COMPETENCIAS DIGITALES II

Marco Normativo de Protección de Datos

RGPD (Reglamento General de Protección de Datos)

El Reglamento General de Protección de Datos es el marco legal fundamental en la Unión Europea:

• Entrada en vigor: 25 de mayo de 2016

• Aplicación obligatoria: 25 de mayo de 2018

• Sanciones máximas: Hasta 20.000.000 euros o el 4% de la facturación mundial anual, lo que sea mayor

• Ámbito: Aplicación directa y de obligado cumplimiento en todos los estados miembros

LOPDGDD (Ley Orgánica de Protección de Datos)

La Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales es la legislación nacional complementaria:

• Denominación oficial: Ley 3/2018, de 5 de diciembre

• Entrada en vigor: 6 de diciembre de 2018

• Sanciones máximas: Hasta 600.000 euros

• Función: Desarrolla y adapta el RGPD al ordenamiento jurídico español

Aspectos Clave de la Normativa

Es fundamental comprender los siguientes principios aplicables a protección de datos:

• No es absolutamente proteccionar datos: debe balancearse con derechos como la información y libertad de expresión

• Excepción doméstica: Ciertos tratamientos realizados en contexto familiar o personal tienen límites de aplicación diferentes

• Aplicabilidad limitada: La protección de datos se aplica únicamente a datos de personas físicas identificadas o identificables

• La buena fe no excusa: El cumplimiento normativo es obligatorio independientemente de intenciones

• Responsabilidad colectiva: El cumplimiento de protección de datos es responsabilidad de toda la organización

• Accountability (Responsabilidad Proactiva): Las organizaciones deben documentar y demostrar su cumplimiento permanentemente

• Consecuencias económicas severas: Las sanciones pueden ser extremadamente elevadas, requiriendo cumplimiento riguroso

Protagonistas y Actores en Protección de Datos

Responsable del Tratamiento

El Responsable del Tratamiento es la persona física o jurídica que determina los fines y medios del tratamiento de datos personales. En el contexto educativo, suele ser el centro escolar o la administración educativa. Sus obligaciones incluyen:

• Determinar qué datos se recogen y cómo se utilizan

• Cumplir con todos los principios de protección de datos

• Documentar todas las operaciones de tratamiento

• Responder ante las autoridades de control

• Garantizar los derechos de los interesados

Interesado

El Interesado es toda persona física cuyos datos personales son tratados. Posee derechos fundamentales como:

• Derecho a ser informado

• Derecho de acceso a sus datos

• Derecho a la rectificación

• Derecho al olvido

• Derecho a la portabilidad de datos

Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos es un profesional especializado que:

• Nombramiento: Obligatorio para colegios según LOPDGDD

• Funciones principales: Asesorar sobre cumplimiento y velar por su implementación

• Independencia: Debe actuar con autonomía respecto a intereses organizativos

• Registro: Su nombramiento debe comunicarse a la Agencia Española de Protección de Datos (AEPD)

• Punto de contacto: Sirve como intermediario entre la organización y autoridades de control

Encargado del Tratamiento

El Encargado del Tratamiento es quien trata datos personales por cuenta del Responsable, pero sin determinar sus fines o medios. Actúa bajo instrucciones específicas y:

• No puede tomar decisiones autónomas sobre tratamiento

• Debe garantizar seguridad mediante medidas técnicas y organizativas

• Responde ante el Responsable del Tratamiento

• Es común en servicios externalizados (proveedores, consultores)

Definiciones Fundamentales

Datos Personales

Datos personales se definen como toda información sobre una persona física identificada o identificable (el interesado). Una persona se considera identificable cuando su identidad puede determinarse, directa o indirectamente, mediante:

• Nombre completo

• Número de identificación (DNI, NIF, pasaporte)

• Datos de localización (dirección, coordenadas GPS)

• Identificadores en línea (dirección de correo, usuario de red social, dirección IP)

• Elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social

Ejemplo práctico: Una lista de calificaciones sin nombres es anonimizada, pero si contiene números de lista que permiten identificar al estudiante en una clase específica, constituye datos personales.

