En todos los casos de compra de software se debe tener en cuenta:
a) Alojamiento de datos fuera de servidores propios a Conselleria
La normativa no permite alojar datos personales de la comunidad educativa en ningún servidor externo o nube.
ORDEN 19/2013, de 3 de diciembre, de la Consellería de Hacienda y Administración Pública, por la que se establece las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat.
Artículo 5. Tratamiento de la información
- Queda prohibido, asimismo, transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos, salvo autorización expresa del organismo responsable del tratamiento de la información, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la Administración de la Generalitat y la empresa responsable de la prestación del servicio, incluyendo los acuerdos de nivel de servicio que procedan, el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.
b) Normativa vigente sobre protección de datos y uso de las tecnologías de la información
RESOLUCIÓN de 28 de junio de 2018, de la Subsecretaría de la Conselleria de Educación, Investigación y Deporte, por la que se dictan instrucciones para el cumplimiento de la normativa de protección de datos en los centros educativos públicos de titularidad de la Generalitat (DOGV núm. 8436 de 03.12.2018) Ref. Base Datos 010935/2018
A modo resumen:
- Los tratamientos de datos personales mediante aplicaciones informáticas móviles, conocidas como ‘apps’, tienen que incluirse en la política de seguridad del centro, como mínimo con las mismas garantías que cualquier otro tratamiento, tal como indica el Informe sobre la utilización por parte de profesorado y alumnado de aplicaciones que almacenan datos en la nube con sistemas ajenos a las plataformas educativas, publicado por la Agencia Española de Protección de Datos (https://www.aepd.es/media/guias/guia-orientaciones-apps-datos-alumnos.pdf).
- Tal como indica este informe, las aplicaciones que contienen más datos personales del alumnado son los cuadernos de notas de los docentes, que mantienen su progreso y sus calificaciones. Por lo que cualquier aplicación que incluya la identificación del alumno o alumna puede llevar a la elaboración de perfiles según las funcionalidades y la tipología de los datos recopilados. Con los hábitos de navegación, junto con los datos de otros usuarios con los que contacta y su comportamiento educativo, se pueden crear perfiles de usuario susceptibles de ser tratados sin el consentimiento del usuario, bajo la excusa de la mejora del funcionamiento del servicio. Los usuarios se pueden clasificar fácilmente según su actividad, en función de las acciones que realizan, o incluso el tiempo que tardan en realizarlas. Hay que tener en cuenta que las aplicaciones de instalación no asistida en dispositivos móviles inteligentes son capaces de acceder a gran cantidad de datos de carácter personal almacenadas en el propio dispositivo, tales como el número de identificación del terminal, agenda de contactos, imágenes o vídeos. Además, estas aplicaciones pueden acceder a los sensores del dispositivo, y obtener la ubicación geográfica, capturar fotos, vídeo o sonido a través de ellos.
- Por todo esto, no se podrán utilizar aquellas plataformas informáticas o aplicaciones informáticas móviles (conocidas como ‘apps’), diferentes de las dispuestas o autorizadas por la Conselleria competente en materia de educación, que tengan como finalidad:
- a) Tanto la comunicación con las familias, como con el alumnado.
- b) El seguimiento del alumnado a través de cuadernos de notas de progreso y su calificación
La responsabilidad del cumplimiento de las medidas de seguridad debe entenderse siempre compartida entre los diferentes actores intervinientes (responsable de la aplicación, centro educativo y usuarios), debiendo en todo caso el responsable de la aplicación, facilitar las medidas técnicas adecuadas para garantizar la seguridad de los datos tratados, y el centro aplicarlas o utilizarlas correctamente, además de implementar las medidas organizativas apropiadas.
La legislación vigente en materia de protección de datos regula los requisitos para poder instalar aplicaciones en los dispositivos del centro educativo. En términos generales se han de cumplir las siguientes condiciones:
- Cumplir las políticas de protección de datos de la GVA.
- No necesitar registro de ningún miembro de la comunidad educativa.
- No implicar compra.
- No tener publicidad.
c) Apertura de puertos desde o hacia la red corporativa
De forma general no está permitido abrir puertos del exterior hacia el interior de la red corporativa. Hay que tenerlo en cuenta para no adquirir software o soluciones que requieran este tipo de conexión. Cualquier tipo de excepción deberá ceñirse a la siguiente instrucción y la legislación asociada:
Instrucción de Servicio Núm. 5/2012, para el correcto uso y gestión de las líneas de datos de los centros educativos.
Como especifica dicha instrucción se ha de tener en cuenta que todas las conexiones desde los centros educativos a internet deberán realizarse a través de las conexiones a Internet corporativas, contratadas por la Conselleria competente en materia de educación. Queda prohibido el uso de conexiones a internet no autorizadas por la Conselleria.