Microsoft Teams en educación Madrid

Revisado 28 junio 2022

Resumen

En marzo 2020 con la suspensión de clases presenciales la consejería de educación de Madrid anuncia el uso de Microsoft Teams, dando de alta sin previo aviso a docentes y alumnos con sus cuentas de educamadrid.
Intento buscar transparencia sobre el acuerdo entre Madrid y Microsoft, y se me niega diciendo que es un contrato verbal. Es un tema importante para pedir transparencia en contrataciones de emergencia que se han podido realizar durante el estado de alarma.

EducaMadrid no es Microsoft Teams: ver EducaMadrid: qué y por qué

El post lo extiendo incluyendo información de uso de Microsoft en educación en otras comunidades.


Posts relacionados:

Detalle

Índice

  • Cronología
  • Análisis de seguridad y privacidad de Microsoft Teams en la Consejería de Educación y Juventud de la Comunidad de Madrid. 
  • RGPD
  • Teams en otras CCAA
    • Castilla-La Mancha
    • Castilla y León
    • Andalucía
    • Comunidad Valenciana
    • Asturias  
    • Rioja
  • Microsoft en Europa
  • Microsoft en Educación (y aulaPlaneta)

Comento la cronología
19 marzo 2020
Muchos docentes reciben correo, se comenta en Twitter
Remitente es  Office365@educa.madrid.org 00:32

Desde la Consejería de Educación y Juventud de la Comunidad de Madrid en colaboración con Microsoft Educación, se han puesto a disposición de todos los docentes y alumnos de los centros educativos de la región, la plataforma de Office 365 y el entono colaborativo de Microsoft Teams para el aprendizaje remoto.
Dirígete a la página de https://www.office.com/ e inicia sesión con el siguiente usuario y contraseña
        Usuario: a.xxxxx@educa.madrid.org
        Contraseña: :hGsKDL8PEFphEBK
La primera vez que accedas, el sistema por seguridad te solicitará un cambio de contraseña
En esta guía podrás encontrar paso a paso indicaciones de cómo acceder a Teams y establecer clases de aprendizaje remoto con tus alumnos.  


https://twitter.com/FiQuiPedia/status/1240554650534907904
Creo que esto es un error de nivel épico -Madrid cede mails de educa.madrid.org sin avisarnos (yo lo comparto voluntariamente, se ve en cabecera imagen) -Lo ceden mal y varios recibimos el mail y contraseña de otros cc @Samuel_Parra @CdelCastilloM @manuelabat


El mismo día 11:32 envían nuevo correo

Por un error técnico usted ha recibido unas claves incorrectas, que ya han sido eliminadas. A continuación tiene sus claves correctas.
Desde la Consejería de Educación y Juventud de la Comunidad de Madrid en colaboración con Microsoft Educación, se han puesto a disposición de todos los docentes y alumnos de los centros educativos de la región, la plataforma de Office 365 y el entono colaborativo de Microsoft Teams para el aprendizaje remoto.
Dirígete a la página de https://www.office.com/ e inicia sesión con el siguiente usuario y contraseña
        Usuario: enrique.garciasimon@educa.madrid.org
        Contraseña: xxxx
La primera vez que accedas, el sistema por seguridad te solicitará un cambio de contraseña
En esta guía podrás encontrar paso a paso indicaciones de cómo acceder a Teams y establecer clases de aprendizaje remoto con tus alumnos.
        https://aka.ms/GuiaTeamsMadrid
20 marzo 2020
Ponemos a disposición de los centros educativos la herramienta on line ‘Microsoft Teams’
https://www.comunidad.madrid/noticias/2020/03/20/ponemos-disposicion-centros-educativos-herramienta-on-line-microsoft-teams

Alrededor de 150.000 alumnos y 15.000 profesores se benefician a partir de hoy de este sistema de educación remota que servirá de complemento a las otras herramientas telemáticas a distancia y on line, como EducaMadrid, de las que ya disponían los docentes.
‘Microsoft Teams’ es un entorno digital de trabajo colaborativo, que reúne conversaciones, reuniones, archivos y aplicaciones en un solo lugar. La herramienta forma parte de Office 365, lo que permite que esté integrada dentro de las aplicaciones y servicios más conocidos de Office, siempre en un entorno seguro y personalizable según las necesidades de cada centro educativo.



https://twitter.com/FiQuiPedia/status/1241044199086096385
A ver, @IdiazAyuso, @eossoriocrespo: 150000 alumnos NO pueden ser 9200 grupos con las ratios reales.
La manipulación de usar ratio alumnos/profesor vs alumnos/clase[grupo] no vale en este caso.


https://twitter.com/eossoriocrespo/status/1241026941362339840
Ya está operativa la herramienta teams de Microsoft para que más de 150.000 alumnos y 15.000 profesores de @ComunidadMadrid puedan seguir las clases on line. Una gran noticia que amplía la oferta de soportes para ayudar a nuestro sistema educativo en un momento excepcional.



28 marzo 2020
La Comunidad de Madrid destaca el esfuerzo de docentes y familias
https://www.comunidad.madrid/noticias/2020/03/28/comunidad-madrid-destaca-esfuerzo-docentes-familias

Apoyo de iniciativas empresariales
La Comunidad de Madrid ha puesto en servicio, gracias a un acuerdo gratuito con las empresas Cisco e IBM, unas 70.000 licencias de la aplicación de videoconferencias WebEx, para permitir que los docentes interactúen con más agilidad con los alumnos.
Asimismo, también ha puesto en servicio una plataforma complementaria -uministrada por la empresa Microsoft- que permite la creación de espacios virtuales entre los profesores y los alumnos en los que compartir contenidos y recursos educativos. Cerca de 35.000 docentes y 650.000 alumnos de la Comunidad de Madrid están haciendo uso ya de ‘Microsoft Teams’, una herramienta que les facilita la formación online durante el periodo en el que continúe la suspensión de las clases presenciales por la crisis sanitaria provocada por el coronavirus (COVID-19).


8 abril 2020
Hilo donde se comenta que no se ha dado de alta a todos los docentes
https://twitter.com/crocodiloblue/status/1247887093180682245
Me imagino que no me va a leer nadie, pero me gustaría denunciar la vergüenza de implantación que ha hecho la CAM del Microsoft Teams, con la idea de implantarlo como herramienta conjunta para la docencia online. No me quiero ni imaginar la de pasta que habrán soltado >
Para obtener cuentas de Office 365 para "todos" los docentes y alumnos de la comunidad. Y ahí viene el quid de esas comillas. Nos encontramos con que la mitad del alumnado y profesorado del centro no ha recibido sus claves para el Office. Los demás sí. Esperamos unos días y >
Viendo que no llegan, el secretario y coordinador TIC del cole decide ir haciendo reuniones por Zoom para explicarnos cómo usar la plataforma (a la par que seguíamos trabajando al 110% con las plataformas que ya conocíamos). Una plataforma nueva, con millones de funciones que > Hay que aprenderse porque "es un regalazo de la CAM", se han desembolsado millones y es una plataforma muy buena, que hará que en vez de diez formas de llegar a las familias, haya una única plataforma que lo concentre todo. Yo tengo la infinita suerte de ser casi nativa digital > Y por eso, aprender a usarla no ha sido un gran escollo. Aún así, he dedicado muchas horas a ello, la mayoría de mis vacaciones. Problema: gran parte de los claustros no están compuestos precisamente de nativos digitales. Tengo compañeras al borde del llanto porque no son > Capaces de comprender esta herramienta. Y nos estamos poniendo todos durante nuestras vacaciones a llamarnos unos a otros para intentar echar un cable a aquellos compañeros para los que la tecnología es de todo menos intuitiva. Pues queda lo mejor > Resulta que, entre claustro virtual y claustro virtual, nuestro TIC sigue intentando contactar con Educamadrid para que den acceso a los compañeros que faltan. Más de diez días después, le responden. Y le dicen que no puede pedir acceso para terceros. Que mis compañeros > Deben solicitarlo para sí mismos uno a uno a Microsoft. Mis compañeros hacen lo propio y solicitan su acceso a Microsoft. Microsoft les responde que de ellos no depende arreglar ese problema. Que el alta de usuarios y sus fallos los debe gestionar el CAU > (dependiente de la Consejería). Así que, armándose de paciencia y usando tiempo de sus vacaciones, Escriben al CAU. Y les responden que.... AGARRAOS A LA SILLA.... Ellos no pueden hacer nada. Que el alta de usuarios ya se ya completado y que si queda gente por meter, no pueden > Porque no tienen acceso a los sistemas de Microsoft para arreglar el problema. Y Microsoft no pretende hacer nada porque por su parte, han cumplido el contrato. De vergüenza. Una instalación pésima, una gestión de problemas peor. Y de verdad que no me quiero imaginar a qué precio Como siempre, pagamos los de abajo los errores de los de arriba. No tengo palabras. Y de verdad, con esto no pretendo echar brownies sobre los informáticos del CAU, ni de Microsoft ni de Educamadrid en última instancia. Sé que probablemente se están partiendo el lomo estos días > Pero como los recursos y los medios que les están dando no sean algo mejores de los que nos Dan a los maestros, no podemos esperar que hagan magia. Veremos qué tal queda Educamadrid después de la "súper reforma" de estos días. Nos vamos a reír. Y si no, al tiempo


6 mayo 2020
Envío correo a atencionalciudadano@012.madrid.org

El 20 de marzo la Comunidad de Madrid notificó el uso de Teams para docentes y alumnos

Más tarde se indicó que se daba soporte a través de https://aka.ms/SoporteO365EducaMadrid.


Pero a día de hoy ese enlace no funciona , indica formulario cerrado(sí funcionaba la semana pasada)
Un saludo


https://twitter.com/FiQuiPedia/status/1257997077667340290
Según este documento (firma María Mercedes Marín García sin fecha: 15 abril 2020 y
en metadatos) no hay problema en cesión datos, y ya no hay soporte directo a usuarios como antes, ahora se pone de intermediarios a equipos directivos

8 mayo 2020
Respuesta de atencionalciudadano@012.madrid.org

Buenos días.
En respuesta a su consulta relativa a la plataforma de Office 365, le informamos que en la web de Herramientas Educativas, y dentro de las Instrucciones de la Dirección General, se indica lo siguiente:
"Para poder usar el sistema ha debido recibir en la cuenta de correo institucional del centro un correo con las credenciales para acceder a Office 365. Para cualquier incidencia relacionada con la recepción de dicho correo tanto en las cuentas de los docentes, como de los alumnos, debe remitir incidencia desde la cuenta institucional al siguiente correo de soporte SoporteO365EducaMadrid@Plainconcepts.com y adjuntar el fichero con los datos necesarios de los usuarios a los que dar de alta. Puede descargar los ficheros para dar de alta a nuevos docentes y los nuevos alumnos en el siguiente enlace.
La respuesta a la incidencia se enviará a la cuenta institucional del centro y las credenciales de uso de Office 365 de las nuevas altas se enviarán a las cuentas de correo de EducaMadrid de cada usuario, por lo que se ruega que los alumnos conozcan cómo acceder a sus cuentas de correo EducaMadrid, tengan actualizada la clave de acceso en caso de que se les haya caducado o la desconozcan y comprueben que el buzón no está lleno así como que es accesible a correos desde el exterior.
A continuación le facilitamos el asunto y texto del mensaje que debe enviar al correo de soporte SoporteO365EducaMadrid@Plainconcepts.com
Asunto: Alta de usuarios en TEAMS – Nombre de centro educativo Texto del correo: Se remite en documentos adjuntos la relación de usuarios (profesores y alumnos) para su alta en la plataforma TEAMS. Los datos personales proporcionados se comunican con la única finalidad de posibilitar el alta de usuarios en la plataforma TEAMS para su utilización durante el presente curso 2019-2020, no estando permitida su utilización para ningún otro fin."
Un saludo.

1 junio 2020
Microsoft Teams se pone a disposición de 650.000 estudiantes y 35.000 profesores en la Comunidad de Madrid para continuar aprendiendo
 
La implantación ha corrido a cargo de Plain Concepts, partner de Microsoft con gran conocimiento de Microsoft 365 y experiencia en despliegues de este tipo a gran escala y que también se está encargando de las labores de soporte técnico. 
 

16 junio 2020
@educacmadrid  no facilita contrato @MicrosoftES porque fue de emergencia y verbal (reconocen hay contrato).
Art37.1 LCSP permite sea verbal si es de emergencia
Pero se debe cumplir publicidad de contratación.

