Tractament de dades personals als centres educatius

Tractament de dades personals als centres educatius públics de Barcelona dependents del Departament d’Educació de la Generalitat de Catalunya per a l’ús de serveis i recursos en línia.
Per Xnet

 

ÍNDEX

INTRODUCCIÓ 

DEFINICIONS QUE S’HAN DE CONÈIXER

    • Dades personals 
    • Categories especials de dades
    • Tractament de dades

COM ES REPARTEIXEN LES RESPONSABILITATS

    • El Responsable del tractament
    • L’Encarregat del tractament
    • El Delegat de protecció de dades
    • El professorat i altres treballadores i treballadors

PRINCIPIS DE LA NORMATIVA QUE S’HAN DE CONÈIXER

    • Privacitat des del disseny i per defecte
    • Minimització de dades
    • Limitació del termini de conservació o minimització del període de conservació
    • Limitació de la finalitat
    • Licitud, lleialtat i transparència
    • Exactitud
    • Accountability, responsabilitat proactiva & Seguretat, integritat, confidencialitat i secret

TASQUES DE CADASCÚ

RESPONSABILITAT DEL PROFESSORAT

FAMILIES

 

 

INTRODUCCIÓ

El 27 d’abril de 2016 es va aprovar el Reglament (UE) 2016/679 del Parlament i del Consell, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades, en endavant RGPD)(1), d’aplicació des del 25 de maig de 2018.

La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (en endavant LOPDGDD)(2) completa el marc normatiu establert pel RGPD a l’àmbit espanyol.

La protecció de dades és la protecció de la privacitat de les persones. És un dret fonamental. En el cas dels Centres educatius, la seva aplicació protegeix els drets individuals de tota la comunitat educativa: alumnat però també professorat, direcció, administració i famílies.  En la normativa s’estableixen una sèrie de mesures d’obligat compliment per garantir aquests drets.

Aquest manual ha de servir per entendre que es tracta del compliment de certs protocols senzills relatius a com gestionem les dades personals. No és només una qüestió normativa pels responsables de les activitats als Centres, sinó també una forma d’higiene per no trobar-se en situació d’indefensió, una forma de protegir-se i evitar problemes més complexes. 

Tots els Centres han de garantir i poder demostrar que el tractament que fan de les dades personals de la seva comunitat és conforme a la normativa de protecció de dades. Això, segons la llei, es fa demostrant que es coneixen els riscos i s’opera per mitigar-los, com explicarem.

En el compliment d’aquestes obligacions, tant les persones responsables dels Centres educatius com tot el professorat i les i els seus treballadors, han de conèixer les guies de l’Autoritat Catalana de Protecció de Dades (APDCAT)(3),(4), i de l’Agència Espanyola de Protecció de Dades(5),(6).

 

DEFINICIONS QUE S’HAN DE CONÈIXER (7)

En aquestes guies es poden trobar altres formes de definir el que heu de conèixer:
– Guies de l’Autoritat Catalana de Protecció de Dades (APDCAT), en concret les relatives als Centres educatius(8),(9),(10)

– Guies de l’Agència Espanyola de Protecció de Dades (AEPD), en concret les relatives als Centres educatius(11),(12),(13)

Aquí ho expliquem simplificat.

     

    • Dades personals

“Qualsevol informació sobre una persona identificable”, o sigui “qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona”(14),(15).

“El nom i cognoms d’un alumne, dels seus pares, la seva direcció, el seu número de telèfon o el seu correu electrònic són dades de caràcter personal. També ho són les imatges dels alumnes o, per exemple, la professió, els estudis o el lloc on treballen els pares, o el seu número de compte bancari”(16),(17).

Per a més detalls sobre quines dades són les que més habitualment es tracten i quan és legítim fer-ho, veure les pàgines 12 a 16 i 27 de les “Pautes de protecció de dades per als Centres educatius” de l’Autoritat Catalana de Protecció de Dades(18).

Penseu que, per exemple, el coneixement de l’adreça d’una persona pot afectar la seva incolumitat en casos d’assetjament, en el cas que algun membre de la família tingui una feina en què està exposat al públic, o en altres circumstàncies, i per això totes les dades personals s’han de tractar amb cura.

Algunes dades personals són especialment sensibles perquè revelen circumstàncies o informació de les persones sobre la seva esfera més intima i personal. Requereixen que se’ls presti especial atenció i s’adoptin les mesures adients per evitar que el seu tractament origini lesions en els drets i llibertats de les persones, tant en el funcionament normal del Centre com en situacions extraordinàries com substitucions, sortides o colònies. 

Formen part d’aquesta categoria de dades les que revelin: l’origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, l’afiliació sindical, dades de salut física o mental, dades referents a la vida sexual o a l’orientació sexual de la persona, dades genètiques, dades biomètriques (imatges facials, dades dactilars, etc.) dirigides a identificar la persona o dades referides a la comissió d’infraccions penals o administratives.

En l’àmbit educatiu són freqüents els següents tractaments de dades de categories especials:

    – Els Centres educatius recullen en molts casos, a través dels seus serveis mèdics o botiquins, dades de salut relacionades amb la salut física i mental dels alumnes, referides a discapacitats físiques, com ara minusvalideses o de lesions o malalties que poden tenir lloc al Centre. També hi ha dades que es recullen per l’exercici de la funció educativa, referides per exemple a discapacitats psíquiques, altes capacitats, TDAH, autismes, etc. o psicopedagògiques, per realitzar informes dels alumnes.

    – Per prestar el servei de menjador també és necessari recollir dades de salut, per saber quins alumnes són celíacs, diabètics o pateixen altres intoleràncies o al·lèrgies alimentaries.

    – S’ha de tenir present que no té consideració de categoria especial de dades o dades sensibles que un alumne cursi l’assignatura de religió, ja que el fet de cursar-la no implica la revelació de la seva confessió religiosa.
     

