro que esto no se puede incluir en una autorización. Hay que especificar o no incluirlo.

Otra cosa que es increíble: Que de todo será responsable el menor.

Ya, desde un punto de vista ético, esto no tiene sentido: si tienes una normativa fuerte e intrusiva, es porque te responsabilizas tú. Si tienes una normativa laxa, es porque responsabilizas al alumno.

Acabar firmando una especie de... ¿"sesión de poderes sobre la presencia del menor en la red"? en la que cedemos máximas capacidades (y tragamos injerencias) al centro... para que luego responsabilice de todo al menor es una locura.

Pero, además, en el caso de menores de 14 años una imprecisión legal muy loca: ¡¿Cómo vas a responsabilizar a un menor?! ¿Este centro se cree que puede "contextualizar" por encima (y en contra) de la Ley?

Parece que he terminado el análisis, pero no es así.
Hemos hablado de lo que está escrito, pero no de lo que falta:

¿Por qué no se menciona quién es el responsable de datos del centro? ¿No tiene uno asignado, como dicta la ley?

¿Por qué pide "permisos" sin especificar una a una las finalidades de los mismos, tal y como indica la Ley?


¿Por qué pide permisos generales, a pesar de lo que dice la Ley? De hecho, cuando habla de RRSS, debe MENCIONAR CADA UNA PARA LAS QUE PIDE CONSENTIMIENTO.

¿Por qué emite una autorización de "a todo que sí" o "a todo que no", cuando la normativa especifica que en documentos de este estilo (con peticiones tan diferentes) se deben poner casillas de aceptación o no EN CADA ítem requerido, para que los padres escojan cuáles consiente?

En resumen, que no dudo de que el objetivo sea bueno, pero se ha redactado de manera infantil, al estilo "me das permiso para todo y para siempre, y no te enfadarás conmigo o ya no te ajunto".

Mucha curiosidad por saber las consecuencias de marcar la casilla "no".

Por último, el mejor de los datos (que me lo guardaba para el final):

Es un niño de Primaria

https://twitter.com/andreurigog/status/1305617436620673024

Das por hecho que es de un colegio, pero en realidad es el modelo de autorización de la conselleria de educación de las Islas Baleares @EDUN_IB

Sanciones AEPD

11 septiembre 2019
¿Por qué no se multa a las AAPP en materia de Protección de Datos?
https://www.lainformacion.com/opinion/borja-adsuara/por-que-no-se-multa-a-las-aapp-en-materia-de-proteccion-de-datos/6512294

 

Procedimiento Nº: PS/00052/2020 

https://www.aepd.es/es/documento/ps-00052-2020.pdf

PRIMERO:   IMPONER  a  CONSEJERÍA   DE   EDUCACIÓN   E   INNOVACIÓN   DE   LACOMUNIDAD DE MADRID, con NIF S7800001E, por una infracción del aartículo 5.1.a) delRGPD, conforme señala el  artículo 83.5 a) del RGPD, una sanción de apercibimiento.

SEGUNDO:     NOTIFICAR la presente resolución  a  CONSEJERÍA DE EDUCACIÓN EINNOVACIÓN DE LA COMUNIDAD DE MADRID.

TERCERO:  COMUNICAR  la   presente   resolución   al   DEFENSOR   DEL   PUEBLO,   deconformidad con lo establecido en el artículo 77.5 de la LOPDGDD.

CUARTO:De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presenteResolución se hará pública una vez haya sido notificada a los interesados.

 

> Se cita EducaMadrid

Referencias


25 octubre 2017
https://blog.cuatrecasas.com/propiedad-intelectual/la-creacion-de-un-grupo-en-whatsapp-infringe-la-normativa-en-proteccion-de-datos/


9 abril 2018
https://xarxatic.com/edmodo-los-datos-de-nuestros-alumnos-en-peligro/

11 mayo 2018
La APEP, "escéptica" ante la repercusión del Reglamento General de Protección de Datos en centros educativos públicos
https://m.europapress.es/sociedad/educacion-00468/noticia-apep-esceptica-repercusion-reglamento-general-proteccion-datos-centros-educativos-publicos-20180511191226.html


23 mayo 2018
¿Sabías que…? Adapta fácilmente tu centro educativo al nuevo RGPD
https://www.is4k.es/blog/sabias-que-adapta-facilmente-tu-centro-educativo-al-nuevo-rgpd


26 febrero 2019 (última actualización en metadatos del  pdf)
GUíAS SECTORiALES AEPD  I  Guía para centros educativos
http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf
Referenciada desde Raíces
http://comunidad.educa.madrid.org/raices/aepd-guia-para-centros-educativos/


Enlaces generales

https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/preguntasFrecuentes.jsf
Consultas más frecuentes (FAQS)
Preguntas Frecuentes

1.- EN QUÉ TE PODEMOS AYUDAR Y EN QUÉ NO.