Cito información asociada a contratos de emergencia durante la pandemia; es legal que en no tengan licitación, pero eso no evita su publicación después. De hecho varios de IFEMA se publican después y surge en noticias por el importe asociado.

El estado de alarma no autoriza a suspender los portales de #transparencia ni la obligación de publicar los contratos de emergencia bit.ly/3esn3yQ #coronavirus

Se cita este artículo

Y esta nota 

17 junio 2020
Reclamación a CTBG:
----
Tras solicitar copia o enlace a contrato, en la respuesta no lo facilitan y se limitan a indicar que es verbal, lo que supone reconocer que existe un contrato. No cuestiono la legalidad de que en emergencia sea legal, pero deben facilitar más información 
"La LCSP no recoge, en cambio, especialidades para estos contratos en relación a la publicidad de los actos de adjudicación y formalización ...la justificación del procedimiento utilizado para la adjudicación, la mención del objeto del contrato, el precio de adjudicación o la identidad del contratista."
Considero se debe facilitar memoria justificativa que incluya duración, ya que artículo 120 de LCSP permite para una situación excepcional, pero no de manera permanente (ver 120.1.d y 120.2)
https://www.boe.es/buscar/act.php?id=BOE-A-2017-12902#a1-32
Se trata de una situación de emergencia, pero considero que:-dos entidades de la envergadura de la Comunidad de Madrid y Microsoft, no pueden, tras realizar un contrato de manera verbal, dejarlo sin reflejarlo por escrito, ya que por ejemplo si ese contrato tiene validez más allá de la legislatura o nombramiento de responsables, los detalles podrían pasar a ser desconocidos.
-no tiene sentido un contrato verbal, amparado en una situación de emergencia (declaración del estado de alarma), con una duración desconocida que pueda ir más allá de la situación de emergencia.  
---

Se asigna RT 0269/2020

3 julio 2020
Veo que escuelas católicas retuitea a Microsoft.




6 julio 2020
Recibo alegaciones enviadas por Madrid a Consejo de Transparencia
https://drive.google.com/file/d/1_U6BEF6iynkIbR_7zOHagy1caNgJJTvy/view?usp=sharing

No dicen mucho nuevo, pero veo dos ideas:
 
Señalar que no existe una cesión de datos a terceros, ya que Microsoft actúa como encargado del tratamiento para la Consejería. La actividad de tratamiento es la especificada en la política de seguridad
comunicada y publicada en: https://www.educa2.madrid.org/recursos. Para mayor información puede consultar el informe de la Agencia Española de Protección de Datos que está disponible en su página web www.aepd.es o en la página web de la Delegación de protección de datos https://dpd.educa2.madrid.org/inicio.


Yo pido copia del contrato, no hablo de cesión a terceros. Excusatio non petita, acusatio manifesta.

SEGUNDO.- Las consideraciones que Enrique García Simón plantea en relación a la validez o duración del acuerdo son las marcadas por el carácter de crisis sanitaria que vivimos actualmente y la situación excepcional de la enseñanza a distancia. Es voluntad de ambas instituciones, Comunidad de Madrid y
Microsoft formalizar el acuerdo por escrito, tan pronto como sea posible, para garantizar la calidad de la educación en los centros madrileños estando preparados para cualquier eventualidad.


No citan la normativa que cito que obliga a publicidad de contratos de emergencia.
Citan que van a formalizar el acuerdo por escrito.


Respondo a CTBG
---
Gracias por remitirme las alegaciones, a las que puedo hacer comentarios mínimos:
Punto primero: repiten lo ya indicado respecto a contrato verbal, sin responder a lo indicado en mi reclamación a CTBG "No cuestiono la legalidad de que en emergencia sea legal, pero deben facilitar más información"
Citan tema de RGPD y cesión de datos a terceros que yo no cito en absoluto en mi reclamación a CTBG, a la que solo reclamo copia del contrato y detalles como una memoria justificativa que incluya su duración.
Segundo: citan "son las marcadas por el carácter de crisis sanitaria que vivimos actualmente", cuando hay una diferencia importante entre el momento de la contratación verbal en marzo, en el que hubo un estado de alarma, una situación sanitaria con confinamiento total y una suspensión imprevista de clases presenciales que no dudo que requiriese una actuación inmediata de emergencia y la situación actual en la que falta tiempo para el comienzo del curso escolar y se podría licitar sin usar el procedimiento de emergencia.

---
25 septiembre 2020
Acta de Adimad
se dice
"Esteban ha tenido conocimiento, a través de diferentes fuentes, que la Consejería ha negociado con Aula Planeta para integrar materiales educativos en Educamadrid, que el convenio con Microsoft está muy avanzado y que se han iniciado las conversaciones con Google,suspendidas hace meses."

8 octubre 2020
Director reenvía correo en cuenta institucional EducaMadrid

Asunto: Microsoft Office365 para los centros educativos públicos de la Comunidad de Madrid. Curso 2020-2021
Fecha: 2020-10-08 15:23
De: Dirección General de Bilingüismo y Calidad de la Enseñanza <dgmce@educa.madrid.org>
Destinatario:  


Estimadas/os directoras/es,

En los próximos días se procederá a la reanudación de los servicios gratuitos de Microsoft Office365 para los centros educativos públicos de la Comunidad de Madrid para el curso 2020-2021. Estos servicios incluyen: Office online, Teams, Stream, SharePoint y espacio de almacenamiento.

Por este motivo, se va a proceder a cargar en este entorno a todos los usuarios (cuentas de centro, cuentas TIC, profesores y alumnos) que no estuvieran ya dados de alta el curso pasado.

Como resultado de estas tareas, algunos usuarios recibirán las credenciales de acceso a  Microsoft Office365 en su cuenta de EducaMadrid. Únicamente recibirán un correo con las credenciales las nuevas altas. Estos correos tendrán como remitente la cuenta de correo electrónico: soporte.o365innovacion@educa.madrid.org.

Una vez finalizado este proceso de carga inicial, los centros podrán reportar las incidencias que puedan haber surgido en relación a los usuarios de su centro (profesores y alumnos) a través de la plataforma de Gestión de Incidencias de Teams: http://innovacion.educa.madrid.org/git/ con  la cuenta institucional del centro o la cuenta institucional TIC. Todas las instrucciones las podrán encontrar en esta plataforma una vez se abra el proceso de reporte de incidencias.

Rogamos informen al coordinador TIC y difundan entre los usuarios de su centro (profesores y alumnos) la importancia de tener operativas sus cuentas de correo electrónico de EducaMadrid y la posibilidad de que reciban un correo electrónico con credenciales de acceso (nombre de usuario y contraseña) para acceder a los servicios de Microsoft Office365 ofrecidos. Incidimos, nuevamente, en que solo recibirán las credenciales de acceso los profesores y alumnos que no estuvieran dados de alta en Office365. Los que ya estuvieran dados de alta no recibirán ningún correo. Si tienen necesidad de restablecer su contraseña deberán ponerse en contacto con el coordinador TIC, que lo reportará como una incidencia en la plataforma de Gestión de Incidencias de Teams.

Un cordial saludo,

---
Dirección General de Bilingüismo y Calidad de la Enseñanza
CONSEJERÍA DE EDUCACIÓN Y JUVENTUD
Comunidad de Madrid

12 octubre 2020 
Escribo a DPD 
---
Buenas tardes

Tras recibir el correo de 8 octubre que adjunto, quería preguntar por la actualización del Registro de Actividades de Tratamiento, ya que a fecha de hoy (fecha de actualización es 2 octubre 2020), no menciona a Microsoft como encargado de tratamiento.

https://www.comunidad.madrid/sites/default/files/02_10_07._educacion_y_juventud.pdf

La Consejería me indicó en julio https://drive.google.com/file/d/1_U6BEF6iynkIbR_7zOHagy1caNgJJTvy/view?usp=sharing

"Microsoft actúa como encargado del tratamiento para la Consejería. La actividad de tratamiento es la especificada en la política de seguridad comunicada y publicada en: https://www.educa2.madrid.org/recursos. Para mayor información puede consultar el informe de la Agencia Española de Protección de Datos que está disponible en su página web www.aepd.es o en la página web de la Delegación de protección de datos https://dpd.educa2.madrid.org/inicio."

Sin embargo en https://www.educa2.madrid.org/recursos en octubre 2020 no se cita Microsoft Teams, como sí ocurría en julio al citarse

https://www.educa2.madrid.org/web/educamadrid/principal/files/0cf74207-b6c3-42dd-af3c-e9fcf4ab433b/2.%20POLITICA%20DE%20PRIVACIDAD%20DE%20LAS%20PLATAFORMAS%20EDUCATIVAS_1793334.pdf?t=1587380439862

https://www.educa2.madrid.org/web/educamadrid/principal/files/0cf74207-b6c3-42dd-af3c-e9fcf4ab433b/Guia_rapida_Microsoft_Teams_Madrid_2.pdf?t=1584569131665

En la reclamación que tengo planteada ante Consejo de Transparencia y Buen Gobierno solicito copia del contrato entre la Comunidad de Madrid y Microsoft en cuanto a condiciones generales, pero entiendo que también se deben existir contrato como encargado de tratamiento que fije las condiciones en cuanto a RGPD, condiciones que debo conocer como interesado. Mi usuario en Microsoft Teams es mi cuenta de EducaMadrid nombre . apellido1 apellido2 y son datos identificativos.

Un saludo

Enrique
---
15 octubre 2020
Recibo respuesta DPD
---
De acuerdo con el vamos a tramitar su consulta, de conformidad con el artículo 36.4 de la LOPDGDD , “cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento”. Conforme al artículo 37, cuando el afectado se dirija al delegado de protección de datos, este le comunicará la decisión que se hubiera adoptado en el plazo máximo de dos meses, a contar desde la recepción de la reclamación.
---
18 octubre 2020
Algunas personas reciben este correo en su cuenta de EducaMadrid. Ojo a lo que indican en "IMPORTANTE"
---
Se ha procedido a la reanudación de los servicios gratuitos de Microsoft Office365 para los centros educativos públicos de la Comunidad de Madrid para el curso 2020-2021. Estos servicios incluyen: Office online, Teams, Stream, SharePoint y espacio de almacenamiento.

Hemos detectado que su usuario no estaba dado de alta y hemos procedido a generar sus credenciales de acceso (usuario y contraseña).

Si desea iniciar sesión, diríjase a la página de https://portal.office.com  con el siguiente usuario y contraseña

        Usuario: ---------------------------------------

        Contraseña:--------------------------------

La primera vez que acceda, el sistema por seguridad le solicitará un cambio de contraseña.

IMPORTANTE: La utilización de los servicios de Office 365 habilitados mediante las correspondientes cuentas de usuario se limitará a fines educativos y de docencia, no estando autorizado su uso para otros fines como funciones administrativas o de gestión. Tampoco deberán utilizarse para albergar información personal no relacionada directamente con la actividad educativa o formativa, ni para albergar documentación con efectos sobre el historial académico (valoraciones de pruebas, calificaciones de trabajos, etc..) o de progreso del alumno en el sistema educativo.
 
---
 
20 octubre 2020
Recibo resolución estimatoria CTBG
 
"Sin embargo, de las alegaciones obrantes en el expediente se deduce que la Consejería de Educación no considera que deba publicar ni conceder acceso a los contratos verbales tramitados conforme al procedimiento de emergencia, extremo con el que este CTBG no puede coincidir a la vista de la normativa sobre transparencia y sobre contratación pública. 
...
Por lo tanto, el hecho de que el contrato de la Comunidad de Madrid con Microsoft para la utilización de la plataforma Office 365 se haya tramitado por el procedimiento de emergencia y se haya formalizado de manera verbal, no elimina el requisito de publicar los actos de adjudicación (que en todo caso habrán quedado documentados de algún modo) y de formalización, aun cuando esta sea verbal. La publicación en estos casos deberá limitarse, no obstante, a lo que resulte pertinente teniendo en cuenta que no existe un procedimiento previo con los trámites habituales. En este sentido cobran importancia, por ejemplo, aspectos como los siguientes: la justificación del procedimiento utilizado para la adjudicación, la mención del objeto del contrato, el precio de adjudicación o la identidad del contratista. 
...
Además de conceder el derecho de acceso en los términos planteados en esta Resolución, se hace notar que la información solicitada debe publicarse de forma obligatoria de acuerdo con las obligaciones de publicidad activa.
---

22 octubre 2020
Comparto texto/ideas de respuesta recibida desde la consejería
---
La Consejería no tiene ningún acuerdo con zoom, se debería optar por Teams, con quien sí lo tiene, aunque a través de Plainconcepts. 
...
Los centros educativos, las DAT y por lo tanto tampoco los CTIF ni el CRIF están legitimados para suscribir contratos de adhesión con las plataformas, debe hacerse a través de una solicitud a la Consejería.
...
No tardará mucho en incorporarse la plataforma de Cisco Webex a EducaMadrid. Creemos que para evitar perder la disponibilidad cuando se cae una de las plataformas es mejor tener habilitadas varias opciones (Jitsi, Teams y cuando sea posible Webex).

