RESOLUCIÓ, 30 de septiembre de 2024

Sobre delegació de competències en la Direcció General d'Infraestructures Educatives per a la creació i actualització del catàleg d'equipaments i productes TIC per a ús en el centre educatiu i en la persona titular de la direcció dels centres docents públics no universitaris de titularitat de la Generalitat, per a adquisició d'equipament i productes TIC per a ús en l'entorn educatiu.

RESOLUCIÓ, 03 de octubre de 2024

Del director general d’Infraestructures Educatives, per la qual es crea el catàleg (DELEGATIC) per a l’adquisició d’equipament i productes TIC per a l’ús en l’entorn educatiu per part de la direcció dels centres educatius públics no universitaris de la Generalitat.

Requisits quant a protecció de dades i seguretat per a la compra de programari i/o llicències destinats a ensenyances de Formació Professional i centres d’ensenyances artístiques superiors i estudis de disseny i música (ISEACV)

Consideracions generals

- Cap aplicació o plataforma podrà oferir publicitat a l’alumnat, ni al professorat, ni reclams ni pagaments a aplicacions de tercers.

Protecció de dades

Per a aquelles aplicacions susceptibles d’emmagatzemar dades de caràcter personal en servidors externs, l’editor del programari ha de proporcionar una política de privacitat en la qual conste:

- Qui és el responsable del tractament de dades. S’ha d’indicar el nom i les dades de contacte del responsable i, si és el cas, del corresponsable, el representant del responsable i el delegat de protecció de dades. Ha de constar la identitat i adreça de la persona jurídica o física responsable.

- Les finalitats del tractament de dades.

- La descripció de les categories d’interessats i de les categories de dades personals.

- Les categories de destinataris als quals es van comunicar o es comunicaran les dades personals, inclosos els destinataris en tercers països o organitzacions internacionals.

- Les possibles comunicacions de dades a tercers i la seua identitat, així com la finalitat per a la qual se cedixen.

- La ubicació de les dades.

- Per a transferències de dades fora de l’Espai Econòmic Europeu, les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d’este tercer país o organització internacional i, en el cas de les transferències indicades en l’article 49, apartat 1, paràgraf segon del Reglament general de protecció de dades, les garanties adequades. Es pot consultar quines són les garanties per a les transferències de dades fora de l’Espai Econòmic Europeu, en l’adreça següent de l’Agència Espanyola de Protecció de Dades: https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/garantias-para-las-transferencias-de.

- Base jurídica de licitud o legitimació del tractament de dades personals.

- Els terminis previstos per a la supressió de les diverses categories de dades.

- Quan siga possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

- Els possibles accessos que realitza l’aplicació a altres dades emmagatzemades en els dispositius que executen les aplicacions informàtiques o als seus sensors.

- Els drets de les persones usuàries.

Drets de les persones usuàries que s’han d’arreplegar en la política de privacitat de l’aplicació [regulats en la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals, i el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016, Reglament general de protecció de dades]:

- Dret d’accés: la persona interessada tindrà dret a obtindre del responsable del tractament confirmació de si s’estan tractant, o no, dades personals que la concernixen i, en eixe cas, dret d’accés a les dades personals.

- Dret de rectificació: la persona interessada tindrà dret a obtindre, sense dilació indeguda del responsable del tractament, la rectificació de les dades personals inexactes que la concernisquen. Tenint en compte els fins del tractament, la persona interessada tindrà dret que es completen les dades personals que siguen incompletes, fins i tot mitjançant una declaració addicional.

- Dret de supressió: la persona interessada tindrà dret a obtindre, sense dilació indeguda del responsable del tractament, la supressió de les dades personals que la concernisquen, el qual estarà obligat a suprimir sense dilació indeguda les dades personals.

- Dret d’oposició: La persona interessada tindrà dret a oposar-se en qualsevol moment, per motius relacionats amb la seua situació particular, al fet que dades personals que la concernisquen siguen objecte d’un tractament.

- Limitació del tractament: La persona interessada té dret a limitar el tractament de dades que realitza el responsable de tractament.

- Portabilitat: La persona interessada té dret a rebre les dades personals que li incumbisquen, que haja proporcionat a un responsable de tractament, en un format estructurat, d’ús comú i lectura mecànica, i a transmetre-les a un altre responsable del tractament sense que ho impedisca el responsable al qual les haja facilitades.

- Dret a no ser objecte de decisions individuals automatitzades: la persona interessada tindrà dret a no ser objecte d’una decisió basada únicament en el tractament automatitzat, inclosa l’elaboració de perfils.

 

Seguretat

S’hauran de tindre en compte, almenys, les consideracions següents:

- Programari no autoritzat per motius de seguretat: no es permet l’adquisició de programari que estiga explícitament no autoritzat en Appsedu, quan la seua avaluació de seguretat ha determinat que el programari és vulnerable.

- Llicències: tot el programari ha de disposar de llicència legal i complir amb les regulacions autonòmiques, estatals i europees. És necessària l’adquisició de totes les llicències.

- Avaluació de riscos: s’ha d’identificar si el programari pot estar afectat per alguna vulnerabilitat coneguda; es pot realitzar esta comprovació en https://www.cvedetails.com/. Si s’identifiquen vulnerabilitats, s’haurà de realitzar una avaluació d’impacte i adjuntar a la declaració responsable l’avaluació de riscos i les mesures de mitigació.

- Actualitzacions: el programari ha de rebre actualitzacions regulars i pedaços de seguretat.

- Encriptació de dades: si el programari tracta dades personals, estes sempre s’han d’encriptar en el seu trànsit a través de la xarxa, així com en repòs en aquells servidors en els quals s’emmagatzemen.

- Registre d’esdeveniments: es recomana que el programari siga capaç de registrar esdeveniments rellevants, que permeten la detecció d’activitats sospitoses.

 

Altres aspectes

- La conselleria responsable en matèria d’educació pot sol·licitar al centre educatiu els informes relatius a l’anàlisi de riscos realitzat per a l’adquisició del programari.

- La conselleria responsable en matèria d’educació pot sol·licitar al centre educatiu el programari per a fer una auditoria de seguretat i protecció de dades, i, si és el cas, referenciar-ho en la plataforma Appsedu.

Avís de privacitat: Ús de cookies pròpies per a anàlisis de visites

Este lloc web utilitza cookies pròpies amb l'únic propòsit d'analitzar el trànsit i millorar l'experiència de l'usuari. Les cookies són xicotets arxius de text que s'emmagatzemen en el teu dispositiu quan visites el nostre lloc. No compartim esta informació amb tercers ni la utilitzem per a fins publicitaris.

Veure política de cookies