En tots els casos de compra de programari s’ha de tindre en compte:
a) Allotjament de dades fora de servidors propis a Conselleria
La normativa no permet allotjar dades personals de la comunitat educativa en cap servidor extern o núvol.
ORDRE 19/2013, de 3 de desembre, de la Conselleria d’Hisenda i Administració Pública, per la qual s’estableix les normes sobre l’ús segur de mitjans tecnològics en l’Administració de la Generalitat.
Article 5. Tractament de la informació
- Queda prohibit, així mateix, transmetre o allotjar informació pròpia de l’Administració de la Generalitat en sistemes d’informació externs, excepte autorització expressa de l’organisme responsable del tractament de la informació, que comprovarà la inexistència de traves legals per a això i verificarà la subscripció d’un contracte exprés entre l’Administració de la Generalitat i l’empresa responsable de la prestació del servei, incloent-hi els acords de nivell de servei que procedisquen, el corresponent acord de confidencialitat, i sempre prèvia anàlisi dels riscos associats a tal externalització.
b) Normativa vigent sobre protecció de dades i ús de les tecnologies de la informació
A mode resum:
- Els tractaments de dades personals mitjançant aplicacions informàtiques mòbils, conegudes com a ‘apps’, han d’incloure’s en la política de seguretat del centre, com a mínim amb les mateixes garanties que qualsevol altre tractament, tal com indica l’Informe sobre la utilització per part de professorat i alumnat d’aplicacions que emmagatzemen dades en el núvol amb sistemes aliens a les plataformes educatives, publicat per l’Agència Espanyola de Protecció de Dades (https://www.aepd.es/media/guias/guia-orientaciones-apps-datos-alumnos.pdf).
- Tal com indica este informe, les aplicacions que contenen més dades personals de l’alumnat són els quaderns de notes dels docents, que mantenen el seu progrés i les seues qualificacions. Pel que qualsevol aplicació que incloga la identificació de l’alumne o alumna pot portar a l’elaboració de perfils segons les funcionalitats i la tipologia de les dades recopilades. Amb els hàbits de navegació, juntament amb les dades d’altres usuaris amb els quals contacta i el seu comportament educatiu, es poden crear perfils d’usuari susceptibles de ser tractats sense el consentiment de l’usuari, sota l’excusa de la millora del funcionament del servei. Els usuaris es poden classificar fàcilment segons la seua activitat, en funció de les accions que realitzen, o fins i tot el temps que tarden a realitzar-les. Cal tindre en compte que les aplicacions d’instal·lació no assistida en dispositius mòbils intel·ligents són capaços d’accedir a gran quantitat de dades de caràcter personal emmagatzemades en el propi dispositiu, com ara el número d’identificació del terminal, agenda de contactes, imatges o vídeos. A més, estes aplicacions poden accedir als sensors del dispositiu, i obtindre la ubicació geogràfica, capturar fotos, vídeo o so a través d’ells.
- Per tot això, no es podran utilitzar aquelles plataformes informàtiques o aplicacions informàtiques mòbils (conegudes com a ‘apps’), diferents de les disposades o autoritzades per la Conselleria competent en matèria d’educació, que tinguen com a finalitat:
- a) Tant la comunicació amb les famílies, com amb l’alumnat.
- b) El seguiment de l’alumnat a través de quaderns de notes de progrés i la seua qualificació
La responsabilitat del compliment de les mesures de seguretat ha d’entendre’s sempre compartida entre els diferents actors intervinents (responsable de l’aplicació, centre educatiu i usuaris), devent en tot cas el responsable de l’aplicació, facilitar les mesures tècniques adequades per a garantir la seguretat de les dades tractades, i el centre aplicar-les o utilitzar-les correctament, a més d’implementar les mesures organitzatives apropiades.
La legislació vigent en matèria de protecció de dades regula els requisits per a poder instal·lar aplicacions en els dispositius del centre educatiu. En termes generals s’han de complir les següents condicions:
- Complir les polítiques de protecció de dades de la GVA.
- No necessitar registre de cap membre de la comunitat educativa.
- No implicar compra.
- No tindre publicitat.
c) Obertura de ports des de o cap a la xarxa corporativa
De manera general no està permés obrir ports de l’exterior cap a l’interior de la xarxa corporativa. Cal tindre-ho en compte per a no adquirir programari o solucions que requerisquen este tipus de connexió. Qualsevol tipus d’excepció haurà de cenyir-se a la següent instrucció i la legislació associada:
Instrucció de Servei Núm. 5/2012, per al correcte ús i gestió de les línies de dades dels centres educatius.
Com especifica aquesta instrucció s’ha de tindre en compte que totes les connexions des dels centres educatius a internet hauran de realitzar-se a través de les connexions a Internet corporatives, contractades per la Conselleria competent en matèria d’educació. Queda prohibit l’ús de connexions a internet no autoritzades per la Conselleria.