Tratamiento de Datos

Tratamiento es cualquier operación realizada sobre datos personales, ya sea automatizada o no. Incluye:

• Recogida: obtención de datos (formularios, observación)

• Registro: documentación sistemática

• Organización y estructuración: clasificación lógica

• Conservación: almacenamiento seguro

• Adaptación o modificación: cambios o correcciones

• Extracción: búsqueda de información específica

• Consulta: acceso a la información

• Utilización: procesamiento para fines específicos

• Comunicación por transmisión: envío a terceros

• Difusión: puesta a disposición pública

• Cotejo o interconexión: comparación o combinación de datos

• Limitación, supresión o destrucción: restricción o eliminación

Contexto educativo: Registrar calificaciones en el expediente académico es tratamiento de datos. Enviarlas a un padre es comunicación. Eliminarlas después del período de conservación es supresión.

Datos Relativos a la Salud

Datos relativos a la salud son datos personales que revelan información sobre la salud física o mental de una persona física, incluyendo prestación de servicios de atención sanitaria. Son considerados datos especiales que requieren:

• Mayor nivel de protección

• Restricciones más severas en tratamiento

• Consentimiento explícito en la mayoría de casos

• Justificación legal clara

Ejemplos en educación: Registros de vacunación, diagnósticos de trastornos de aprendizaje, medicaciones, alergias, informes psicológicos.

Consentimiento del Interesado

Consentimiento se define como toda manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el interesado acepta el tratamiento de sus datos. Debe cumplir características esenciales:

• Libre: Sin coerción, presión o influencia indebida

• Específico: Para cada finalidad concreta, no genérico

• Informado: Tras recibir información clara sobre qué se va a hacer

• Inequívoco: Expresión clara de voluntad mediante acción afirmativa

Nota importante: El silencio o la inactividad NO constituyen consentimiento. Se requiere una acción positiva.

Principios Rectores del Tratamiento de Datos

1. Licitud, Lealtad y Transparencia

El tratamiento debe ser:

• Lícito: Conforme a ley, con base jurídica clara

• Leal: Sin engaño ni prácticas desleales

• Transparente: Informando claramente a los interesados sobre qué se hace con sus datos

2. Limitación de la Finalidad

Los datos personales deben ser:

• Recogidos con fines determinados, explícitos y legítimos

• No tratados ulteriormente de manera incompatible con dichos fines originales

• Excepción: El tratamiento posterior con fines de archivo en interés público, investigación científica e histórica, o estadísticas no se considera incompatible

Ejemplo: Los datos recogidos para gestión académica no pueden usarse sin consentimiento adicional para marketing o publicidad, salvo en contextos específicos de investigación educativa.

3. Minimización de Datos

Los datos deben ser:

• Adecuados: Pertinentes y relevantes para los fines

• Pertinentes: Relacionados directamente con la finalidad

• Limitados: Solo lo necesario para lograr los objetivos

Aplicación práctica: Para evaluar académicamente a un estudiante, no es necesario recopilar datos sobre sus preferencias políticas o historial médico completo.

4. Exactitud

Los datos personales deben ser:

• Exactos: Correctos y verificables

• Actualizados: Mantenidos al día cuando sea necesario

• Rectificados: Se deben adoptar medidas razonables para suprimir o corregir datos inexactos sin demora

5. Limitación del Plazo de Conservación

Los datos deben ser:

• Mantenidos de forma que permita la identificación de los interesados durante no más tiempo que el necesario

• Excepciones permitidas: Conservación más larga cuando se trata exclusivamente para archivo en interés público, investigación científica/histórica, o estadísticas

• Protección durante conservación: Medidas técnicas y organizativas apropiadas aunque se mantengan los datos

En educación: Expedientes académicos pueden conservarse durante años (hasta prescripción legal), pero datos de evaluaciones antiguas pueden ser destruidos cuando cumplen su finalidad.

