El objeto de este Post no es proporcionar los conocimientos necesarios para hacer una implantación de Protección de Datos en su Colegio. Creemos que eso es una labor para una empresa o consultor profesional, pues el asunto es muy importante, los cambios grandes y las sanciones elevadas
El objeto de este Post es proporcionar una información general para que sepáis los cambios en la cultura del Centro que hay que acometer. La adecuación a la nueva Ley ya no es un simple papeleo, sino que se trata de algo más complejo, ya que en 20 años el mundo de la información ha cambiado totalmente y la Ley no podía ser menos.
En el año 2018 hemos tenido dos grandes cambios en lo que se refiere a la legislación de Protección de Datos: en el mes de mayo entro en vigor el Reglamento General de Protección de Datos (RGPD) que rige en toda la Unión Europea y en diciembre entra en vigor la Nueva Ley de Protección de Datos Española. Por tanto si en este año 2019 no se ha realizado cambios importantes en la adecuación a la nueva Ley es seguro que no se está cumpliendo con la misma. Ya explicamos en un post anterior el funcionamiento de la Ley antigua: Ley de Protección de Datos
El RGPD trata de instaurar una nueva conciencia colectiva en materia de protección de datos dejando claro que es el propio ciudadano quien tiene la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como decidir sobre las finalidades con las que puede ser tratada su información y con quién puede ser compartida. Por tanto, el primer objetivo del RGPD era que el propio ciudadano tuviera conciencia de donde estaban siendo tratados sus datos obligando a las empresas a establecer unas políticas de privacidad en un lenguaje claro y sencillo.
Ademas ahora todos los procesadores de datos, aunque no residan en Europa, pero traten datos de europeos, deben de cumplir la normativa de protección de datos Europea, afectando a empresas como Google, Facebook e infinidad de compañías americanas que a veces utilizamos para multitud de gestiones y soluciones de comunicación con alumnos y familias. Normalmente estas empresas ya han hecho sus deberes en este sentido pero estos procesos tenemos que reflejarlos en el RAT.
Por eso, ahora, mas que nunca, se está haciendo necesario aglutinar las herramientas que se utilizan en el colegio en plataformas que nos faciliten esas funcionalidades y que a su vez sean proveedores que nos den garantías en materia de protección de datos.
Con el RGPD se reducen de 5 a 3 los requisitos informativos: Ahora hay que informar en un primer momento del responsable del tratamiento, informar también de la finalidad concreta y de los derechos que le asisten.
Ya no es necesario registrar los ficheros como en la Ley de 1999, de hecho ya no se habla de ficheros, sino de tratamiento de los datos y del Registro del Tratamiento de los Datos (RAT) donde se describan los tratamientos que se realizan y las medidas de seguridad que se aplican
Las medidas de seguridad dependerán esencialmente del nivel de riesgo que entrañan esos tratamientos y del tipo de información que se trate sin importar el volumen de datos por ejemplo.
Documentos Necesarios
- Registro de actividades del tratamiento (RAT)
Se trata de un documento interno que define todos los tratamientos que realizas y las medidas de seguridad que se aplican. Es obligatorio y debe de estar actualizado y a disposición de la Agencia de Protección de Datos.
- Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta
Esto es algo básico para responder a los derechos que tienen los ciudadanos sobre su información personal, derechos a acceder, rectificar, limitar, oponerse o suprimir la información que le pertenece. Hay que poder atender estas demandas en tiempo y su negativa implica infracción grave.
- Establecer protocolos de declaración de brechas
El RGPD exige que siempre que tengas conocimiento de una brecha de seguridad que exponga información personal de otros tratada bajo tu responsabilidad debes poner en conocimiento de esa brecha a la agencia de protección de datos y a los propios afectados; es decir, debes comunicar a esas personas que sus datos han sufrido un ataque para que tomen las medidas necesarias (cambiar contraseñas, etc.).
Para hacer todo esto bien, debes contar con modelos para notificar oficialmente a ambos, autoridad y afectados.
- Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores
Una cuestión básica es informar a todas las personas que tienen acceso a información de terceros sobre sus obligaciones y responsabilidad respecto al tratamiento de datos que realizan. Se refiere sobre todo a los empleados que tienen acceso a la información. En este sentido, además del personal de administración es importante dar formación en este sentido a los profesores que muchas veces utilizan herramientas tipo Blog que pueden contener datos de carácter personal.
- Contratos de encargo de tratamiento con terceros
Es necesario regular las relaciones con los encargados de tratamientos, es decir, personas o autónomos con los que compartes información personal del que eres responsable; por ejemplo, tu gestoría, tu webmaster, la empresa de mensajería, o la empresa de la plataforma de gestión y comunicación con las familias
El RGPD exige que se elija solo a aquellos que ofrezcan las máximas garantías de tratamiento y, para ello, deben firmar un contrato que exprese los límites en el tratamiento y los deberes y obligaciones respecto a esos datos.
A diferencia de la antigua LOPD, el RGPD exige mayor diligencia en la contratación de colaboradores y la exigencia de garantías; antes valía solo con el contrato.
- Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios
Ahora se debe debe de incluir estas cláusulas en los lugares de captura de datos personales, en función de la finalidad de la información recogida.
La transparencia informativa es una pieza clave en el RGPD; se exigen nuevos mecanismos de información previa al tratamiento, esto obligará a revisar todos tus sistemas de captura, tanto online como offline y asegurarte que informas correctamente, es decir, en una primera y segunda “capa”, lo que quiere decir en diferentes momentos de la recogida de datos
También se debe de garantizar que el consentimiento está presente en los casos en los que es preciso, por ejemplo, en los tratamientos de datos de personas en donde no exista otra base legal que legitime el tratamiento. Una campañas de marketing o unas jornadas de puertas abiertas donde se recabe información, no tiene esa base legal para el tratamiento y por tanto debe de haber un consentimiento expreso y claro.
- Adaptar tu página web a todas las exigencias del RGPD y la nueva LOPD
La web del centro deberá de disponer de algunos textos básicos:
- Política de privacidad.
- Aviso Legal
- Política de cookies.
- Primeras capas informativas en cada formulario.
Es importante entender que tener la adecuación a la Ley no es hacer un trámite ni tener textos, sino que requiere una cultura de protección de datos en todas las decisiones del centro
En la segunda entrega de este Post completaremos la información relativa a esta extensa normativa para explicar algunos conceptos como dato personal, que es un tratamiento, responsable y encargado del tratamiento, datos especiales, transferencias internacionales, derecho al olvido o las sanciones.