Coordinación TIC - Normativa TIC
11.3. Uso de plataformas informáticas en los centros educativos públicos de titularidad de la Generalitat
1. La Generalitat Valenciana, a través de la dirección general competente en materia de tecnologías de la información y de las comunicaciones, dispondrá las plataformas, los servicios con carácter instrumental (software de oficina, de videoconferencia, de trabajo colaborativo...) y en general las herramientas más adecuadas para usar en los centros educativos de titularidad de la Generalitat, según la Orden 19/2013 sobre normas para la utilización segura de medios tecnológicos en la Administración de la Generalitat.
Por lo tanto, como norma general, tendrán que emplearse las herramientas que la conselleria competente en materia de educación ponga a disposición de los centros. Además, el artículo 5.4 de la mencionada Orden 19/2013 establece que cualquier externalización del tratamiento requiere la suscripción de un contrato expreso entre la conselleria competente en materia de educación, como responsable del tratamiento, y la empresa responsable de la prestación del servicio, como encargada del tratamiento, que en este caso serían las empresas propietarias de estas plataformas. La obligatoriedad de este contrato por encargo, así como sus condiciones, se encuentra especialmente especificada en el artículo 28 del Reglamento general de protección de datos (RGPD).
Según la Orden 19/2013, queda prohibido transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos (como es el caso de los servicios en nube o on cloud), salvo que haya una autorización expresa de la conselleria competente en materia de educación después del análisis de los riesgos asociados a esta externalización, en especial sobre los siguientes aspectos:
– Las comunicaciones tienen que cifrar los datos de extremo a extremo.
– La ubicación de los datos tiene que estar en el Espacio Económico Europeo.
– Se tiene que comprobar el compromiso, a través de sus políticas, de no realizar un perfilado o una analítica con los datos almacenados.
– No se tiene que permitir utilizar los datos, ni siquiera anonimizados, para finalidades diferentes de las directamente relacionadas con la prestación del servicio.
2. En relación con el uso de redes sociales en el ámbito educativo, la mencionada Resolución de 28 de junio de 2018 indica que la publicación de datos personales en redes sociales por parte de los centros educativos requiere disponer del consentimiento inequívoco de las personas implicadas, a las que se tendrá que informar previamente de manera clara de los datos que se publicarán, en qué redes sociales, con qué finalidad, quien puede acceder a ellos, así como de la posibilidad de ejercer sus derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas, así como el derecho a la retirada del consentimiento previamente otorgado.
3. No requiere autorización el uso de redes sociales para el ejercicio de las competencias en materia de educación, siempre que no traten ni difundan datos personales de cuyo tratamiento sean responsables los titulares de órganos superiores o del nivel directivo de la conselleria. Tiene la condición de datos personales toda información que se pueda relacionar con una persona física identificada o identificable. Esta definición incluye, entre otros datos, imágenes, voz, códigos de identificación, calificaciones u opiniones. No obstante:
a) Está expresamente desautorizado el uso de redes sociales que incluyan cualquier tipo de publicidad o que puedan se puedan utilizar para una finalidad diferente de la misma comunicación.
b) Cuando se utilizan estos medios, los centros educativos tienen que informar a las familias y a los alumnos y alumnas mayores de 14 años sobre el uso seguro de las redes sociales, de los derechos y las obligaciones de los intervinientes, así como de la exención de responsabilidad de la conselleria en estas aplicaciones.
c) Cuando los datos personales del alumnado, incluyendo fotografías o vídeos, sean proporcionados por terceros u otros miembros de la comunidad educativa, sin mediación del titular de los datos (los alumnos y alumnas mayores de 14 años, o quien ejerza la representación legal del menor), se tiene que garantizar que se dispone de la autorización expresa y concreta de uso, o la asunción de responsabilidad por el cedente.
4. Cualquier tratamiento de datos de carácter personal tiene que cumplir con lo previsto en la normativa vigente en la materia y, en particular, con las obligaciones de información a las personas afectadas por los tratamientos y transparencia sobre estas. Además, tienen que ceñirse a las finalidades específicas previstas en su creación y tienen que haberse publicado en los correspondientes registros de actividades de tratamiento (RAT).
El órgano de información y asesoramiento de la Generalitat en materia de protección de datos de Protección de Datos (http://participacio.gva.es/es/web/participacio/contacto), a cuyo delegado se pueden dirigir las personas interesadas para preguntar todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del Reglamento general de protección de datos. En cuanto a la forma de ejercer los derechos, se puede consultar más información en el siguiente enlace:
https://www.gva.es/es/inicio/procedimientos?id_proc=19970
5. Sobre la utilización de aplicaciones de mensajería por parte del
profesorado para la comunicación con el alumnado, el punto 3.2.7 de la
mencionada Resolución de 28 de junio de 2018 indica que, con carácter
general, las comunicaciones entre el profesorado y el alumnado tienen que
tener lugar dentro del ámbito de la función educativa y no llevarse a cabo
a través de aplicaciones de mensajería instantánea. Si hay que establecer
canales específicos de comunicación, tienen que emplearse los medios y
las herramientas establecidos por la conselleria competente en materia de
educación y puestos a disposición del alumnado y profesores o por medio
del correo electrónico. Así mismo, cuando la comunicación tenga lugar
entre el profesor y quien ejerza la representación legal del alumno o alumna,
el punto 3.2.8 señala que las comunicaciones tienen que llevarse a cabo a
través de los medios puestos a disposición de los dos por el centro educativo
o la conselleria competente en materia de educación.