6. Integridad y Confidencialidad

Los datos deben ser:

• Tratados con seguridad adecuada mediante protección física, técnica y administrativa

• Protegidos contra: Tratamiento no autorizado, acceso ilícito, pérdida, destrucción o daño accidental

• Implementadas: Medidas técnicas (encriptación, cortafuegos) y organizativas (políticas de acceso, formación)

Bases Jurídicas para el Tratamiento de Datos

El tratamiento de datos debe tener una base legal clara. Las seis bases jurídicas posibles son:

1. Consentimiento

El interesado ha dado consentimiento explícito y específico para el tratamiento. Características:

• Debe ser informado, libre e inequívoco

• Puede ser retirado en cualquier momento

• Es la menos recomendable para instituciones públicas

• Debe documentarse para demostrar su existencia

2. Relación Contractual o Medidas Precontractuales

El tratamiento es necesario para ejecutar un contrato o medidas previas a su celebración. En educación:

• Inscripción de estudiante (necesario recabar datos identificativos)

• Gestión de matrícula (datos de facturación)

• Prestación del servicio educativo (calificaciones, asistencia)

3. Obligación Legal

El tratamiento es requerido por una ley aplicable. Ejemplos en educación:

• Mantener registros de vacunación (obligación sanitaria)

• Reportar datos a administraciones educativas

• Cumplir auditorías administrativas

4. Proteger Intereses Vitales

El tratamiento es necesario para proteger intereses vitales del interesado u otra persona. Se usa raramente:

• Situaciones de emergencia sanitaria

• Protección de menores en riesgo

• Prevención de daños graves

5. Misión en Interés Público

El tratamiento es necesario para cumplir una misión en interés público o ejercicio de autoridad oficial. Aplicable a:

• Centros educativos públicos en gestión académica

• Administraciones educativas

• Servicios de bienestar social escolar

6. Interés Legítimo

El tratamiento es necesario para fines de intereses legítimos perseguidos por el responsable o terceros, salvo que prevalezcan derechos del interesado. Requiere:

• Evaluación de impacto de privacidad (cuando es dudoso)

• Balanceo de intereses: beneficio vs. afectación de derechos

• Documentación clara del interés legítimo

Ejemplo en educación: Usar datos de estudiantes para mejorar sistemas de detección de acoso escolar podría basarse en interés legítimo (protección de menores), siempre que no se afecten desproporcionadamente sus derechos.

Accountability: Responsabilidad Proactiva

Concepto Fundamental

Accountability significa que el Responsable del Tratamiento es responsable del cumplimiento de todos los principios de protección de datos y debe ser capaz de demostrarlo. No es suficiente cumplir; es necesario documentar y probar el cumplimiento.

Requisitos de Accountability

• Documentación obligatoria: Registros del tratamiento de datos, decisiones tomadas, medidas implementadas

• Trazabilidad: Poder reconstruir qué se hizo, cuándo y por qué

• Evaluaciones de impacto: Análisis de riesgos de privacidad para tratamientos de alto riesgo

• Políticas y procedimientos: Documentación de procesos internos

• Registros de cumplimiento: Evidencia de formación, auditorías, incidentes

• Respuesta a derechos: Documentación de cómo se responden solicitudes de interesados

Responsabilidad Proactiva vs. Reactiva

La diferencia fundamental es:

• Proactiva (nueva, Accountability): Anticipar problemas, implementar medidas antes de que ocurran, documentar preventivarmente

• Reactiva (antigua): Responder solo cuando se produce una infracción o denuncia

El RGPD exige el modelo proactivo, lo que supone un cambio fundamental en la gestión de protección de datos en centros educativos.

Deber de Información: Las Seis Capas de Información Obligatoria

Principio General

El Responsable del Tratamiento debe informar SIEMPRE a los interesados sobre seis aspectos fundamentales. Esta información se estructura en dos capas:

• Primera capa (resumida): Información básica para comprensión inicial

• Segunda capa (detallada): Información adicional para comprensión completa

1. Responsable del Tratamiento

Información básica: Identidad clara del Responsable del Tratamiento

Información adicional:

• Datos de contacto completos del Responsable (dirección, teléfono, correo)

• Identidad y datos de contacto del representante (si existe)