    • Tractament de dades (23)

Qualsevol operació o conjunt d’operacions dutes a terme sobre dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la  utilització, la comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, supressió o destrucció. La pròpia matriculació o sol·licitud d’admissió és, per exemple, el primer moment de tractament de dades als Centres.

 

COM ES REPARTEIXEN LES RESPONSABILITATS (24)

La llei estableix tres figures rellevants en l’àmbit de la protecció de dades, en aquest cas en l’àmbit educatiu.

A més, com el Departament d’Educació ha interpretat aquestes responsabilitats es defineix en diversos documents(25), concretament en el «Document d’organització i gestió dels Centres» (DOIGC) sobre «Protecció de dades personals»(26) del 2 de juliol de 2021, el qual té caràcter normatiu per als Centres educatius dependents del Departament d’Educació.

És qui de forma lògica té accés i decideix sobre la gestió de les dades (la Direcció dels Centres educatius)(30),(31)

Com a Responsable, ha de garantir i poder demostrar que el tractament és conforme a la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades(32).

A més, Departament i el Consorci han identificat les activitats de tractament que es duen a terme als Centres o serveis educatius i com a resultat han generat els corresponents Registres d’Activitats de Tractament.

Com veurem més endavant en el punt “Registre d’activitats de tractament”, aquests registres d’activitats de tractament són la base a la que cada Centre ha de referir-se per a complir amb la normativa de protecció de dades i són la guia per a les mesures a prendre. 

    • L’Encarregat del tractament(33),(34)

Empresa, entitat o persona externa a les quals es delega el tractament de dades o per proveir un servei que estan en contacte amb dades personals (proveïdor de servidors, gestor de programes informàtics externalitzats,…)(35).

    • El Delegat de protecció de dades(36),(37)

Figura obligatòria en educació(38) que ajuda i vetlla pel compliment per part de tots els actors a més de ser la persona interlocutora dels Centres i serveis educatius amb l’Autoritat Catalana de Protecció de Dades (APDCAT)(39) i hauria també de proporcionar la formació sobre la matèria al personal de la comunitat educativa(40).

Aquesta figura es troba centralitzada en el Departament Educació(41) i per tant el Consorci(42) i els Centres educatius públics compleixen la llei sense necessitat de tenir Delegat de Protecció de Dades (DPD) propi per aquest motiu. 

    • El professorat i altres treballadores i treballadors

Es troben sotmesos a la gestió de la direcció i titulars dels Centres i serveis educatius, i per tant, han de tractar les dades segons les seves indicacions. Així ha de quedar reflectit en les Normes d’Organització i Funcionament del Centre educatiu (NOFC)(43) sque la direcció ha d’assegurar-se que el professorat conegui.

 

PRINCIPIS DE LA NORMATIVA QUE S’HAN DE CONÈIXER

És important entendre aquests principis, perquè si s’incorporen al dia a dia amb naturalitat, resulta més fàcil tot el que farem amb les dades.

En les guies institucionals de referència mencionades es poden trobar les definicions que heu de conèixer.
Aquí les expliquem simplificades.

Totes les activitats, des de la recollida de dades, generació de continguts a les aules, comunicació de dades de persones a altres persones per a proveir un servei o per dur a terme activitat didàctica o educativa, s’han de pensar tenint en compte els principis que es defineixen a continuació perquè es garanteixi la privacitat en i des del moment de dissenyar l’activitat (privacitat des del disseny), prevenint els riscos i possibles danys en comptes de reparar-ho si passa alguna cosa després. O sigui garantir que es tingui en compte la protecció de les persones de forma predeterminada, per defecte (privacitat per defecte). 

Per exemple, s’haurà de garantir que per defecte, només es tracten les dades personals mínimes i necessàries (veure, principi de “minimització de dades”) pel fi que es vol acomplir. El responsable de complir amb aquest principi és qui duu a terme l’activitat, però qui ho és en ultima instància i ha de garantir que qui dugui a terme l’activitat ho compleix és el Responsable de tractament del Centre (la Direcció). 

Les dades que es recullen de les persones, les que provenen d’altres institucions o es comuniquen a altres entitats, han de ser només les  pertinents i necessàries en relació amb els fins per als quals es tracten. És a dir, només s’han de demanar les dades estrictament necessàries per a dur a terme una activitat, i en cas de ser possible fins i tot arribar a no tractar dades personals si no són necessàries. A més, s’han de buscar els mitjans menys intrusius per recollir i gestionar les dades.

Per exemple, qualsevol formulari no ha de demanar dades per defecte, sinó que s’ha de revisar per assegurar que no es demanen més dades de les que serveixen segons el motiu del formulari.

MAI s’han de recollir més dades del compte ni permetre que se us demanin més dades del compte sense una clara explicació de la necessitat.

    Limitació del termini de conservació o minimització del període de conservació(53),(54)

Les dades s’han de conservar de manera que es permeti la identificació de les persones només durant el temps estrictament necessari per complir amb els fins del tractament de dades personals pels quals s’han demanat. Les dades es poden conservar durant períodes més llargs amb fins d’arxiu en interès públic, ja sigui per a la recerca científica o històrica o per finalitats estadístiques, però aplicant mesures tècniques i organitzatives per protegir els drets i llibertats de les persones i preferiblement, tot i que no obligatòriament, informant les persones sobre aquest ús ulterior.

Això significa que les dades personals que ja no es fan servir, s’han d’eliminar.

Algunes orientacions sobre els terminis de conservació es poden trobar al Registre d’Activitats de Tractament del Departament d’Educació(55) que disposa que les dades de l’expedient acadèmic(56) són de conservació permanent, o en el Document per a l’organització i la gestió dels Centres referit a la Gestió dels Centres pel curs 2021 – 2022(57) que estableix terminis de 5 i 6 anys per a una part de la documentació administrativa. Sobre la resta de material generat per i sobre les i els alumnes, com a Xnet estem consultant la Generalitat al respecte i actualitzarem la informació quan tinguem resposta.

