protecció de dades de caràcter personal per a centres i...

Protecció de dades de caràcter personal per a centres i serveis educatius 1 / 18

Protecció de dades de caràcter personal

per a centres i serveis educatius


Índex

Introducció ........................................ ...................................................................................................4

Què és la protecció de dades de caràcter personal? ......................................................................... 4 Legislació .................................................................................................................................. 4 Principis, drets i obligacions ......................................................................................................... 4 1) Les dades són de les persones ............................................................................................... 7 2) Abans de començar, comproveu que el fitxer està cre at ............................................................. 7 3) Informeu i demaneu el consentiment sempre ............................................................................ 8 4) Sol·liciteu només dades que siguin adequades, perti nents i no excessives amb finalitats concretes i

actualitzeu-les .................................................................................................................... 10 5) Cancel·leu les dades quan no siguin necessàries i f eu-ho de manera adequada ........................... 11 6) Faciliteu l’exercici de drets ARCO als titulars de les dades ........................................................ 11 7) No cediu dades sense l’autorització pertinent ......................................................................... 13 8) Acompliu el deure de secret ................................................................................................. 15 9) En cas que contracteu serveis a empreses, elaboreu i reviseu els contractes ............................... 16 10) Adopteu mesures de seguretat ............................................................................................. 16


Introducció

Què és la protecció de dades de caràcter personal? La protecció de dades és l’adaptació a la societat de la informació del dret fonamental a la protecció de l’honor, la intimitat personal i familiar i la pròpia imatge, inclòs per les Nacions Unides a la Declaració Universal dels Drets Humans (1948). És un dret fonamental, que busca protegir els ciutadans i el ple exercici dels seus drets davant les vulneracions que puguin procedir de la recollida, tractament i emmagatzematge de les seves dades personals per part d’entitats tant públiques com privades. Arran d’aquest dret fonamental, l’ordenament jurídic espanyol i europeu reconeix a les persones un seguit de drets relacionats amb les seves dades personals que han de ser respectats per qualsevol entitat pública o privada que les tracti, tot imposant una sèrie d’obligacions formals i substantives que cal complir. Legislació

La legislació sobre protecció de dades de caràcter personal està constituïda per les normes que regulen el registre, tractament i eliminació de les dades de les persones i les han d’aplicar obligatòriament totes les entitats públiques o privades que registren i tracten dades personals en qualsevol suport i format .

Així, l’afectació de la normativa que regula el tractament de dades personals és molt extensa i a més està en desenvolupament constant, ja que el seu vincle amb l’avenç de les noves tecnologies és directe. El dret fonamental a la protecció de dades de caràcter personal el configuren l’article 18.4 de la Constitució espanyola i l’article 31 de l’Estatut d’autonomia de Catalunya com a dret a l’autodeterminació informativa (STC 292/2000), i es desenvolupa mitjançant la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades d e caràcter personal (LOPD) ) i el seu reglament (Reial decret 1720/2007 ). Els ciutadans han de poder saber i tenir control sobre qui utilitza les seves dades de caràcter personal, per a quina finalitat i a qui es faciliten aquestes dades, entre altres circumstàncies.

Principis, drets i obligacions

La Llei 15/1999 té per objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i la seva intimitat personal i familiar. És aplicable a totes les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat. Inclou, per tant, el tractament automatitzat i el no automatitzat de les dades de caràcter personal, és a dir, la informació en paper. Estableix principis, drets i obligacions. • Principis de la protecció de dades

o Principi de proporcionalitat : Les dades que es recullen han de ser adequades, pertinents i no excessives amb relació a l’àmbit i les finalitats per als quals s’han obtingut. És a dir, les estrictament necessàries per a la finalitat de què es tracti.


o Principi de finalitat: Les dades s’han de recollir per a finalitats determinades, explícites i legítimes. Les dades no es poden usar per a finalitats distintes o incompatibles amb les que en van motivar el tractament.

o Principi d’exactitud: Les dades s’han de mantenir actualitzades i han de respondre a la situació actual de la persona interessada. Si les dades són errònies, han de ser cancel·lades i substituïdes per les correctes en el termini de 10 dies des que es coneix la inexactitud.

o Principi de conservació: Les dades han de ser emmagatzemades de manera que es permeti exercir el dret d’accés, excepte si han estat cancel·lades. Les dades es poden conservar durant un termini superior al necessari per assolir les finalitats que en van motivar la recollida, sempre que no sigui possible identificar la persona interessada, és a dir, s’han de fer anònimes.

o Principi de lleialtat i licitud: Es prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits.

o Principi de consentiment: El tractament de dades requereix el consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa.

o Principi de seguretat: S’han d’adoptar les mesures organitzatives i tècniques necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat.

• Principals drets dels afectats

o Dret d’informació : Quan es recullin dades de caràcter personal cal informar l’afectat que hi ha un fitxer, de la finalitat de la recollida, dels destinataris de la informació i de les dades necessàries per poder exercir el seus drets.

o Dret a accedir, rectificar, cancel·lar i oposar-se al tractament de les dades que són propietat seva (ARCO), entre altres, i obliga a establir un procediment perquè els afectats puguin exercir aquests drets.

o Dret a revocar el consentiment: El tractament de dades personals requereix el consentiment previ de la persona titular de les dades, excepte en els casos legalment fixats. La persona que ha donat el seu consentiment té dret a revocar-lo d’una manera senzilla i gratuïta.

• Obligacions que han de complir els organismes o entitats de caràcter públic o privat que

tracten dades de caràcter personal:

• Tots els fitxers que contenen dades de caràcter personal, automatitzats i no automatitzats (en suport paper), s’han de notificar i inscriure al Registre de Protecció de Dades de Catalunya, un cop hagin estat creats.

• La creació, modificació o supressió dels fitxers de les administracions públiques només es poden fer per mitjà d’una disposició en el diari oficial corresponent.

• El RD 1720/2007, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, determina les mesures de seguretat organitzatives i tècniques que cal adoptar. Aquestes mesures han d’estar recollides en un Document de seguretat , que tot el personal amb accés a dades personals ha de complir obligadament.

• Els sistemes d’informació que contenen dades de caràcter personal han de ser auditats amb caràcter bianual.


Consideracions sobre protecció de dades per a centr es i serveis educatius Els centres i els serveis educatius tracten informació del seu alumnat, del personal docent i d’administració i serveis, col·laboradors externs, pares i mares, tutors, professionals que presten serveis… El tractament de dades de caràcter personal necessari per gestionar els processos en l’àmbit educatiu, l’ús de les tecnologies de la informació i la comunicació i la capacitat d’aquestes tecnologies per tractar grans volums de dades, així com les diferències d’interpretació que pot suscitar l’aplicació de la normativa vigent en matèria de protecció de dades, aconsellen elaborar unes consideracions destinades als centres i serveis educatius. La finalitat d’aquest document és reflexionar sobre el tractament de dades de caràcter personal que es fa diàriament en els centres i serveis educatius i la posterior introducció en la dinàmica diària d’aquestes consideracions. Deu punts que cal tenir en compte Us facilitem un conjunt de punts de contrast que us permetin revisar el marc d’actuacions envers el tractament de dades personals dels vostres centres i serveis educatius.

1) Les dades són de les persones 2) Abans de començar, comproveu que el fitxer està creat 3) Informeu i demaneu el consentiment sempre 4) Sol·liciteu només dades que siguin adequades, pe rtinents i no excessives

amb finalitats concretes i actualitzeu-les 5) Cancel·leu les dades quan no siguin necessàries i feu-ho de manera

adequada 6) Faciliteu l’exercici de drets ARCO als titulars de les dades 7) No cediu dades sense l’autorització pertinent 8) Acompliu el deure de secret 9) En cas que contracteu serveis a empreses, revise u els contractes 10) Adopteu mesures de seguretat


1) Les dades són de les persones Les dades de caràcter personal (informació numèrica, alfanumèrica, imatges i veu) pertanyen a les persones a les que es refereixen i només elles poden decidir sobre les mateixes. El centres i serveis educatius “NO” sou els propietaris d’aquesta informació. Els seus titulars són: alumnat i llurs famílies, personal docent i d’administració i serveis, col·laboradors/es, monitors/es, proveïdors… us les faciliten per a què pugueu oferir el millor servei d’educació. Sou responsables de vetllar perquè la recollida, el tractament, l’emmagatzematge i les cessions, si és procedent, es facin respectant la normativa vigent en matèria de protecció de dades de caràcter personal. L’Administració ha de ser el màxim garant de la privacitat i del bon ús de les dades del ciutadans i terceres persones amb què es relaciona; i no cal dir que l’entorn de funcionament de l’Administració educativa amb la recollida i tractament sistemàtic de dades de menors comporta que hàgim de complir la normativa d’aplicació d’una manera excel·lent. 2) Abans de començar, comproveu que el fitxer està creat Cal que el fitxer que ha de recollir les dades de caràcter personal motiu de tractament estigui legalitzat i legitimat abans de fer-ne ús; això vol dir que ha d’estar creat i posteriorment inscrit al Registre de Protecció de Dades de Catalunya. En el cas dels centres i serveis educatius i atès que no teniu personalitat jurídica diferenciada, el procés de creació passa per aprovar la corresponent disposició de creació, modificació o supressió de fitxers en el DOGC signada pel conseller o consellera d’Ensenyament i la seva publicació al DOGC i posterior registre a l’APDCat. Des de l’aprovació de la darrera ordre de creació, modificació i supressió de fitxers, s’han creat nous fitxers i altres han experimentat modificacions diverses, derivades dels canvis organitzatius produïts durant aquest temps, i la implantació de nous sistemes d’informació. Per aquest motiu, el Departament està tramitant una nova ordre que recull la situació actual. Els fitxers a què fa referència aquest document són per tant els inclosos en aquesta nova disposició. Respecte dels centres educatius s’han inscrit al registre els fitxers següents (en tràmit):

• Alumnat de centres educatius dependents del Departa ment d’Ensenyament • Personal de centres educatius dependents del Depart ament d’Ensenyament • Proveïdors de centres educatius dependents del Depa rtament d’Ensenyament

la direcció del centre s’identifica com a òrgan responsable en tots els casos.

