Protecció de dades

Advertiment: Aquest apartat no és cap guia oficial de l'Administració educativa catalana

Anàlisi i prevenció de riscos

Espais web
Fòrums , xats i blocs
Carpetes en xarxa
Intercanvi de fitxers
Monitorització
Protecció de dades

Gestió educativa dels usos de les TIC

Carta d'usos
Autoritzacions
 

• Normativa bàsica i altres lleis relacionades

• Del marc legal a la realitat; de la realitat al marc legal

• Àmbit d’aplicació de la LOPD (art. 2.1)
• Dades personals
• Tractament de dades
• Caràcter de dret fonamental
• Subjectes
• Cessió de dades
• Publicació de dades (art. 11.2.a LOPD)
• Principis
• Deures
• Drets de les persones interessades
• Responsabilitat

Normativa bàsica i altres lleis relacionades

 a)      Normes específiques

·         Constitució espanyola art. 18 i sentències del Tribunal Constitucional

·         Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD)

·         REIAL DECRET 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.

·         Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades

·         Decret 48/2003, de 20 de febrer, pel qual s’aprova l’estatut de l’Agència Catalana de Protecció de Dades

b)     Normes relacionades

·         LO 1/1982, de 5 de maig,  de Protecció Civil del Dret a l’Honor, a la Intimitat Personal i Familiar i  a la Pròpia Imatge

·         Codi Penal (art. 197 ss Revelació de secrets)

·         Codi Civil, LOPJM i LM pel que fa a la minoria d’edat i l’exercici de drets

·         LCGC en l’àmbit de la contractació mercantil

·         Llei 30/1992, de 26 de novembre, de règim jurídic de les Administracions públiques i del procediment administratiu comú  

Del marc legal a la realitat; de la realitat al marc legal 

El món educatiu tot just està assimilant l’impacte pedagògic de la implementació de les TIC. Integrar i interioritzar les conductes annexes pot semblar un maldecap afegit. Tanmateix, com recorda una de les primeres autoritats jurídiques (si no la primera) en la matèria, Stefano Rodotà, les polítiques de protecció de dades van més enllà de garantir la privacitat: són la garantia de la “tutela global de les opcions de vida contra qualsevol forma de control públic i d’estigmatització social, en un marc caracteritzat per la llibertat de les opcions existencials i polítiques” 1. Així, doncs, la qüestió de la protecció de les anomenades ‘dades de caràcter personal’ no és banal davant del nou panorama que han obert les TIC: o som conscients de la importància i els continguts d’aquest dret fonamental o la mateixa pervivència de les pràctiques democràtiques és en perill. I l’escola ha de ser la primera a saber preservar i transmetre les maneres de fer que en permetin l’extensió i el manteniment.

La societat de la informació multiplica exponencialment els riscos d’accés i, sobretot, d’encreuament de les dades dels individus en mans dels més poderosos (empreses, Estats...). Des de dades genètiques fins a les referides a hàbits tot pot ser a l’abast d’aquestes mans en un clic. I no s’ha de ser alarmista, d’acord, però tampoc beneit. Si volen formar una ciutadania lliure per a la democràcia cal que cadascun dels seus membres sàpiga qui té dades seves i per a què les té. Altrament, el panòptic de què parlava Foucault2 (o si es fa més entenedora, la metàfora nazi de l’home de vidre) haurà assolit el grau de perfecció més elevat. Un canvi social tan important com el dut a terme per les TIC demana una reacció ràpida a l’hora de resituar els valors i d’entendre com aquells que ens han costat tants segles d’història i civilització d’assolir poden estar en vies d’extinció si no s’actua ràpidament integrant els avenços tecnològics en les coordenades de defensa dels valors d’igualtat, no-discriminació i convivència pacífica. No oblidem mai que Internet va ser un invent militar... desenvolupat pel jovent lliurepensador de les universitats californianes i sembla que la dialèctica que va fer néixer la Xarxa es manté a l’hora de fer-la créixer, tal i com exposa Manuel Castells al seu llibre de divulgació La galàxia Internet (2001) . Tothom té una responsabilitat a l’hora de fer decantar la balança cap a una banda o una altra. Molt especialment des de l’àmbit educatiu. 

La clau de l’èxit rau a combinar tres factors: el tècnic (implementació de nivells de seguretat), el jurídic (observança de la normativa) i l’eficiència en recursos humans (persones que tracten dades conscients de la importància de la protecció d’aquestes dades).