---
25 octubre 2020
Me estoy mordiendo las uñas aguantándome las ganas de publicar información sobre contratos de Microsoft Teams, GSuite y de Wire en Suiza.
Para los que van de filántropos y dicen que no tratan ningún dato y que no cobran nada: la información de los contratos no dice lo mismo.
 
En una conferencia de La Autoridad de Protección de Datos alemana se concluyó que "sobre la base de los documentos mencionados, no es posible utilizar
Microsoft Office 365 de forma compatible con la protección de datos...”
Nada más que decir.
https://www.datenschutz-bayern.de/presse/20201002_365.pdf
 
 

4 noviembre 2020
"Microsoft Teams, uso y aplicación docente"
http://innovacion.educa.madrid.org/mocteams/
sin haber facilitado contrato ni que lo cite registro de actividades de tratamiento. Mi usuario Teams es cuenta de EducaMadrid nombre . apellido1 apellido2 y son datos identificativos
https://www.comunidad.madrid/gobierno/informacion-juridica-legislacion/proteccion-datos#registro-actividades-tratamiento

18 noviembre 2020
Recibida hoy "ejecución" RT0269/2020
https://drive.google.com/file/d/14o6rcIC5OJSW837QTbRGx4Oh2yUXXVbL/view?usp=drivesdk
@educacmadrid  ignora la resolución @ConsejoTBG y no facilita ni la duración. Nada sobre RGPD. Solo enlaza un documento genérico en la web @MicrosoftES
"El acuerdo que se realiza ...no existir ningún contrato escrito"



21 diciembre 2020
Desde @educamadrid se reafirman en que no van a dar más información sobre su acuerdo con @MicrosoftES de la genérica que dieron.
 
24 enero 2021
Reclamado a AEPD vía registro
Asunto: Reclamación por incumplimiento RGPD de Consejería de Educación de Madrid al no tener contrato con encargado de tratamiento.
---

Tras plantear solicitud de información pública el 29 de mayo 2020, la Consejería de Educación de la Comunidad de Madrid me indica en resolución de 16 junio 2020 (la adjunto) que el contrato es verbal. Reclamo a Consejo de Transparencia y Buen Gobierno, y a pesar de resolución estimatoria RT269/2020 de 20 octubre 2020 (la adjunto), Madrid no facilita contrato, reafirmándose tras reclamar (lo adjunto).

El 8 octubre 2020 escribo a DPD citando la reclamación a Consejo de Transparencia sobre el contrato, recibiendo respuesta el 15 octubre 2020, que incluyo, que cita una posible respuesta en un plazo de dos meses, que no he recibido sobre la existencia de contrato (lo adjunto)

Mi resumen es que se indica que no hay contrato escrito.
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Considero que es un hecho probado, que afirman por escrito, que no existe contrato escrito, lo que es una infracción.
En otras CCAA preguntando por “copia o enlace contrato y/o convenio” sí han facilitado un documento público https://juntadeandalucia.es/export/drupaljda/convenio/21/01/Convenio_31.pdf
 
--- 
O00007128e2100002559
Solo deja adjuntar 4 documentos en total, incluyendo el escrito 
Dejo de adjuntar escrito de reafirmación y correos con DPD.

13 febrero 2021
Localizo
 
Con apartado sobre Teams
 

Desde Microsoft Educación y en colaboración con la Consejería de Educación y Juventud de la Comunidad de Madrid, ponen a disposición de todos los docentes y alumnos de los centros educativos de la región, la plataforma de Office 365 y el entono colaborativo de Microsoft Teams para el aprendizaje remoto. Para ello se han habilitando las cuentas de usuarios de Educamadrid para profesores y alumnos, dentro del portal de Office 365 y de la plataforma colaborativa de Teams.

Página de Gestión de Incidencias Teams

Manual de Gestión de Incidencias Teams

Videotutorial Gestión de Incidencias Teams

Uso CSV Incidencias Teams

 
El manual de incidencias
Tiene metadatos de 5 noviembre 2020
 
8 marzo 2021
Sellamos un acuerdo para que todos los centros educativos puedan usar los servicios de Office 365
La Comunidad de Madrid ha alcanzado un acuerdo con Microsoft para que todos los centros educativos de la región puedan utilizar de forma gratuita y segura los servicios de los distintos programas informáticos de Office 365. Esta iniciativa del Gobierno regional permite que, entre otras soluciones disponibles, los alumnos y docentes madrileños accedan a Microsoft Teams, una plataforma de comunicación y colaboración para reuniones en video, almacenar archivos e integrar aplicaciones, lo que facilitará aún más las clases online, preparando a los estudiantes para las necesidades laborales de la era digital.

30 marzo 2021
Se publica convenio en BOCM
 
CONVENIO de colaboración de 8 de marzo de 2021, entre la Comunidad deMadrid (Consejería de Educación y Juventud) y Microsoft Ibérica, S. R. L., paramejorar la competencia digital en el ámbito educativo con el entorno Office 365.
 
Séptima
Entrada en vigor y período de vigencia
El presente Convenio entrará en vigor el día de su firma y tendrá una vigencia de cuatro años qué podrá prorrogarse por un período equivalente previo acuerdo expreso de laspartes.  
...
Undécima
Financiación
Las Partes expresamente acuerdan y manifiestan que la suscripción del presente Con-venio no implica por sí mismo la obligación de realizar ningún tipo de contraprestación eco-nómica por ninguna de las Partes.

28 mayo 2021
Recibo respuesta AEPD, archivan
 
Han incumplido un año, pero  se puede interpretar que archivan por lo que indica artículo 65
"hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos" 

Más que recurso de reposición como en CyL, parece que sería  consulta 
"¿no es sancionable no cumplir RGPD si tras una reclamación por incumplimiento (1 año sin contrato con ET) se considera que en el momento de la reclamación se cumple (ya hay contrato con ET)?"
 
Buscando contratos con Plain Concepts, lo encuentro aquí
ACTUALIZACION DE LA PLATAFORMA MS TEAMS
Número de expediente
CM-A/SER-0000048830/2020 
CIF B24532178
Referencia
3950079
Fecha del contrato
05 octubre 2020
Fecha de publicación
09 febrero 2021 11:09
 
Publicado después de mi reclamación a AEPD
 
 
31 mayo 2021
Veo que en funciones AEPD está hacer cumplir RGPD, y con eso me basta  (artículo 57 RGPD)


---  
RECURSO DE REPOSICIÓN

Enrique García Simón, con NIF 03103687K actuando en nombre propio y correo electrónico a efectos de notificaciones enrique.garciasimon@gmail.com, comparece, y como mejor proceda,

EXPONE:
    
    Que por medio del presente escrito interpongo RECURSO DE REPOSICIÓN, contra la resolución N/Ref.: E/02961/2021 dictada por la Agencia Española de Protección de Datos (AEPD). y que me ha sido notificada en fecha 28 mayo 2021; por estimarla no conforme a Derecho, y con apoyo en las siguientes

                       ALEGACIONES
 
PRIMERA. – Según artículo 125 Ley 39/2015, considerar que en la resolución se ha incurrido en un error de hecho:
A. Al indicar AEPD “La tramitación de la reclamación conforme a lo dispuesto en el artículo 65.4 de la LOPDGDD, ha dado lugar a la solución de las cuestiones planteadas, sin necesidad de depurar responsabilidades administrativas en el marco de un procedimiento sancionador.” cuando resultan hechos probados de los propios documentos incorporados al expediente y de la resolución de AEPD que:
1. La Consejería de Educación de Madrid utiliza Microsoft Teams con docentes y alumnos desde marzo 2020
2. Artículo 28 RGPD obliga a tener un acto jurídico por escrito con el encargado de tratamiento.
3. La Consejería de Educación de Madrid no tuvo acto jurídico por escrito con Microsoft como encargado de tratamiento hasta firma convenio 8 marzo 2021
 
Según artículo 57 RGPD la AEPD como autoridad de control debe controlar la aplicación de RGPD y hacerlo aplicar, y se ha demostrado que no se ha aplicado correctamente. Si el cumplimiento de artículo 28 RGPD se realiza con un año de retraso respecto a marzo de 2020 y con meses de restraso respecto a la reclamación de enero 2021, considero que un archivo de la reclamación hace irrelevante el incumplimiento.
 

B. Al citar AEPD “Posteriormente y para la actualización de la plataforma MS Teams, de Microsoft, la Consejería de Educación y Juventud realizó un contrato menor de encargo de tratamiento de datos con la empresa Plain Concepts S.L., el 5 en octubre de 2020, publicado con referencia no 3950079.”, no tiene en cuenta que:
1. Dicho contrato fue publicado el 9 febrero 2021, con posterioridad a la reclamación
2. Dicho contrato indica una duración de 25 días
http://www.madrid.org/cs/Satellite?c=CM_ConvocaPrestac_FA&definicion=ContratoMenor&idPagina=1224915242285&idoc=D106-4T-2020_CM-A%2FSER-0000048830%2F2020&language=es&op2=PCON&pagename=PortalContratacion%2FPage%2FPCON_contratosPublicos&tipoServicio=CM_ConvocaPrestac_FA
por lo que tampoco se habría cumplido desde 5 octubre 2020 hasta 8 marzo 2021
 

SEGUNDA.- Considerar incorrecto que en resolución AEPD considere válida la argumentación de la Consejería de Educación que indica “Concluye que en las Instrucciones de comienzo del próximo curso escolar 2021-2022 para centros docentes públicos no universitarios de la Comunidad de Madrid, se incluirá que dichos centros sólo podrán usar los servicios de Office 365 conforme a los
términos fijados por el precitado Convenio de colaboración entre la Consejería de
Educación y Juventud y Microsoft Ibérica, S.R.L.” ya que supone reconocer que en curso 2019-2020 (desde marzo 2020) y en curso 2020-2021 no se ha incluido.

TERCERA.- Considerar incorrecto que en resolución AEPD se considere "Por ello cabe concluir que el reclamado ha dado cumplimiento a lo exigido en la referida disposición con la firma del Convenio de colaboración, cuya estipulación Décima contiene los criterios aplicables en materia de protección de datos de carácter personal." ya que hace referencia a una firma en marzo 2021 cuando hay reconocido un uso sin convenio firmado desde marzo 2020 a marzo 2021.
 
CUARTA : No facilito documentación adicional a los documentos incorporados al expediente pero expreso la disposición a colaborar y facilitar la que fuera necesaria para colaborar en que exista un apercibimiento o sanción por el incumplimiento RGPD de la  Consejería de Educación de Madrid que es el objetivo de la reclamación, aparte de la corrección que Madrid ha realizado posterior a mi reclamación.

Y, en virtud de lo anteriormente expuesto,

    SOLICITA: Que teniendo por presentado en tiempo y forma este escrito se sirva admitirlo, teniendo por interpuesto RECURSO DE REPOSICIÓN contra el indicado acto administrativo, se dicte resolución anulado la Resolución citada y AEPD usando los poderes de investigación y correctivos que ostenta, realice actuaciones relativas al tratamiento de datos referido en la reclamación, apercibiendo o sancionando a la Consejería de Educación de Madrid por incumplimiento artículo 28 RGPD entre marzo 2020 y marzo 2021.

    
    En xxx, a 31 de mayo de 2021

    Fdo.: Enrique García Simón

A LA DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
---
Número de registro O00007128e2100024549 

2 junio 2021
Solicitud
---
copia o enlace a todos los documentos del contrato menor Número de expediente CM-A/SER-0000048830/2020. Referencia 3950079
---

 
25 junio 2021
Tras publicarse convenio Google releeo el de Microsoft y pongo petición similar
---

Solicito enlace la publicación en EducaMadrid de la siguiente información, que es citada en el CONVENIO de colaboración de 8 de marzo de 2021, entre la Comunidad de Madrid (Consejería de Educación y Juventud) y Microsoft Ibérica, S. R. L., para mejorar la competencia digital en el ámbito educativo con el entorno Office 365, publicado en BOCM 30 marzo 2021

1. Limitaciones a los servicios ofrecidos por Office 365 junto con las pautas o instrucciones aplicables, así como la política de privacidad correspondiente. (citado en TERCERA.- ACTUACIONES DE LAS PARTES, 1. Impulsar la transformación digital en los centros educativos de la Comunidad de Madrid y en DÉCIMA Protección de datos de carácter personal.)

