Coordinació TIC - Normativa TIC
11.3. Ús de plataformes informàtiques en els centres educatius públics de titularitat de la Generalitat
1. La Generalitat Valenciana, a través de la direcció general competent en matèria de tecnologies de la informació i de les comunicacions disposarà les plataformes, serveis amb caràcter instrumental (programari d’oficina, de videoconferència, de treball col·laboratiu...) i, en general, les eines més adients per al seu ús en els centres educatius de titularitat de la Generalitat, segons l’Ordre 19/2013, sobre normes per a la utilització segura de mitjans tecnològics en l’Administració de la Generalitat.
Per tant, com a norma general, hauran d’emprar-se les eines que la conselleria competent en matèria d’educació pose a disposició dels centres. A més, l’article 5.4 de l’esmentada Ordre 19/2013 estableix que qualsevol externalització del tractament requereix la subscripció d’un contracte exprés entre la conselleria competent en matèria d’educació, com a responsable del tractament, i l’empresa responsable de la prestació del servei, com a encarregada del tractament, que en aquest cas serien les empreses propietàries d’aquestes plataformes. L’obligatorietat d’aquest «contracte per encàrrec», així com les seues condicions, es troba especialment especificada en l’article 28 del Reglament general de protecció de dades (RGPD).
Segons l’Ordre 19/2013, queda prohibit transmetre o allotjar informació pròpia de l’Administració de la Generalitat en sistemes d’informació externs (com és el cas dels serveis en núvol o on cloud), llevat que hi haja una autorització expressa de la conselleria competent en matèria d’educació després de l’anàlisi dels riscos associats a aquesta externalització, en especial sobre els aspectes següents:
– Les comunicacions han de xifrar les dades d’extrem a extrem.
– La ubicació de les dades ha d’estar en l’Espai Econòmic Europeu.
– S’ha de comprovar el compromís, a través de les seues polítiques, de no realitzar un perfilat o analítica amb les dades emmagatzemades.
– No s’ha de permetre fer ús de les dades, ni tan sols anonimitzades, per a finalitats diferents d’aquelles directament relacionades amb la prestació del servei.
2. En relació amb l’ús de xarxes socials en l’àmbit educatiu, l’esmentada Resolució de 28 de juny de 2018 indica que la publicació de dades personals en xarxes socials per part dels centres educatius, requereix disposar del consentiment inequívoc de les persones implicades, a les quals caldrà informar prèviament de manera clara de les dades que es publicaran, en quines xarxes socials, amb quina finalitat, qui pot accedir a les dades, així com de la possibilitat d’exercir els seus drets d’accés, rectificació, oposició, supressió («dret a l’oblit»), limitació del tractament, portabilitat i de no ser objecte de decisions individualitzades, així com el dret a la retirada del consentiment prèviament atorgat.
3. No requereix autorització l’ús de xarxes socials per a l’exercici de les competències en matèria d’educació, sempre que no tracten ni difonguen dades personals del tractament de les quals siguen responsables els titulars d’òrgans superiors o del nivell directiu de la Conselleria. Té la condició de dades personals tota informació que es puga relacionar amb una persona física identificada o identificable. Aquesta definició inclou, entre altres dades, imatges, veu, codis d’identificació, qualificacions o opinions. No obstant això:
a) Està expressament desautoritzat l’ús de xarxes socials que incloguen qualsevol tipus de publicitat o que puguen ser utilitzades per a una finalitat diferent de la mateixa comunicació.
b) Quan s’utilitzen aquests mitjans, els centres educatius han d’informar les famílies i l’alumnat major de 14 anys sobre l’ús segur de les xarxes socials, dels drets i obligacions dels intervinents, així com de l’exempció de responsabilitat de la Conselleria en aquestes aplicacions.
c) Quan les dades personals de l’alumnat, incloent-hi fotografies o vídeos, siguen proporcionades per tercers o altres membres de la comunitat educativa, sense mediació del titular de les dades (l’alumnat major de 14 anys, o qui exercisca la representació legal del menor), s’ha de garantir que es disposa de l’autorització expressa i concreta d’ús, o l’assumpció de responsabilitat pel cedent.