La protecció de dades al sistema educatiu català demana un lideratge de l’Administració en una triple vessant:

–        adequació al marc legal i seguiment de l’aplicació correcta de les previsions normatives de la mà de l’autoritat competent;

–        implementació d'infrastructures tècniques que garanteixin la seguretat de la informació segons els nivells establerts al RD 994/1999

–        desenvolupament d’estratègies de recursos humans que contribueixin a estendre conductes conscients de les implicacions que té una adequada protecció de dades personals i, que al seu torn, reverteixen en accions educatives directes sobre l’alumnat.

Pel que fa a la primera vessant, l’ ORDRE ENS/175/2003, de 10 de març, per la qual es regulen els fitxers automatitzats que contenen dades de caràcter personal gestionats pel Departament d'Ensenyament va constituir un primer pas per a l’adequació a la normativa vigent en matèria de protecció de dades personals.. Tanmateix, caldria potenciar la tasca de l’Agència Catalana de Protecció de Dades Personals i estendre’n la influència als diferents departament per tal que esdevingui la guia que unifiqui els criteris, i faci el control de qualitat de la gestió pública en aquest àmbit tal i com preveu la normativa vigent. La trobareu a http://www.apdcat.net/normativa/index.htm.

Pel que fa a la segona vessant, amb la renovació política, la Conselleria d’Educació del govern català ha fet un pas més enllà reforçant les mesures de seguretat a través d’un control centralitzat dels fitxers mitjançant el desenvolupament d’un nou programa de gestió informàtica administrativa: el SAGA. Queda pendent, tanmateix, l’establiment d'infrastructures i protocols que garanteixin una efectiva protecció de les dades que s’emmagatzemen i circulen en cadascun dels centres educatius que depenen directament de l’Administració catalana. En aquest sentit, la Comunidad de Madrid ha optat per registrar tots i cadascun dels fitxers dels centres educatius públics com demostra la gran quantitat de fitxers declarats3 a la seva Agència de Protecció de Dades i la publicació d’una guia de protecció de dades personals per a Centres Educatius Públics. En canvi, l’Administració catalana ho ha fet d’una forma centralitzada, tal vegada per poder garantir el real compliment de les disposicions de seguretat. Sigui com sigui, cal tenir present que, si bé el dret a la protecció de dades és un dret fonamental, no té el caràcter d’absolut en topar amb altres drets fonamentals de la persona com ara el de l’educació. Només una visió política que no perdi de vista la necessària valoració basada en la proporcionalitat pot donar una adequada resposta a aquesta dinàmica de tensió entre ambdós drets.

Sigui quina sigui l’opció política adoptada, com a proposta no tan direccionista, convindria impulsar la redacció d’un codi deontològic de la comunitat educativa catalana pel que fa a l’ús de les TIC en el qual, a partir de la ferma convicció de la força positiva i el valor de futur que contenen, s’esbossin els principis que han de regir qualsevol actuació a través d’aquests mitjans i que comprengui els respecte a les polítiques de protecció de dades enteses no com a complicacions burocràtiques, sinó com a garanties de llibertats ciutadanes. Seguint la línia de fomentar l’autonomia dels centres educatius, cada centre es podria adherir a aquest codi o bé adaptar-lo al seu context precís i al seu projecte educatiu. 

Finalment i a través dels cursos de formació permanent i d’equips directius dels centres caldria vetllar per una correcta aplicació dels principis de la legislació relativa a protecció de dades i la promoció de conductes que preservin els valors que se’n desprenen. Actituds tan senzilles com mirar d’evitar que es pengin contrasenyes d’accés amb papers adhesius al costat de la pantalla de l’ordinador, la mateixa cessió indiscriminada de les claus d’accés o deixar en pantalla dades personals a l’abast de qualsevol passavolant poden generar grans canvis de sensibilitat que, com he exposat, són considerats cabdals a l’hora de fer anar la societat de la informació en la via de perfecció dels valors de convivència que desitgem. 