    Limitació de la finalitat(58),(59)

En el disseny del tractament de dades s’han d’establir les finalitats del tractament, és a dir, el motiu pel qual es recullen les dades i verificar que aquest motiu justifica la recollida (principis de privacitat des del disseny i per defecte i minimització de dades). Les finalitats del tractament han de ser explícites, és a dir, de les quals s’hagi informat específicament a les persones afectades. 

Aquestes finalitats s’han de respectar en tot moment, sense que es puguin utilitzar les dades posteriorment de manera diferent i incompatible amb aquestes finalitats inicials (a part, són compatibles finalitats d’arxiu per la recerca científica i històrica o la realització d’estadístiques, preferiblement, tot i que no obligatòriament, informant les persones sobre aquest ús ulterior).

La informació que recullin els Centres en exercici de la seva funció educativa ha de ser l’estrictament necessària per a la funció docent i orientadora (principi de minimització), i no es pot tractar amb finalitats diferents de l’educativa sense consentiment exprés de les mares, pares o tutors legals, o dels menors majors de 14 anys.

El tractament només és lícit i lleial si està fonamentat en els casos que estan previstos per la llei, és a dir, si té una “base jurídica” que el justifiqui. Les bases jurídiques que estableix la normativa de protecció de dades per poder tractar dades personals són: 

    1. El consentiment de la persona (veure apartat específic sobre el consentiment). 
    2. Quan el tractament és necessari per executar un contracte (per exemple, per tractar les dades dels professors).
    3. Per complir amb una obligació legal.
    4. Per protegir els interessos vitals d’una persona.
    5. Per complir amb una missió realitzada en interès públic o en exercici de poders públics del Responsable, que en tot cas haurà d’estar establerta per llei: En aquest apartat s’hi inclou el tractament de dades que fan els Centres educatius en l’exercici de la funció educativa i orientadora establerta per la Llei Orgànica d’Educació (LOE)(64). Tot i això, les indicacions institucionals tenen incongruències sobre l’abast d’aquesta base jurídica: per exemple en el cas de l’ús d’eines i recursos digitals a l’aula. Estem demanant més precisions al respecte a la Generalitat i actualitzarem la informació quan tinguem resposta. El menjador no està inclòs en aquesta base jurídica.
    6. Per satisfer els “interessos legítims” del Responsable. Aquest punt és polèmic perquè els especialistes en la matèria el consideren massa ampli i genèric.

Quan es tractin dades sensibles (categories especials de dades), només es podrà fer amb el consentiment de la persona, per protegir els seus interessos vitals o en casos específics establerts per la llei. Tot i això, la LOE permet que els Centres tractin dades sensibles quan sigui necessari per a l’educació i la orientació dels alumnes.

El principi de transparència es refereix a la informació que s’ha de proporcionar a les persones afectades per un tractament de dades. Així, per exemple, el Centre ha d’informar-les sobre el tractament amb suficient antelació i quan s’introdueixin canvis en el tractament de les dades, ha de comunicar i explicar com aquests canvis les afectaran(65).

Les dades de què disposen els Centres han de ser exactes, i per tant, cal actualitzar-les quan sigui necessari. Els Centres han de prendre mesures per suprimir i rectificar les dades inexactes.

    Accountability, responsabilitat proactiva(68),(69),(70) & Seguretat, integritat, confidencialitat i secret(71),(71)

Com ja s’ha comentat, el Centre ha de poder garantir i demostrar que compleix amb la normativa de protecció de dades i ha pres les mesures necessàries per fer-ho, actuant de forma diligent i preventiva, emprenent accions i no reaccionant als problemes (responsabilitat proactiva), per tal que les dades siguin tractades, emmagatzemades i gestionades de manera que es garanteixi la seguretat i confidencialitat d’aquestes i dels sistemes de tractament que s’utilitzen, fins i tot contra el tractament no autoritzat o il·lícit, la seva pèrdua, destrucció o dany accidental. Això s’ha de fer mitjançant l’aplicació de mesures tècniques i organitzatives que s’estableixin després d’haver analitzat els riscos concrets del Centre en la gestió de dades. Per exemple, quan les dades estiguin en paper, els documents no s’han de deixar a la vista de tothom ja que persones no autoritzades podrien veure-les, s’han de guardar, quan no s’utilitzin, dins de carpetes o arxius. En el cas dels ordinadors, per exemple, cal bloquejar sempre la sessió quan no s’utilitzi perquè ningú pugui accedir-hi i no s’han de deixar post-its amb contrasenyes a l’abast d’altres persones. 

Aquestes mesures tècniques i organitzatives solen establir-se després de fer una auditoria, la qual també serveix per avaluar i analitzar els riscos de protecció de dades(73),(74),(75),(76),(77) i documentar, per poder demostrar el procés de compliment de la normativa, els passos que es fan. Xnet considera que aquestes auditories les hauria d’assumir el Departament d’Educació o el Consorci. Estem consultant la Generalitat respecte com pot facilitar-se la realització d’aquestes auditories per part dels Centres educatius i actualitzarem la informació quan tinguem resposta(78)

En tot cas, els Centres han de custodiar les dades de forma segura tant digitalment com no, permetent l’accés només a poques persones que el necessitin per complir les seves funcions, i en espais aïllats de la resta, tal i com expliquem a l’Annex 1.
 

TASQUES DE CADASCÚ

Totes les tasques descrites a continuació es troben sota la supervisió i responsabilitat de la Direcció dels Centres educatius. 