Respecte dels serveis educatius, s’han inscrit els fitxers següents (en tràmit):

• Serveis educatius. Assessorament, orientació i supo rt • Serveis educatius. Accés a serveis digitals i telem àtics • Personal de serveis educatius • Proveïdors de serveis educatius

La direcció del servei educatiu s’identifica com a òrgan responsable en tots els casos. Els annexos contenen el detall i l’estructura d’aquests fitxers, així com recomanacions específiques que heu de considerar si el vostre centre o servei educatiu disposa de sistemes de videovigilància.


3) Informeu i demaneu el consentiment sempre Informeu Quan sol·liciteu dades personals, independentment del procediment de recollida de les dades emprat (formularis electrònics o en paper, telèfon…), sempre heu d’informar prèviament:1

• de l’existència del fitxer o tractament que recollirà les dades, • de la finalitat explícita de la recollida de les dades, • de l’obligatorietat o no de subministrar les dades, • de l’òrgan responsable d’aquest fitxer, • de l’òrgan davant el qual es poden exercir els drets d’accés, rectificació, cancel·lació i

oposició, • de si hi ha cessió de dades i a qui.

En tot cas, si les dades es recullen mitjançant qüestionaris o impresos hi ha de constar d’una manera clarament llegible la informació relativa al tractament de les dades que es vol portar a terme. La clàusula ha d’estar en un llenguatge senzill i comprensible per a la persona interessada (en els annexos 7, 8 i 9 trobareu models orientatius). I demaneu el consentiment Una vegada informat, la persona interessada podrà, o no, donar-hi el consentiment. En general: el tractament de dades personals exigeix el consentiment inequívoc de la persona interessada,2 llevat que la Llei disposi una altra cosa. S’estableixen un conjunt d’excepcions que, particularment, en el cas de les administracions públiques, comporta que la regla general es converteixi en l’excepció. En el cas dels centres i serveis educatius , la disposició addicional 23 de la Llei orgànica 2/2006, de 3 de maig, d’educació , es manifesta al respecte exposant que els centres podran recollir les dades personals necessàries per exercir la seva funció educativa i orientadora. A aquest efecte, no cal el consentiment de l’afectat sempre que les dades es recullin per tal de desenvolupar aquestes funcions . Aquesta disposició també es manifesta al respecte de manera que la incorporació d’un alumne/a a un centre educatiu comporta el consentiment per al tractament de les seves dades i, si escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Si l’ús de les dades no és específicament de “funció educativa i orientadora” o bé les dades que es demanen no justifiquen aquesta funció, cal demanar el consentiment de la persona interessada. El consentiment pot ser: ▪ tàcit : consentiment derivat de la falta d’actuació de l’interessat, “del seu silenci”,

1. En el cas dels més grans de catorze anys directament a la persona interessada, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys, als pares o tutors.

2. Es poden tractar les dades dels més grans de catorze anys amb el seu consentiment , excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys es requereix el consentiment dels pares o tutors. En cap cas no es poden sol·licitar dades de menors de manera que es pugui obtenir informació sobre els altres membres del grup familiar, o sobre les característiques del grup, com ara les dades relatives a l’activitat professional dels progenitors, informació econòmica, dades sociològiques o de qualsevol altre tipus, sense el consentiment dels titulars de les dades. No obstant això, es poden sol·licitar les dades d’identitat i adreça del pare, mare o tutor amb l’única finalitat d’obtenir l’autorització.


▪ exprés: consentiment que requereix una declaració clara i inequívoca de la persona interessada; pot ser de manera escrita, verbal o per qualsevol altre mitjà.

▪ Quan les dades personals tractades facin referència a ideologia, afiliació sindical, religió o creences sempre s’haurà de demanar un consentiment “exprés ” i “per escrit ”.

El tipus de consentiment està relacionat amb els nivells de seguretat de les dades:

Així, doncs,

• Per tractar dades de nivell bàsic i mitjà, es considera vàlid el consentiment tàcit . • Si es tracta de dades relatives a la salut, origen racial i vida sexual, el consentiment ha

de ser exprés. • Si les dades tractades relatives a ideologia, afiliació sindical, religió o creences és

necessari el consentiment exprés i per escrit .

No cal consentiment per tractar dades sensibles (salut) quan aquest sigui necessari per salvaguardar l’interès vital de la persona afectada. El consentiment es pot revocar sempre que hi hagi una causa justificada. La revocació no té efectes retroactius. D’altra banda, en els casos en què per portar a terme un determinat tractament no calgui el consentiment, la persona afectada es pot oposar al tractament . No s’ha de confondre el dret d’informació amb el consentiment de la persona interessada. El consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió . Consentiment per al tractament d’imatges i/o veu en relació a les activitats educatives • En el cas del consentiment per al tractament d’imatges i/o veu, tingueu en compte que:

o Amb caràcter general, s’ha de consignar el període de validesa de les autoritzacions: un curs escolar, una etapa, un cicle, mentre estigui al centre educatiu…

o Cal especificar explícitament els mitjans de difusió o entorns on es publicarà aquest material : anuari del centre, pàgina web del centre, intranet del centre, webs del Departament d’Ensenyament, publicacions, fires, jornades, exposicions, televisió local… o en entorns de distribució no controlats: YouTube…

Bàsic Mitjà Alt

Fitxers que continguin alguns dels següents tipus de dades, quan no constitueixen un perfil : • Identificatius • Característiques personals • Acadèmics i professionals • Lloc de treball i carrera

administrativa • Informació comercial • Economicofinancera • Transaccions Fitxers amb finalitat exclusiva per efectuar pagaments als seus abonats: • Amb dades especialment

protegides (ideologia, etc.) Fitxers per deures públics: • Amb dades de minusvalidesa

Fitxers que continguin dades: • De perfil bàsic, que permetin

obtenir un perfil de la persona • Sobre infraccions penals i

administratives Fitxers que tinguin com a responsables: • Adm. tributàries i competències

tributaries • Entitats financeres i competències

financeres Seguretat Social i competències recaptatòries

• De solvència patrimonial i crèdit

Fitxers que continguin dades: • Especialment protegits

(ideologia, creences, religió, origen racial, salut, afiliació sindical o vida sexual )

• Recaptats amb finalitats policíaques

• Violència de gènere Fitxers que tinguin com a responsables: • Operadors de serveis de

comunicacions, explotació de xarxes públiques


o Considereu la possibilitat que els consentiments poden ser totals o parcials, per exemple: sí, a publicar fotos en el recinte de centre i no a penjar-ho en pàgina web o al YouTube, etc.

En el cas d’activitats de centre organitzades pels serveis educatius en què participen alumnat, professorat, pares i mares…, l’autorització per al tractament d’imatges ha d’estar recollida en l’autorització del centre, ja que aquesta activitat forma part del Pla anual de centre. L’àmbit d’aplicació del model orientatiu d’autorització que proporciona el Departament considera només les activitats educatives del centre educatiu; qualsevol altre tractament requereix un nou consentiment concret i explícit.

Consentiment per a sortides escolars • En el cas de les autoritzacions per a sortides escolars:

o S’ha de consignar el període de validesa d’aquesta autorització: una sortida en concret, totes les sortides del trimestre, del curs, del cicle…

Amb caràcter general, la direcció del centre o servei educatiu ha d’implementar un procediment de gestió de les autoritzacions i/o consentiments que atorguen els interessats que permetin una efectiva gestió dels mateixos. 4) Sol·liciteu només dades que siguin adequades, perti nents i no excessives amb

finalitats concretes i actualitzeu-les

Abans de sol·licitar dades, per exemple, quan s’ha d’elaborar un formulari que hagi de contenir dades personals, cal fer un judici de proporcionalitat, idoneïtat i necessitat de les dades a recollir per tal que siguin adequades, pertinents i no excessives en relació amb la finalitat concreta que es vol aconseguir. No es poden recollir dades que no estiguin directament relacionades amb les funcions educatives i orientadores, degudament expressades en la declaració del fitxer. La finalitat del tractament ha d’estar igualment expressada de manera concisa i concreta. És important assenyalar que conforme a l’article 16.2 de Constitució espanyola, ningú no pot ser obligat a declarar respecte de la seva ideologia, religió o creences i que d’acord amb la LOPD, si es pretén recollir aquesta informació s’ha d’obtenir prèviament el consentiment i advertir l’interessat del seu dret a no facilitar la informació. Tenen consideració de dades de salut les relatives a la salut passada, present o futura, física o mental, d’una persona. Per tant, les dades de caire psicològic han de ser considerades dades especialment protegides i relatives a la salut de les persones. Les dades que recollim directament de l’interessat es consideren exactes. Les dades que es recullen han d’estar permanentment actualitzades i s’han de cancel·lar quan siguin obsoletes o la finalitat que en va propiciar la recollida s’hagi aconseguit. Per facilitar la tasca d’actualització, es pot atribuir aquesta càrrega al titular de les dades, incorporant la redacció següent a la clàusula informativa del formulari que ha d’usar per proporcionar les seves dades:

Us demanem que, en el cas que es produeixi una modificació relativa a les vostres dades personals, ens ho comuniqueu per tal de mantenir-les degudament actualitzades.