Acabant de descendir a la realitat de cada centre educatiu, és fonamental en aquests moments (final del curs 2004-2005) procedir a una auditoria de l’estat de la qüestió d’usos ètics de les TIC. Com exposa Ricard Martínez Martínez referint-se al món universitari4“el primer repte en la gestió de les dades personals i en l’aplicació de la legalitat és conèixer la realitat i definir procediments per a la creació de nous fitxers.” Fóra convenient de tirar endavant un seguit d’accions destinades a escorcollar els ordinadors dels centres educatius per tal de determinar quins fitxers estan subjectes a la LOPD i decidir com se n’ha de fer el manteniment o la creació ajustant-se a la normativa vigent en la matèria. Una auditoria que, al capdavall, depèn d’una decisió clarament política i que comporta el disseny d’una estratègia que no carregui a les espatlles dels gestors immediats de l’educació (docents, equips directius i coordinacions d’informàtica) d’aquest responsabilitat, sinó que l’ajudi a exercir-la sense costos afegits. Com a opcions hi ha encarregar aquestes auditories a empreses especialitzades, difusió de normes que fixin criteris al voltant de la protecció de dades o l’establiment d’accions informatives acompanyades de procediments d’autodeclaració tutelades des de la Inspecció. En qualsevol cas, cal en aquest àmbit un esforç per conèixer-ne la realitat, promoure-hi usos responsables i ajustar-la a la legislació vigent. 

Àmbit d’aplicació de la LOPD (art. 2.1) 

Dades de caràcter personal registrades en suport físic que les faci susceptibles de tractament. Comprèn, doncs, tant fitxers electrònics com manuals, tot i que aquests darrers no han de ser declarats fins al 2007.

NO comprèn els fitxers mantinguts per persones físiques en l’exercici d’activitats exclusivament personals o domèstiques, p.e. agendes personals.

SÍ que comprèn:

–        agendes de tutoria siguin en suport paper o en suport electrònic

–        fitxers manuals de dades acadèmiques

–        qualsevol mena de llistat a què es tingui accés a causa de l’exercici professional i en qualsevol format, p.e. llistats d’alumnes

–        ...

Dades personals

“qualsevol informació referent a persones físiques identificades o identificables” (art. 3.a LOPD) susceptible de tractament.

• Ho són:
  • noms i cognoms
  • números de DNI, NIF i passaport
  • adreces físiques que s’hi associïn o s’hi puguin associar a través del tractament informàtic
  • telèfons i adreces de correu electrònic que s’hi associïn o s’hi puguin associar a través del tractament informàtic
  • fotografies on es pugui reconèixer clarament algú
  • veu a través de la qual es pugui reconèixer algú
  • dades genètiques i mèdiques associades a persones concretes
  • dades biomètriques
  • dades referides a creences, filiació política o sindical
  • dades referides a la raça 5
  • + qualsevol dada que permeti identificar algú (la llei no opta per una enumeració tancada, sinó per la definició anteriorment exposada; per tant, la intenció és atorgar el màxim de protecció possible atesos els continus avenços de la ciència i la tècnica)

Tractament de dades  

Operacions i procediments tècnics de caràcter automatitzat o no, que permetin la recollida, enregistrament, conservació, elaboració, modificació, bloqueig i cancel·lació. El tractament permet creuar dades, per tant, associar-les de manera que unes que, originàriament no permetrien identificar ningú, acabin fent-ho o bé que les dades es puguin anar acumulant fins a donar perfils complets de la persona i de la seva esfera privada. Un exemple de tractament de dades amb finalitats d’eficiència comercial: el de la llibreria en línia amazone.com que, a partir de l’establiment d’un perfil basat en compres anteriors, recomana a cada client/a les novetats que li poden interessar i li fa ofertes personalitzades. Val a dir que la política de protecció de dades als EUA és molt més flexible que la marcada per les directives europees al respecte.

A més, cal tenir present que el format electrònic permet una fàcil disponibilitat i un àgil traspàs de la informació.

Importància per a la salvaguarda de la privacitat de saber:

–        quines dades tenen de nosaltres

–        qui les té

–        què en fa

–        qui les tracta

–        amb quina finalitat les tracten

–        si les cediran o no

–        on són

–        on puc exercir els meus drets d’accés, rectificació i cancel·lació

Caràcter de dret fonamental  

Diferent del de la tutela de la vida privada, el dret a la protecció de dades personals té entitat pròpia al text constitucional espanyol. L’anomenada autodeterminació informàtica consisteix en el poder de governar la circulació de les informacions que afecten cada persona. CE art. 18.4; Carta de Drets Fonamentals de la Unió Europea art. 8. Jurisprudència Constitucional STC 292/200 interpreta que la llei ha de garantir “un poder de control sobre les dades personals, l’ús que se’n fa i el seu destí, amb el propòsit d’impedir-ne el tràfic il·lícit i lesiu per a la dignitat i dret de la persona afectada”.