Els punts 1-6 estan dirigits a la Direcció. El punt 3 implica a qualsevol treballadora o treballador del Centre; el 4 qualsevol que presti servei al Centre; el 5 a les famílies


DE QUÈ ÉS RESPONSABLE LA DIRECCIÓ DELS CENTRES EDUCATIUS

És responsabilitat de la direcció assegurar-se i mantenir al dia els següents protocols:
1) Tenir el document “Registre d’Activitats de Tractament” (RAT) actualitzat 
2) Complir els principis de la normativa de protecció de dades.
3) Assegurar-se que tots les i els treballadors estan informats sobre les seves obligacions. 
4) Els contractes amb els proveïdors són conformes a la normativa i preveuen les mesures pertinents.
5) Les famílies han estat informades correctament i han donat el seu consentiment
6) Gestió de les incidències de seguretat

1) Registre d’activitats de tractament(80),(81),(82),(83),(84),(85),(86)

La normativa obliga els Centres i serveis educatius a tenir un registre d’activitats de tractament (RAT). 
És un document (document, full de càlcul, etc.) on s’indica què es fa amb les dades en el centre (tractaments de dades del Centre). Es pot tenir internament o publicar al web.
És obligatori en cas de supervisió de l’Autoritat i serveix per tenir una imatge actualitzada dels tractaments existents al Centre i per a la gestió de riscos en relació amb la privacitat de la comunitat educativa.

En principi és suficient un document que digui el següent(87):
“Les activitats de tractament del Centre XXX fan referència i es troben incloses als Registres d’Activitats del Tractament del Departament d’Educació i del Consorci d’Educació de Barcelona.

És MOLT IMPORTANT que la Direcció llegeixi els continguts dels dos enllaços per verificar que el Centre no fa cap activitat o ús de les dades que no estigui inclòs en les definicions proveïdes(88).

En el cas que el Centre faci tractaments de dades diferents dels indicats, haurà de generar el seu propi Registre d’Activitats del Tractament seguint les indicacions que es poden trobar aquí:
https://apdcat.gencat.cat/ca/drets_i_obligacions/responsables/obligacions/registre-activitats_tractament/ 
 

2) Compliment dels principis de la normativa de protecció de dades
(89),(90)

Totes les activitats i tractaments han de complir amb els principis de minimització, privacitat des del disseny i per defecte, limitació de la finalitat, licitud, etc. 

Per exemple, assegura’t de minimitzar des del disseny i per defecte, és a dir, des l’inici d’una activitat per no recollir ni posar més dades de les necessàries en els arxius o formularis quan s’organitzi l’activitat. No utilitzis formularis ja fets pel Departament o altres entitats sense pensar-ho, sinó només per l’activitat concreta i pensa quines dades són realment necessàries recollir i per què. Si no hi ha un motiu per recollir-les, millor no fer-ho.

De la mateixa manera, pensa en el principi de limitació de la finalitat: No utilitzis les dades per altres objectius a excepció d’haver-ho (pensat i) advertit amb antelació a les persones afectades. Per exemple, si s’han recollit les dades per organitzar el servei escolar de menjador no les utilitzis per excursions.

Finalment, si un tractament de dades es fa per complir la funció docent i orientadora dels Centres es troba emparat per la Llei Orgànica d’Educació, però fora d’aquesta funció en molts casos serà necessari el consentiment de les mares, pares i tutors dels alumnes per poder-los dur a terme, per exemple per publicar fotografies(91), lliurar dades a cases de colònies o altres entitats que visitin en excursions.
 

3) Informació sobre les mesures al professorat i personal

La Direcció ha d’informar al professorat, personal administratiu i auxiliar, i col·laborador/es de les mesures que han de seguir per protegir la informació personal de la comunitat educativa. Per fer-ho, les entitats normalment ho fan a través del contracte de treball, però els centres educatius poden fer-ho incloent aquestes mesures a les “normes d’organització i funcionament del Centre”(92),(93), i enviant-les a tothom perquè les llegeixin i les signin. Poder demostrar que s’ha informat a les i els treballadors de les seves obligacions demostra diligència en cas que ocorri una incidència de protecció de dades. Això protegeix a la Direcció i a les i els treballadors també.

Penseu que sembla burocràcia, però que en realitat el que s’està fent és protegir drets de tota la comunitat.

Veure, en aquest sentit l’Annex 1, amb una plantilla del que es podria incloure en les normes d’organització i funcionament del centre amb el document que haurien de signar les i els professors i treballadores i treballadors per poder demostrar que se’ls ha informat sobre aquestes normes. 

 


ANNEX 1. MODEL PER A NORMES D’ORGANITZACIÓ I FUNCIONAMENT DEL CENTRE (NOFC) SOBRE PROTECCIÓ DE DADES PERSONALS

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).
 
Aquest document vol informar i comprometre el professorat i les i els treballadors en relació amb les normes de privacitat i confidencialitat que han de respectar en el desenvolupament de les seves funcions en el Centre ………………………… (d’ara endavant, el CENTRE). 
 
Totes les i els professionals que entren en contacte i gestionen dades personals de la comunitat educativa d’aquest CENTRE (tot el professorat, professionals, personal administratiu, persones col·laboradores, personal de serveis auxiliars, treballadores i treblladors, en endavant, PROFESSIONALS) han de conèixer la importància i obligació de protegir el dret fonamental a la privacitat, seva i de tota la comunitat, és a dir, la protecció de les dades de caràcter personal. Aquest dret es regula mitjançant el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d’abril de 2016, General de Protecció de Dades (RGPD)(94) i una sèrie de normes que el desenvolupen i complementen, com la LOPDGDD a l’àmbit estatal(95), que estableixen tota una sèrie de mesures de compliment obligat que és una obligació conèixer, en particular amb dades sensibles i de menors com les que gestionen els centres educatius.