2. Relación de servicios habilitados (citado en ANEXO I OFFICE 365 PLAN A1)

Solicito copia o enlace a análisis de riesgos realizado por el responsable del tratamiento (citado en TERCERA.- ACTUACIONES DE LAS PARTES, 1. Impulsar la transformación digital en los centros educativos de la Comunidad de Madrid)

---

49/320097.9/21

Más tarde 09-OPEN-00101.6/2021 

 

30 junio 2021
Recibo documentación sobre contrato menor Plainconcepts
Comparto en esta carpeta (son 4 documentos y resolución)
Si usan AD y tienen copia de datos de usuario y conraseña, habría que ver dónde están esas máquinas y tema de transferencia de datos.
 
Planteo escrito para pedir los datos que MS tiene sobre mi. En post sobre RGPD lo hice para mis datos en la comunidad
También veo
 
protecciondatos.educacion@madrid.org
---
Envío correo electrónico y adjunto copia de mi DNI. Si existe otra vía u otro procedimiento solicito que se me indique.


Enrique García Simón, con NIF xxx, escribo al delegado de protección de datos de educación en Madrid como responsable de tratamiento y solicito:

Que se me facilite gratuitamente el derecho de acceso por el responsable en el plazo de un mes a contar desde la recepción de esta solicitud, y que se remita, a la dirección electrónica desde la que escribo, la siguiente información:
-Copia en formato legible de mis datos personales que son objeto de tratamiento por Microsoft y sus partners como encargados de tratamiento, dentro del convenio suscrito en Marzo 2021 por la Consejería de Educación como responsable de tratamiento y publicado en BOCM http://www.bocm.es/boletin/CM_Orden_BOCM/2021/03/30/BOCM-20210330-26.PDF

-Explicación de las categorías de mis datos que se están procesando y los fines de ese procesamiento.

-Los destinatarios o categorías de destinatarios a los que se han comunicado mis datos personales, o serán o pueden ser comunicados, incluyendo, en su caso, destinatarios en terceros u organizaciones internacionales.

-Ubicación de los Active Directory usados por Microsoft y/o sus partners en los que se almacena mi usuario y contraseña, así como posible transferencias internacionales de esos datos.

-Si existen decisiones automatizadas, incluyendo la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y consecuencias previstas de dicho tratamiento.

-La vía para ejercer mis derechos de rectificación, supresión o limitación del tratamiento de mis datos personales, o a oponerme a dicho tratamiento.

---
 
 
5 julio 2021
Me contestan indicando
---

Estimado Enrique,

Como usted ya conoce por otras solicitudes relacionadas con sus derechos de protección de datos, existe un procedimiento que debe tramitar a través del registro electrónico de la Comunidad de Madrid.

Aunque la solicitud se presente ante el delegado de protección de datos, este no es el responsable del tratamiento, como usted afirma. En este caso es la Dirección General de Bilingüismo y Calidad de la Enseñanza, que ostenta la competencia para la adopción de directrices sobre las plataformas informáticas de los centros docentes y sistemas informáticos vinculados al aprendizaje, sin perjuicio de las competencias atribuidas a otros órganos, y que será quien resuelva sobre su petición en el plazo de un mes desde que su solicitud tenga entrada en el Registro de la Consejería.

 

 En espera de que esta información te resulte de utilidad, recibe un cordial saludo.
---
Se usa este formulario
 
cito 
2.C.24
Utilización por parte del profesorado y del alumnado, en el ejercicio de la función educativa, de las herramientas y recursos de la plataforma educativa de servicios online de la Consejería de Educación e Investigación (EducaMadrid y otras  
plataformas autorizadas de uso complementario)

En observaciones pongo
---
Solicito acceso a datos personales que son objeto de tratamiento como encargados de tratamiento por
-Microsoft y/o sus partners según convenio suscrito en Marzo 2021 http://www.bocm.es/boletin/CM_Orden_BOCM/2021/03/30/BOCM-20210330-26.PDF
-Google y/o sus partners según convenio suscrito en junio 2021 http://www.bocm.es/boletin/CM_Orden_BOCM/2021/06/24/BOCM-20210624-33.PDF
Solicito información desde cuando tienen mis datos esos encargados de tratamiento
Solicito información sobre ubicación de los Active Directory/LDAP, en caso de que sean externos a EducaMadrid, usados por Microsoft/Google y/o sus partners en los que se almacena mi usuario y contraseña, así como posible transferencias internacionales de esos datos, ya que RAT indica que no hay transferencias internacionales.
---
49/391077.9/21
 
2 agosto 2021
Respuesta 
Respuesta @educacmadrid sobre datos Google y MS
https://drive.google.com/file/d/1SIUYuZf2MJ_8qLHCEmqiuTVWLJ7ocV43/view?usp=drivesdk
-Responde DG distinta inidicada RAT
https://comunidad.madrid/sites/default/files/22.07_copia_de_22-07_rat_web_educ_univ_cien_portav.xlsx
-Sin ruborizarse dicen cedieron datos a MS 17/3/2020 de convenio de marzo 2021.
-Omiten que ceden dato de ser docente/alumno, que permite perfilar.

4 agosto 2021
Respondo a DPD
---

Tras ejercer el derecho de acceso, he recibido respuesta, adjunto capturas

1. Me responde la Dirección General de Bilingüismo y Calidad de la Enseñanza, tal y como se me citó en el correo al que estoy respondiendo, pero en el RAT se indica que el responsable de tratamiento es otra DG

https://www.comunidad.madrid/sites/default/files/22.07_copia_de_22-07_rat_web_educ_univ_cien_portav.xlsx

Solicité "Utilización por parte del profesorado y del alumnado, en el ejercicio de la función educativa, de las herramientas y recursos de la plataforma educativa de servicios online de la Consejería de Educación e Investigación (EducaMadrid y otras plataformas autorizadas de uso complementario)" y está en pestaña DG ED_SEC_FP_RE, no en DG BILING_CE

2. No indican como dato cedido la condición de profesor o alumno, dato que  me consta que maneja Microsoft Teams en su Active Directory y se le ha facilitado por la Comunidad de Madrid.

Considero que el que se realice una cesión de datos en marzo 2020 a un encargado con el que no se firma convenio hasta marzo 2021 es muy irregular.

----

Tramito oposición:
Indico "24, DG ED_SEC_FP_RE, 22.07_copia_de_22-07_rat_web_educ_univ_cien_portav.xlsx"
 
Tramito 49/628428.9/21 

10 agosto 2021
Tras recibir respuesta asociada a Google, veo que está publicado para MS
 

 Las aplicaciones y herramientas a las que se hace referencia en este apartado no están alojadas en los servidores de EducaMadrid. En consecuencia, su utilización en los centros educativos habrá de regirse por la política de privacidad y protección de datos establecida por esta Consejería para el uso de plataformas ajenas a EducaMadrid. Para problemas relacionados con estas aplicaciones y herramientas contactar con el correo: directrices.innovacion@educa.madrid.org

Directrices de uso de los servicios de Office365 en centros públicos de la Comunidad de Madrid

Instrucciones Microsoft Teams

Política de privacidad sobre el uso de aplicaciones y plataformas ajenas a las corporativas o puestas a disposición de la comunidad educativa por la Consejería de Educación y Juventud

Ninguno de los 3 documentos indica fecha: viendo metadatos, los dos primeros son de 15 abril 2021, y el tercero de 30 abril 2021. 

18 agosto 2021
Recibo resolución fechada 4 agosto 2021. Ya han publicado, pero no facilitan análisis de riesgos.
 
1 septiembre 2021
Planteo reclamación CTBG
---
No se facilita un análisis de riesgo por considerarse un documento interno de trabajo entre la Dirección General y la Delegación de
Protección de Datos de la Consejería.
El convenio http://www.bocm.es/boletin/CM_Orden_BOCM/2021/03/30/BOCM-20210330-26.PDF indica
"Corresponderá a la Consejería establecer las limitaciones a los servicios ofrecidos porOffice 365 que se infieran del análisis de riesgos del tratamiento de datos personales y las
publicará con carácter previo al inicio de la ejecución del presente Convenio en el portal
EducaMadrid para conocimiento de la comunidad educativa"

Las limitaciones son públicas, pero se infieren del análisis de riesgos: considero que el análisis de riesgos es documentación pública de interés ya que implica que los padres de menores y los docentes puedan tener mejor conocimiento sobre la decisión de utilizar una plataforma complementaria
---
 
1 septiembre 2021
Recibo resolución AEPD sobre recurso inadmitiendo.
Recibida respuesta a recurso @AEPD_es.
Ponen por escrito lo que yo denunciaba: durante más de un año no hubo acto jurídico por escrito que obliga art28 RGPD, pero inadmiten, no pasa nada.
https://drive.google.com/file/d/1sPCY503dV9a9OQ3qeukeuHP9WYctQUMg/view?usp=sharing

 2 septiembre 2021
Recibo ejecución oposición
 
Me surge duda:
Si es plataforma complementaria, ¿tiene @educacmadrid legitimación para [volver a] darme de alta sin consentimiento cuando yo puedo ejercer oposición y anular? 
 
19 octubre 2021
Correo cita
 
Soporte Credenciales Microsoft Office365 <dgmce@educa.madrid.org>
---

Estimados centros,

Les recordamos la importancia de cumplir la norma referente a la nomenclatura que deben seguir los Equipos de Microsoft Teams en el espacio Office365 que la Consejería ofrece a los centros educativos. Las tareas de mantenimiento de dicho espacio obliga al borrado de todos los Equipos que no cumplen la nomenclatura establecida.

Por tanto, deben ser renombrados convenientemente aquellos Equipos que deseen mantener y evitar así que sean eliminados cuando se ejecuten las tareas de mantenimiento a este respecto. Se prevé que estas tareas comiencen en el mes de noviembre.

Le rogamos difunda esta información entre los profesores de su centro para que renombren los Equipos de los que son propietarios y deseen conservar . Aquellos Equipos que no cumplan la nomenclatura se entenderá que ya no están en uso y pueden ser borrados.

Queda exento de esta norma el Equipo creado de oficio para cada centro y que tiene como nombre de equipo su id de EducaMadrid (cadena de texto que va por delante de "@educa.madrid.org" de la cuenta institucional del centro) y que incluye como miembros a todos los profesores que están dados de alta en Office365 en su centro (Claustro virtual). Se viene observando que estos Equipos se han eliminado o renombrado con otro criterio. Se les insta a que mantengan estos Equipos y los renombren con el nombre original. En el caso de que lo hayan borrado, deberán crearlo nuevamente. Esta tarea corresponderá al equipo directivo y/o coordinador TIC, ya que son estas cuentas las que tienen permisos para creación de Equipos en Microsoft Teams.

Reciban un cordial saludo,

--
Soporte Credenciales Microsoft Office365 de centros educativos
--- 
 
21 febrero 2022
Envío correo a DPD
---
Según el documento

https://dpd.educa2.madrid.org/web/educamadrid/principal/files/69a6601a-e199-4519-a2eb-192663576204/Informes/20210817%20Prohibici%C3%B3n%20redirecci%C3%B3n%20correo%20corporativo.pdf?t=1629196614468

entiendo que no es posible la redirección, y por lo tanto tampoco usar el correo externo.

Sin embargo en este centro público se usa el servidor de correo de Microsoft, sin usar EducaMadrid

http://www.iessalvadorallende.es/files/Secretaria/Informacion%20cambio%20servidor%20de%20correo.pdf

Me gustaría que se confirmase si lo que hace ese centro es correcto, ya que el centro sí tiene actualizado un documento de política de privacidad

http://www.iessalvadorallende.es/files/portada/POLITICA_DE_PRIVACIDAD_MATRICULA%20.pdf

y si no fuese así, que se tomasen medidas
--- 
23 febrero 2022
Respuesta DPD
---


En las Directrices de uso de los servicios de Office 365 en Centros Públicos de la Comunidad de Madrid que se puede encontrar en la dirección web https://www.educa2.madrid.org/recursos se dice lo siguiente:

"Los  servicios  de  correo  electrónico  serán  deshabilitados  para  todas  las  cuentas  de usuarios,  sea  cual  sea  el  perfil."