5) Cancel·leu les dades quan no siguin necessàries i feu-ho de manera adequada

Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades. No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin exercir el dret d’accés, llevat que siguin legalment cancel·lades. Tingueu present que al llarg de tota l’etapa educativa es recullen una gran quantitat i diversitat de dades de caràcter personal que en finalitzar el tractament que va provocar la seva recollida han de ser cancel·lades. Els alumnes i llurs famílies tenen dret que el seu passat “sigui oblidat” i en tot cas són els únics amb “dret a decidir” a qui fer partícip de les seves situacions familiars, socials o culturals. Tot i que per la tipologia de les dades recollides en molts casos us sembli evident el període de validesa i els terminis de cancel·lació de les dades que recolliu, identifiqueu aquesta informació d’una manera clara i concisa i feu-la pública: els propietaris de les dades són els principals interessats. Els documents electrònics o en suport paper que recullin dades relatives a situacions familiars, relacionats amb l’àmbit de salut, de règim alimentari, de pertinença a grups socials, de perfil professional i qualsevol altre que no conformi l’expedient de l’alumnat, han de ser destruïts, aplicant les mesures de seguretat adients a la sensibilitat de les dades que continguin. Si les dades que s’han de destruir són en suport paper, heu de fer servir destructores de paper o encarregar la destrucció a empreses del sector que us emetin el corresponent certificat de destrucció. Si les dades són en suport electrònic, heu d’emprar destructores de suports electrònics o contactar amb empreses que us emetin el corresponent certificat de destrucció. NO llenceu mai documents en suport paper que continguin dades de caràcter personal als contenidors de reciclatge de paper sense destruir-los prèviament (si cal, esquinceu-los a mà). NO llenceu mai suports electrònics que continguin o hagin pogut contenir dades de caràcter personal —per malmesos que estiguin— als contenidors de reciclatge sense destruir-los prèviament (si cal, esquinceu-los o guixeu-los a mà). En tot cas, establiu internament els procediments de gestió, trasllat i destrucció dels suports que continguin dades de caràcter personal i feu-los extensius a tot el personal del vostre centre o servei educatiu. 6) Faciliteu l’exercici de drets ARCO als titulars de les dades S’ha de facilitar a la persona titular de les dades o al seu representant legal el dret a accedir, rectificar, cancel·lar i oposar-se al tractament de les seves dades personals. Heu d’informar-los al respecte de com exercir-los i facilitar-los impresos perquè puguin fer-ho. És important assenyalar que són drets independents.


En tots el casos la prestació d’aquest servei és gratuïta i s’ha de remetre als terminis establerts per normativa.

Dret exercit Accés Rectificació i cancel·lació Oposició

Descripció del dret

Dret de l’afectat a obtenir informació sobre si les seves dades personals són objecte de tractament, la finalitat del tractament i la informació disponibles sobre l’origen de les dades i les comunicacions realitzades.

Dret de rectificació: dret de l’afectat que es modifiquin les dades que siguin inexactes o incompletes.

Dret de cancel·lació: dret de l’afectat que se suprimeixin les dades que resultin ser inadequades o excessives.

Dret de l’afectat que no es porti a terme el tractament de les seves dades de caràcter personal o se cessi en el tractament quan hi concorrin els supòsits establerts al RLOPD.

Procediment

Sol·licitud formulada per l’afectat o per representant acreditat, que ha de complir els requisits següents: • Nom i cognoms de l’interessat • Fotocòpia de document vàlid en dret que identifiqui l’afectat (DNI, passaport, etc.) o, si de cas en

manca, de la persona que el representi, o instruments electrònics equivalents • Petició concreta de la sol·licitud d’exercici del dret • Adreça a efectes de notificacions • Data i signatura de la persona sol·licitant • Si cal, documentació acreditativa de la petició que es formula

Termini contestació 1 mes natural a comptar de la recepció de la sol·licitud

10 dies hàbils a comptar de la recepció de la sol·licitud

10 dies hàbils a comptar de la recepció de la sol·licitud

Estimació petició

Resolució expressa per part del centre o servei educatiu en què es comuniquen a l’afectat les dades disponibles, l’origen de les mateixes, la finalitat del tractament i els cessionaris

Resolució expressa per part del centre o servei educatiu en què es comuniquen a l’afectat que s’han rectificat o cancel·lat les dades concretes citades per l’afectat.

Resolució expressa per part del centre o servei educatiu en què es comunica a l’afectat que s’ha fet efectiu el seu dret d’oposició.

Desestimació de la petició

Casos de desestimació • Quan manqui algun dels

requisits formals del procediment

• Quan l’afectat ja hagi exercit aquest dret en els 12 mesos anteriors a la sol·licitud si no s’acredita un interès legítim

• Quan una llei fixi un supòsit de denegació

Casos de desestimació • Quan manqui algun dels

requisits formals del procediment

• Quan una llei fixi un supòsit de denegació

• Quan les dades hagin de ser conservades durant els terminis establerts per les lleis aplicables, o per les relacions contractuals pertinents.

Casos de desestimació • Quan manqui algun dels requisits

formals del procediment • Quan una llei fixi un supòsit de

denegació

Casos � No es poden facilitar dades per telèfon

• El dret d’accés a la informació és un dret personalíssim , i només pot ser exercit pel titular d’aquestes dades o el seu representant legal.

• Per telèfon no es pot comprovar que la persona que està parlant i sol·licitant la

informació és el titular d’aquestes dades. � Només es pot demanar informació per mitjà d’una sol ·licitud. � Només es pot cancel·lar/rectificar/oposar-se a un t ractament mitjançant una

sol·licitud. El Departament d’Ensenyament posa a disposició dels centres i serveis educatius el document Procediment per a l’exercici de drets , que conté diferents models orientatius de sol·licitud i de resposta. Adapteu el procediment al vostre àmbit d’actuació.


7) No cediu dades sense l’autorització pertinent Cessió : qualsevol comunicació de dades realitzada per una p ersona diferent al propietari de les dades . Aquest concepte és molt ampli, ja que abasta comunicacions, publicacions, consultes, interconnexions i transferències que faciliten l’accés, el tractament de les dades a terceres persones diferents de la interessada i la difusió. Només es poden cedir dades si de manera concurrent:

• s’ha obtingut prèviament el consentiment de la persona interessada, • la cessió està directament relacionada amb les funcions de cedent i cessionari.

No cal el consentiment previ de l’interessat quan la cessió està autoritzada en una Llei. En aquest sentit, la disposició addicional 23 de la Llei orgànica 2/2006, de 3 de maig, d’educació , també es manifesta al respecte de manera que la incorporació d’un alumne a un centre educatiu comporta el consentiment per al tractament de les seves dades i, si escau, la cessió de dades procedents del centre on hagi estat escolaritzat anteriorment. En tot cas, la informació a què es refereix aquest apartat ha de ser l’estrictament necessària per a la funció educativa i orientadora, i no es pot tractar amb fins diferents de l’educatiu sense consentiment exprés. Els serveis educatius poden compartir dades amb altres administracions i entitats públiques que col·laborin en les necessitats de suport a l’alumnat i que tinguin competències en matèria de protecció de menors, serveis socials, protecció de la salut i vigilància de l’escolarització obligatòria tal com queda recollit en el fitxer “Serveis educatius” de l’Ordre d’actualització dels fitxers que contenen dades de caràcter personal gestionats pel Departament d’Ensenyament. Publicitat de dades personals ▪ Internet, Intranet o Extranet Cal tenir en compte que Internet o les pàgines web / seus electròniques de les institucions públiques no tenen , per si mateixes, la consideració de fonts accessibles al públic . La difusió de dades de caràcter personal per mitjà d’Internet ha de ser considerada una cessió de dades a una pluralitat indeterminada de destinat aris . En aquest sentit només és pertinent quan es fa en el marc de les funcions que cada ens té atribuïdes i es disposa del consentiment de l’afectat, o bé ho autoritza una norma amb rang de Llei. En general, les pàgines web de centres i serveis ed ucatius accessibles a una pluralitat no determinada de destinataris no han de contenir i nformació que contingui dades de caràcter personal, si no disposen de l’autorització expressa i explícita de l’interessat. Les intranets de centres i serveis educatius presenten la mateixa necessitat quant a consentiment de l’interessat i en tot cas han d’emprar sistemes d’identificació que permetin verificar la legitimació de la persona que pretengui accedir a les dades de caràcter personal d’acord amb el seu interès legítim. Recordeu que el consentiment obtingut per tractar les dades amb una finalitat determinada no comporta de manera directa el consentiment per a la seva cessió. Una cessió de dades és un nou tractament que requerirà l’obtenció d’un consentiment específic per dur-la a terme. En cas contrari, el consentiment és nul. Pel que fa a la publicació de dades mitjançant pàgines web, l’Autoritat Catalana de Protecció de Dades ha elaborat una recomanació al respecte. Els centres i serveis educatius esteu inclosos en el seu àmbit d’aplicació:


Recomanació 1/2008 sobre la difusió d’informació qu e contingui dades de caràcter personal per mitjà d’Internet. • Taulells d’anuncis tradicionals o electrònics i de forma verbal

Norma general : No publicar llistes que continguin dades personals si no s’ha obtingut el consentiment previ de l’interessat o bé hi ha una n orma legal (Llei) que us habilita, per exemple:

a) Llistes que continguin dades personals de l’alumnat, professorat, personal col·laborador,

etc., com són ara:

� Llistes amb el resultat de proves, avaluacions, etc. � Llistes de persones que rebin subvencions, beques o altres tipus d’ajuts. � Llistes d’alumnes que necessiten d’un règim alimentari específic � Llistes d’alumnes que requereixen atenció especial � Etc.

b) Procés de preinscripció : No es poden publicar les llistes de les diferents fases del procés en ubicacions (físiques o electròniques) que permetin l’accés d’una pluralitat indeterminada de destinataris:

� No es pot disposar de les llistes accessibles des del carrer per facilitar la consulta

quan el centre està tancat. � No se’n pot disposar directament en la pàgina web del centre sense mesures

d’identificació prèvia que permeti acreditar la legitimitat necessària.

Com a norma general, es poden distingir dos tipus de procediments pel que fa a la publicitat i accés:

• de concurrència competitiva: els interessats en el procediment competeixen entre si per assolir un mateix fi; en general són procediments administratius: preinscripció, concurs de trasllats, concurs de catedràtics, etc.

• sense concurrència competitiva: tot i que la finalitat que es pretén aconseguir sigui la mateixa, no hi ha competició; en general només cal acreditar positivament els criteris de valoració establerts: proves de nivell, exàmens, ajuts, subvencions, títols, certificacions, etc.