6. Los tratamientos de datos personales mediante aplicaciones informáticas móviles, conocidas como app, tienen que incluirse en la política de seguridad del centro, como mínimo con las mismas garantías que cualquier otro tratamiento, tal como indica el Informe sobre la utilización por parte del profesorado y del alumnado de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas, publicado por la Agencia Española de Protección de Datos (https://www.aepd.es/media/guias/guia-orientaciones-apps-datos-alumnos.pdf).
Tal como indica este informe, las aplicaciones que contienen más datos personales del alumnado son los cuadernos de notas de los docentes, que contienen su progreso y sus calificaciones. Por lo tanto, cualquier aplicación que incluya la identificación del alumnado puede llevar a la elaboración de perfiles según las funcionalidades y la tipología de los datos recopilados. Con los hábitos de navegación, junto con los datos de otros usuarios con quienes contacta y su comportamiento educativo, se pueden crear perfiles del usuario susceptibles de ser tratados sin el consentimiento del usuario, con la excusa de la mejora del funcionamiento del servicio. Los usuarios se pueden clasificar fácilmente según su actividad, en función de las acciones que realizan, o incluso el tiempo que tardan en realizarlas. Hay que tener en cuenta que las aplicaciones de instalación no asistida en dispositivos móviles inteligentes son capaces de acceder a gran cantidad de datos de carácter personal almacenados en el mismo dispositivo, como por ejemplo el número de identificación del terminal, la agenda de contactos, imágenes o vídeos. Además, estas aplicaciones pueden acceder a los sensores del dispositivo y permiten obtener la ubicación geográfica, capturar fotos, vídeo o sonido.
Por todo esto, no se podrán utilizar las plataformas informáticas o aplicaciones informáticas móviles (conocidas como app), diferentes de las que ponga a disposición o autorice la conselleria competente en materia de educación, que tengan como finalidad:
a) Tanto la comunicación con las familias como con el alumnado.
b) El seguimiento del alumnado a través de cuadernos de notas de progreso y su calificación.
"ANEXO I. Manual informativo en materia de protección de datos para los centros educativos públicos
3.3. Publicación de datos
4. Tratamiento de las imágenes de los alumnos
"– Si la grabación de las imágenes se produjera por el centro escolar con fines educativos, como trabajos escolares o evaluaciones, el centro o la conselleria competente en materia de educación estarían legitimados para dicho tratamiento sin necesidad del consentimiento del alumnado o de sus familiares o tutores.
– Cuando la grabación de las imágenes no se corresponda con dicha función educativa, sino que se trate de imágenes de acontecimientos o eventos que se graban habitualmente con fines de difusión en la revista escolar o en la web del centro, se necesitará contar con el consentimiento de las personas interesadas, a quienes se habrá tenido que informar con anterioridad de la finalidad de la grabación, en especial de si las imágenes van a estar accesibles de manera indiscriminada o limitada a la comunidad escolar.
Por otra parte, es muy frecuente que los familiares del alumnado tomen fotografías y graben vídeos en eventos festivos, conmemorativos, deportivos o de otra índole, en los que participa el alumnado.
En estos casos la grabación de las imágenes suele corresponder a una actividad exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de protección de datos."
4.1. Grabación de imágenes durante actividades escolares
"Cabría distinguir entre la toma de imágenes como parte de la función educativa –en cuyo caso los centros estarían legitimados para ello– de las grabaciones que no responderían a dicha función, por ejemplo, la difusión del centro y de sus actividades, para lo que se deberá disponer del consentimiento de las personas implicadas o de sus padres o tutores.
También sería posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar para la única finalidad de que las madres, padres o tutores pudieran tener acceso a ellas. Este acceso a las imágenes debería siempre llevarse a cabo en un entorno seguro que exigiera la previa identificación y autenticación del alumnado o sus familiares –por ejemplo, en un área restringida de la intranet del centro–, limitándose a las imágenes correspondientes a eventos en los que el alumnado concreto hubiera participado. En todo caso, sería preciso recordar a quienes acceden a las imágenes que no pueden, a su vez, proceder a su divulgación de forma abierta.
El profesorado, en el desarrollo de la programación y enseñanza de las áreas, materias y módulos que tengan encomendados, pueden disponer la realización de ejercicios que impliquen la grabación de imágenes, normalmente del propio alumnado, que solamente deberán estar accesibles para el alumnado involucrado en dicha actividad, sus familiares o tutores y el profesorado correspondiente.
Es decir, en ningún caso el mero hecho de realizar la grabación supone que la misma se pueda difundir de forma abierta en internet y que se pueda acceder de manera indiscriminada. En estos casos el responsable del tratamiento es el propio centro o la conselleria competente en materia de educación."