Por lo tanto, ni siquiera bajo las condiciones del acuerdo de colaboración con Microsoft firmado por la Consejería se pueden utilizar las cuentas de correo de Office 365 debiendo utilizarse siempre los correos corporativos de EducaMadrid. Ante esta situación está claro que el centro no está actuando conforme a las instrucciones y directrices bajo las que se fundamenta dicho acuerdo y parece estar utilizando las cuentas de correo de Office de manera externa al mismo.

Dada esta situación y en función de los artículos 36 y 37 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y los artículos 38 y 39 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016  tomaremos las medidas necesarias para que esta situación se corrija por parte del centro, sin embargo y puesto que no nos indica usted que sea parte afectada, por ejemplo formando parte del claustro de profesores, no será informado del estado del proceso.
---
3 marzo 2022
Recibo resolución etimatoria RT0743/2021
Se publicará anonimizada en web CTBG, pongo aquí texto final
 
PRIMERO: ESTIMAR la reclamación presentada, por constituir su objeto información pública en virtud de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
SEGUNDO: INSTAR a la Consejería de Educación, Universidades, Ciencia y Portavocía de la Comunidad de Madrid a que, en el plazo máximo de veinte días hábiles, facilite al reclamante la siguiente información:
− Copia del análisis de riesgos del tratamiento de datos personales contemplado en la cláusula Tercera del CONVENIO de colaboración de 8 de marzo de 2021, entre la Comunidad de Madrid (Consejería de Educación y Juventud) y Microsoft Ibérica, S. R. L., para mejorar la competencia digital en el ámbito educativo con el entorno Office 365 (B.O.C.M. Núm. 75). 
 
1 abril 2022
Recibo ejecución RT0743/2021
ANÁLISIS DE RIESGOS Y DE LA NECESIDAD DE REALIZAR UNA EIPD (Evaluación de Impacto relativa a la Protección de Datos)
Consideran riesgo bajo y así no hacen EIPD

Análisis de seguridad y privacidad de Microsoft Teams en la Consejería de Educación y Juventud de la Comunidad de Madrid

10 julio 2020 comparto primera versión de documento con detalles
http://cloud.educa.madrid.org/index.php/s/jeE6fak1i5F01Zh
 
Más adelante veo este artículo (alemán, enlazo traducción automática) de septiembre 2019

Declaración del Comisionado de Hesse para la Protección de Datos y la Libertad de Información sobre el uso de Microsoft Office 365 en las escuelas de Hesse
07/09/2019
El uso de Microsoft Office 365 en las escuelas no está permitido por la ley de protección de datos si las escuelas guardan datos personales en la nube europea.

 
Es citado en este artículo de 3 junio 2020 de AEPD
 

RGPD

Puede haber ideas en post separado Normativa webs, aplicaciones y protección de datos en educación  como el hecho de que Madrid reconozca Teams como herramienta que cumple RGPD y que el responsable es la Comunidad, no el centro como ocurre si se usasen otras no listadas.

En hilo comento que al entrar no me pide aceptar TOS ni privacy
https://microsoft.com/es-ES/servicesagreement/
https://privacy.microsoft.com/es-ES/privacystatement

En teoría Microsoft permite que uno se autogestione datos RGPD, pero implica usar una contraseña que uno no ha solicitado.

Para contactar con Microsoft existe una opción
"I want to contact Microsoft’s Data Protection Officer" en
https://www.microsoft.com/en-us/concern/privacy

Respuesta genérica

Thank you for your mail. Based on your submission, we understand you are requesting data linked to your organizational/educational account. Please note that most data collected in relation to your organizational/educational account is owned and controlled by your school/organization. You should work with your IT administrator who can provide that data.

There may be some data held by Microsoft tied to your organizational account in instances where you’ve had a direct relationship with us. This includes data collected by Windows 10 if you are logging in with your organizational account, Bing @ Work, event registrations, and others. If you would like to search for this data, let us know.

Please note that this search will not include data related to LinkedIn. If you have a LinkedIn account and would like to make a request about that data, you should reach out to LinkedIn here.

Please let us know if you have further questions.


Best Regards,

Microsoft Privacy


Pendiente mirar despacio convenio publicado por Andalucía




9 abril 2020
https://twitter.com/maxezek1/status/1248196165637746688
No es exactamente gratuito. Dando por sentado que se cumple la política de privacidad solo están cubiertos los alumnos. Todos los demás #docentes o interesados se les aplica una política distinta. Los datos de familias y datos del docente son tratados incluso para terceros -->




https://elpais.com/sociedad/2020-04-29/millones-de-datos-de-alumnos-y-profesores-estan-expuestos-por-la-educacion-online.html?outputType=amp

Sin tiempo para improvisar alternativas tecnológicas, la solución de muchos Ejecutivos fue apostar por los paquetes educativos gratuitos de grandes compañías como Google y Microsoft.

Sin embargo, los expertos recelan de la seguridad de los registros. “Google sabe qué alumno ha ido a clase y podría saber qué alumno da más problemas de puntualidad al ser contratado en una empresa. Lo peligroso es la interpretación de los datos”, ilustra Javier Valls, profesor de Derecho Penal y Criminología en la Universidad de Granada. Mientras, Alemania, Suiza y Noruega han regulado e investigan el almacenamiento de datos de menores en la nube. Los gigantes tecnológicos aseguran que no trafican con los datos o que lo hacen de manera anonimizada.
...
Tanto Google como Microsoft aseguran que no tratan las reseñas personales y que cumplen con el Reglamento de Protección de Datos. ¿Qué beneficio obtiene Google con su plataforma educativa Suite? “Al ser gratuita no tenemos un retorno directo”, responde Gonzalo Romero, responsable de educación del dicha empresa en España. ¿Para qué conserva los datos la compañía? “No tengo esa información, pero estamos en el esquema nacional de seguridad con categoría alta. Los centros tienen el control absoluto de los datos y pueden borrar cuentas de los estudiantes sin que quede rastro de sus datos”, añade.


Microsoft asegura que mantiene esa misma línea altruista con su producto para centros educativos Office 365: “No ganamos nada, no buscamos un beneficio económico, sino disminuir la brecha digital. Cumplimos el Reglamento de Protección de Datos y no hacemos tratamiento con los datos, no es nuestro negocio”, afirma Belén Gancedo, directora de Educación de Microsoft en España. La compañía está presente en una decena de regiones, mientras que Google Suite da soporte a siete comunidades, según los datos recopilados por este diario.

Teams en otras CCAA

Castilla-La Mancha


En curso 2020-2021 se anuncia que se va a usar Teams, y pregunto

29 noviembre 2020
Planteo solicitud transparencia
---
“Solicito copia electrónica o enlace a los contratos y/o convenios firmados por la Consejería con Microsoft para ofrecer Teams, que deben incluir todos los aspectos relativos a RGPD, ya que Microsoft para a ser responsable de tratamiento y puede ser usado por menores
---

 
11 diciembre 2020
Respuesta indicando no lo lleva la consejería de educación
 
22 diciembre 2020
Respuesta indicando que no hay contrato 

Planteo escrito a DPD
https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf
PROTECCIONDATOS@JCCM.ES
---

Quería preguntar por la actualización del Registro de Actividades de Tratamiento, ya que no he localizado mención a Microsoft u otra empresa encargada como encargado de tratamiento en https://rat.castillalamancha.es/, al tiempo que no veo claro qué "Organo responsable del tratamiento" de nivel 2 y 3 tengo que poner tras "Organo responsable del tratamiento (Nivel 1)" la Consejería de Educación.
 
Dado que desde la Consejería de Educación se ofrecen productos de Microsoft a docentes y alumnos, Microsoft actúa como encargado del tratamiento para la Consejería, que es la responsable de tratamiento. Los términos RGPD de ese uso de datos deben estar reflejados en contrato/convenio/acuerdo, que debo conocer como interesado, y no basta un contrato genérico como https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=16227  previo a la sentencia de TJUE sobre privacy shield de julio 2020. En http://www.educa.jccm.es/es/teams se indica "el acceso a Microsoft Teams para el personal educativo en los centros docentes de Castilla-La Mancha se realizará con el usuario y contraseña de la Intranet Docente del Portal de Educación o Webmail corporativo" y el usuario está basado en nombre y apellidos que son datos identificativos.

Tras recibir el correo de 22 diciembre que adjunto, se me indica que no existe contrato; quería preguntar qué garantías existen de cumplimiento de RPGD por el uso de Teams, ya que es algo externo a la consejería y almacena datos fuera de territorio UE.

---
13 enero 2021
Recibo respuesta DPD
---

Estimado ciudadano,

Para dar respuesta a la consulta que nos realizó, en primer lugar, le explicaremos el funcionamiento del Registro de Actividades de Tratamiento (en adelante RAT) de la Junta de Comunidades de Castilla-La Mancha.

 Como bien indica en su correo, el Responsable del tratamiento es la persona física o jurídica, autoridad, servicio u organismo que determina los fines y los medios de un tratamiento.

 En el caso del RAT de la Junta de Castilla- La Mancha se ha seguido una estructura de árbol, con el fin de ser lo más transparentes posible con los interesados y facilitarles la búsqueda de los tratamientos (puede que no recuerden el órgano concreto al que entregaron los datos, pero si recuerden la consejería, etc.)

De ahí que teniendo en cuenta nuestra organización interna se decidió que el campo del órgano responsable del tratamiento se puede cumplimentar en 3 niveles:

Nivel 1 Se cumplimentaría con la Consejería

Nivel 2 Se cumplimenta Viceconsejería, Dirección General, Dirección Provincial u Organismo Autónomo (SESCAM, IRIAF, IPEX, etc.)

Nivel 3 Se cumplimenta en el caso que exista con el nombre de la Dirección General (si depende por ejemplo de una Viceconsejería), centro educativo, centro sociosanitario, etc.

En la práctica en la aplicación se abre un desplegable en el que habrá que seleccionar los distintos niveles, no siendo preciso ir introduciendo cada uno de estos órganos (Si solo se marca la consejería mostrará todos los tratamientos de esa consejería, etc).

Además, para facilitar la búsqueda, una vez introducido el criterio del Responsable del tratamiento, la aplicación permite filtrar por palabra clave, de forma que si usted solo conoce el nombre de la consejería y por ejemplo que sus datos se recogieron para la tramitación de las ayudas del viñedo podría realizar la búsqueda con estos criterios.  

Si encuentra usted dificultades en la búsqueda o desea realizarnos cualquier sugerencia con el fin de facilitar que el servicio sea lo más sencillo posible estaremos encantados de realizar las mejoras que sean precisas.

En el caso de los tratamientos objeto de su consulta el órgano responsable depende de la Consejería de Educación, siendo la Viceconsejería de Educación.

Esta es la información concreta del RAT de ambos tratamientos conforme se la muestra la aplicación:

Tratamiento “Gestión del alumnado”:

Órgano responsable (nivel1):

Consejería de Educación, Cultura y Deportes

Órgano responsable (nivel2):

Viceconsejería Educación

Dirección:

CL RÍO ALBERCHE, S/N, 45071, TOLEDO

Base jurídica:

Ley Orgánica 2/2006, de 3 de mayo, de Educación / Ley 7/2010, de 20 de julio, de Educación de Castilla-La Mancha

Nombre:

Gestión Alumnado

Finalidad:

Gestión administrativa y educativa del alumnado de centros docentes de Castilla-La Mancha, , así como el uso de los recursos educativos digitales por parte de la comunidad educativa.

Colectivos afectados:

Empleados, Estudiantes, Representantes legales, Solicitantes.

Tipos de datos:

Datos especialmente protegidos: Salud. Datos de infracciones administrativas. Datos de carácter identificativo: NIF/DNI, nombre y apellidos, dirección, teléfono, firma, firma electrónica, correo electrónico; imagen/voz. Otros datos tipificados: Características personales; académicos y profesionales; detalles del empleo; económicos, financieros y de seguros.