Subjectes 

–        Persona afectada o interessada, no comprèn la protecció a les dades de persones difuntes. La LOPD no estableix cap limitació concreta per a l’exercici del dret a la protecció de dades de caràcter personal per part de menors d’edat. La persona menor d’edat és titular del dret a la protecció de les seves dades personals i pot exercir-lo directament sempre i quan tingui suficient maduresa o no estigui incapacitada. L’art. 162, 1r del Codi Civil exceptua de la representació legal del titular de la pàtria potestat “els actes relatius a drets de la personalitat o d’altres que el fill/a, d’acord amb les lleis i amb les seves condicions de maduresa, pugui realitzar per ell/a mateix/a”.

Pel que fa a l’avaluació del grau de maduresa: art. 2 LOPJM: cal tenir en compte, especialment, la maduresa de la persona menor que ja té més de 14 anys i que, d’acord amb l’ordenament jurídic espanyol i la jurisprudència, té capacitat suficient per exercir drets de la personalitat com ho és el de la protecció de dades personals. Segons reiterada jurisprudència els límits a l’exercici dels drets de la personalitat han de ser interpretats de manera restrictiva. Si, d’acord amb el Codi Civil, les persones majors de 14 anys tenen capacitat per testar (art. 663, 1r) o per poder optar per la nacionalitat espanyola, també se’ls ha de reconèixer per exercir els drets de la personalitat, com ara els inherents a la protecció de dades i els de l’honor, la intimitat i la pròpia imatge (art. 3.1 de la LO 1/1982, de 5 de maig,  de Protecció Civil del Dret a l’Honor, a la Intimitat Personal i Familiar i  a la Pròpia Imatge estableix que el consentiment de les persones menors i incapacitades en aquest àmbit “haurà de ser atorgat per elles mateixes si les seves condicions de maduresa ho permeten, d’acord amb la legislació civil”) . També l’Agència Espanyola de Protecció de Dades s’ha mostrat partidària d’establir com a principi la validesa del consentiment atorgat per les persones majors de 14 anys per al tractament de les seves dades personals (Memoria de la Agencia Española de Protección de Datos 2000 pàgs. 381-383)6. Per tant, cal concloure la validesa legal del consentiment atorgat per majors de 14 anys al tractament de dades personals. Al cas de menors de 14 anys, sempre caldrà el consentiment de qui en tingui la pàtria potestat. N’hi ha prou amb el consentiment d’un dels pares sempre i quan n’ostenti la pàtria potestat. Si un dels pares es troba privat de la pàtria potestat per resolució judicial no podrà ni prestar el consentiment ni accedir a les dades del fill/a menor.

–        Persona responsable del tractament (o fitxer): persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, contingut i ús del tractament (art. 3.d LOPD).

o       Una persona empleada, sense responsabilitats no pot ser la responsable del tractament.

o       Serà la persona davant la qual s’exercitin els drets en cas d’incompliment

o       És el responsable civil.

o       És qui té poder real de decisió vs. qui executa materialment el fitxer. P.e. en un centre educatiu públic seria la direcció i no pas la coordinació d’informàtica.

–        Persona encarregada del tractament: persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, només o conjuntament amb d’altres, tracti dades personals per compte del responsable del tractament” (art. 3.g LOPD).

–        Agències de protecció de dades:

Ens de Dret Públic que vetllen pel compliment de la LOPD, inspeccionen i sancionen.

o       Agencia Española de Protección de Datos https://www.aepd.es

o       Agència Catalana de  Protecció de Dades http://www.apdcat.net

Autoritat independent de control que vetlla pel compliment de la normativa sobre protecció de dades gestionades per les administracions públiques catalanes, les entitats que en depenen i els consorcis que en formen part, les universitats de Catalunya i les entitats que presten serveis públics, les associacions o fundacions o les societats amb participació pública majoritària i que actuen per compte d’una administració.  

Cessió de dades

Situació excepcional perquè el principi és de no comunicació de les dades. La llei estableix de forma taxada en quins supòsits es pot fer cessió de dades (criteris restrictius):

–        Excepció general (art. 7.6 LOPD): l’interès vital de la persona afectada: prevenció i diagnòstic mèdics, atenció sanitària per part de professional sanitari subjecte al secret professional.

