RESOLUCIÓN, 30 de septiembre de 2024

Sobre delegación de competencias en la Dirección General de Infraestructuras Educativas, para la creación y actualización del catálogo de equipamientos y productos TIC para uso en el centro educativo y en la persona titular de la dirección de los centros docentes públicos no universitarios de titularidad de la Generalitat, para adquisición de equipamiento y productos TIC para uso en el entorno educativo.

RESOLUCIÓN, 03 de octubre de 2024

Del director general de Infraestructuras Educativas, por la que se crea el catálogo (DELEGATIC) para adquisición de equipamiento y productos TIC para uso en el entorno educativo por la dirección de los centros educativos públicos no universitarios de la Generalitat. 

Requisitos en cuanto a protección de datos y seguridad para la compra de software y/o licencias destinadas a enseñanzas de Formación Profesional y centros de enseñanzas artísticas superiores y estudios de diseño y música (ISEACV) 

 

Consideraciones generales 

- Ninguna aplicación o plataforma podrá ofrecer publicidad al alumnado, ni al profesorado, ni reclamos ni pagos a aplicaciones de terceros. 

 

Protección de datos 

Para aquellas aplicaciones susceptibles de almacenar datos de carácter personal en servidores externos, el editor del software debe proporcionar una política de privacidad en la que conste: 

- Quién es el responsable del tratamiento de datos. Se debe indicar el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos. Debe constar la identidad y dirección de la persona jurídica o física responsable 

- Las finalidades del tratamiento de datos. 

- Descripción de las categorías de interesados y de las categorías de datos personales. 

- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales. 

- Las comunicaciones de datos a terceros y su identidad, así como la finalidad para la cual se ceden. 

- La ubicación de los datos. 

- Para transferencias de datos fuera del Espacio Económico Europeo, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del Reglamento General de Protección de Datos, las garantías adecuadas. Se puede consultar cuáles son las garantías para las transferencias de datos fuera del Espacio Económico Europeo, en la siguiente dirección de la Agencia Española de Protección de Datos: https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/garantias-para-las-transferencias-de  

- Base jurídica de licitud o legitimación del tratamiento de datos personales. 

- Los plazos previstos para la supresión de las diferentes categorías de datos. 

- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad. 

- Los posibles accesos que realiza la aplicación a otros datos almacenados en los dispositivos que ejecuten las aplicaciones informáticas o a sus sensores. 

- Los derechos de las personas usuarias. 

 

Derechos de las personas usuarias que se deben recoger en la política de privacidad de la aplicación (regulados en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, Reglamento General de Protección de Datos): 

- Derecho de acceso: la persona interesada tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales. 

- Derecho de rectificación: la persona interesada tendrá derecho a obtener sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, la persona interesada tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. 

- Derecho de supresión: La persona interesada tendrá derecho a obtener sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales. 

- Derecho de oposición: La persona interesada tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. 

- Limitación del tratamiento: La persona interesada tiene derecho a limitar el tratamiento de datos que realiza el responsable de tratamiento. 

- Portabilidad: La persona interesada tiene derecho a recibir los datos personales que le incumban, que haya proporcionado a un responsable de tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. 

- Derecho a no ser objeto de decisiones individuales automatizadas: la persona interesada tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. 

 

Seguridad 

Se deberán tener en cuenta, al menos, las siguientes consideraciones: 

- Software no autorizado por motivos de seguridad. No se permite la adquisición de software que esté explícitamente no autorizado en Appsedu, cuando su evaluación de seguridad ha determinado que el software es vulnerable. 

- Licencias: Todo el software debe de disponer de licencia legal y cumplir con las regulaciones autonómicas, estatales y europeas. Es necesaria la adquisición de la totalidad de las licencias.  

- Evaluación de riesgos: Se debe identificar si el software puede estar afectado por alguna vulnerabilidad conocida, se puede realizar esta comprobación en https://www.cvedetails.com/. Si se identificaran vulnerabilidades se deberá realizar una evaluación de impacto y adjuntar a la declaración responsable la evaluación de riesgos y las medidas de mitigación.  

- Actualizaciones: El software debe recibir actualizaciones regulares y parches de seguridad. 

- Encriptación de datos: Si el software trata datos personales, estos siempre deben encriptarse en su tránsito a través de la red, así como en reposo en aquellos servidores en los que se almacenen. 

- Registro de eventos: se recomienda que el software sea capaz de registrar eventos relevantes, que permitan la detección de actividades sospechosas. 

 

Otros aspectos  

- La Conselleria responsable en materia de educación puede solicitar al centro educativo los informes relativos al análisis de riesgos realizado para la adquisición del software. 

- La Conselleria responsable en materia de educación puede solicitar al centro educativo el software para realizar una auditoría de seguridad y protección de datos, y en su caso, referenciarlo en la plataforma Appsedu.