En el primer cas, només els qui tinguin un interès legítim en el procediment poden accedir a les valoracions de la resta de participants; el consentiment és implícit en la seva participació i l’estableix la Llei 30/1992. L’accés i publicitat de les llistes han d’estar restringits únicament als participants. Les dades incloses en les llistes han de ser les estrictament necessàries per complir la seva finalitat. En el segon cas, la persona afectada és l’única que té un interès legítim en els resultats que ha obtingut. No hi ha confecció de llistes perquè hi accedeixin altres afectats; i per més que s’obtingui el consentiment per fer-ho, l’accés sempre ha de ser restringit a l’afectat. Cessions de dades

• Cessions de dades a cossos de seguretat : Es poden facilitar quan la sol·licitud sigui

concreta i especifica (mai sol·licituds massives de dades), i:

a) Quedi degudament acreditat que l’obtenció de dades resulta necessària per prevenir un perill real i greu per a la seguretat pública o per reprimir infraccions penals.

b) Que la petició s’efectuï amb la motivació deguda, que acrediti la seva relació amb els supòsits exposats, deixant-ne constància. La petició s’ha d’efectuar per mitjà


d’un suport documental que deixi constància. Es considera admissible l’expedició d’una ordre o un ofici elaborat per la mateixa policia a càrrec de les actuacions.

c) En casos de desprotecció social dels menors, aquesta cessió es pot produir per requeriment de la policia local als centres educatius o per iniciativa pròpia en detectar situacions de risc.

• Cessió de dades a les AMPA: No podeu facilitar a l’AMPA les dades personals dels

alumnes sense el consentiment dels pares, mares o tutors i tutores legals; és necessari el consentiment dels pares o tutors legals perquè pugueu cedir les dades, ja que aquesta cessió no és recollida en cap de les excepcions de la normativa vigent en matèria de protecció de dades. L’AMPA, com a associació, ha de declarar els seus propis fitxers i tractaments. El Reial decret 202/1987 regula les associacions de pares i mares dels alumnes, estableix en el seu article 5 el procediment d’admissió dels associats i assenyala que serà en tot cas voluntària, prèvia sol·licitud d’inscripció. Als associats no se’ls poden exigir més requisits que ser pare, mare o tutor legal de l’alumne matriculat al centre educatiu, abonar si escau les quotes corresponents, i acceptar expressament els estatuts corresponent. Es pot efectuar la sol·licitud d’adhesió a l’AMPA aprofitant el procés de matrícula, advertint del caràcter voluntari de la mateixa: per exemple, podeu afegir una casella a marcar, en els termes següents:

Sol·licito voluntàriament l’adhesió a l’AMPA i autoritzo la cessió de les dades

(identificatives, de contacte, bancàries…) a l’AMPA amb la finalitat de (finalitat declarada per l’AMPA)

La gestió del menjador és un cas excepcional, emparat per la signatura d’un conveni entre l’AMPA i el Departament.

8) Acompliu el deure de secret El responsable del fitxer i tothom que intervingui en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les , obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si escau, amb el seu responsable. L’incompliment del deure de secret és motiu d’aplicació de règim disciplinari. El Departament d’Ensenyament ha establert les “Funcions i obligacions del personal que té accés a dades de caràcter personal”. És un document de coneixement i compliment obligat per a tots els agents que intervenen en el tractament de dades de caràcter personal. Feu-lo extensiu a tot el personal i, en tot cas, adapteu-lo al vostre centre o servei educatiu. Consciencieu i responsabilitzeu tothom qui de manera regular o incidental tingui accés a dades personals. Cal dir que el personal funcionari ja està obligat en virtut de la vigent normativa de funció pública i el personal contractat en règim laboral en virtut del Conveni col·lectiu del personal laboral de la Generalitat. En l’annex 9 us proposem diversos models de clàusules que cal incloure en contractes o que han de signar els qui tinguin contacte amb les dades personals del vostre àmbit de responsabilitat, com ara personal amb pràctiques, col·laboradors, monitors…


9) En cas que contracteu serveis a empreses, elabor eu i reviseu els contractes Amb caràcter general, els centres i serveis educatius podeu contractar serveis de manera autònoma. Reviseu les clàusules contractuals i assegureu-vos que s’inclouen les obligacions de confidencialitat i seguretat de la informació a què es pot tenir accés amb motiu de la prestació del servei. Serveis com la neteja, contractació de monitors, transport, càtering, activitats extraescolars, excursions, intercanvis… comporten l’accés regular o incidental i el tractament de dades personals que han d’estar degudament assegurades. S’entén per servei sense accés a dades personals el servei que no implica directament aquest tractament, tot i que de manera accessòria o circumstancial es pugui donar, com per exemple els serveis de neteja o manteniment d’instal·lacions. Altrament, un servei és d’accés a dades personals si la prestació d’aquest servei implica necessàriament el seu tractament; per exemple, un servei de transport escolar, un servei de menjador… En aquest darrer cas, la llei no considera que es produeixi una cessió de dades, el proveïdor esdevé, segons la llei, encarregat del tractament, i està obligat a garantir la seguretat de les dades i dels tractaments d’acord amb les indicacions del responsable del fitxer, obligació que ha de quedar degudament formalitzada mitjançant un contracte o conveni. Pel que fa a la contractació de serveis, l’Autoritat Catalana de Protecció de Dades ha elaborat una recomanació al respecte: ▪ Recomanació 1/2010, de l’Agència Catalana de Protec ció de Dades, sobre

l’encarregat del tractament en la prestació de serv eis per compte d’entitats del sector públic de Catalunya

Els centres i serveis educatius esteu inclosos en e l seu àmbit d’aplicació. L’objecte d’aquesta Recomanació és recollir, d’una manera sistematitzada, els criteris que cal tenir en compte des del punt de vista de la protecció de dades, en el moment d’externalitzar serveis que comportin el tractament de dades de caràcter personal que siguin responsabilitat de l’entitat adjudicadora del contracte. També s’ofereixen models de clàusules que recullen les obligacions i previsions convenients per tal de garantir la protecció de dades en la contractació o establiment d’acords amb terceres entitats. Es tracta, en qualsevol cas, de models orientatius que cal adequar a les peculiaritats de cada encàrrec. 10) Adopteu mesures de seguretat Adopteu mesures de seguretat que garanteixin la seg uretat de les dades de caràcter personal que tracteu i n’evitin l’alteració, la pèr dua, el tractament o l’accés no autoritzat. En aquest sentit, el RD 1720/2007 (RLOPD) estableix les mesures de seguretat que han de complir tant els fitxers automatitzats com els manuals i determina tres nivells incrementals de seguretat: bàsic, mitja i alt, tal com s’enunciava en el punt 3 de les consideracions. Gestió d’identificadors i contrasenyes

• No compartiu identificadors ni contrasenyes. • No anoteu les contrasenyes en papers ni els deixeu al voltant dels equipaments.


• És aconsellable que les contrasenyes tinguin un mínim de vuit caràcters, que continguin lletres, nombres, majúscules, minúscules i símbols.

• Les contrasenyes s’han de canviar de manera periòdica (almenys un cop l’any…). • Elaboreu un procediment de gestió d’usuaris.

Accés i tractament de dades

• Únicament el personal autoritzat ha de tenir accés a les dades personals que requereixi, d’acord amb el seu perfil.

• Les dades personals han d’estar fora de l’accés de persones no autoritzades. Cal tenir en compte que:

o les pantalles d’ordinador han d’estar orientades convenientment per tal que el personal no autoritzat no hi tingui accés visual,

o no deixar documents que continguin dades de caràcter personal en fotocopiadores, impressores, faxos i tanmateix damunt la taula…

• S’ha de limitar explícitament l’accés als expedients dels alumnes. Correu electrònic

• Separeu les adreces electròniques d’àmbit professional de les d’àmbit personal. • Tingueu cura amb la publicació de l’adreça electrònica en pàgines web, cadenes de

correu electrònic i revelació a persones desconegudes. Us recomanem que utilitzeu una segona adreça d’ús personal per registrar-vos en pàgines web i per enviar/rebre correus no professionals.

• No seguiu les cadenes de correu electrònic, són mitjans per recaptar adreces i fer-les servir per a SPAM.

• No faciliteu mai la contrasenya o pin per correu electrònic, no els introduïu en llocs web als quals s’hagi arribat per mitjà d’un enllaç (cap entitat no els demana així).

• Convé evitar el correu electrònic com a mitjà per transmetre dades de caràcter personal d’alumnat, per exemple. Si necessiteu fer ús d’aquest mitjà, sempre que sigui possible, empreu inicials, un número de cas o d’expedient.

Manteniment de dispositius

• Utilitzeu sistemes antivirus o antispam actualitzats. • Actualitzeu els sistemes i programes informàtics regularment. Els programes que no

s’actualitzen són vulnerables a virus, intrusions, etc. • Configureu els dispositius sense fils (Bluetooth, Wi-Fi…) de manera segura per evitar

l’accés de terceres persones. • Feu còpies de seguretat.

Custòdia i trasllat de documents (electrònics o en suport paper)

• Els expedients que contenen dades personals han de romandre tancats en armaris amb clau quan no s’hi estigui treballant o bé en habitacions que tinguin tancament (en qualsevol cas, eviteu deixar les claus al pany per facilitar un accés ràpid; aquesta acció invalidaria la mesura).

• Eviteu que els armaris o arxivadors que contenen dades de caràcter personal estiguin situats en àrees de fàcil accés o no vigilades.

• Si porteu fora del centre de treball dades de caràcter personal en qualsevol suport o format, apliqueu mesures de seguretat per evitar l’accés o la manipulació per terceres persones. Recordeu que:

o els documents en suport paper es poden perdre, fotocopiar, fotografiar, filmar… o els dispositius portàtils es poden perdre, copiar o reproduir…

• Utilitzeu sistemes d’encriptació en documents electrònics i dispositius portàtils.


Destrucció de documents i suports

• Utilitzeu destructores de paper, CD, DVD… o serveis de proveïdors amb certificat de destrucció.

• Esborreu totes les dades dels discs de l’ordinador desmagnetitzant-los amb un imant, per exemple.

• Apliqueu mesures de seguretat adients per evitar que terceres persones puguin recuperar o usar dades d’aquests dispositius o suports.

• Vigileu amb el reciclatge d’ordinadors, portàtils, PDA, USB… Documenteu les mesures organitzatives i tècniques adoptades i els procediments establerts a l’efecte, feu-los extensius i de compliment obligat a tot el personal que tingui accés a dades personals. Aquest pot ser un inici del vostre Document de seguretat .