4. Qualsevol tractament de dades de caràcter personal ha de complir amb el que es preveu en la normativa vigent en la matèria i, en particular, amb les obligacions d’informació a les persones afectades pels tractaments i transparència sobre aquestes. A més, han de cenyir-se a les finalitats específiques previstes en la seua creació i han d’haver sigut publicades en els corresponents registres d’activitats de tractament (RAT).
L’òrgan d’informació i assessorament de la Generalitat en matèria de protecció de dades és la Delegació de Protecció de Dades (http://participacio.gva.es/va/web/participacio/contacto), al qual es poden dirigir les persones interessades pel que respecta a totes les qüestions relatives al tractament de les seues dades personals i a l’exercici dels seus drets, a l’empara del Reglament general de protecció de dades. Quant a la forma d’exercir els drets, es pot consultar més informació en l’enllaç següent:
https://www.gva.es/va/inicio/procedimientos?id_proc=19970
5. Sobre la utilització d’aplicacions de missatgeria per part del professorat per a la comunicació amb l’alumnat, el punt 3.2.7 de l’esmentada Resolució de 28 de juny de 2018 indica que, amb caràcter general, les comunicacions entre el professorat i l’alumnat han de tindre lloc dins de l’àmbit de la funció educativa i no dur-se a terme a través d’aplicacions de missatgeria instantània. Si cal establir canals específics de comunicació, han d’emprar-se els mitjans i eines establits per la conselleria competent en matèria d’educació i posats a disposició d’alumnat i professorat, o per mitjà del correu electrònic. Així mateix, quan la comunicació siga entre el professorat i qui exercisca la representació legal de l’alumnat, el punt 3.2.8 assenyala que les comunicacions han de dur-se a terme a través dels mitjans posats a disposició dels dos pel centre educatiu o la conselleria competent en matèria d’educació.
6. Els tractaments de dades personals mitjançant aplicacions informàtiques mòbils, conegudes com a app, han d’incloure’s en la política de seguretat del centre, com a mínim amb les mateixes garanties que qualsevol altre tractament, tal com indica l’informe sobre la utilització per part de professorat i alumnat d’aplicacions que emmagatzemen dades en núvol amb sistemes aliens a les plataformes educatives, publicat per l’Agència Espanyola de Protecció de Dades
(https://www.aepd.es/media/guias/guia-orientaciones-apps-datos-alumnos.pdf).
Tal com indica aquest informe, les aplicacions que contenen més dades personals de l’alumnat són els quaderns de notes dels docents, que contenen el seu progrés i les seues qualificacions. Per tant, qualsevol aplicació que incloga la identificació de l’alumne pot portar a l’elaboració de perfils segons les funcionalitats i la tipologia de les dades recopilades. Amb els hàbits de navegació, juntament amb les dades d’altres usuaris amb els quals contacta i el seu comportament educatiu, es poden crear perfils de l’usuari susceptibles de ser tractats sense el consentiment de l’usuari, amb l’excusa de la millora del funcionament del servei. Els usuaris es poden classificar fàcilment segons la seua activitat, en funció de les accions que realitzen, o fins i tot del temps que tarden a realitzar-les. Cal tindre en compte que les aplicacions d’instal·lació no assistida en dispositius mòbils intel·ligents són capaces d’accedir a gran quantitat de dades de caràcter personal emmagatzemades en el mateix dispositiu, com ara el número d’identificació del terminal, l’agenda de contactes, imatges o vídeos. A més, aquestes aplicacions poden accedir als sensors del dispositiu i permeten obtindre la ubicació geogràfica, capturar fotos, vídeo o so.
Per tot això, no es podran utilitzar aquelles plataformes informàtiques o aplicacions informàtiques mòbils (app), diferents de les que posa a disposició o autoritza la conselleria competent en matèria d’educació, que tinguen com a finalitat:
a) Tant la comunicació amb les famílies, com amb l’alumnat.
b) El seguiment de l’alumnat a través de quaderns de notes de progrés i la seua qualificació.