• Datos de contacto del Delegado de Protección de Datos (DPO)

Ejemplo de información clara: "Centro Educativo 'X', representado por su Director/a, NIF XXX-X, domiciliado en [dirección], teléfono [número], correo [email]. DPO: [datos de contacto]"

2. Finalidad del Tratamiento

Información básica: Descripción sencilla de los fines del tratamiento, incluyendo si se realiza elaboración de perfiles

Información adicional:

• Descripción ampliada de todos los fines

• Plazos de conservación de los datos específicos para cada fin

• Criterios para determinar duración de conservación

• Decisiones automatizadas, elaboración de perfiles y lógica aplicada

Ejemplo educativo: "Sus datos se utilizan para: (1) gestión académica y evaluación, conservados mientras esté matriculado y 5 años adicionales; (2) comunicaciones con familias, conservados durante el curso académico actual"

3. Legitimación del Tratamiento

Información básica: Base jurídica del tratamiento (una de las seis bases mencionadas)

Información adicional:

• Detalle específico de la base jurídica elegida

• En caso de obligación legal: referencia a la ley aplicable

• En caso de interés público: descripción de la misión o autoridad

• En caso de interés legítimo: descripción del interés balanceado contra derechos

• Indicación de si es obligatorio o voluntario facilitar los datos

• Consecuencias de no facilitar los datos (si procede)

4. Destinatarios de Cesiones o Transferencias

Información básica: Previsión general de si habrá cesiones a terceros y si hay transferencias internacionales

Información adicional:

• Identificación específica o categorías de destinatarios

• Para transferencias internacionales: decisiones de adecuación de la Comisión Europea

• Garantías implementadas (normas corporativas vinculantes, cláusulas contractuales estándar)

• Situaciones específicas aplicables

• Derecho a obtener copia de garantías

Ejemplo: "Sus datos pueden ser compartidos con: (1) Administración Educativa (base legal: obligación legal); (2) Proveedores de servicios educativos (base legal: contrato)"

5. Derechos de las Personas Interesadas

Información básica: Referencia al ejercicio de derechos (ARSOPOL)

Información adicional:

• Explicación de cada derecho: acceso, rectificación, supresión, portabilidad, limitación, oposición

• Cómo ejercer cada derecho (procedimiento y contacto)

• Derecho a retirar consentimiento prestado (si aplica)

• Derecho a reclamar ante la Autoridad de Control (AEPD)

• Plazo de respuesta (1 mes)

• Procedimiento de recurso si se deniega un derecho

6. Procedencia de los Datos

Aplicable cuando: Los datos no proceden directamente del interesado

Información básica: Fuente de procedencia de los datos

Información adicional:

• Información detallada del origen exacto de los datos

• Indicación si proceden de fuentes de acceso público

• Categorías específicas de datos que se traten

• Identidad del responsable anterior (si procede)

Contexto educativo: Si datos de un estudiante proceden de un colegio anterior, se debe informar de esta procedencia.

Responsabilidad del Centro Educativo

Un centro educativo debe verificar que su página web, política de privacidad y formularios de consentimiento cumplen con todos estos requisitos de información. La omisión puede resultar en sanciones administrativas.

Derechos ARSOPOL: Los Siete Derechos Fundamentales

Marco General de Derechos

Los interesados (incluidos menores representados por sus padres) tienen siete derechos fundamentales resumidos en el acrónimo ARSOPOL:

1. Acceso

Derecho de Acceso permite al interesado:

• Solicitar confirmación de si sus datos están siendo tratados

• Obtener copia de sus datos personales

• Conocer la información sobre tratamiento (responsable, finalidad, destinatarios)

• Procedimiento: Solicitud escrita al Responsable

• Plazo de respuesta: 1 mes desde la solicitud

Limitaciones: El Responsable puede denegar acceso si afecta derechos de terceros o si la solicitud es manifiestamente infundada.

2. Rectificación

Derecho de Rectificación permite:

• Corregir datos personales inexactos o incompletos

• Solicitar actualización de información desactualizada

• No implica supresión, solo corrección

• Debe realizarse sin demora injustificada

Ejemplo: Un estudiante puede solicitar corrección de su dirección si aparece registrada incorrectamente en el sistema académico.