CONEIXER LA PROTECCIÓ DE DADES

S’envien a les i els PROFESSIONALS del centre els següents documents informatius que tenen l’obligació de llegir:
– Manual d’Xnet sobre el tractament de dades personals als centres educatius de Barcelona dependents del Departament d’Educació per a l’ús de serveis i recursos en línia(96).
– Guies de l’Autoritat Catalana de Protecció de Dades (APDCAT), en concret les relatives als centres educatius(97),(98),(99).
– Guies de l’Agència Espanyola de Protecció de Dades, en concret les relatives als centres educatius(100),(101),(102).

OBLIGACIONS DE CONFIDENCIALITAT I SECRET(103),(104),(105)

Les i els PROFESSIONALS tenen accés en el desenvolupament de les seves funcions a informació (d’ara endavant, les DADES PERSONALS), que és confidencial, així, per exemple: Dades de caràcter identificatiu: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte, codis i claus d’accés als serveis digitals i telemàtics, dibuixos, demostracions, fotografies, imatge/veu, signatura manuscrita/electrònica, targeta sanitària; Dades de característiques personals: edat, sexe, llengua materna, data de naixement, lloc de naixement, nacionalitat, dades familiars (dades identificatives i de contacte com correus electrònics i/o telèfons, informació financera); Dades acadèmiques i professionals: formació i titulacions, historial acadèmic i professió, expedients acadèmics, resultats de recerca; Categories especials de dades: salut (certificats o informes mèdics i certificats d’invalidesa o incapacitat necessaris per a l’atenció adequada dels alumnes en l’àmbit dels Centres educatius), necessitats educatives especials, observacions mèdiques i discapacitats; i altres dades, sense que aquest llistat pretengui ser exhaustiu, comunicades de forma escrita, verbal, visual o mitjançant demostracions o qualsevol altre mitjà, tant en forma de dibuixos, models, documents impresos, i/o format d’arxius electrònics o de qualsevol altra manera.

La Llei Orgànica d’educació (LOE)(106), estableix que el professorat i la resta del personal, en l’exercici de les seves funcions, accedeixen a dades personals i familiars o que afecten l’honor i la intimitat dels menors o de les seves famílies i queden subjectes al deure de secret.

Les DADES PERSONALS i tots els drets sobre les mateixes a les que han accedit les i els PROFESSIONALS, romandran sota la responsabilitat del CENTRE. Per tant, les i els PROFESSIONALS no es quedaran amb la possessió, còpia, ni en general tenen cap tipus de dret o titularitat, sobre les DADES PERSONALS en què entrin en contacte sota qualsevol tipus de suport, per motius directament relacionats amb el seu lloc de treball. Tampoc tindran dret a utilitzar-les, excepte per a l’objecte de desenvolupar les funcions inherents al seu càrrec al CENTRE així com quan desenvolupin qualsevol altra funció de manera transitòria o eventual en el mateix. En tot cas s’haurà d’entendre que aquesta possessió és estrictament temporal.

Les i els PROFESSIONALS, com a receptors de les DADES PERSONALS en l’exercici de les seves funcions, estaran obligats i assumeixen el ferm i seriós compromís de complir amb el secret, la confidencialitat i la seguretat en el tractament de les DADES PERSONALS de les quals és Responsable el CENTRE, com ara: 

    • Mantenir les DADES PERSONALS en estricta reserva i no revelar-les a cap altre persona, sense autorització prèvia i per escrit de la Direcció del CENTRE.
    • Les i els PROFESSIONALS només podran comunicar o divulgar les DADES PERSONALS a les persones autoritzades a conèixer-les dins l’organització del CENTRE.
    • En cap cas, permetran que tercers externs al CENTRE (persones o entitats), no designats pel CENTRE ni degudament autoritzats, puguin accedir a aquestes DADES PERSONALS, ja sigui de forma informàtica o visual.
    • Queda prohibit enviar informació confidencial del CENTRE a l’exterior, mitjançant suports materials (com USBs o paper), o a través de qualsevol mitjà de comunicació (com correu electrònic o altres plataformes), incloent-hi la simple visualització o accés.
    • La Direcció permet el traslladar fora de les instal·lacions del CENTRE les DADES PERSONALS o dispositius només quan sigui estricament necessari per complir amb les seves obligacions laborals. Les i els PROFESSIONALS ho faran sota la seva pròpia responsabilitat i complint amb els principis i normes enunciats en aquest document. Qualsevol altre motiu pel trasllat de DADES i/o dispositius s’ha de justificar i requereix l’autorització prèvia i per escrit de la Direcció del CENTRE.
    • Queda prohibit recollir DADES PERSONALS sense l’autorització prèvia de la Direcció del CENTRE que haurà de procurar que la recollida sigui necessària i conforme als principis de la normativa de protecció de dades.

– Les i els PROFESSIONALS només podran accedir, utilitzar i gestionar les DADES PERSONALS dels seus alumnes, sense poder conèixer DADES PERSONALS d’altres membres de la de la comunitat educativa no necessàries per l’exercici de les seves funcions.

– Vetllar per la seguretat de les DADES PERSONALS fent ús de les eines i protocols de seguretat que li proporcioni i dels quals informi el CENTRE, entre altres: mantenint el secret respecte de les contrasenyes i claus d’accés que se li atorguin; l’eliminació de dades de carpetes o en dispositius que ja no s’utilitzin o que s’utilitzin temporalment (com les carpetes de l’escàner o USBs); tancar les sessions en ordinadors i aplicacions (tancar el correu electrònic o la sessió de l’ordinador quan no s’estigui a davant); etc. 