–        Pel que fa a la cessió de dades entre administracions públiques (art. 21 LOPD) s’autoritza  a fer-ho sense consentiment de la persona afectada sempre que sigui

o       per a l’exercici de competències semblants o sobre les mateixes matèries; p.e. la cessió de dades d’expedient acadèmic entre centres educatius;

o       sempre que una llei ho autorizi;

o       amb finalitats històriques, estadístiques i científiques; p.e. la cessió de dades d’estudiants de l’últim curs de Cicle Formatius a les Cambres de Comerç amb finalitats estadístiques per comprovar el grau d’inserció laboral de l’alumnat;

o       urgències sanitàries o seguiments epidemiològics (vacunacions);

o       Forces i Cossos de seguretat de l’Estat, només per a casos concrets i en cap cas per a situacions genèriques, si es compleixen dues condicions:

§       existència d’un perill real per a la seguretat pública

§       repressió d’infraccions penals, NO administratives (p.e. multes de circulació)

o       El cessionari és el nou responsable. Per tant, en cas de cessió de dades del Departament d’Educació a les direccions de centres, aquestes esdevenen de facto les responsables de la protecció de les dades. La cessió funciona entre dos responsables.

o       Si es cedeixen dades dissociades, no se’ls ha d’aplicar la LOPD ja que, en aquesta circumstància, no pertanyen a cap persona física identificable (p.e. notes de PAU sense referents a persones, ni noms amb cognoms ni DNI).

 Pel que fa a la cessió de dades a les AMPA, cal tenir en compte que:

–        no són entitats pertanyents a l’administració pública,

–        l’associació/no de les famílies de l’alumnat a aquestes entitats és voluntària, per tant,

–        només es podran cedir, amb advertiment previ i expressió del consentiment, les dades que afectin les famílies associades. En cap cas, no es pot cedir la integritat de les dades referides a la matrícula del centre.

Publicació de dades (art. 11.2.a LOPD)

Està permesa legalment

o       la publicació (web inclòs) de dades d’admissió als centres educatius (preinscripció i matrícula)

o       la publicació d’actes de qualificació de les convocatòries dels premis extraordinaris de batxillerat

Publicació general de notes al web

NO. Internet és un mitjà accessible a tothom i, com que la informació que hi circula té un format electrònic, esdevé fàcilment manipulable i fàcil d’emmagatzemar de manera que es poden arribar a construir perfils molt detallats de les persones,i conservar-los i transmetre’ls. Una altra cosa és l’accés per part de la persona titular de les dades a les seves notes en línia.

Publicació de notes en taulers

Pràctica no tan invasiva per a la intimitat (mitjà potencialment molt més limitat que el web) i d’ús socialment consolidat (art. 2 LO 1/1982: “La protecció civil de l’honor, de la intimitat i de la pròpia imatge quedarà delimitada per les lleis i pels usos socials atenent l’àmbit que, pels seus propis actes, mantingui cada persona reservat per a si mateixa o la seva família”.) Per tant, la pràctica de la publicació de notes en taulers constitueix una pràctica admissible a causa de la força legal del costum social.

Principis 

–        Finalitats determinades, explícites i legítimes (art. 4.1 LOPD). Al cas de l’Administració Pública, s’entenen subjectes al principi de competència.

–        Racionalitat o qualitat de les dades: han de ser adequades, pertinents i no excessives en relació a l’àmbit i a les finalitats determinades, explícites i legítimes. Comporta el deure de cancel·lar-les quan ja no siguin necessàries.

–        Congruència: les dades no poden ser utilitzades per a finalitats incompatibles amb les especificades al moment de recollir-les.

–        Exactitud: les dades s’han d’ajustar amb veracitat a la situació actual de la persona afectada (art. 4.3 LOPD). Necessitat d’actualització i de cancel·lació de dades obsoletes.

–        Autodeterminació: la persona interessada

o       controla en tot moment

o      l’existència de dades seves en poder d’altri

o      quines són

o      on són

o      per a què les tenen

o      què en fan

o       per la qual cosa

–       atorga el consentiment inequívoc al moment de ser recollides, requisit del qual estan eximides les administracions públiques en l’àmbit de les seves competències (art. 7.2 LOPD) o bé quan una llei ho prevegi.

·       Condicions especials, fins i tot per a les administracions públiques, d’expressió del consentiment:

-       exprés i per escrit de les dades personals que revelin la ideologia, afiliació sindical, religió i creences (art. 7.2 LOPD)

-       exprés: dades relatives a l’origen racial, a la salut i a la vida sexual (art. 7.3 LOPD), si és que no hi ha una llei que n’autoritzi la recollida.