4.2. Grabación y difusión d imágenes en eventos organizados y celebrados en los centros educativos
"– Los familiares del alumnado que participan en un evento abierto a las familias pueden grabar imágenes del evento siempre y cuando se trate de imágenes captadas exclusivamente para su uso personal y doméstico, pues en ese caso esta actividad está excluida de la aplicación de la normativa de protección de datos.
Si las imágenes captadas por los familiares se difundieran fuera del ámbito privado, familiar y de amistad, por ejemplo mediante su publicación en internet accesible en abierto, los familiares asumirían la responsabilidad por la comunicación de las imágenes a terceros que no podrían realizar salvo que hubieran obtenido el consentimiento previo de los interesados.
Sería conveniente que el centro informase a los familiares de su responsabilidad en caso de que las imágenes fueran divulgadas en los entornos abiertos que acaban de señalarse.
– Aunque unos familiares se nieguen a que se tomen imágenes de su hijo o hija en un evento en el centro educativo, no se debe cancelar dicho evento ni prohibir. Se ha de informar a los padres, madres o tutores que la toma de fotografías y vídeos es posible como actividad familiar, exclusivamente para uso personal y doméstico, que está excluida de la aplicación de la normativa de protección de datos."
4.3. Grabación de imágenes de actividades desarrolladas fuera del centro escolar
"La grabación de imágenes fuera del recinto escolar por los centros requiere el consentimiento de las personas implicadas, o de sus madres, padres o tutores, siempre que no se realice en ejercicio de la función educativa.
Si la grabación se realiza por terceros, por ejemplo, por los responsables de la empresa, museo, exposición o club deportivo que se esté visitando, o en el que se desarrolle una actividad deportiva, será obligación de estos terceros disponer del consentimiento de las personas implicadas que habrán podido recabar a través del centro."
5. Tratamiento de datos en internet
5.1. Utilización de plataformas educativas
"De acuerdo con la Orden 19/2013 sobre normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat, queda prohibido, transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos (por ejemplo, on cloud), salvo autorización expresa de la conselleria competente en materia de educación, verificando el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal
externalización.
Por tanto, deberán emplearse las herramientas educativas que ponga a disposición de los centros la conselleria competente en materia de educación."
5.2. Publicación de datos en la web de los centros
"Habitualmente las webs de los centros educativos contienen información referida a sus características, su organización, las materias que imparte, las actividades que desarrolla, los servicios que ofrece, las relaciones con otros centros, para lo que en ocasiones incluyen información de carácter personal sobre la dirección, el profesorado y el alumnado."
5.2.1. Publicación en la web de los datos del profesorado, tutores y otros responsables del centro
"– Si se trata de una web en abierto, sería necesario contar con su consentimiento previo dado que se trata de una comunicación de datos a los que puede acceder cualquier persona de manera indiscriminada y no resulta necesaria para el ejercicio de la función educativa encomendada a los centros.
– Si la información está restringida al alumnado del centro y a sus familiares o tutores se puede publicar, si bien se debería informar a los docentes y, en caso de incluir la dirección de correo electrónico para contacto, que sean las corporativas y no las personales que tenga el profesorado en el ámbito educativo."
5.2.2. Publicación en la web de datos del alumnado
"El centro puede publicar información relativa al alumnado, como fotografías o vídeos, siempre que se disponga del consentimiento del alumnado implicado o de sus padres, madres o tutores.
La página web del centro desde estar alojada en servidores de la Generalitat Valenciana.
También podría llevarse a cabo de manera que no se pudiera identificar a los alumnos, por ejemplo, pixelando las imágenes.
Sería posible su publicación cuando responda a determinados eventos desarrollados en el entorno escolar con la única finalidad de que los familiares pudieran tener acceso a ella. Este acceso debería llevarse a cabo siempre en un entorno seguro que exigiera la previa identificación y autenticación del alumnado, madres, padres o tutores (por ejemplo, en un área restringida de la intranet del centro), limitándose a la información correspondiente a eventos en los que la persona concreta haya participado. En todo caso, sería preciso recordar a quienes acceden a la información que no pueden, a su vez, proceder a su divulgación de forma abierta."
5.3. Publicación de datos en redes sociales
"La publicación de datos personales en redes sociales por parte de los centros educativos requiere contar con el consentimiento inequívoco de las personas implicadas, a las que habrá que informar previamente de manera clara de los datos que se van a publicar, en qué redes sociales, con qué finalidad, quién puede acceder a los datos, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición."
8.Tratamiento de datos por las AMPA
ANEXO II. Marco normativo
ANEXO IV. Modelos con ejemplos de registro de las actividades de tratamiento de datos
ANEXO V. Modelo de solicitud de consentimento para la recogida de datos
ANEXO VI.Modelo de cartel de aviso para la captación de imágenes por madres, padres o familiares"
Para más detalle...
Gestión administrativa: alumnado - Protección de datos
en http://www.gestoreducatiu.gva.es/