Protecció de dades de caràcter personal per a centres i serveis educatius – Annexos 1 / 20

Protecció de dades de caràcter personal

per a centres i serveis educatius

Annexos


Annexos Annex 1: Figures clau de la LOPD................... .......................................................................... 3

Annex 2: Conceptes de la LOPD...................... .......................................................................... 4

Annex 3: Conceptes relatius a mesures de seguretat . ........................................................... 4

Annex 4: Marc normatiu ............................. ................................................................................ 5

Annex 5: Resum de mesures de seguretat............. .................................................................. 6

Annex 6: Fitxers de centres i serveis educatius .... .................................................................. 7

1) Alumnat de centres educatius dependents del Departament d’Ensenyament. ................ 7

2) Personal de centres educatius dependents del Departament d’Ensenyament ................ 8

3) Proveïdors de centres educatius dependents del Departament d’Ensenyament ............. 9

4) Serveis educatius. Assessorament, orientació i suport................................................... 10

5) Serveis educatius. Accés a serveis digitals i telemàtics. ................................................ 11

6) Proveïdors de serveis educatius ..................................................................................... 12

7) Personal de serveis educatius ........................................................................................ 13

8) Videovigilància en centres i serveis educatius................................................................ 14

Annex 7: Models de clàusules informatives.......... ................................................................. 15

Annex 8: Model de clàusula de confidencialitat ..... ............................................................... 16

Annex 9: Models de clàusules per a prestadors de se rveis .............................................. ... 17

Annex 10: Videovigilància, resum normatiu.......... ................................................................. 19

Annex 11: Videovigilància, memòria justificativa (d ocument adjunt) ................................. 20

Annex 12: Funcions i obligacions del personal (docu ment adjunt) .................................... 20

Annex 13: Exercici de drets (document adjunt)...... ............................................................... 20


Annex 1. Figures clau de la LOPD Les figures clau que s’identifiquen en l’àmbit de la protecció de dades són:

• Responsable del fitxer o del tractament: és qui decideix sobre la finalitat, el contingut i l’ús del tractament, encara que no les realitzi materialment.

• Encarregat del tractament: tracta dades personals per compte del responsable del fitxer, en general a través d’una relació establerta en la prestació d’un servei.

• Responsable de seguretat: persona designada pel responsable del fitxer perquè controli i coordini les mesures de seguretat aplicades.

• Interessat o afectat: persona física titular de les dades que siguin objecte del tractament.

• Autoritats de control: ens de dret públic, amb personalitat jurídica pròpia i plena capacitat pública i privada, que actuen amb plena independència de les administracions públiques en l’exercici de les seves funcions.

Les funcions principals de les autoritats de control són:

• Registrar els fitxers que contenen dades de caràcter personal. • Vetllar perquè es compleixi la legislació sobre protecció de dades. • Controlar-ne l’aplicació. • Inspeccionar els fitxers a què fa referència la Llei i recollir tota la informació que

requereixin per complir les seves comeses. • Informar i atendre reclamacions i peticions dels afectats. • Sancionar i realitzar auditories d’ofici.

Es consideren autoritats de control els òrgans corresponents de cada comunitat autònoma. L’àmbit de competència que tenen és el relatiu als fitxers de dades de caràcter personal creats o gestionats per les comunitats autònomes i per l’Administració local del seu àmbit territorial. En aquest sentit, l’autoritat de control competent en l’àmbit de centres i serveis educatius és l’Autoritat Catalana de Protecció de Dades .


Annex 2. Conceptes de la LOPD Persona afectada o interessada Persona física titular de les dades que siguin objecte del tractament

Cessió o comunicació de dades Revelació de dades realitzada a una persona diferent de la persona interessada.

Consentiment de la persona interessada Manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual la persona interessada consent el tractament de les dades personals que la concerneixen.

Dada de caràcter personal Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a persones físiques identificades o identificables.

Encarregat del tractament

Persona física o jurídica, pública o privada, o òrgan administratiu que, sol o conjuntament amb altres, tracta dades personals per compte del responsable del fitxer, com a conseqüència de l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit d’actuació per a la prestació del servei.

Fitxer Conjunt organitzat de dades de caràcter personal que possibiliti l’accés a dades de conformitat amb criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés.

Tractament de dades

Operació o procediment tècnic, de caràcter automatitzat o no, que permeti recollir, enregistrar, conservar, elaborar, modificar, consultar, utilitzar, modificar, cancel·lar, blocar o suprimir dades, així com les cessions que resultin de comunicacions, consultes, interconnexions i transferències.

Responsable del fitxer o tractament

Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sola o conjuntament amb altres decideixi sobre la finalitat, el contingut i l’ús del tractament, encara que no les realitzi materialment. Poden ser també responsables ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats.

Annex 3. Conceptes relatius a mesures de seguretat

Accessos autoritzats Accessos a dades de caràcter personal autoritzats a un usuari per a la utilització dels diversos recursos. Si s’escau, han d’incloure les autoritzacions o funcions que tingui atribuïdes un usuari per delegació del responsable del fitxer o tractament o del responsable de seguretat.

Autentificació Procediment de comprovació de la identitat d’un usuari

Contrasenya Informació confidencial, freqüentment constituïda per una cadena de caràcters, que pot ser usada en l’autenticació d’un usuari o en l’accés a un recurs.

Control d’accés Mecanisme que, en funció de la identificació, un cop ja autenticada, permet accedir a dades o recursos.

Còpia de seguretat Còpia de les dades d’un fitxer automatitzat en un suport que en possibiliti la recuperació.

Fitxers temporals Fitxers de treball creats per usuaris o processos que siguin necessaris per a un tractament ocasional o com a pas intermedi durant la realització d’un tractament

Identificació Procediment de reconeixement de la identitat d’un usuari.

Incidència Anomalia que afecti o pogués afectar la seguretat de les dades.

Recurs Part component d’un sistema d’informació.

Responsable de seguretat Persona o persones a les quals el responsable del fitxer ha assignat fonamentalment la funció de coordinar i controlar les mesures de seguretat aplicables.

Sistema d’informació Conjunt de fitxers, programes, suports i equips emprats per a l’emmagatzemament i tractament de dades de caràcter personal.

Suport Objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema d’informació i sobre el qual es poden gravar o recuperar dades.

Usuari Subjecte o procés autoritzat per accedir a dades o recursos. Tindran la consideració d’usuaris els processos que permetin accedir a dades o recursos sense identificació d’un usuari físic.

Els responsables dels tractaments o dels fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa, amb independència del sistema de tractament (art. 79 RDLOPD).

Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt (art. 80 RLOPD).


Annex 4. Marc normatiu Unió Europea

• Carta del drets fonamentals de la Unió Europea (art. 7 i 8) • Directiva 95/46/CE, del Parlament Europeu i del Consell, de 24 d’octubre de 1995,

relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades

Consell d’Europa

• Convenció per a la salvaguarda dels drets humans i de les llibertats fonamentals

Normativa espanyola

1) Constitució espanyola (art. 10, 14, 16, 18, 20, 53 i 105) 2) Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal

(BOE núm. 298, de 14.12.1999) 3) Reial decret 1720/2007, de 21 de desembre, de protecció de dades de caràcter

personal (BOE núm. 17, de 19.1.2008)

Disposicions adoptades per l’Autoritat Catalana de Protecció de Dades

• Llei 5/2002 de l’Agència Catalana de Protecció de Dades • Instrucció 1/2009, de 10 de febrer de 2009, sobre el tractament de dades de caràcter

personal mitjançant càmeres amb fins de videovigilància • Recomanació 1/2008 sobre la difusió d’informació que contingui dades de caràcter

personal a través d’Internet • Recomanació 1/2010 sobre l’encarregat del tractament en la prestació de serveis per

compte d’entitats del sector públic de Catalunya


Annex 5. Resum de mesures de seguretat Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa la normativa vigent, amb independència del sistema de tractament. Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic. La persona responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és d’obligat compliment per al personal amb accés als sistemes d’informació. El document ha de contenir, com a mínim, els aspectes següents:

a) Àmbit d’aplicació del document amb especificació detallada dels recursos protegits. b) Mesures, normes, procediments d’actuació, regles i estàndards adreçats a garantir el

nivell de seguretat exigit en aquest reglament. c) Funcions i obligacions del personal en relació amb el tractament de les dades de

caràcter personal incloses en els fitxers. d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes

d’informació que els tracten. e) Procediment de notificació, gestió i resposta davant les incidències. f) Els procediments de realització de còpies de seguretat i de recuperació de les dades en

els fitxers o tractaments automatitzats. g) Les mesures que calgui adoptar per transportar suports i documents, així com per

destruir els documents i suports o, si s’escau, reutilitzar-ne.

En cas que siguin aplicables als fitxers les mesures de seguretat de nivell mitjà o les mesures de seguretat de nivell alt, el document de seguretat ha de contenir, a més:

a) La identificació del responsable o responsables de seguretat. b) Els controls periòdics necessaris per verificar que es compleix el que fixa el document.

Quan hi hagi un tractament de dades per compte de terceres persones, el document de seguretat ha de contenir la identificació dels fitxers o tractaments que es tractin en concepte d’encarregat amb referència expressa al contracte o document que reguli les condicions de l’encàrrec, així com la identificació del responsable i del període de vigència de l’encàrrec. En els casos en què dades personals d’un fitxer o tractament s’incorporin i es tractin de manera exclusiva en els sistemes de l’encarregat, el responsable ho ha d’anotar en el seu document de seguretat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte pel que fa a les dades incloses en recursos propis. El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis rellevants en el sistema d’informació, en el sistema de tractament que es fa servir, en la seva organització, en el contingut de la informació inclosa en els fitxers o tractaments o, si escau, com a conseqüència dels controls periòdics realitzats. En tot cas, s’entén que un canvi és rellevant quan pot repercutir en el compliment de les mesures de seguretat implantades. El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de les dades de caràcter personal.