Tipo de destinatario:

Universidad, Administraciones Públicas; Entidades

Destinatarios:

UCLM; Ministerio de Educación y FP; Ministerio de Sanidad; Consejería de Sanidad; SESCAM; Centros privados concertados sostenidos con fondos públicos CLM

Transferencias internacionales:

SI (Conforme a la Resolución TI/00032/2014 de la AEPD de 9 de mayo de 2014)

Plazo de conservación:

Se conservarán durante el tiempo que sea necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

Medidas de seguridad:

Las medidas de seguridad implantadas corresponden a las aplicadas de acuerdo al Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 Otro tratamiento:

 Órgano responsable (nivel1):

Consejería de Educación, Cultura y Deportes

Órgano responsable (nivel2):

Viceconsejería Educación

Órgano responsable (nivel3):

Dirección General Recursos Humanos y Planificación Educativa

Dirección:

CL RÍO ALBERCHE, S/N, 45071, TOLEDO

Base jurídica:

Ley Orgánica 2/2006, de 3 de mayo, de Educación / Ley 7/2010, de 20 de julio, de Educación de Castilla-La Mancha

Nombre:

Entorno colaborativo del profesorado de Castilla - La Mancha

Finalidad:

Gestión del trabajo colaborativo online, así como la organización y coordinación entre el profesorado de los centros educativos públicos de Castilla-La Mancha

Colectivos afectados:

Empleados, Estudiantes,

Tipos de datos:

Datos de carácter identificativo: NIF/DNI, nombre y apellidos, correo electrónico; imagen/voz. Otros datos tipificados: Académicos y profesionales; detalles del empleo.

Transferencias internacionales:

SI (Conforme a la Resolución TI/00032/2014 de la AEPD de 9 de mayo de 2014)

Plazo de conservación:

Se conservarán durante el tiempo que sea necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa de archivos y documentación.

Medidas de seguridad:

Las medidas de seguridad implantadas corresponden a las aplicadas de acuerdo al Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

 Respecto al contenido del Registro de actividades de tratamiento el mismo se regula en el artículo 30 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos (en adelante RGPD) que establece lo siguiente:

“1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d)las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

 El registro de Actividades de Tratamiento de la Junta de Comunidades de Castilla-La Mancha muestra todos los campos indicados anteriormente, así como alguno más que se decidió incluir, como el campo legitimación del tratamiento, al considerarse esta información como fundamental para que el interesado sea consciente de la base jurídica que habilita a la Administración a realizar cada uno de los tratamientos incluidos en el RAT.

 Respecto a lo que comenta sobre las transferencias internacionales de datos y la reciente sentencia del Tribunal Superior de Justicia de la Unión Europea de 16 de julio de 2020 que invalida el escudo de Privacidad (Privacy shield), indicarle que el RGPD prevé diferentes criterios para realizar transferencias de datos. Esto es:

 Artículo 45. Transferencias basadas en una decisión de adecuación.

1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuenta, en particular, los siguientes elementos:

a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y

c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

3. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del presente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional. El acto de ejecución especificará su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2.

4. La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva 95/46/CE.

5. Cuando la información disponible, en particular tras la revisión a que se refiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presente artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2. 150 Por razones imperiosas de urgencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediatamente aplicables de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3.

6. La Comisión entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de conformidad con el apartado 5.

7. Toda decisión de conformidad con el apartado 5 del presente artículo se entenderá sin perjuicio de las transferencias de datos personales al tercer país, a un territorio o uno o varios sectores específicos de ese tercer país, o a la organización internacional de que se trate en virtud de los artículos 46 a 49.

8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado.

9. Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con los apartados 3 o 5 del presente artículo.

RGPD. Artículo 46. Transferencias mediante garantías adecuadas.

1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. 153

2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; 154

b) normas corporativas vinculantes de conformidad con el artículo 47;

c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2; 155

d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2;

e) un código de conducta aprobado con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados,

o f) un mecanismo de certificación aprobado con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

3. Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas contempladas en el apartado 1 podrán igualmente ser aportadas, en particular, mediante:

a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4. La autoridad de control aplicará el mecanismo de coherencia a que se refiere el artículo 63 en los casos indicados en el apartado 3 del presente artículo. 156.

Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con el artículo 26, apartado 2, de la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control. Las decisiones adoptadas por la Comisión en virtud del artículo 26, apartado 4, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el apartado 2 del presente artículo.” 

La sentencia Tribunal Superior de Justicia de la Unión Europea de 16 de julio de 2020 ha anulado el Privacy Shield pero mantiene la validez de las cláusulas contractuales adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE.

En cualquier caso, conforme ha indicado la Agencia Española de Protección la valoración de la incidencia de la sentencia del TJUE aún está pendiente de una postura común europea, se va a seguir trabajando conjuntamente con el resto de Autoridades europeas en una respuesta armonizada a nivel europeo y participará en las labores que se lleven a cabo para adoptar un enfoque común, garantizando así una aplicación consistente de la sentencia en todos los países de la UE.

Gracias

 Reciba un cordial saludo
--- 

Respondo
---
Agradezco la respuesta, pero en el correo anterior comunicaba a DPD que desde la consejería de hacienda de Castilla-La Mancha se me ha respondido que no existe contrato asociado a un producto de Microsoft que se está usando y en la respuesta de DPD no se menciona ese punto.

En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."

Un documento similar existe público para otras CCAA
http://sede.gobcan.es/boc/boc-a-2020-213-3753.pdf

Se me indica "el interesado sea consciente de la base jurídica que habilita a la Administración a realizar cada uno de los tratamientos incluidos en el RAT.": no dudo que la consejería como administración está legitimada para realizar tratamiento para cumplir con la función educativa, pero en este caso la consejería es responsable de un tratamiento que está haciendo otra empresa, y no está legitimada a hacerlo sin un contrato por escrito según RGPD.

Informo al DPD que pondré una reclamación a AEPD por lo expuesto en estos correos.
 
--- 

15 enero 2021

Recibo respuesta
---

Estimado ciudadano,

En primer lugar, le pedimos disculpas por no haber enfocado de manera adecuada la consulta que nos planteó. Como en su primer párrafo nos indicaba que no sabía cómo funcionaba el Registro de Actividades de Tratamiento de la Junta de Comunidades de Castilla-La Mancha y por tanto, que no encontraba el tratamiento en el registro y nuestra contestación ha ido enfocada en ese sentido, en informarle que la información publicada contempla todos los campos obligatorios según el artículo 30 del Reglamento General de Protección de Datos y, entre estos, no está la información relativa al encargado del tratamiento, indicándole todos campos de los dos tratamientos afectados.

Respecto al encargo de tratamiento con Microsoft, no existe un contrato tal y como se le informó desde la Unidad de Transparencia.

La normativa obliga a que el encargo conste por escrito, inclusive por medios electrónico, pero en la misma se habilita tanto que dicho acuerdo se formalice mediante un contrato como a través de cualquier otro acto jurídico. En este caso se formalizó un acuerdo con Microsoft que incluye las condiciones de protección de datos. Asimismo, se han adoptado distintas medidas adicionales para mitigar los riesgos que implican el uso de estas herramientas, siguiendo las recomendaciones dictadas por distintos organismos como la Agencia Española de Protección de Datos o el Comité Europeo de Protección de datos.

En cualquier caso, hasta el momento su consulta ha sido tramitada como una consulta en general, pero usted dispone, conforme al artículo 37 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDgdd), de la opción de, con carácter previo a la presentación de una reclamación ante la Agencia Española de Protección de Datos, presentar reclamación ante la Delegada de Protección de Datos.

A este respecto, en el pie de página de protección de datos de la página web: www.castillalamancha.es  se le informa de este derecho y de las vías para la presentación de esta reclamación ante la DPD de la Junta:

“También tiene derecho a presentar una reclamación ante la delegada de protección de datos de manera presencial en las oficinas de registro o a través del siguiente formulario.”

 (Para la presentación de esta reclamación deberá usted identificarse fehacientemente ante la Administración)

Por supuesto, dispone usted de la vía prevista de reclamar directamente ante la Agencia Española de Protección de Datos http://www.agpd.es (estando regulado el régimen jurídico de estas reclamaciones se regula en los artículos 63 y siguientes de la LOPDgdd.

 

Reciba un cordial saludo,  
---
Mismo día respondo
---
Gracias por la respuesta.
En la solicitud de transparencia, texto está incluido en adjunto de primer correo, yo indiqué 
"“Solicito copia electrónica o enlace a los contratos y/o convenios..."
No se me indicó que exista ningún convenio ni acuerdo como se sugiere en esta última respuesta. En caso de existir, solicito información sobre cómo obtener copia o enlace.
Un saludo
 
---
 
24 enero 2021
Reclamo a AEPD (por registro, formularios reclamación indican no disponibles)
Asunto: Reclamación por incumplimiento RGPD de Consejería de Educación de Castilla-La Mancha al no tener contrato con encargado de tratamiento.
---
Tras plantear solicitud de información pública el 29 noviembre de 2020, la Consejería de Hacienda de Castilla-La Mancha me indica en resolución de 22 diciem bre 2020 (la adjunto) "ninguna de las Consejerías de la Administración de la Junta de Comunidades de Castilla-La Mancha, ni sus organismos autónomos, ha suscrito contrato alguno con Microsoft “para ofrecer teams”."
El 22 diciembre 2020 escribo a DPD "PROTECCIONDATOS@jccm.es" recibiendo varias respuestas tras un intercambio de correos (adjunto el último que incluye los anteriores)
Mi resumen es que se indica que no hay contrato, sino "acuerdo", y no se facilita ni es público.
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Considero que existen dudas razonables para considerar que no existe contrato, lo que sería una infracción, y se está utilizando una supuesta diferencia entre "contrato/convenio/acuerdo" para no responder. En otras CCAA preguntando por “copia o enlace contrato y/o convenio” sí han facilitado
un documento público
https://juntadeandalucia.es/export/drupaljda/convenio/21/01/Convenio_31.pdf
---
O00007128e2100002553
 
14 abril 2021
Recibo correo de Castilla-La Mancha citando mi reclamación a AEPD y envían  el convenio firmado 3 junio 2020. Me indican que fue un error (pongo texto, documento de notificación tiene CSV y firma manuscrita y NIF)
---
Ref. SAIP/20/150200/0045

Con relación a su solicitud de acceso a información pública referenciada, a
la que se le trasladó contestación mediante Resolución de la Secretaria General de la Consejería de Hacienda y AAPP con fecha 22/12/2020, en la que se le informaba:
“que según los datos obrantes en el Registro de Contratos del Sector Público Regional – y en el que constan todos los contratos públicos de precio igual o superior a cinco mil euros, IVA incluido- ninguna de las Consejerías de la Administración de la Junta de Comunidades de Castilla-La Mancha, ni sus organismos autónomos, ha suscrito contrato alguno con Microsoft “para ofrecer teams”. Debo informarle que, como consecuencia de la puesta en conocimiento de esta Unidad de Transparencia, de la Reclamación presentada por usted ante la Agencia de Protección de Datos, a través de la Delegada de protección de datos de la JCCM; se ha observado que en dicha resolución se omitió por error el enlace al registro general de convenios, ya que esta unidad desconocía el órgano administrativo competente para la firma del posible convenio, en el caso de que existiera:
https://www.castillalamancha.es/gobierno/haciendayaapp/actuaciones/registro-general-de-convenios-de-la-administraci%C3%B3n-de-la-junta-de-comunidades-de-castilla-la-mancha.

No obstante, se ha recabado información adicional a la solicitada en primera instancia por esta Unidad, que se ciñó exclusivamente al Registro de Contratos, resultando la existencia del Convenio Marco de Colaboración entre Microsoft Ibérica S.R.L y la Junta de Comunidades de Castilla-La Mancha para regular actuaciones en materia de tecnología de la información y las comunicaciones aplicada a los centros de educación Se adjunta dicho Convenio a la presente comunicación, pidiéndole disculpas por la omisión involuntaria.
---


26 mayo 2021
Respuesta AEPD archivando
  

Castilla y León

13 diciembre 2020
Planteo solicitud
---
Solicito copia electrónica o enlace a los contratos y/o convenios firmados por la Consejería con Microsoft para ofrecer sus productos a docentes y estudiantes, que deben incluir todos los aspectos relativos a RGPD, ya que Microsoft para a ser responsable de tratamiento y puede ser usado por menores
Se citan en
https://www.educa.jcyl.es/es/office365-educacyl
https://www.educa.jcyl.es/es/msoffice365/teams-educacion

https://www.efe.com/efe/castillayleon/tecnologias/educacion-y-microsoft-acuerdan-facilitar-licencias-office-a-hogares-alumnos/50000476-3668951

No he localizado convenio asociado en
https://servicios.jcyl.es/wrec/
---
 
14 enero 2021
Recibo respuesta
 
Solicito a @educacyl los acuerdos con @MicrosoftES para que alumnos usen en 2020 Teams que contemplen RGPD.
Respuesta: un contrato de mantenimiento de 2016 y un convenio de 2011: no existía RGPD ni Teams 
Preguntaré a su DPD 
 
 
 
y no veo nada. 