3. Supresión (Derecho al Olvido)

Derecho de Supresión permite solicitar la eliminación de datos cuando:

• Ya no son necesarios para la finalidad original

• Se retira el consentimiento que permitía el tratamiento

• Se niega el consentimiento y el único fundamento era ese consentimiento

• El tratamiento es ilícito

• Ha expirado el plazo de conservación

• Existe obligación legal de suprimir

Excepciones: No procede supresión si el tratamiento es necesario para:

• Cumplir obligación legal

• Ejercer función de autoridad pública

• Archivo en interés público, investigación histórica o científica

• Ejercitar derechos legales

En educación: Una vez que un estudiante se gradúa, generalmente no procede solicitar supresión de su expediente académico (obligación legal de mantenerlo), pero sí puede solicitarse para datos no esenciales.

4. Olvido (Especificidad del Derecho de Supresión)

Nota: El "olvido" es prácticamente sinónimo de supresión en esta terminología. Se menciona especialmente para destacar el derecho a que información obsoleta o no deseada sea eliminada de buscadores y bases de datos públicas.

5. Portabilidad

Derecho de Portabilidad permite al interesado:

• Obtener sus datos en formato estructurado, de uso común y legible

• Transmitir esos datos a otro responsable sin obstáculos

• Aplica cuando el tratamiento se basa en consentimiento o contrato

• No aplica a otros fundamentos (obligación legal, interés público)

Ejemplo educativo: Un estudiante puede solicitar una copia digital de sus expedientes académicos para transferirlos a otra institución.

6. Oposición

Derecho de Oposición permite:

• Oponerse al tratamiento de datos por razones relacionadas con su situación particular

• Oponerse al procesamiento con fines de marketing directo

• Solicitar cese de decisiones basadas únicamente en tratamiento automatizado

• Plazo: 1 mes para responder

Limitación importante: La oposición no siempre prospera si el Responsable demuestra intereses legítimos que prevalecen.

7. Limitación

Derecho de Limitación permite:

• Suspender temporalmente el tratamiento de datos mientras se verifica su exactitud

• Restringir el tratamiento si es ilícito pero no desea suprimirlo

• Limitar acceso cuando necesita mantener datos pero no está de acuerdo con su tratamiento

• No elimina datos, solo restringe su uso

Diferencia con supresión: Limitación mantiene datos pero con restricciones; supresión los elimina.

Características Generales de los Derechos ARSOPOL

• No son absolutos: Pueden tener excepciones legales establecidas

• Deben responderse siempre: Incluso si la respuesta es un rechazo justificado

• Plazo: Un mes desde la solicitud para responder (puede extenderse hasta 3 meses en casos complejos)

• Documentado: La respuesta debe ser escrita y fundamentada

• Verificación de requisitos: Responsable debe verificar identidad del solicitante y legitimidad de solicitud

• Gratuito: El ejercicio de derechos es gratuito en la mayoría de casos

Procedimiento Práctico en Educación

1. Estudiante/padre solicita derecho ARSOPOL (escrito dirigido al Responsable o DPO)

2. Centro recibe solicitud y verifica identidad del solicitante

3. Centro evalúa si el derecho procede en este caso específico

4. Dentro de 1 mes, Centro responde de forma motivada

5. Si se deniega, Centro explica razones y posibilidad de reclamación ante AEPD

6. Si se acepta, Centro ejecuta lo solicitado (proporciona copia, corrige, suprime, limita, etc.)

Organismos Garantes de Protección de Datos

Función General

Los organismos garantes son autoridades independientes encargadas de supervisar cumplimiento de normativa de protección de datos, resolver reclamaciones de interesados y sancionar infracciones.