"ANNEX I. Manual informatiu en matèria de protecció de dades per als centres educatius públics
3.3. Publicació de dades
4. Tractament de les imatges dels alumnes
"– Si l’enregistrament de les imatges el fa el centre escolar amb finalitats educatives, com treballs escolars o avaluacions, el centre o la conselleria competent en matèria d’educació estan legitimats per a aquest tractament sense necessitat del consentiment de l’alumnat o dels seus familiars o tutors"
– Quan l’enregistrament de les imatges no es correspon amb aquesta funció educativa, sinó que es tracta d’imatges d’esdeveniments o esdeveniments que es graven habitualment amb finalitats de difusió en la revista escolar o en la web del centre, és necessari comptar amb el consentiment de les persones interessades, als quals s’haurà hagut d’informar amb anterioritat de la finalitat de l’enregistrament, especialment de si les imatges estaran accessibles de manera indiscriminada o de manera limitada a la comunitat escolar.
D’altra banda, és molt freqüent que familiars d’alumnes prenguen fotografies i graven vídeos en esdeveniments festius, commemoratius, esportius o d’una altra índole, en els quals participa l’alumnat.
En aquests casos, l’enregistrament de les imatges sol correspondre a una activitat exclusivament personal i domèstica, és a dir, aquelles que s’inscriuen en el marc de la vida privada, familiar i d’amistat, que estan excloses de l’aplicació de la normativa de protecció de dades."
4.1. Enregistrament d’imatges durant activitats escolars
"Caldria distingir entre la presa d’imatges com a part de la funció educativa –en aquest cas els centres estarien legitimats a fer-ho– dels enregistraments que no respondrien a aquesta funció –per exemple, la difusió del centre i de les seues activitats, per a la qual cosa s’haurà de disposar del consentiment de les persones implicades o dels seus pares o tutors.
També seria possible la presa d’imatges de l’alumnat en determinats esdeveniments realitzats en l’entorn escolar amb l’única finalitat que les mares, pares o tutors hi puguen tindre accés. Aquest accés a les imatges s’hauria de fer en un entorn segur que exigira la identificació i autenticació prèvies dels alumnes o dels seus familiars –per exemple, en una àrea restringida de la intranet del centre– i s’hauria de limitar a les imatges corresponents a esdeveniments en els quals l’alumne concret haja participat. En tot cas, caldria recordar als qui accedeixen a les imatges que no poden, al seu torn, divulgar-les de forma oberta.
El professorat, en el desenvolupament de la programació i ensenyament de les àrees, matèries i mòduls que tinguen encomanats, poden disposar la realització d’exercicis que impliquen l’enregistrament d’imatges, normalment del mateix alumnat, que només hauran d’estar accessibles per a l’alumnat involucrat en aquesta activitat, els seus familiars o tutors i el professorat corresponent.
És a dir, en cap cas el simple fet de realitzar l’enregistrament representa que es puga difondre de forma oberta en internet i que s’hi puga accedir de manera indiscriminada. En aquests casos, el responsable del tractament és el mateix centre o la conselleria competent en matèria d’educació."
4.2. Enregistrament i difusió d’imatges en esdeveniments organitzats i celebrats en els centres educatius
"– Els familiars de l’alumnat que participe en un esdeveniment obert a les famílies poden gravar imatges de l’esdeveniment sempre que es tracte d’imatges captades exclusivament per al seu ús personal i domèstic, perquè en aquest cas l’activitat està exclosa de l’aplicació de la normativa de protecció de dades.
Si les imatges captades pels familiars es volgueren difondre fora de l’àmbit privat, familiar i d’amistat, per exemple mitjançant la seua publicació en internet accessible en obert, els familiars assumirien la responsabilitat per la comunicació de les imatges a tercers i no ho podrien fer llevat que hagueren obtingut el consentiment previ dels interessats.
Seria convenient que el centre informara els familiars de la seua responsabilitat en cas que les imatges foren divulgades en els entorns oberts que s’acaben d’indicar.
– Encara que uns familiars es neguen al fet que es prenguen imatges del seu fill o filla en un esdeveniment en el centre educatiu, no s’ha de cancel·lar l’esdeveniment ni prohibir-lo. S’ha d’informar els pares, mares o tutors que la presa de fotografies i vídeos és possible com a activitat familiar, exclusivament per a ús personal i domèstic, i que està exclosa de l’aplicació de la normativa de protecció de dades."