    • Cada PROFESSIONAL serà responsable de la confidencialitat de l’identificador d’usuari, la clau d’accés i/o la contrasenya. En cas que aquesta sigui coneguda fortuïta o fraudulentament per persones no autoritzades, haurà de canviar-la i comunicar-ho a la Direcció del CENTRE perquè registri el fet com a incidència. També haurà de canviar-la i comunicar-ho a la Direcció del CENTRE Si el PROFESSIONAL té coneixement que una altra persona coneix les seves dades d’identificació i accés. El PROFESSIONAL rebrà les seves credencials de forma presencial i les emmagatzemarà en un keypass que se li ensenyarà a utilitzar. El PROFESSIONAL coneix i accepta les obligacions que implica la tinença de les credencials, en particular el deure de custodia diligent, protecció de la seva confidencialitat i informació immediata en cas de pèrdua. A més, és coneixedor de que una vegada el PROFESSIONAL acabi la seva relació amb el CENTRE aquestes credencials es retiraran i deshabilitaran per part de la Direcció del CENTRE.
    • Qualsevol fitxer que s’introdueixi des de l’exterior en un dispositiu que conté dades personals responsabilitat del CENTRE, ja sigui per correu electrònic, Internet o altres mitjans, haurà de ser analitzat per l’antivirus.
    • CONDICIONS D’ÚS DEL CORREU ELECTRÒNIC: No es pot barrejar l’ús del correu electrònic personal amb el del CENTRE. El correu corporatiu proporcionat pel Centre només es pot utilitzar per complir amb finalitats relacionades amb les obligacions laborals del PROFESSIONAL. I viceversa, el correu personal no es pot utilitzar per acomplir les funcions professionals. Així mateix es prohibeix l’enviament de correus massius (spam) utilitzant l’adreça de correu electrònic del CENTRE o vulnerant els drets de tercers o del CENTRE, o per a la realització d’actes de caràcter il·lícit. No es pot facilitar aquesta adreça a terceres persones alienes a l’organització, tret que resulti necessari per a l’exercici d’alguna de les funcions encomanades al PROFESSIONAL, o així ho autoritzi el CENTRE.
    Així mateix, s’han de seguir les següents normes de bon ús del correu electrònic:
    a)Emprar l’opció de còpia oculta (CCO) quan s’enviï un missatge a més d’una persona
    destinatària que no formi part del centre.
    b) Utilitzar l’opció de reenviar solament en els casos en què la persona destinatària pugui
    accedir tant a l’emissor del missatge com al seu contingut, i a tota la informació de la cadena
    de correus que formin part d’ell.
    c) Emprar el peu de signatura automàtic dels missatges de correu electrònic, conforme al
    model corporatiu establert. Quan es tracti de missatges amb finalitats personals, haurà de
    suprimir-se el peu de la signatura.
    d) Revisar les adreces dels destinataris abans d’enviar el missatge.
    e) A fi de no difondre injustificadament adreces de correu de tercers en reenviar un correu
    electrònic, hauran d’eliminar-se les adreces dels destinataris anteriors.
    f) Identificar de forma clara i concisa l’assumpte.
    g) No incloure dades personals en l’assumpte.
    h) Evitar paraules o expressions que puguin activar els programes antispam.
    i) Organitzar els missatges enviats i rebuts en carpetes. Mantenir la safata d’entrada
    actualitzada.
    • No s’autoritza la instal·lació del correu electrònic del centre en el telèfon mòbil personal de les i els PROFESSIONALS, en excepció de casos justificats i autoritzats per la Direcció del CENTRE.
    • En els accessos tant locals com remots a la plataforma educativa emprada pel CENTRE, el PROFESSIONAL tindrà especial cura a seguir els protocols de seguretat que proporcioni el CENTRE. En particular seguirà les normes aquí establertes perquè cap tercer extern al CENTRE pugui accedir-hi, ja sigui de forma informàtica o per la simple visualització, tancant la sessió quan el PROFESSIONAL no estigui utilitzant la plataforma i assegurant-se de que l’entorn des del que hi accedeix és segur (connexió WiFi privada, no emmagatzemar les credencials en ordinadors d’ús comartit, esborrar l’historial de navegació i tancar la sessió en acabar quan s’utilitzi un ordinador d’ús compartit, utilitzar programes antivirus, etc.).

– Guardar, per temps indefinit, és a dir, fins i tot després de l’extinció de la relació professional amb el CENTRE, el secret i la màxima reserva i no divulgar ni utilitzar directament ni a través de terceres persones o entitats, les DADES PERSONALS, els documents, les metodologies, les claus i/o contrasenyes, els anàlisis, els programes i la resta d’informació a què tinguin accés durant la seva vinculació, sigui laboral o no amb el CENTRE, tant en suport material com electrònic.

– La i el PROFESSIONAL haurà de tornar les DADES PERSONALS al CENTRE immediatament després de la finalització de les tasques que n’han originat el seu ús de forma temporal, i en qualsevol cas, quan finalitzi la relació laboral. 
 

OBLIGACIONS EN LA GESTIÓ D’INCIDÈNCIES DE SEGURETAT DE PROTECCIÓ DE DADES(107)

En cas de conèixer alguna incidència, la i el PROFESSIONAL ha de comunicar-la el més aviat possible a la Direcció del CENTRE que adoptarà les mesures oportunes. 

S’entén per incidència qualsevol anomalia o incident que afecti o pogués afectar la seguretat i confidencialitat de les dades, és a dir, que permeti l’accés no autoritzat a dades, suports, aplicacions, xarxes o dispositius o ocasioni la seva destrucció, pèrdua o alteració.
Les incidències poden afectar tant a dades automatitzades (o informatitzades, en dispositius electrònics) com no automatitzades (en paper).