1.1 En que podemos ayudarte como ciudadano.

1.2. Ayuda específica a menores.

1.3 En qué podemos ayudarte como responsable.

1.4. En qué no te podemos ayudar.
...

4 septiembre 2019
https://www.ionos.es/digitalguide/paginas-web/derecho-digital/el-rgpd-normativa-europea-de-proteccion-de-datos/

30 septiembre 2019
Vender lotería y otras prácticas ilegales habituales en los centros educativos
https://xarxatic.com/vender-loteria-y-otras-practicas-ilegales-habituales-en-los-centros-educativos/
Otra práctica también muy habitual en los centros educativos es el establecimiento de prácticas con dispositivos móviles para alumnado de cursos inferiores a tercero de ESO (pongo ese curso concreto porque las compañías que proveen los sistemas operativos -Android de Google e iOS de Apple- dicen claramente en sus instrucciones de uso que solo pueden hacerse cuenta en esos servicios los mayores de trece o catorce años). Claro que ahora va a saltar algún docente diciendo que si el permiso lo aceptan los padres, ya no hay problema en que sus hijos lleven ese móvil. Lamento decirles que el permiso de uso es nominal y el contrato con la empresa se hace a título de persona jurídica no transferible.

Siguiendo con la tecnología, también recordar que es ilegal el uso de servicios externos a los que suministra la administración educativa sin permiso específico de la propia administración. Los datos de los alumnos no son propiedad de los docentes ni de los equipos directivos de los centros educativos. Cada aplicación debe ser autorizada por el responsable de protección de datos de cada administración pública. No valen los permisos de los padres si no se da dicha autorización. Además, por lo visto, las autorizaciones de los padres (tanto en este caso como en otros) tienen una validez relativa al no estar ratificadas por fiscalía de menores. Los hijos no son propiedad de los padres. Ni sus datos personales o académicos tampoco. Y los profesionales de la educación solo los podemos usar para lo que nos dice específicamente la administración. Algo que no incluye su cesión a empresas terceras.

En comentarios

Por ayudar pongo algunos enlaces:
https://support.google.com/accounts/answer/1350409?hl=es
El propio Google dice que la edad mínima para tener cuenta es 14 años, se puede ver el enlace, por tanto si no tienes cuenta, no puedes tener tu propio teléfono. Es cierto que pone la salvedad de Gsuite, pero consultados al respecto ellos mismos reconocieron que para usar sus servicios mejor tener 14 años.
También incluyo algunos enlaces que pueden ayudar:
https://www.is4k.es/blog/cambios-recientes-en-los-terminos-de-youtube
https://www.is4k.es/blog/aceptas-las-nuevas-condiciones-de-privacidad-del-rgpd-te-damos-las-claves
https://www.is4k.es/blog/sabias-que-adapta-facilmente-tu-centro-educativo-al-nuevo-rgpd
https://www.internautas.org/html/9654.html


SEPD Supervisor Europeo de Protección de Datos

https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_es

Función: Garantizar que, a la hora de tratar datos personales, las instituciones y organismos de la UE respeten el derecho a la intimidad de los ciudadanos.

https://edps.europa.eu/edps-homepage_en?lang=es 

Otros temas

 

-Publicar datos de beneficiarios de becas y ayudas

En la guía de APD indica
La Ley de Transparencia y Acceso a la Información Pública y Buen Gobierno determina la obligación de hacer pública, como mínimo, la información relativa a las subvenciones y ayudas públicas concedidas por las Administraciones públicas con indicación de su importe, objetivo o finalidad y los beneficiarios.
Sin perjuicio de la publicación por parte de la Administración convocante, los centros escolares también podrán publicar esta información a efectos informativos de los afectados.
A título general, en ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente, como mucho, se publicará el nombre, apellidos y 4 cifras de DNI de manera aleatoria.