Organismos Españoles

AEPD - Agencia Española de Protección de Datos

• Ámbito: Nacional, excepto Comunidades Autónomas con autoridades propias

• Funciones: Supervisión, formación, resolución de reclamaciones

• Sede: Madrid

• Sitio web: www.aepd.es

APDCAT - Agencia Catalana de Protección de Datos

• Ámbito: Cataluña

• Funciones: Autoridad de control en Cataluña

AVPD - Autoridad Vasca de Protección de Datos

• Ámbito: País Vasco

• Funciones: Supervisión y control en jurisdicción vasca

CATPD - Consejo Andaluz de Transparencia y Protección de Datos

• Ámbito: Andalucía

• Funciones: Protección de datos y transparencia administrativa

Procedimiento de Reclamación

Un interesado puede presentar reclamación ante la autoridad de control cuando:

• Sus derechos han sido vulnerados

• Se ha tratado sus datos ilícitamente

• El Responsable no ha respondido a su solicitud ARSOPOL

• Considera que hay infracción grave de protección de datos

Procedimiento:

1. Presentar reclamación ante autoridad competente (generalmente por escrito)

2. Autoridad investiga las alegaciones

3. Solicita información al Responsable imputado

4. Resuelve en plazo establecido (generalmente 3 meses)

5. Impone sanciones si procede (apercibimiento, multa, obligaciones)

Violaciones de Seguridad: Procedimientos y Obligaciones

Definición de Violación de Seguridad

Una violación de seguridad (o brecha de seguridad) es toda situación que compromete la confidencialidad, integridad o disponibilidad no autorizada de datos personales, incluyendo:

• Acceso no autorizado a datos

• Envío erróneo de información a destinatarios incorrectos

• Pérdida de dispositivos que contienen datos personales

• Eliminación accidental de datos

• Ataques cibernéticos

• Malware o software malintencionado

• Exposición accidental de datos en Internet

Notificación a la Autoridad de Control

El Responsable del Tratamiento DEBE notificar la violación a la Autoridad de Control competente con las siguientes características:

Plazo

• Sin demora: Lo más rápido posible

• Máximo: 72 horas después de conocerse la violación

• Si se supera plazo: Debe justificarse por escrito por qué se excedió

Contenido Obligatorio de la Notificación

1. Naturaleza de la violación: Descripción técnica clara de qué sucedió

   • Categorías de datos afectados (personal, académico, de salud, etc.)

   • Número aproximado de interesados afectados

   • Número aproximado de registros de datos comprometidos

2. Contacto del Delegado de Protección de Datos: Nombre, teléfono, correo para obtener más información

3. Posibles consecuencias: Impacto probable para derechos y libertades de afectados

4. Medidas adoptadas: Pasos tomados para remediar la violación, incluyendo:

   • Contención inmediata (cerrar acceso, desconectar sistemas)

   • Mitigación de daños

   • Prevención de futuras violaciones

Ejemplo de notificación inadecuada: "Se ha producido una brecha" (demasiado vago)

Ejemplo de notificación adecuada: "El servidor de calificaciones fue accedido sin autorización el 15/03/2024 a las 14:30. Datos afectados: nombres, identificadores de estudiantes (250 registros). Consecuencias: posible acceso a calificaciones de estudiantes. Medidas: se aisló servidor, se cambió contraseña, se implementó autenticación de dos factores, se revisó logs. Contacto DPO: María García, 912345678"

Comunicación al Interesado Afectado

La comunicación a interesados afectados (estudiantes, padres) es requerida cuando hay probable alto riesgo para sus derechos y libertades:

Requisitos

• Realización: Sin demora injustificada (generalmente simultáneo a notificación a autoridad)

• Contenido: Información sobre qué pasó, impacto posible, medidas de mitigación disponibles

• Tono: Claro, comprensible, sin lenguaje técnico innecesario

• Idioma: En lengua comprensible para el interesado

Excepciones: Cuándo NO es Necesaria Comunicación

La comunicación al interesado NO es requerida si:

• Medidas técnicas adecuadas implementadas: Los datos estaban encriptados u otro método criptográfico sólido, y la encriptación permanece intacta

• Medidas posteriores aseguran sin riesgo: Se adoptaron medidas subsecuentes que garantizan que el alto riesgo ya no es probable (ejemplo: congelación de cuentas, cambio de contraseña automático)

• Esfuerzo desproporcionado: La notificación supondría un esfuerzo desproporcionado (muy raramente aplicable; requiere justificación extrema)

Caso educativo: Si una base de datos de estudiantes fue accedida pero estaba completamente encriptada y los atacantes no pudieron descifrar datos, podría no requerirse notificación a estudiantes (aunque SÍ a autoridad).