Exemples d’incidències habituals són:

    • Alteració als permisos d’accés a DADES PERSONALS que té cadascú: Que PROFESSIONALS o terceres persones o entitats accedeixin a dades a les que no podrien tenir accés. Per exemple, un membre del PROFESSORAT accedeixi a dades d’alumnes que no són del seu curs o a qui no fa classe habitualment, i a les que per tant no hauria de tenir accés a través dels sistemes informàtics.
    • Comunicació errònia de dades a destinataris que no haurien de rebre-les. Per exemple, enviar un correu electrònic amb dades d’un alumne a tercers que no són la seva mare, pare o tutor/a o mostrar les dades d’un membre de la comunitat educativa a tercers no autoritzats.
    • Oblit de la contrasenya, claus d’accés o identificadors. 
    • Bloqueig del compte o sessió per introduir la contrasenya erròniament múltiples vegades.
    • Pèrdua de dades (pèrdua d’USBs, eliminació o destrucció d’arxius per error, desaparició de documents o suports que continguin dades personals, etc.). 
    • Robatori o pèrdua de claus de llocs o suports on s’emmagatzemen documents o dispositius (sales, calaixos, armaris, etc.). 

No obstant, aquesta llista no pretén ser exhaustiva i s’ha de comunicar a la Direcció del CENTRE qualsevol incidència que la o el PROFESSIONAL cregui que afecta o pot afectar les dades de caràcter personal. 
 
És obligació de tot el personal del CENTRE comunicar a la Direcció del CENTRE qualsevol incidència als sistemes i dades als quals tinguin accés. Qualsevol PROFESSIONAL autoritzat que tingui coneixement d’una incidència és responsable de la comunicació d’aquesta a la Direcció del CENTRE. 
Aquesta comunicació s’ha de fer en un termini de temps no superior a una hora des del moment en què es tingui coneixement que s’hagi produït.

El coneixement i la no notificació d’una incidència per part d’una o un PROFESSIONAL es considera una falta contra la seguretat del sistema del CENTRE per part d’aquesta.
 

INCOMPLIMENT

‘incompliment d’aquestes normes i protocols per part d’una o un PROFESSIONAL pot estar subjecte a procediments sancionadors i/o disciplinaris de diverses índoles.

DECLARACIÓ DE LECTURA I DE COMPROMÍS D’APLICACIÓ

Declaro haver estat informat sobre les normes de protecció de dades personals del CENTRE ………………….. i em comprometo a complir-les. 

A ……, el …. de …… de …… 2021. 
 
Nom, cognoms, DNI 
Firma

 

 

4) Informació i consentiment de les persones afectades

4.1) Informació que s’ha de proveir per a la recollida de dades(108),(109),(110),(111),(112)

El Centre té la obligació de ser transparent respecte dels tractaments de dades que es volen dur a terme i les seves motivacions.

El Centre ha d’informar les persones afectades sobre les circumstàncies relatives al tractament de les seves dades personals. 

La transparència s’ha de complir en tots els moments en què es sol·liciten les dades (p. ex. el formulari on es recullen en format paper, o formulari d’una pàgina web), o en el termini d’un mes si les dades no s’obtenen directament de la persona (ex. si les rebem d’un altre Centre o institució), amb independència que sigui necessari obtenir el consentiment de la persona interessada o es compti amb una altra base jurídica. El Responsable del tractament ha de poder acreditar que ha proporcionat aquesta informació.

La informació s’ha de proporcionar de forma concisa, intel·ligible i de fàcil  accés, en un llenguatge clar i senzill, tot evitant explicacions innecessàries o detalls confusos, així com l’abús de cites legals innecessàries i de termes ambigus o amb escàs sentit per a les persones destinatàries, sobretot quan es dirigeix-hi als alumnes que poden prestar el seu consentiment, és a dir, els majors de 14 anys (veure l’apartat següent, específic sobre el consentiment). El llenguatge que s’utilitza per informar les i els menors i per demanar-los el consentiment ha de ser fàcilment comprensible.

Si ho sol·licita la persona interessada, la informació també es pot facilitar verbalment.

La informació es pot facilitar adoptant un model d’informació per capes: donant en una primera capa la informació bàsica i facilitant una adreça electrònica o un altre mitjà (enllaç) que li permeti accedir de forma senzilla i immediata a la resta de la informació (segona capa). 

– En cas de voler fer-ho així, la informació que ha de constar a la capa 1 com a mínim és la següent:

    • La identitat del Responsable del tractament; 
    • La finalitat del tractament; 
    • La fórmula: “Respecte a les dades facilitades la persona interessada pot exercir en qualsevol moment els seus drets d’accés, rectificació, supressió, i oposició, així com el dret a la limitació del tractament, a la portabilitat de les dades o a presentar una reclamació davant de l’Autoritat de Protecció de Dades(113),(114).

– La informació que ha de constar en la segona capa, per exemple en un enllaç, és la informació que es detalla a continuació. A l’Annex 2 trobareu una proposta elaborada per Xnet per complir amb aquesta exigència d’informació per l’ús de serveis i recursos digitals en el marc del Pilot del Pla de Digitalització Democràtica d’Xnet, que els Centres/Responsables hauran de revisar per adaptar-lo a cada circumstància.

    • La identitat del Centre/Responsable del tractament on consti la identitat i dades de contacte del responsable i, si escau, del seu representant; 
    • Les dades de contacte del delegat de protecció de dades, en aquest cas el Delegat/da de Protecció de Dades de la Generalitat (dpd.educacio@gencat.cat); 
    • Les finalitats i base jurídica del tractament (entre les bases jurídiques s’ha d’escollir entre:
    – 1. El consentiment;
    – 2. L’execució d’un contracte;
    – 3. El compliment d’una obligació legal;
    – 4. La protecció d’interessos vitals d’una persona;
    – 5. El compliment d’una missió realitzada en interès públic o en exercici de poders públics, on entraria l’exercici de la funció educativa;
    – 6. La satisfacció “d’interessos legítims” del Centre/Responsable (en el cas d’escollir aquesta categoria, els interessos legítims perseguits en què es fonamenta el tractament s’han de detallar i motivar));
    • Els destinataris o categories de destinataris de les dades; La intenció de transferir les dades a un tercer país o a una organització internacional i la base per fer-ho, si escau; 
    • El termini durant el qual es conservaran les dades, o els criteris per determinar-lo; 
    • El dret a sol·licitar l’accés a les dades, la rectificació o la supressió de les dades, la limitació i l’oposició al tractament i la portabilitat de les dades; El dret a retirar en qualsevol moment el consentiment que s’ha prestat; Si la comunicació de dades és un requisit legal o contractual o un requisit necessari per subscriure un contracte, i si la persona interessada està obligat a facilitar les dades i les conseqüències de no facilitar-les; El dret a presentar una reclamació davant de l’Autoritat de Protecció de Dades; 
    • L’existència de decisions automatitzades, inclosa l’elaboració de perfils, i la informació sobre la lògica aplicada i les seves conseqüències, si escau.          
    • A més, si les dades personals que es tracten no s’obtenen directament de la persona interessada, s’ha d’informar de: les categories de dades personals que es tracten, i les fonts d’on procedeixen les dades personals.