Annex 6. Fitxers de centres i serveis educatius RESPECTE DELS CENTRES EDUCATIUS 1) Alumnat de centres educatius dependents del Departament d’Ensenyament Nom del fitxer : Alumnat de centres educatius dependents del Departament d’Ensenyament Finalitat i usos previstos La finalitat és la gestió de l’acció educativa, l’orientació acadèmica i professional, l’acció tutorial i de comunicació amb les famílies, l’avaluació objectiva del rendiment escolar, el compromís de l’alumnat i llurs famílies en el procés educatiu i l’accés als serveis digitals i telemàtics orientats a millorar el desenvolupament de l’activitat educativa. Els usos principals són els derivats de la gestió de l’acció educativa i orientadora, l’avaluació objectiva del rendiment escolar i la provisió de claus d’accés, autenticació i autorització d’usuaris als serveis digitals i telemàtics esmentats. Persones o col·lectius afectats o obligats a submini strar les dades Alumnat, família o persones amb la tutoria legal de l’alumnat menor d’edat i persones interessades a matricular-se en el centre educatiu i centres educatius en els quals ha estat matriculat l’alumnat. Procediment de recollida de dades Transmissió electrònica o formularis establerts a l’efecte. Procedència de les dades La persona interessada. Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte, codis i claus d’accés als serveis digitals i telemàtics. b) Dades de característiques personals: sexe, llengua materna, data de naixement, nacionalitat, dades familiars (dades identificatives i de contacte). c) Dades acadèmiques i professionals: formació i titulacions, historial acadèmic, professió. d) Dades especialment protegides: salut, necessitats educatives especials, observacions mèdiques, discapacitats. Sistema de tractament Parcialment automatitzat Cessions de dades de caràcter personal A les administracions i entitats públiques que tinguin competències en matèria de protecció de menors i adolescents, serveis socials i protecció de la salut, d’acord amb la Llei 14/2010, del 27 de maig, dels drets i les oportunitats en la infància i l’adolescència i l’article 6.2 en relació amb l’article 7.6 i l’article 11.2.f) la Llei 15/1992, de 13 de desembre, de protecció de dades de caràcter personal. Als ajuntaments per a l’exercici de les seves competències en matèria de vigilància del compliment de l’escolarització obligatòria, d’acord amb l’article 66.3.o) del Text refós de la Llei municipal i de règim local de Catalunya, aprovat pel Decret legislatiu 2/2003, de 28 d’abril. Als consells comarcals per a la gestió dels serveis de transport escolar i ajuts de menjador, d’acord amb els articles 6.2 i 11.2.c) de la Llei 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del centre educatiu. Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del centre educatiu. Adreça del centre educatiu (d’acord amb l’annex 4). Nivell de mesures de seguretat Alt.


2) Personal de centres educatius dependents del Departament d’Ensenyament Nom del fitxer : Personal de centres educatius dependents del Departament d’Ensenyament Finalitat i usos previstos La finalitat és la gestió del personal del centre educatiu i de l’alumnat en pràctiques i l’accés als serveis digitals i telemàtics orientats a millorar el desenvolupament de l’activitat educativa. Els usos són els derivats de la gestió del personal, assignació de responsabilitats, seguiment de tasques, control horari i formació i avaluació del pràcticum de l’alumnat que fa les pràctiques en el centre educatiu, la provisió de claus d’accés, autenticació i autorització d’usuaris als serveis digitals i telemàtics esmentats i l’explotació estadística i històrica. Persones o col·lectius afectats o obligats a submini strar les dades Personal que presta els seus serveis professionals en un centre educatiu i alumnat en pràctiques en el centre educatiu. Procediment de recollida de dades Formularis establerts a l’efecte en suport paper o per transmissió electrònica. Imatge en suport digital o paper per emissió de credencials. Procedència de les dades La persona interessada. Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte, imatge (per emissió de credencials identificatives personalitzades, si escau), signatura, codis i claus d’accés als serveis digitals i telemàtics. b) Dades de característiques personals: data de naixement, nacionalitat, sexe. c) Dades acadèmiques i professionals: formació i titulacions, experiència professional. d) Dades economicofinanceres: dades bancàries. Sistema de tractament Parcialment automatitzat Cessions de dades de caràcter personal No se’n preveuen. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del centre educatiu (d’acord amb l’annex 4). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del centre educatiu. Adreça del centre educatiu (d’acord amb l’annex 4). Nivell de mesures de seguretat Mitjà.


3) Proveïdors de centres educatius dependents del Departament d’Ensenyament Nom del fitxer : Proveïdors de centres educatius dependents del Departament d’Ensenyament Finalitat i usos previstos La finalitat és la gestió de la contracció de béns i serveis i de les obligacions generades per la relació contractual existent entre les parts proveïdores i el centre educatiu. Els usos són els derivats de la gestió de la contracció, del contracte existent entre ambdues parts, la facturació de serveis i l’explotació i justificació comptable. Persones o col·lectius afectats o obligats a submini strar les dades Persones físiques o representants de persones jurídiques proveïdores d’un determinat centre educatiu. Procediment de recollida de dades Formularis establerts a l’efecte o transmissió electrònica. Procedència de les dades La persona interessada o el seu representant legal. Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte. b) Dades economicofinanceres: dades bancàries, facturació de servei. Sistema de tractament Parcialment automatitzat. Cessions de dades de caràcter personal No se’n preveuen. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del centre educatiu (d’acord amb l’annex 4). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del centre educatiu. Adreça del centre educatiu (d’acord amb l’annex 4). Nivell de mesures de seguretat Bàsic.


RESPECTE DELS SERVEIS EDUCATIUS 4) Serveis educatius. Assessorament, orientació i suport Finalitat i usos previstos La finalitat és l’assessorament, orientació i suport a l’alumnat dels centres sostinguts amb fons públics amb necessitats educatives específiques, a les seves famílies i al personal docent i no docent dels centres educatius que requereixin els seus serveis professionals. Els usos són els derivats de la gestió dels processos d’orientació, suport i assessorament, elaboració dels informes i dictàmens que escaiguin.

Persones o col·lectius afectats o obligats a submini strar les dades Alumnat i família de l’alumnat menor d’edat amb necessitat de rebre els serveis dels professionals dels serveis educatius, els seus progenitors o progenitores o persones amb la seva tutoria legal, professorat, equips directius de centres educatius, educadors de llars d’infants, professionals dels serveis socials, de sanitat, de justícia i altres serveis privats de suport a l’alumnat que col·laboren en la seva atenció. Procediment de recollida de dades Formularis que proporciona el servei educatiu o el centre educatiu, o informacions del professor o professora que exerceixi la tutoria, de professionals de la salut, d’atenció social o de justícia que col·laboren en les necessitats de suport a l’alumnat. Procedència de les dades La persona interessada, la família, o bé per mitjà del professor o professora que exerceixi la tutoria, professionals de la salut, d’atenció social o de justícia que col·laboren en les necessitats de suport a l’alumnat.

Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon de contacte. b) Dades de característiques personals: data i lloc de naixement, sexe, nacionalitat, edat, característiques físiques, composició i situació familiar, activitats extraescolars i de lleure, informes socials. c) Dades acadèmiques: historial acadèmic. d) Dades economicofinanceres: ingressos, patrimoni, subsidis, beneficis, habitatge. e) Dades especialment protegides: salut (inclosos els informes psicopedagògics). Sistema de tractament Parcialment automatitzat Cessions de dades de caràcter personal A les administracions i entitats públiques que tinguin competències en matèria de protecció de menors i adolescents, serveis socials i protecció de la salut, d’acord amb la Llei 14/2010, del 27 de maig, dels drets i les oportunitats en la infància i l’adolescència i l’article 6.2 en relació amb l’article 7.6 i l’article 11.2.f) de la Llei 15/1992, de 13 de desembre, de protecció de dades de caràcter personal. Als ajuntaments per a l’exercici de les seves competències en matèria de vigilància del compliment de l’escolarització obligatòria, d’acord amb l’article 66.3.o) del Text refós de la Llei municipal i de règim local de Catalunya, aprovat pel Decret legislatiu 2/2003, de 28 d’abril. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del servei educatiu (d’acord amb l’annex 5). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del servei educatiu. Adreça del servei educatiu (d’acord amb l’annex 5). Nivell de mesures de seguretat Alt.


5) Serveis educatius. Accés a serveis digitals i telemàtics Finalitat i usos previstos La finalitat és la gestió de l’accés als serveis digitals i telemàtics facilitats pel Departament orientats a millorar el desenvolupament de l’acció educativa . Els usos són els derivats de la gestió de l’accés als serveis esmentats.

Persones o col·lectius afectats o obligats a submini strar les dades Professionals dels serveis educatius. Procediment de recollida de dades Formularis en suport paper o electrònic disposats a l’efecte. Procedència de les dades La persona interessada.

Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon de contacte, codi i claus d’accés. Sistema de tractament Parcialment automatitzat Cessions de dades de caràcter personal No se’n preveuen. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del servei educatiu (d’acord amb l’annex 5). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del servei educatiu. Adreça del servei educatiu (d’acord amb l’annex 5). Nivell de mesures de seguretat Bàsic.


6) Proveïdors de serveis educatius Finalitat i usos previstos La finalitat és la gestió de la contracció de béns i serveis i de les obligacions generades per la relació contractual existent entre les parts proveïdores i el servei educatiu. Els usos són els derivats de la gestió de la contracció, del contracte existent entre ambdues parts, la facturació de serveis i l’explotació i justificació comptable.

Persones o col·lectius afectats o obligats a submini strar les dades Persones físiques o representants de persones jurídiques proveïdores d’un determinat servei educatiu. Procediment de recollida de dades Formularis establerts a l’efecte o transmissió electrònica. Procedència de les dades La persona interessada. Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de

contacte. b) Dades economicofinanceres: dades bancàries, facturació de servei.

Sistema de tractament Parcialment automatitzat. Cessions de dades de caràcter personal No se’n preveuen. Transferències internacionals de dades a països ter cers No se’n preveuen.

Òrgan administratiu responsable Direcció del servei educatiu (d’acord amb l’annex 5). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del servei educatiu. Adreça del servei educatiu (d’acord amb l’annex 5).

Nivell de mesures de seguretat Bàsic.


7) Personal de serveis educatius Finalitat i usos previstos La finalitat és la gestió del personal dels serveis educatius i de l’alumnat en pràctiques. Els usos són els derivats de la gestió del personal, com ara assignació de responsabilitats, seguiment de tasques, control horari i formació i avaluació del pràcticum de l’alumnat que fa les pràctiques en el servei educatiu.