Al moment de sol·licitar el consentiment s’ha d’informar la persona afectada que, d’acord amb el que estableix l’art. 16.2 de la Constitució espanyola, ningú no està obligat a declarar sobre aquestes dades.

-       pot revocar-lo quan hi hagi una causa justificada

-       té dret a accedir a les dades

o       Excepcions al consentiment

- dades recollides per a l’exercici de les funcions pròpies de les administracions públiques en l’àmbit de les seves competències. STC 292/200: l’apoderament legal que permeti a un poder públic recopilar, emmagatzemar, tractar, usar i, si és procedent, cedir dades personals, només està justificat si respon a la protecció d’altres drets fonamentals o béns constitucionalment protegits”. Al cas de les administracions públiques educatives s’entén que l’altre bé a tenir en compte a l’hora de ponderar és el dret a l’educació.

–       quan es refereixin a les parts d’un contracte o precontracte d’una relació negocial

–       quan es tracti de protegir un interès vital de la persona interessada

–       quan les dades figurin en fonts accessibles al públic i el seu tractament sigui necessari per a la satisfacció de l’interès legítim pel responsable del fitxer o pel del tercer a qui es comuniquin les dades, sempre que no es vulnerin drets i llibertats fonamentals de la persona interessada.

Deures

Les administracions públiques els han de complir tots precisament perquè tenen la prerrogativa que no els cal el consentiment. Majors potestats = majors obligacions.

–        D’informació:

o       De què cal informar? (art. 5.1 LOPD)

§       De l’existència d’un fitxer o tractament de dades de caràcter personal

§       De la finalitat de la recollida

§       De les persones o entitats destinatàries de la informació

§       De la identitat i adreça del responsable del tractament

§       De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició i on.

§       De caràcter obligatori o facultatiu de la seva resposta a les preguntes formulades

§       De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les.

o       Quan?

§       En recollir les dades de la persona afectada

·         De seguretat (necessitat de mesures establerta  a l’art. 9 LOPD i concretada en el Reial Decret 994/1999, d’11 de juny, pel qual s’aprova el reglament de mesures de seguretat dels fitxers  automatitzats que continguin dades de caràcter personal)

o       Tres nivells: bàsic, mitjà i alt, d’acord amb la naturalesa de la informació tractada. El nivell de seguretat és marcat per la dada més protegida: si al fitxer només hi ha noms i cognoms, però hi ha una sola dada de salut, call aplicar-li el nivell més elevat.

§       Obligació d’aplicar-los que compromet el responsable i l’encarregat del tractament

§       Bàsic: per defecte, s’ha d’aplicar a tots els fitxers que continguin dades de caràcter personal. Els equips informàtics de tots els centres educatius han de complir les mesures de nivell bàsic i tant pel que fa als accessos locals com en els accessos a través de xarxes de comunicacions. Descripció de les característiques: arts. 8 – 14 RD 994/1999: exigència d’un document de seguretat (carta de compromisos del responsable del fitxer), funcions i obligacions del personal amb accés al fitxer, registre d’incidències, identificació i autenticació, controls d’accés, gestió de suports informàtics que facilitin els accessos restringits, protocol de còpies de seguretat.

§       Mitjà: s’ha d’aplicar a fitxers que continguin dades relatives  a infraccions administratives. Per tant, als fitxers d’expedients sancionadors de l’alumnat o als que permetin obtenir una avaluació de la personalitat de l’individu. Descripció de les característiques: arts. 15 - 22 RD 994/1999. Bàsicament, es tracta de les del nivell bàsic reforçades: designació de responsable de seguretat, auditoria dels sistemes d’informació i tractament cada dos anys, accés físic únicament al personal autoritzat al document de seguretat, existència de registre d’entrades i sortides detallat que permeti la identificació de les persones que n’han fet ús, mesures especials per garantir l’eliminació total de les dades emmagatzemades en cas de rebuig o reutilització per part d’altres agents.

§       Alt: s’ha d’aplicar als fitxers amb dades de

·       creences, p.e. alumnat que ha optat per cursar Religió X

·       salut, p.e. dades referides a minusvàlues, patologies a tenir en compte als serveis de menjador...