Documentación de Incidentes

El centro educativo debe:

• Registrar todos los incidentes de seguridad, incluso si inicialmente parecen menores

• Mantener logs internos de qué, cuándo, quién descubrió, acciones tomadas

• Documentar decisiones: Por qué se notificó o no a autoridades/interesados

• Evaluar post-incidente: Lecciones aprendidas e mejoras implementadas

• Conservar documentación: Al menos 3 años de histórico de incidentes

Delegado de Protección de Datos en Contexto Educativo

Obligatoriedad en Colegios

Según la LOPDGDD, es obligatorio nombrar un Delegado de Protección de Datos en centros educativos. Esta es una de las diferencias principales respecto a otros tipos de organizaciones, donde puede ser voluntario.

Funciones del DPO

El Delegado de Protección de Datos tiene responsabilidades clave:

• Asesoramiento: Orientar al centro sobre cumplimiento de RGPD y LOPDGDD

• Vigilancia del cumplimiento: Supervisar que se cumplen todos los principios y obligaciones

• Punto de contacto: Actúa como intermediario entre centro, interesados y autoridades

• Cooperación con AEPD: Colabora con la autoridad de control en investigaciones

• Formación: Capacita a personal del centro en protección de datos

• Evaluaciones de impacto: Realiza análisis de riesgos para tratamientos nuevos o modificados

• Gestión de solicitudes: Asesora sobre respuesta a derechos ARSOPOL

• Incidentes de seguridad: Coordina respuesta ante violaciones de seguridad

Requisitos del DPO

El Delegado de Protección de Datos debe cumplir características específicas:

• Independencia: Actúa con autonomía, sin conflictos de interés

• Expertise: Conocimiento experto en protección de datos, legislación, tecnología

• Acceso: Tiene acceso directo a directivos y personal del centro

• Recursos: Dispone de recursos suficientes para realizar sus funciones

• Confidencialidad: Protege información sensible y comunicaciones privilegiadas

Notificación del Nombramiento

El centro educativo DEBE comunicar el nombramiento del DPO a la AEPD:

• Cómo: A través de la Sede Electrónica de la AEPD (sedeagpd.gob.es)

• Información requerida: Identidad del DPO, datos de contacto, datos del centro

• Plazo: Sin demora desde el nombramiento

• Actualización: Informar de cambios en los datos o remoción del DPO

Verificación importante: Los centros educativos pueden consultar el registro de DPOs notificados en AEPD para verificar que su colegio está registrado correctamente.

Modelo de Nombramiento

El nombramiento del DPO puede realizarse de tres formas:

1. DPO Interno: Personal del centro dedicado total o parcialmente a esta función

2. DPO Compartido: Varios centros comparten un DPO (especialmente en redes educativas)

3. DPO Externo: Consultoría o asesoría externa contratada para esta función

Recursos Educativos y Referencias de Utilidad

Material de Referencia Principal

La referencia fundamental recomendada para este curso es:

"El libro definitivo sobre las Redes Sociales: Claves para padres y educadores"

• Autor: Laura Davara Fernández de Marcos

• Editorial: Cuadernos de Pedagogía (CdP)

• Edición: 2.ª Edición, Actualizada y ampliada

• Contenido: Redes sociales, ciberacoso, protección de datos, inteligencia artificial

• Disponibilidad: Plataformas como Amazon

Recurso para el Aula: Cuentos Digitales

"El móvil que todo lo sabía: Cuentos para familias en la era digital"

• Autor: Laura Davara Fernández de Marcos

• Ilustraciones: Marta Egea Abellán

• Contenido: Historias para que menores y familias comprendan implicaciones de tecnología

• Uso recomendado: Para estudiantes de primaria y secundaria en actividades educativas