Persones o col·lectius afectats o obligats a submini strar les dades Personal que presta els seus serveis professionals en un servei educatiu i alumnat en pràctiques en els serveis educatius. Procediment de recollida de dades Formularis electrònics o en suport paper. Imatge en suport digital o paper. Procedència de les dades La persona interessada. Estructura bàsica del fitxer i descripció dels tipus de dades de caràcter personal a) Dades identificatives: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte, imatge (si escau, per a l’emissió de credencials identificatives personalitzades), signatura. b) Dades de característiques personals: data de naixement, nacionalitat, sexe. c) Dades acadèmiques i professionals: formació i titulacions, historial acadèmic, experiència professional. Sistema de tractament Parcialment automatitzat. Cessions de dades de caràcter personal No se’n preveuen. Transferències internacionals de dades a països ter cers No se’n preveuen. Òrgan administratiu responsable Direcció del servei educatiu (d’acord amb l’annex 5). Unitats administratives per exercir els drets d’acc és, rectificació, cancel·lació i oposició Direcció del servei educatiu. Adreça del servei educatiu (d’acord amb l’annex 5).

Nivell de mesures de seguretat Mitjà.


8) Videovigilància en centres i serveis educatius La protecció de dades, com qualsevol altre dret fonamental, no és absolut; és a dir, està subjecte a límits, com per exemple la seguretat pública o els drets de terceres persones. Aquests límits han de reunir certes garanties per evitar que el dret desaparegui enfront dels altres drets i interessos en joc. És especialment en aquest àmbit (tractament d’imatges/veu) on es poden veure afectats altres drets, com són ara la llibertat d’expressió, la llibertat de circulació, el dret a la no-discriminació i especialment en l’àmbit educatiu el principi d’interès superior de l’infant, que només pretén reforçar el dret dels infants al lliure desenvolupament de la seva personalitat. Els dubtes d’aplicació plantejats tant pels ciutadans com pels mateixos responsables del tractament per donar compliment a les obligacions actualment existents en aquest àmbit van donar com a resultat la Instrucció 1/2009 de l’APDCat sobre el tractament de dades personals mitjançant sistemes de videovigilància. La Instrucció 1/2009 dóna elements de judici als responsables, a l’hora de prendre la decisió sobre la implantació d’aquests sistemes. Amb aquest objectiu s’ha de destacar la previsió que fa la Instrucció d’elaborar una memòria amb caràcter previ a l’aprovació del fitxer, com a eina per fer una anàlisi completa i sistemàtica de les característiques del tractament que es vol dur a terme i de les circumstàncies concurrents, que no sols compleixi una funció formal de motivació de la mesura sinó que permeti una avaluació acurada amb caràcter previ a la presa de la decisió, com una garantia per a la ciutadania i alhora com a una garantia de l’encert de la mesura per a la consecució de l’interès públic. Com podeu comprovar, l’ordre de declaració no ha inclòs la declaració d’aquest fitxer per al cas de centres i serveis educatius. La disposició de creació requeria per a la seva tramitació la presentació de les memòries que justifiquen les instal·lacions dels sistemes de captació d’imatge i/o veu. Com sigui que el Departament no disposa d’aquesta informació, elaborarà un procediment que permetrà legalitzar i legitimar aquesta situació donant instruccions als centres i serveis educatius. Fins a la publicació de la instrucció, com a responsables de la instal·lació d’aquests sistemes, us fem aquestes recomanacions:

• Llegiu atentament la Instrucció 1/2009 de l’APDCat. • Assegureu que l’empresa instal·ladora o de mantenim ent coneix la normativa a la

qual esteu sotmesos com a administració pública que sou. • Els centres i serveis educatius que ja disposeu en l’actualitat d’aquest tipus

d’instal·lacions: - Demaneu a l’empresa instal·ladora o de mantenimen t que emplenin la memòria justificativa de la instal·lació i instal·leu els c artells informatius.

• Si encara no disposeu d’aquest sistemes i penseu a instal·lar-los: - Feu l’anàlisi prèvia que aconsella la Instrucció.

• Contacteu amb una empresa instal·ladora i exposeu-l i el requisits a què esteu sotmesos. Feu incloure en el servei la instal·lació , els cartells informatius i la confecció de la memòria justificativa.

Us subministrem un model base perquè pugueu elaborar la memòria i unes instruccions per emplenar.


Annex 7. Models de clàusules informatives En tot cas són models orientatius que s’han de concretar i adequar a cada cas particular. − Model de clàusula informativa , per a tractaments que no contenen dades sensibles

(consentiment tàcit):

D’acord amb l’article 5 de la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades i tractades al fitxer (nom del fitxer declarat), del qual és responsable (òrgan responsable d’acord amb la declaració del fitxer). La finalitat és (finalitat expressada en la declaració del fitxer). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a la (direcció del centre/servei educatiu) (adreça del centre/servei educatiu).

− Model de clàusula informativa , per a tractaments que contenen dades sensibles

(consentiment exprés):

D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable (òrgan responsable d’acord amb la declaració del fitxer). La finalitat és (finalitat expressada en la declaració del fitxer), i autoritza expressament al responsable del fitxer el tractament de les dades amb la finalitat indicada. Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a (direcció del centre/servei educatiu), (adreça del centre/servei educatiu).

− Model de clàusula informativa , per a tractaments que no contenen dades sensibles, amb

cessió (consentiment tàcit):

D’acord amb la Llei orgànica 15/1999, de protecció de dades de caràcter personal, les vostres dades seran incorporades al fitxer (nom del fitxer declarat), del qual és responsable (òrgan responsable d’acord amb la declaració del fitxer). La finalitat és (finalitat expressada en la declaració del fitxer). Us informen que les vostres seran cedides a (entitats determinades a la declaració del fitxer) amb la finalitat de (finalitat de la cessió). Podeu exercir els drets d’accés, rectificació, cancel·lació i oposició mitjançant un escrit adreçat a (direcció del centre/servei educatiu) ,(adreça del centre/servei educatiu).


Annex 8. Model de clàusula de confidencialitat − Model per a personal col·laborador del Departament d’Ensenyament Model de clàusula de confidencialitat que podeu adaptar i fer signar a les persones que puguin tenir accés a dades personals, com per exemple becaris, personal en pràctiques o col·laboradors temporals, monitors, etc. El Sr./ La Sra. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx , partint de la relació contractual/laboral/............ que, de manera [continuada / temporal], manté amb el Departament d’Ensenyament / centre educatiu / servei educatiu/........... , d’acord amb la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal i el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD, es compromet a establir, complir i respectar les obligacions següents, respecte del tractament i gestió de les dades de caràcter personal a les quals tingui accés per al desenvolupament de la seva feina:

1. Mantenir absoluta confidencialitat, reserva i estricte secret professional respecte de la informació i/o dades de caràcter personal, que són responsabilitat l’Administració de la Generalitat de Catalunya, mitjançant el Departament d’Ensenyament, que pugui conèixer en l’exercici dels serveis prestats, i no divulgar-la, ni publicar, difondre ni posar a disposició de terceres persones, bé directament o indirectament, sense el consentiment previ per escrit del Departament d’Ensenyament, ni tan sols per a la seva conservació.

2. Donar compliment a les mesures de seguretat i privacitat establertes pel Departament d’Ensenyament i en

especial del document Funcions i obligacions del personal respecte de la seva informació i les dades de caràcter personal. Observar i adoptar totes les mesures de seguretat necessàries per assegurar la confidencialitat, secret, disponibilitat i integritat de les dades de caràcter personal a les quals tingui accés, així com a observar i implementar en un futur les mesures de seguretat que siguin exigides per les lleis i els reglaments destinats a preservar el secret, la confidencialitat i la integritat en el tractament automatitzat o manual de la informació confidencial.

3. En el cas que, per qualsevol motiu relacionat amb el lloc de treball, entri en possessió d’informació

confidencial, independentment del tipus de suport en què estigui, s’entén que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això atorgui cap dret de possessió o titularitat o còpia sobre la informació en qüestió. Així mateix, s’han de tornar tots els suports o materials al Departament d’Ensenyament / centre o servei educatiu/..........., o destruir-los, immediatament després que finalitzacin les tasques que n’han originat l’ús temporal, i en qualsevol cas, en el moment de finalització del projecte o de la relació laboral.

4. Aquesta obligació subsistirà fins i tot després de finalitzar la seva relació amb el Departament

d’Ensenyament / centre o servei educatiu/............

........................................................., ......... d...................... de ............

Signatura


Annex 9. Models de clàusules per a prestadors de se rveis

• Model de clàusula per als prestadors de serveis sen se accés a dades personals

Es consideren serveis sense accés a dades els que implícitament no comporten tractament de dades de caràcter personal. L’accés a dades personals és accidental, com ara serveis de neteja, serveis de manteniment d’instal·lacions, etc.

PROVEÏDOR manifesta haver estat degudament informat per part del .................................................... sobre la prohibició expressa d’accedir, visualitzar, copiar, gravar, alterar, comunicar i/o realitzar qualsevol acte que posi en perill o vulneri la confidencialitat i seguretat de les dades de caràcter personal de les quals és responsable .................................................., a les quals PROVEÏDOR hauria accedit de manera involuntària o accidental amb motiu de l’execució del contracte de prestació de serveis formalitzat entre ambdues parts.

Aquesta prohibició és extensible a la totalitat de les dades de caràcter personal responsabilitat de .........................................................................., amb independència del tipus de canal o suport amb què siguin tractades, essent responsable PROVEÏDOR de l’incompliment d’aquesta prohibició per part dels seus treballadors. El deure de secret i confidencialitat subsistirà amb posterioritat a l’extinció del contracte.

........................................................., ......... d...................... de ............ Signatura

• Model de clàusula per als prestadors de serveis amb accés a dades personals

Es consideren serveis amb accés a dades aquells que implícitament comporten tractament de dades de caràcter personal, com ara contractació de serveis de monitors, serveis de transport, etc.

En tot cas el model és orientatiu i ha de concretar els aspectes relatius al tractament concret i fer referència explícita a les mesures de seguretat que cal observar.