·       dades d’afiliació política o sindical

Descripció de les característiques: art. 23 – 26  RD 994/1999: les dels nivells inferiors + xifratge de les dades local i en les xarxes de comunicacions, increment de la informació de control d’entrades i sortides.

–        De secret (art. 10 LOPD): afecta la persona responsable del fitxer i totes aquelles que intervinguin en qualsevol fase del procés de tractament de les dades de caràcter personal (secret professional). Cal recordar que la Llei de la Funció Pública considera com a falta molt greu o greu la divulgació de secrets professionals.

–        De notificació de la creació del fitxer

o       Règim especial per a les administracions públiques (art. 20 LOPD):

§       La creació, modificació o supressió dels fitxers només es poden fer per mitjà d’una disposició general publicada al BOE o al diari oficial corresponent (al cas de Catalunya al DOGC). Pel que fa al Departament d’Educació els fitxers van ser declarats a través de l’Ordre ENS/175/2003, de 10 de març, per la qual es regulen els fitxers automatitzats que contenen dades de caràcter personal gestionats pel Departament d'Ensenyament.

§       On s’han de declarar? a l’Agència Catalana de Protecció de Dades.

§       A la disposició s’hi indica:

·       La finalitat del fitxer i els usos previstos

·       Les persones o els col·lectius sobre els quals es pretén obtenir dades de caràcter personal o que estiguin obligats a facilitar-les

·       El procediment de recollida d’aquestes dades

·       L’estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter personal incloses en el fitxer

·       Les cessions previstes

·       Els òrgans de les administracions responsables del fitxer

·       Els serveis o les unitats davant els quals es puguin exercir els drets de les persones afectades

·       Les mesures de seguretat aplicades segons nivells establerts al RD 994/1999

Exemple de declaració de fitxer  (extret de l’Ordre ENS/175/2003)

Drets de les persones interessades

D’acord amb les raons adduïdes a l’apartat ‘Subjectes’, el menor d’edat a partir de 14 anys (si no hi concorre incapacitat) és titular dels següents drets, conjuntament amb els pares que n’ostentin la pàtria potestat.

–        De consulta

–        D’accés

o       Accessos telemàtics: només amb codi d’accés personal per a les persones interessades (alumne/a i representant legal) i exclusivament a les seves dades.

§       Expedient acadèmic:

·       té caràcter de dada personal protegida per la LOPD

·       majors de 18 anys, accés restringit a les persones titulars de les dades, no als pares

·       nivell de seguretat mitjà atesa la possibilitat d’establir perfils

·       menors d’edat, d’acord amb la LODE, hi poden accedir els pares que n’ostentin la pàtria potestat. Si es denega l’accés a aquestes terceres persones, caldrà motivar l’acte.

§       Notes en línia:

·       accés personalíssim

·       cal articular un procediment informàtic que asseguri:

o     que serà la persona titular de les dades qui les consulti i que només pugui accedir a les seves

o     que l’accés a les bases de dades serà segur i a través de claus que evitin l’ús d’identificadors clarament esbrinables com ara el número de DNI.

–        De rectificació / cancel·lació: termini de 10 dies a partir de la petició de la persona interessada.

–        D’oposició 

Responsabilitat

Quins danys?

§         Intromissió il·legítima en la intimitat

§         Lesió del dret fonamental a la protecció de dades

Tipus:

Dues i es poden acumular

Administrativa

§         Règim especial establert a l’art. 46 LOPD

·         Òrgan competent per sancionar: la direcció de l’Agència Catalana de Protecció de Dades (art. 16 – 18 Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades)

·         Objectiva. Se’n té pel sol fet de tractar dades de caràcter personal, no cal demostrar conducta negligent ni dol, però sí causalitat. Excepcions: culpa de la víctima o força major.

§         Agent del dany: responsable del tractament.

§         Fitxers de titularitat pública: exigència de responsabilitat d’acord amb el règim de responsabilitat establert a la Llei 30/1992, de 26 de novembre, de règim jurídic de les Administracions públiques i del procediment administratiu comú (art. 130, 145 i 146).

Penal:

§         Tipificació a l’art. 197.4 CP: delicte de subjecte especial de descobriment i revelació de secrets.

§         Cal acreditar conducta negligent o dol

§         És personal i intransferible (recau sobre la persona o persones responsables de l’acte tipificat com a delicte al Codi Penal)

§         Pel que fa a la responsabilitat civil derivada del delicte, l’assumeix l’Administració que pot després actuar d’ofici contra la persona al seu servei.