Escribo a DPD.EDUCACION@JCYL.ES
---
Dado que desde la Consejería de Educación se ofrecen productos de Microsoft a docentes y alumnos, Microsoft actúa como encargado del tratamiento para la Consejería, que es la responsable de tratamiento. Los términos RGPD de ese uso de datos deben estar reflejados en contrato/convenio/acuerdo, que debo conocer como interesado, y no basta un contrato genérico como https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=16227  previo a la sentencia de TJUE sobre privacy shield de julio 2020. 
 
El uso de Microsoft Teams se cita en la web de la Consejería, como lo indiqué en consulta realizada 13 diciembre 2020 de la que recibí respuesta 14 enero 2021 que adjunto. Se me cita un contrato de 2016 y un convenio de 2011, cuando no existían RGPD ni Teams.
 
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."

Un documento similar existe público para otras CCAA
http://sede.gobcan.es/boc/boc-a-2020-213-3753.pdf
 
Sé que la consejería como administración está legitimada para realizar tratamiento para cumplir con la función educativa, pero en este caso la consejería es responsable de un tratamiento que está haciendo otra empresa, y no está legitimada a hacerlo sin un contrato por escrito según RGPD.

Informo al DPD que pondré una reclamación a AEPD si no existe ese contrato.
---
 
24 enero 2021
Reclamo a AEPD, vía registro 
Asunto: Reclamación por incumplimiento RGPD de Consejería de Educación de Castilla y León al no tener contrato con encargado de tratamiento.
 
---

Tras plantear solicitud de información pública el 13 diciembre de 2020, la Consejería de Educación de Castilla y León me indica en resolución de 14 enero 2021 (la adjunto) solamente un contrato de mantenimiento de 2016 y un convenio de 2011: no existía RGPD ni Teams.
El 14 enero 2021 escribo a DPD "DPD.EDUCACION@JCYL.ES" sin haber recibido respuesta hasta el momento (lo incluyo)
Mi resumen es que no se indica que hay contrato.
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Considero que existen dudas razonables para considerar que no existe contrato, lo que es una infracción.
En otras CCAA preguntando por “copia o enlace contrato y/o convenio” sí han facilitado un
documento público https://juntadeandalucia.es/export/drupaljda/convenio/21/01/Convenio_31.pdf
---
O00007128e2100002554


26 mayo 2021
Respuesta AEPD archivando, en mi opinión de modo incorrecto:
-¿Solo se puede usar sede?
-¿No es un interés legítimo colectivo querer que se cumpla RGPD?
 
 
Miro reclamar a Europa
 
 
 
 

Data protection supervision over national public authorities is carried out by the national data protection authorities. All EU Member States have at least one such authority.

You can also take up your complaint with the courts in the relevant Member State.

The EDPS is not competent for complaints against national public authorities. We can therefore only refer you to the relevant national authorities.

You can find contact details for the national data protection authorities of the EU Member States on the website of the European Data Protection Board. In case there are multiple data protection authorities in a Member State, their websites can help you in identifying which one will be best-placed to help you.

For the contact details of more data protection authorities worldwide, please see the list of members of the International Conference of Data Protection & Privacy Commissioners.

If you believe that a Member State is in breach of EU law, you can complain to the European Commission. In its role as guardian of the treaties, the Commission can launch infringement proceedings against Member States who breach EU law. For more information, please see here.

 

 

La otra opción es un recurso de reposición

https://www.billin.net/blog/recurso-de-reposicion/

Se puede a partir de día siguiente
 
27 mayo 2021
 
---  
RECURSO DE REPOSICIÓN

Enrique García Simón, con NIF 03103687K actuando en nombre propio y correo electrónico a efectos de notificaciones enrique.garciasimon@gmail.com, comparece, y como mejor proceda,

EXPONE:
    
    Que por medio del presente escrito interpongo RECURSO DE REPOSICIÓN, contra la resolución N/Ref.:E/02959/2021 dictada por la Agencia Española de Protección de Datos (AEPD). y que me ha sido notificada en fecha 26 mayo 2021; por estimarla no conforme a Derecho, y con apoyo en las siguientes

                       ALEGACIONES
 
PRIMERA. – Según artículo 125 Ley 39/2015, considerar que en la resolución se ha incurrido en un error de hecho:
A. Al indicar AEPD “no se infiere la existencia de una  actuación infractora de CONSEJERÍA DE EDUCACIÓN en el ámbito competencial de la Agencia Española de Protección de Datos” cuando resulta de los propios documentos incorporados al expediente que:
1. La Consejería de Educación de Castilla y León utiliza Microsoft Teams con docentes y alumnos.
2. Artículo 28 RGPD obliga a tener un acto jurídico por escrito con el encargado de tratamiento.
3. La Consejería de Educación de Castilla y León no a aportado dicho acto jurídico, solo un contrato de mantenimiento de 2016 y un convenio de 2011: no existía RGPD ni Teams.
B. Al citar AEPD “presunción de no existencia de responsabilidad administrativa mientras no se demuestre lo contrario”, cuando la responsabilidad es la existencia obligatoria de tener un acto jurídico por escrito, y solicitándolo no lo han facilitado.
Cabe señalar el caso totalmente similar de la Consejería de Educación de Castilla-La Mancha, que no facilitaron inicialmente acto jurídico, pero tras reclamar a AEPD en N/Ref.: E/02956/2021 se le ha requerido y sí han facilitado ese acto jurídico.

SEGUNDA.- Considerar incorrecto que en resolución AEPD considere válida la argumentación de la Consejería de Educación de Castilla y León en la que indica “ni tampoco que tenga derechos que puedan resultar afectados por el mismo, ni interés legítimo, individual o colectivo que pueda resultar afectado por la forma y procedimientos concretos mediante los cuales la Consejería de Educación protege el tratamiento de datos de carácter personal de los que es responsable, cumpliendo la normativa de protección de datos y el esquema nacional de seguridad.”
1. Primero porque no niega que se esté incumpliendo artículo 28 RGPD, solamente alegando defectos de forma en la reclamación.
2. Segundo porque la protección de datos es un derecho fundamental según Reglamento (UE) 2016/679, y considero que cualquier ciudadano está legitimado para velar por el cumplimiento de los derechos fundamentales, y más sobre menores, aunque no sea derecho a la protección de los datos de carácter personal que le conciernan, más si cabe si se es empleado público:
https://www.boe.es/buscar/act.php?id=BOE-A-2015-11719#a53
4. Su conducta se basará en el respeto de los derechos fundamentales...
https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036#a262
Los que por razón de sus cargos, profesiones u oficios tuvieren noticia de algún delito público, estarán obligados a denunciarlo inmediatamente al Ministerio fiscal, al Tribunal competente, al Juez de instrucción y, en su defecto, al municipal o al funcionario de policía más próximo al sitio si se tratare de un delito flagrante.

TERCERA: No facilito documentación adicional a los documentos incorporados al expediente pero expreso la disposición a colaborar y facilitar la que fuera necesaria para colaborar en el cumplimiento RGPD de la  Consejería de Educación de Castilla y León que es el objetivo de la reclamación.

Y, en virtud de lo anteriormente expuesto,

    SOLICITA: Que teniendo por presentado en tiempo y forma este escrito se sirva admitirlo, teniendo por interpuesto RECURSO DE REPOSICIÓN contra el indicado acto administrativo, se dicte resolución anulado la Resolución citada y AEPD usando los poderes de investigación y
correctivos que ostenta, realice actuaciones relativas al tratamiento de datos referido en la reclamación, garantizando que la Consejería de Educación de Castilla y León cumpla artículo 28 RGPD.

    
    En xxx, a 27 de mayo de 2021

    Fdo.: Enrique García Simón

A LA DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
---
Presentado con número de registro O00007128e2100023839 
 
 
Por separado busco registro DPD
 
Pongo texto similar a lo enviado a DPD
---
Presento por escrito ya que en resolución AEPD a reclamación N/Ref.:E/02959/2021 se indicó que el envío por correo electrónico a DPD no deja constancia fehaciente.
Dado que desde la Consejería de Educación se ofrecen productos de Microsoft a docentes y alumnos, Microsoft actúa como encargado del tratamiento para la Consejería, que es la responsable de tratamiento. Los términos RGPD de ese uso de datos deben estar reflejados en un acto jurídico y no basta un contrato genérico que sea previo a la sentencia de TJUE sobre privacy shield de julio 2020.
El uso de Microsoft Teams se cita en la web de la Consejería, como lo indiqué en consulta realizada 13 diciembre 2020 de la que recibí respuesta 14 enero 2021. Se me cita un contrato de 2016 y un convenio de 2011, cuando no existían RGPD ni Teams.
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Un documento similar existe público para otras CCAA http://sede.gobcan.es/boc/boc-a-2020-213-3753.pdf
Sé que la consejería como administración está legitimada para realizar tratamiento para cumplir con la función educativa, pero en este caso la consejería es responsable de un tratamiento que está haciendo otra empresa, y no está legitimada a hacerlo sin un contrato por escrito según RGPD.
En la resolución AEPD a reclamación N/Ref.:E/02959/2021 la Consejería alega “ni tampoco que tenga derechos que puedan resultar afectados por el mismo, ni interés legítimo, individual o colectivo que pueda resultar afectado por la forma y procedimientos concretos mediante los cuales la Consejería de Educación protege el tratamiento de datos de carácter personal de los que es responsable, cumpliendo la normativa de protección de datos y el esquema nacional de seguridad.”
La protección de datos es un derecho fundamental según Reglamento (UE) 2016/679, y considero que cualquier ciudadano está legitimado para velar por el cumplimiento de los derechos fundamentales, y más sobre menores, aunque no sea derecho a la protección de los datos de carácter personal que le conciernan, más si cabe si se es empleado público:
https://www.boe.es/buscar/act.php?id=BOE-A-2015-11719#a53
Su conducta se basará en el respeto de los derechos fundamentales...
https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036#a262   
Los que por razón de sus cargos, profesiones u oficios tuvieren noticia de algún delito público, estarán obligados a denunciarlo
---
 
En firefox/linux el botón "enviar" del pdf no envía.  
En windows con adobe el botón "enviar" indica "enviar datos a https://www.ae.jcyl.es/adme20/preAnexarDocumentos.do 
 
Veo que se puede entrar por https://www.ae.jcyl.es/adme20/adme.do?

Tramito con chrome, no me va con firefox
Registro 20219001083678

2 junio 2021
Recibo correo respuesta
---
En relación con su escrito de 27/05/2021, formulado a través del procedimiento electrónico para interponer reclamaciones ante el Delegado de Protección de Datos de la Consejería de Educación, comunicarle que no se desprende claramente del mismo la pretensión del ejercicio de alguno de los derechos contemplados en los arts. 15 a 22 del RGPD ni de cualesquiera otro derecho de los reconocidos a los ciudadanos en la citada norma, por lo que únicamente creemos que procede informarle de la postura de la Consejería acerca de algunas de las cuestiones mencionadas en su escrito.

En primer lugar, que salvo contadas excepciones, la esfera de la protección de datos, queda fuera del ámbito penal, por lo que no consideramos fundamentada su preocupación por la existencia en este caso de un delito público, para cuya tramitación en cualquier caso, sería más adecuada la denuncia del mismo ante la fiscalía o la jurisdicción penal.

En segundo lugar, que en el ámbito de las administraciones públicas, la materia de protección de datos, aparte de estar regulada naturalmente por su normativa específica, también lo está por la legislación sobre el procedimiento administrativo. Y en este sentido, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece en su art. 4 una serie de requisitos para la comprobación de la condición de interesado, entre los cuales el más importante es la acreditación de un interés legítimo y directo en el asunto del que se trate.