PROVEÏDOR accepta, mitjançant la signatura, aquest compromís de confidencialitat i tractament de dades personals, subjecte als extrems següents:

PROVEÏDOR mantindrà la més estricta reserva i confidencialitat sobre les dades personals contingudes en la documentació de la qual és responsable el.............................................................., i sobre les dades a les quals accedeixi amb motiu dels serveis prestats consistents a ******.

En aquest sentit, PROVEÏDOR complirà adequadament i en tot moment les disposicions contingudes en la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (en endavant LOPD), així com en el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD (en endavant RLOPD), i en qualsevol altra norma vigent o que en el futur pugui promulgar-se sobre aquesta matèria.

En virtut del que disposa l’article 12 LOPD i els articles 20 a 22 i 82 del RLOPD, PROVEÏDOR serà considerat, amb caràcter general, encarregat del tractament de les dades de caràcter personal a les quals tingui accés per a la prestació dels seus serveis a l’Administració pública de la Generalitat de Catalunya. En conseqüència, la transmissió de dades de caràcter personal que faci l’Administració pública de la Generalitat de Catalunya en favor de PROVEÏDOR no tindrà, en cap cas, la consideració de comunicació de dades de caràcter personal, en els termes fixats per l’article 11 LOPD.

El tractament de dades per part de PROVEÏDOR en qualitat d’encarregat del tractament es produirà durant el període de prestació del servei contractat i aquestes dades únicament seran usades per a les finalitats estrictament necessàries per a la prestació del servei esmentat.

PROVEÏDOR únicament tractarà aquestes dades d’acord amb les instruccions del ........................................., no pot aplicar ni utilitzar les dades amb una finalitat diferent a la que figuri en aquest compromís, ni per a finalitats diferents a les necessàries per a la prestació del servei contractat; ni comunicar-les, ni tan sols per a la seva conservació, a altres persones sense l’autorització corresponent.

Les obligacions de confidencialitat establertes en aquest compromís tindran una durada indefinida, i es mantindran en vigor després que hagi finalitzat la relació entre el .................................... i PROVEÏDOR.

Una vegada complerta la prestació de serveis, PROVEÏDOR haurà de retornar al ............................................. les dades de caràcter personal, així com qualsevol suport o document que incorpori dades personals fruit de la relació formalitzada entre ambdues parts. La devolució de les dades de caràcter personal per part de PROVEÏDOR es portarà a terme, si escau, en el format i en els suports emprats en aquest moment per PROVEÏDOR per emmagatzemar aquestes dades.

Igualment, PROVEÏDOR es compromet, amb posterioritat a l’extinció de la relació contractual mantinguda amb el ..............................................................., a no conservar cap còpia de la informació. PROVEÏDOR no podrà subcontractar amb terceres persones la realització de cap tractament que li hagués encomanat el ........................................................, llevat dels supòsits autoritzats per aquest de manera expressa. En aquests casos, la contractació s’efectuarà en nom i per compte del ........................................................

PROVEÏDOR manifesta que té implementades les mesures d’índole tècnica i organitzativa necessàries que garanteixen la seguretat de les dades de caràcter personal, i n’eviten l’alteració, pèrdua, tractament i/o accés no autoritzat, tenint en compte la naturalesa de les dades que tracta, que són de nivell ****** de seguretat, i els riscos als quals aquestes dades puguin estar exposades, tot això de conformitat amb el que disposa el RLOPD. En compliment del segon paràgraf de l’article 12.2 de la LOPD i atesa la naturalesa de les dades de caràcter personal que són objecte de tractament, PROVEÏDOR com a encarregat del tractament, aplicarà les mesures de seguretat que correspongui:

1) En l’accés a tot tipus de fitxers amb dades de caràcter personal cal aplicar les mesures descrites pels articles 89 al 94 del RLOPD per a tractaments automatitzats i pels articles 105 al 108 del RLOPD per a tractaments no automatitzats.

2) En l’accés a fitxers amb un nivell de seguretat mitjà cal garantir que es compleixen les mesures descrites pel punt 1 per a l’accés a qualsevol tipus de fitxer i a més les mesures descrites pels articles 95 al 100 del RLOPD per a tractaments automatitzats i pels articles 109 al 110 per a tractaments no automatitzats.

3) En l’accés a fitxers amb un nivell de seguretat alt cal garantir que es compleixen les mesures descrites pel punt 1 per a l’accés a qualsevol tipus de fitxer, les descrites pel punt 2 per a l’accés a fitxers de nivell mitjà i les mesures descrites pels articles 101 al 104 del RLOPD per a tractaments automatitzats i pels articles 111 al 114 per a tractaments no automatitzats.

PROVEÏDOR informarà al seu personal de les obligacions fixades en aquest compromís sobre confidencialitat i realitzarà els advertiments i subscriurà els documents que calgui amb el seu personal, si en tenen, a fi d’assegurar que es compleixen aquestes obligacions.

........................................................., ......... d...................... de ............ Signatura


Annex 10. Videovigilància, resum normatiu Captació d’imatge i/o veu per mitjà de sistemes de videovigilància Si el centre o servei educatiu disposa o vol disposar de sistemes de videovigilància heu d’acomplir el que disposa la:

• Instrucció 1/2009, de 10 de febrer de 2009, sobre e l tractament de dades de caràcter personal mitjançant càmeres amb fins de vi deovigilància, dictada per l’Agència Catalana de Protecció de Dades i publicada al DOGC núm. 5322, de 19.2.2009.

Legalització i legitimació del fitxer : Per poder iniciar la captació d’imatges cal haver creat, amb caràcter previ, el fitxer corresponent, d’acord amb el que estableixen la normativa de protecció de dades de caràcter personal i la Instrucció, llevat que les imatges es captin sense que hi hagi emmagatzematge. S’ha de sol·licitar un informe a l’Autoritat Catalana de Protecció de Dades sobre l’adequació del tractament a la legislació en matèria de protecció de dades. La sol·licitud d’informe s’ha d’acompanyar de la proposta d’acord o de disposició. Proporcionalitat : Amb caràcter previ a la instal·lació, les persones responsables de la utilització de sistemes de videovigilància han de ponderar els diferents drets i béns jurídics en joc, analitzant:

a) La necessitat d’utilitzar aquests sistemes. b) La idoneïtat de la instal·lació de sistemes de videovigilància per assolir la finalitat perseguida. c) El risc que pot comportar per als drets de les persones, ateses les característiques del sistema de videovigilància, les circumstàncies de la captació i les persones afectades. d) L’absència de mesures de vigilància alternatives que impliquin un risc menor, en relació amb possibles intromissions en els drets fonamentals.

Aquesta ponderació ha de quedar documentada en la memòria prevista d’acord amb l’article 10 de la Instrucció. Memòria justificativa : Amb caràcter previ a la creació del fitxer, o a la posada en marxa del sistema de videovigilància, s’ha d’elaborar una memòria justificativa d’acord amb l’article 10 de la Instrucció. Deure d’informació : Les persones responsables del tractament d’imatges per mitjà de càmeres fixes han d’informar d’una manera clara i permanent sobre l’existència de les càmeres mitjançant la col·locació dels cartells informatius que calgui per garantir que les persones afectades se n’assabenten. Aquesta obligació és exigible igualment quan les imatges captades no siguin enregistrades. Els cartells informatius s’han de col·locar abans que comenci la captació d’imatges i veus, fins i tot si es tracta de proves, i només poden retirar-se un cop sigui desinstal·lat el sistema. Els cartells informatius s’han de col·locar en emplaçaments clarament visibles abans d’entrar en el camp de gravació de les càmeres. Conservació de les imatges : Amb caràcter general, es recomana no excedir el termini màxim d’un mes per cancel·lar les imatges tractades. Procediment d’exercici de drets : Per exercir els drets d’accés, rectificació, cancel·lació i oposició, cal formular una sol·licitud adreçada al responsable del fitxer o, si escau, a


l’encarregat del tractament, indicant el lloc, la data i l’hora aproximada, en franges no superiors a dues hores, en què la seva imatge va poder ser captada. La sol·licitud s’ha d’acompanyar d’una imatge de la persona sol·licitant que correspongui al període en què es va captar, de manera que permeti identificar-la. Per tal de comprovar la coincidència entre la imatge aportada i les imatges enregistrades, es poden utilitzar eines de reconeixement d’imatges. Si la imatge o la veu aportades no ofereixen prou definició o elements per permetre la identificació, s’ha d’atorgar un termini d’esmena de 10 dies hàbils per poder aportar una altra imatge o gravació de la veu. Pot denegar-se la sol·licitud d’exercici dels drets d’accés, rectificació, cancel·lació o oposició quan no concorrin els requisits exigibles, o quan el nivell de coincidència entre la imatge o la veu aportada amb la sol·licitud i les que hagin estat objecte de tractament no permeti assegurar que aquesta darrera correspon a la persona interessada. També pot denegar-se quan no hagin estat enregistrades o ja hagin estat cancel·lades. Nivell de seguretat : La recollida i el tractament d’imatges de persones identificades o identificables requereix, amb caràcter general, el nivell de seguretat bàsic, sens perjudici que en determinats supòsits puguin ser aplicables les mesures de nivell mitjà o alt. Mesures de seguretat : La persona responsable del tractament ha d’adoptar les mesures tècniques i organitzatives necessàries que garanteixin l’autenticitat, la integritat i la confidencialitat de les imatges captades mitjançant sistemes de càmeres i que n’evitin l’alteració, pèrdua, accés indegut o tractament no autoritzat. La persona responsable del tractament ha d’informar les persones que tinguin accés a les imatges en exercici de les seves funcions que han d’observar el deure de secret, i que aquesta obligació subsisteix fins i tot després d’haver finalitzat la seva relació de servei. A les imatges, i si escau a les veus, obtingudes o tractades mitjançant sistemes digitals de videovigilància, fins i tot durant el període de proves, se’ls han d’aplicar les mesures de seguretat tècniques i organitzatives fixades per la normativa de protecció de dades de caràcter personal per als fitxers o tractaments automatitzats, segons el nivell de seguretat establert. Annex 11. Videovigilància, memòria justificativa (d ocument adjunt) Annex 12. Funcions i obligacions del personal (docu ment adjunt) Annex 13. Exercici de drets (document adjunt)

protecció de dades de caràcter personal per a centres i...

Documents