• Disponibilidad: Editorial Dykinson

Recursos En Línea Oficiales

• AEPD (Agencia Española de Protección de Datos): www.aepd.es

  • Documentos orientativos

  • Resoluciones y decisiones

  • Formularios de derechos ARSOPOL

  • Registro de DPOs notificados

• Sede Electrónica AEPD: sedeagpd.gob.es

  • Notificación de DPOs

  • Presentación de reclamaciones

  • Consultas telemáticas

Actividades Prácticas Recomendadas

Para consolidar conocimientos adquiridos:

1. Análisis de política de privacidad: Revisar política de privacidad de página web del propio colegio y evaluar cumplimiento con requisitos de información (6 epígrafes)

2. Ejercicio de derechos ARSOPOL: Solicitar acceso a datos personales propios ante institución elegida y documentar respuesta

3. Verificación de registro de DPO: Comprobar si el colegio está notificado como DPO en registro AEPD

4. Análisis de violación de seguridad: Evaluar caso hipotético de brecha y determinar procedimiento correcto de notificación

5. Resolución comentada: Analizar resoluciones reales de la AEPD sobre asuntos educativos (como Resolución PS/00008/2023)

Consideraciones Finales y Síntesis

Importancia en Contexto Educativo

La protección de datos y competencias digitales son fundamentales en educación porque:

• Datos sensibles: Los centros manejan información de menores, datos de salud, información académica muy sensible

• Responsabilidad legal: El incumplimiento genera sanciones graves (hasta 20 millones de euros)

• Modelo educativo: Los docentes son modelos de conducta digital para menores

• Protección de menores: Es responsabilidad específica de instituciones educativas cuidar datos de la población más vulnerable

• Confianza institucional: El cumplimiento fortalece confianza entre centro, familias y comunidad

Principios Rectores Generales

En toda actividad de protección de datos, deben guiar estos principios:

• Legalidad: Toda operación debe tener base legal clara

• Minimización: Recopilar solo lo estrictamente necesario

• Transparencia: Informar siempre a los interesados

• Seguridad: Implementar medidas técnicas y organizativas robustas

• Accountability: Documentar y poder demostrar cumplimiento

• Responsabilidad compartida: Todos en la institución son corresponsables

Cambios Paradigmáticos Introducidos por RGPD

El RGPD introdujo cambios fundamentales respecto a legislaciones anteriores:

• De reactivo a proactivo: Ya no es suficiente responder ante problemas; hay que prevenirlos

• De permiso a restricción: El tratamiento debe justificarse, no es permitido por defecto

• De secreto a transparencia: Los interesados deben saber qué se hace con sus datos

• De consentimiento a legitimación: No todo se justifica por consentimiento; existen otras bases

• De deberes legales a derechos fuertes: Los interesados tienen derechos potentes y exigibles

Roadmap de Implementación en Centros Educativos

Para implementar adecuadamente protección de datos, un centro debe:

1. Diagnóstico: Auditar situación actual y grado de cumplimiento

2. Nombramiento de DPO: Elegir y registrar Delegado de Protección de Datos

3. Mapeo de datos: Documentar qué datos se tratan, dónde, cómo, por cuánto tiempo

4. Evaluación de impacto: Analizar riesgos de privacidad de operaciones principales

5. Políticas y procedimientos: Documentar procesos de cumplimiento

6. Medidas técnicas: Implementar seguridad (encriptación, copias, acceso restringido)

7. Formación: Capacitar personal en protección de datos

8. Información a interesados: Proporcionar avisos de privacidad comprensibles

9. Procedimientos de respuesta: Establecer cómo responder a derechos e incidentes

10. Monitoreo continuo: Revisar y mejorar permanentemente cumplimiento

Conclusión

Las competencias digitales en educación trascienden el uso técnico de herramientas; implican comprender y respetar derechos fundamentales de las personas, particularmente de menores. La protección de datos no es un obstáculo para la educación digital, sino su fundamento ético. Un centro que cumple rigorosamente con protección de datos demuestra compromiso genuino con el bienestar y dignidad de su comunidad educativa.