Y finalmente, trasmitirle que la administración educativa es totalmente consciente de las precauciones que debe de adoptar en el tratamiento de datos personales, especialmente los de los alumnos menores de edad que cursan sus estudios en Castilla y León, por lo que desde su entrada en vigor, trata de cumplir con todas las obligaciones en la materia establecidas por la normativa vigente, especialmente por lo que se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

 

Delegado de Protección de Datos

Consejería de Educación

Junta de Castilla y León 
---

29 octubre 2021
Respuesta AEPD a recurso reposición, desestima
 
En relación con las manifestaciones efectuadas por la parte recurrente, que reiteran básicamente las ya realizadas en su reclamación, debe señalarse que las mismas ya fueron analizadas y desestimadas en la resolución impugnada, cuyos fundamentos continúan plenamente vigentes.  
...
Así, tal y como consta en la documentación obrante en el expediente, se ha
constatado la existencia de un convenio específico de colaboración entre la
Comunidad de Castilla y León y Microsoft relativo al servicio básico LIVE@EDU,
suscrito el 26 de febrero de 2011, por la Comunidad de Castilla y León y Microsoft Ireland Operations Limited, cuya cláusula decimotercera se refiere al tratamiento de datos personales por parte de Microsoft de conformidad con la legislación española de protección de datos.
...
Teniendo en cuenta la previsión legal existente en la normativa anterior, la disposición transitoria quinta de la LOPDGDD establece lo siguiente respecto de los contratos de encargado del tratamiento:
“Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
...
En consecuencia, el contrato de encargado de tratamiento contenido en el convenio entre la Comunidad de Castilla y León y Microsoft se encontraría vigente hasta el 25 de mayo de 2022, sin perjuicio de que una de las partes pueda exigir a la otra su modificación a fin de adaptarlo a lo dispuesto en el artículo 28 del RGPD



Andalucía

29 noviembre 2020
Planteo solicitud
---
Solicito copia electrónica o enlace a los convenios firmados por la Junta de Andalucía con Microsoft y Google, que deben incluir
todos los aspectos relativos a RGPD
Dichos convenios han sido anunciados oficialmente el 27 de noviembre de 2020
http://www.juntadeandalucia.es/presidencia/portavoz/educacion/156439/JavierImbroda/Educacion/TransformacionDigital/Tecnologias/Google/Microsoft
---
SOL-2020/00004358-PID@
 
8 enero 2021
Reclamación consejo
---
No he recibido respuesta
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
El documento similar existe público para otras CCAA
http://sede.gobcan.es/boc/boc-a-2020-213-3753.pdf
--- 

Al firmar sí me reconoce certificado pero no termina y no permite presentar, ni con Firefox ni con Chrome.
Descubro que es un tema de AutoFirmaJA, y pongo otra solicitud.

18 enero 2021
Respuesta de la consejería (fuera de plazo, tras haber reclamado a consejo)
 
Google:

https://juntadeandalucia.es/organismos/educacionydeporte/consejeria/sobre-
consejeria/funcionamiento/convenios/detalle/209930.html

Microsoft:

https://juntadeandalucia.es/organismos/educacionydeporte/consejeria/sobre-
consejeria/funcionamiento/convenios/detalle/209931.html


Convenios completos:
@GoogleES
 https://juntadeandalucia.es/export/drupaljda/convenio/21/01/Convenio_30.pdf (110 pág, 13 convenio y resto Términos y condiciones y Cláusulas Contractuales Tipo de G Suite)
@MicrosoftES
 https://juntadeandalucia.es/export/drupaljda/convenio/21/01/Convenio_31.pdf (88 pág, 15 convenio y resto Términos de los Servicios, Anexos: Notas, Cláusulas, RGPD )



Comunidad Valenciana

22 diciembre 2020
La Comunidad Valenciana ERA LA ÚNICA REGIÓN DE TODA EUROPA que usaba sus propias herramientas y software open source para preservar la privacidad de sus alumnos. Fue un tema que investigué a fondo, escribí sobre ello. Pues han firmado con Microsoft Teams.
 
Se puede ver firma 22 diciembre en agenda
 

Secretario Autonómico de Hacienda
10:00

Firma de convenio

Asistencia a la firma de un convenio con Microsoft Ibérica

València (Valencia)

 
CONVENIO   MARCO   DE   COLABORACIÓN   ENTRE   MICROSOFT   IBÉRICA   S.R.L.   Y   LA GENERALITAT  VALENCIANA,  A  TRAVÉS  DE  LAS  CONSELLERIAS  DE  HACIENDA  Y  MODELO ECONÓMICO  Y  DE  EDUCACIÓN, CULTURA  Y DEPORTE,PARA  REGULAR  ACTUACIONES  EN MATERIA DE EDUCACIÓNEn València, diciembre de 2020.
 

Asturias

18 marzo 2020
28 marzo 2020
28 abril 2020
 
Buscando convenios
 
 
 
En cumplimiento del artículo 8.1.b) de la ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, se publica la relación de los convenios donde se recoge información relativa a las partes firmantes, objeto, fecha de su firma o de su publicación en el BOPA, obligaciones económicas a que, en su caso, se comprometen las partes, así como su plazo de vigencia.

Actualización/revisión más reciente: 4-febrero-2021.
 
Para 2020 no veo nada con microsoft
 
Para 2019 acumulado tampoco
 
---
Solicito copia electrónica o enlace a los contratos/convenios/ actos jurídicos firmados por la comunidad con Microsoft para ofrecer sus productos a docentes y estudiantes, que deben incluir todos los aspectos relativos a RGPD, ya que Microsoft para a ser responsable de tratamiento y puede ser usado por menores
Se citan en
---
 
Al tramitar no va, hace tiempo que no usaba algo java, y tenía solo openJDK
 

10 febrero 2021
Tramito desde un ordenador con java instalado, descarga applet y tramito, con número de registro ENT20210109506
 
2 marzo 2021
Recibo por correo resolución y documentación
---
Buenos días,
Adjunto le remito traslado de la Resolución de la Consejera de Educación de 26 de febrero de 2021, por la que se concede acceso a la información pública solicitada.

Se adjunta documentación relacionada en el resuelvo primero.

Se ruega se confirme su recepción mediante correo electrónica . 
--- 
Adjuntan 3 pdfs (los separo en 4 documentos tras anonimizar)

 
 
8 marzo 2021
Escribo a DPD basándome en lo de Castilla y León
DPD-PRESIDENCIA@ASTURIAS.ORG
---
Dado que desde la Consejería de Educación se ofrecen productos de Microsoft a docentes y alumnos, Microsoft actúa como encargado del tratamiento para la Consejería, que es la responsable de tratamiento. Los términos RGPD de ese uso de datos deben estar reflejados en contrato/convenio/acuerdo, que debe ser pública sin que baste información genérica no contractual https://docs.microsoft.com/es-es/office365/servicedescriptions/office-365-platform-service-description/office-365-education#service-availability-for-each-pla
https://docs.microsoft.com/es-es/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide#Europe
Esos dos enlaces han sido facilitados por la consejería de Educación.
 
El uso de Microsoft Teams se cita en la web de la Consejería, como lo indiqué en consulta realizada 10 febrero 2021 de la que recibí respuesta fechada 2 marzo 2021 con resolución 26 febrero que adjunto. Se me cita un contrato de 2016 y documentos de 2014 y 2015, cuando no existían RGPD ni Teams.
 
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
 
Un documento similar existe público para otras CCAA
 
Sé que la consejería como administración está legitimada para realizar tratamiento para cumplir con la función educativa, pero en este caso la consejería es responsable de un tratamiento que está haciendo otra empresa, y no está legitimada a hacerlo sin un contrato por escrito según RGPD.

Informo al DPD que pondré una reclamación a AEPD si no existe ese contrato contemplando RGPD y Teams: por ejemplo Teams supone videoconferencias que tienen implicaciones adicionales a nivel RGPD, y se debe contemplar sentencia TJUE asociada a privacy shield de 2020.
 
---
 
2 abril 2021
Sin respuesta, reclamo a AEPD vía registro
Registro inicial: tras descripción, permite hasta 4 documentos. No admite zip.

--- 
Tras plantear solicitud de información pública el 10 de febrero de 2021, la Consejería de Educación de Asturias me indica en resolución de 3 marzo 2021 (la adjunto) documentos de 2014, 2015 y 2016: no existía RGPD ni Teams.
El 8 marzo  2021 escribo a DPD "DPD-PRESIDENCIA@ASTURIAS.ORG" y día 15 me responde indicando que en esa fecha, se da traslado del mismo al Delegado de Protección de Datos de la Consejería de Educación, por tratarse de la competente en la materia.
 
Sin haber recibido respuesta hasta el momento, mi resumen es que no se indica que hay contrato que contemple RGPD y Teams
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Considero que existen dudas razonables para considerar que no existe contrato, lo que es una infracción.
En otras CCAA preguntando por “copia o enlace contrato y/o convenio” sí han facilitado un documento público 

2 diciembre 2021
Respuesta DPD. Archiva

"Los acuerdos no escritos (independientemente de cuán exhaustivos o efectivos sean) no pueden considerarse suficientes para cumplir los requisitos establecidos en art 28 RGPD"
"La mera concertación del convenio de colaboración no es por tanto constitutivo del contrato de encargo de tratamiento [art 28 RGPD] sino (sic) se complementa con los elementos que forman el contenido y términos de la contratación."

Rioja

22 abril 2021
Tramitar implica usar carfirma, que existe para linux
---
Solicito copia electrónica o enlace a los contratos/convenios/ actos jurídicos firmados por la comunidad con Microsoft para ofrecer sus productos a docentes y estudiantes, que deben incluir todos los aspectos relativos a RGPD, ya que Microsoft para a ser responsable de tratamiento y puede ser usado por menores
Se citan en
https://www.larioja.org/educarioja-centros/es/noticias-centros-ee3c0/correo-larioja-edu-herramientas-colaborativas-office-365
 
http://aplicaciones.larioja.edu.es/


No he localizado convenio asociado en
https://web.larioja.org/portal-transparencia/buscador-de-convenios
 
---  
Fecha y Hora: 22-abr-2021 23:45:10
Número: 159.292

 
17 mayo 2021
Recibo respuesta
 
18 mayo 2021
Reclamo AEPD vía registro, similar a Asturias
https://sedeagpd.gob.es/sede-electronica-web/vistas/formProcedimientoEntrada/procedimientoEntradaAmpliado.jsf
Registro inicial: tras descripción, permite hasta 4 documentos. No admite zip. 
Limitado a 1000 caracteres

--- 
Tras plantear solicitud de información pública 22 abril 2021, la Consejería de Educación de La Rioja indica 17 mayo 2021 (la adjunto) que usa servicios de Microsoft porque se prestan de forma gratuita y cita condiciones genéricas. 
Reclamo ya que no se indica que haya contrato que contemple RGPD y uso de Microsoft por alumnos y docentes en la consejería  de educación de La Rioja.
En artículo 28 de Reglamento (UE) 2016/679
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
indica en su punto 3
"El tratamiento por el encargado se regirá por un contrato u otro acto jurídico"
e indica en su punto 9
"El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico."
Considero que existen dudas razonables para considerar que no existe contrato, lo que es una infracción.
En otras CCAA preguntando por “copia o enlace contrato y/o convenio” sí han facilitado un documento público
---
Número de registro: O00007128e2100022529 

5 agosto 2021
AEPD me notifica que admite a trámite

Microsoft en Europa

27 mayo 2021
The EDPS opens two investigations following the “Schrems II” Judgement
 
The EDPS launched two investigations today, one regarding the use of cloud services provided by Amazon Web Services and Microsoft under Cloud II contracts by European Union institutions, bodies and agencies (EUIs) and one regarding the use of Microsoft Office 365 by the European Commission.
 
22 noviembre 2021
No More Microsoft! This German State Plans to Switch 25,000 Windows PCs to Linux and LibreOffice
 
 

Microsoft en Educación (y aulaPlaneta)


Pongo ideas, algunas en post sobre RGPD, otras enlazan con post separado para Planeta

28 octubre 2019
Grupo Planeta y Microsoft firman un acuerdo de colaboración para integrar metodologías activas en la educación digita

 
Agrega tus unidades de aulaPlaneta a Teams
Añade los recursos de aulaPlaneta a Teams y conviértelo en el entorno de trabajo donde tus alumnos podrán completar las actividades que les propongas, sean individuales o colaborativas.
Los recursos de aulaPlaneta pueden usarse en Teams de múltiples formas:
    Accede a las secciones Mis materias y Entorno de indagación de tu app personal para preparar las clases.
    Añade Cuadernos de aprendizaje como pestaña a uno de tus canales para crear un proyecto.
    Envía un recurso como tarea de Teams a tus alumnos.
    Busca un recurso y añádelo al chat directamente desde la extensión de Mensajería 
 
 
 
13 mayo 2022
Data protection: Microsoft 365 banned in Baden-Württemberg’s schools. Suitable alternatives exist!
 

Comentarios

Entradas populares de este blog

Ratios en educación: normativa

Oposiciones: transparencia enunciados

Configurar cliente para leer correo EducaMadrid