4.3. Enregistrament d’imatges d’activitats dutes a terme fora del centre escolar
"L’enregistrament d’imatges fora del recinte escolar pels centres requereix el consentiment de les persones implicades, o dels pares o tutors, sempre que no es realitze en l’exercici de la funció educativa.
Si l’enregistrament el realitzen tercers, per exemple els responsables de l’empresa, museu, exposició o club esportiu que s’estiga visitant, o en el qual es desenvolupe una activitat esportiva, serà obligació d’aquests tercers disposar del consentiment de les persones implicades, que podran haver-lo obtingut a través del centre."
5. Tractament de dades en internet
5.1. Utilització de plataformes educatives
"D’acord amb l’Ordre 19/2013 sobre normes sobre l’ús segur de mitjans tecnològics en l’Administració de la Generalitat, queda prohibit transmetre o allotjar informació pròpia de l’Administració de la Generalitat en sistemes d’informació externs (per exemple, en el núvol), excepte autorització expressa de la conselleria competent en matèria d’educació, que verificarà el corresponent acord de confidencialitat, i sempre amb l’anàlisi prèvia dels riscos associats a aquesta externalització.
Per tant, hauran d’emprar-se les eines educatives que pose a la disposició dels centres la conselleria competent en matèria d’educació."
5.2. Publicació de dades en la web dels centres
"Habitualment, les webs dels centres educatius contenen informació referida a les seues característiques, la seua organització, les matèries que imparteix, les activitats que du a terme, els serveis que ofereix, les relacions amb altres centres, i per a això, de vegades, inclouen informació de caràcter personal sobre la direcció, el professorat i l’alumnat."
5.2.1. Publicació en la web de les dades del professorat, tutors i altres responsables del centre
"– Si es tracta d’una web en obert, caldria comptar amb el seu consentiment previ atés que es tracta d’una comunicació de dades a les quals pot accedir qualsevol persona de manera indiscriminada i no és necessària per a l’exercici de la funció educativa encomanada als centres.
– Si la informació està restringida a l’alumnat del centre i als seus familiars o tutors, es pot publicar, si bé caldria informar els docents i, en cas d’incloure l’adreça de correu electrònic per a contacte, que siguen les corporatives i no les adreces personals que tinga el professorat en l’àmbit educatiu."
5.2.2. Publicació en la web de dades de l’alumnat
"El centre pot publicar informació relativa a l’alumnat, com fotografies o vídeos, sempre que es dispose del consentiment de l’alumnat implicat o dels seus pares, mares o tutors.
La pàgina web del centre ha d’estar allotjada en servidors de la Generalitat Valenciana.
També podria dur-se a terme de manera que no es poguera identificar els alumnes, per exemple pixelant les imatges.
Seria possible la seua publicació quan responga a determinats esdeveniments realitzats en l’entorn escolar, amb l’única finalitat que els familiars puguen tindre-hi accés. Aquest accés hauria de dur-se a terme sempre en un entorn segur que exigisca la identificació i autenticació prèvies de l’alumnat, mares, pares o tutors –per exemple en una àrea restringida de la intranet del centre–, i s’hauria de limitar a la informació corresponent a esdeveniments en els quals la persona concreta haja participat. En tot cas, caldria recordar als qui accedeixen a la informació que no poden, al seu torn, divulgar-la de forma oberta."
5.3. Publicació de dades en xarxes socials
"La publicació de dades personals en xarxes socials per part dels centres educatius requereix comptar amb el consentiment inequívoc de les persones implicades, a les quals caldrà informar prèviament de manera clara de les dades que es publicaran, en quines xarxes socials, amb quina finalitat, qui pot accedir a les dades, així com de la possibilitat d’exercitar els seus drets d’accés, rectificació, cancel·lació i oposició."
8. Tractament de dades per les AMPA
ANNEX II. Marc normatiu
ANNEX IV. Models amb exemples de registre de les activitats de tractament de dades
ANNEX V. Model de sol·licitud de consentiment per a la recollida de dades
ANNEX VI. Model de cartell d’avís per a la captació d’imatges per mares, pares o familiars"
Per a més detall...
Gestió administrativa: alumnat - Protecció de dades
en http://www.gestoreducatiu.gva.es/