-Legalidad de sacar exámenes del centro
https://mobile.twitter.com/kurt_godel/status/936872226543902720
Y esas horas para casa. Duda seria: según la LOPD, ¿podemos sacar exámenes fuera del Centro? Son informes identificados de menores


https://twitter.com/JPICONS/status/1459189113157001227

Pueden los profesores llevarse a casa los exámenes para corregirlos por protección de datos personales?
Una de las preguntas que me hicieron durante una conferencia que di ayer en un colegio.

https://twitter.com/JPICONS/status/1459190604177498119

Depende de en qué condiciones de seguridad se lleven a casa.
Digitalizados y en un portátil cifrado sí.
Anonimizados que no aparezca el nombre puede ser que si.
Y si se pierde o se destruyen?


La siguiente pregunta de más éxito fue: puedo crear un grupo de WhatsApp con los padres de los alumnos?

https://twitter.com/JPICONS/status/1459239676007624704

A menos que haya un contrato de encargo de tratamiento con WhatsApp no se puede tener un grupo de WhatsApp con padres y alumnos.
Además se necesita el consentimiento expreso de cada uno de los padres
 

Otra pregunta que me gustó fue la de classdojo.
Puedo enviar fotos de mis alumnos menores y vídeos por classdojo?


 -Sobre las imágenes, además de consentimiento, posibles derechos de autor de lo realizado por los alumnos o donde ellos aparezcan.

¿Puede un profesor requisar o revisar el móvil de un alumno?
https://pduchement.org/2021/10/03/puede-un-profesor-requisar-o-revisar-el-movil-de-un-alumno/amp/


26 febrero 2020
El Constitucional establece que los medios no pueden publicar fotos de las redes sociales sin consentimiento
El tribunal de garantías por primera vez aborda dicha cuestión en una sentencia donde confirma la condena a un periódico por vulneración del derecho a la imagen
https://amp.elmundo.es/espana/2020/02/26/5e558c13fdddff0d738b460b.html


En abril 2020 se pone comentario sobre aulas virtuales
Pruebo con opera y VPN
https://www.educa2.madrid.org/educamadrid/aula-virtual
El mensaje es:

Forbidden

You don't have permission to access /educamadrid/aula-virtual on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Apache/2.2.15 (Red Hat) Server at www.educa2.madrid.org Port 7777


Mismo mensaje con TOR

Más tarde veo se comenta funciona añadiendo "external." al comienzo URL
https://twitter.com/p_trivino/status/1248532769887735809?s=19

https://external.educa2.madrid.org/web/educamadrid
El sentido de filtrar parece ser proteger de ataques desde IPs externas


https://twitter.com/PedroMolero/status/1244273127762415616
Gracias, tenemos ataques continuos la primera medida que se tomó, ampliar el sistema de mitigación de nuestro proveedor de comunicaciones, desde hace años @educamadrid  recibe una media de 5 ataques masivos a la semana, en algunos casos como el 12-04-2020 desde más d 20.000 ips.


Videoconferencias y RGPD en otras situaciones con productos comerciales

https://twitter.com/J_Cuesta/status/1356598003583303680

He hecho un mapa con los diferentes sistemas de videoconferencia de la Administración de Justicia, por Comunidades Autónomas.

Espero que sea útil.

Las únicas comunidades autónomas que no tienen delegadas las competencias de justicia son Castilla-La Mancha, Castilla y León, Extremadura, y Murcia; en las que se utiliza -igual que en Ceuta y Melilla- el sistema de videoconferencias del Ministerio de Justicia (@justiciagob).

 

 

 

Comentarios

  1. Muy interesante ya que siempre estamos liados con este tipo de cosas.
    Me da que al final es como todo si se usan con cabeza y sentido común no debe pasar nada si lo hace la gente a lo loco ...

    ResponderEliminar
  2. Privacidad?? En EducaMadrid ( ICM Madrid Digital)?? Alguien que conozca ICM Madrid Digital o la Consejería de Educación se cree eso?. Para los que se lo creen, les recomiendo un sencillo ejercicio, intentar entrar en el Aula Virtual EducaMadrid protegiendo, de verdad, su anonimato. Dos opciones sencillas: 1.- Con el Navegador Opera, activando la VPN. 2.- Con el Navegador Tor. En ambos, casos,...ICM Madrid Digital Consejería Educación no nos deja entrar. Para más info, buscar en Google: ICM corrupcion

    ResponderEliminar
    Respuestas
    1. Son temas relacionados pero que intento separar. Si haces la búsqueda que comentas, ahora mismo el cuarto resultado es otro post de este blog
      https://algoquedaquedecir.blogspot.com/2017/10/icm-y-madrid-digital.html

      Eliminar

Publicar un comentario

Entradas populares de este blog

Ratios en educación: normativa

Oposiciones: transparencia enunciados

Configurar cliente para leer correo EducaMadrid