En cas de no voler utilitzar el sistema de la informació per capes, s’haurà de proporcionar la informació prevista per la “segona capa”. 

Per tant, la Direcció dels centres educatius ha de revisar els textos informatius que es troben en els formularis que utilitza el centre per tal que s’adaptin a aquests requeriments.

 


ANNEX 2. MODEL PEL CONSENTIMENT DE LES FAMÍLIES

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

Mare, pare o representant legal dels menors de 14 anys i alumnes majors de 14 anys.

Autorització per a l’ús de serveis i recursos digitals a Internet per treballar a l’aula (aquesta autorització, encara que revocable, és vàlida durant tot el temps d’escolarització en aquest centre).

Dades del centre
Nom del centre
Codi del centre
Adreça
Municipi
Codi postal

Dades de l’alumne/a
Nom i cognoms
Data de naixement
Curs

Dades de la mare, pare o representant legal en el cas de menors de 14 anys

Nom i cognoms
DNI/Passaport

Autoritzo
Caselles: sí / no
Que el centre gestioni la creació de l’usuari i contrasenya associats als següents recursos i serveis d’Internet: Suite educativa DD [o altra eina digital que s’empri], per al treball acadèmic, amb finalitats pedagògiques.

La gestió d’aquests identificadors i la responsabilitat de l’ús que se’n faci en l’àmbit dels Centres educatius correspon al centre educatiu. El centre no es fa responsable de l’ús indegut del recurs o dels seus continguts per part de les persones usuàries. La persona usuària serà l’únic responsable de les infraccions en què pugui incórrer o dels perjudicis que pugui causar per un ús inadequat dels seus serveis o dels seus continguts. En concret, per la present, la persona usuària declara, respecte les credencials que rebrà de forma presencial i emmagatzemarà en un keypass que se li ensenyarà a utilitzar, que coneix i accepta les obligacions que implica la tinença de les credencials, en particular el deure de custodia diligent, protecció de la seva confidencialitat i informació immediata en cas de pèrdua. Una vegada la persona usuària acabi la seva relació amb el centre es retiraran i deshabilitaran les credencials que l’autentiquen per part de la Direcció del CENTRE.

Autoritzo
Caselles: sí / no
L’ús de serveis i recursos digitals a Internet per treballar a l’aula, en concret la Suite educativa DD [o altra eina digital que s’empri]
(Veure especificacions tècniques i condicions d’ús més avall).

Informació sobre protecció de dades
Responsable del tractament: Direcció del centre educatiu.
Adreça postal i electrònica:
Adreça de contacte del delegat o delegada de protecció de dades: dpd.educacio@gencat.cat.
Finalitat: l’ús de serveis i recursos digitals a Internet per treballar a l’aula; la gestió i manteniment de les pròpies plataformes educatives utilitzades pels serveis educatius; la gestió dels usuaris, credencials i accessos als serveis i recursos digitals a Internet per treballar a l’aula i el control i seguiment dels continguts de la mateixa.
Legitimació: Consentiment de la persona interessada o de la persona que ostenta la tutoria legal en cas de menors d’edat. Podeu retirar-ne el consentiment en qualsevol moment. La revocació no té efectes retroactius.
Destinataris: Les dades no es comunicaran a tercers, excepte en els casos previstos per llei, o si ho heu consentit prèviament. En tot cas seran destinataris de les dades la/les plataforma/es de servei, entorns o entitats educatives corresponents, com a encarregades del tractament, que proveeixen, per compte del Centre/Responsable del tractament, els serveis TIC, que hàgiu autoritzat.
Drets: Accedir a les dades, rectificar-les, suprimir-les, oposar-se al tractament i sol·licitar-ne la limitació. A més de retirar el consentiment prestat en qualsevol moment, sense que la revocació no tingui efectes retroactius. Així com el dret a presentar una reclamació davant l’Autoritat Catalana de Protecció de Dades.
Conservació: Les dades de l’expedient acadèmic són de conservació permanent d’acord amb la legislació vigent, concretament segons l’establert a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.

Sobre el temps de conservació de la resta de les dades, la Generalitat i Consorci remeten al que estableix el Decret 13/2008, de 22 de gener, sobre accés, avaluació i tria de documents i a les Taules d’Avaluació Documental definides i aprovades per la Comissió Nacional d’Accés, Avaluació i Tria Documental (CNAATD) (http://taad.cultura.gencat.cat/), on s’indica només el temps de conservació de certs conjunts de dades (sol·licituds de beques i expedients d’admissió i matriculació dels alumnes). Pel que respecta a la resta de material generat per i sobre les i els alumnes, Xnet està consultant la Generalitat al respecte i actualitzarem la informació quan tinguem resposta.
Informació addicional: Tractament “Alumnes de centres educatius de titularitat del Departament d’Educació” del Departament d’Educació (https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament) i tractament “SE001 Plataformes educatives” dels serveis educatius dependents del Consorci d’Educació de Barcelona (https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf).
 

Lloc i data
Signatura de la mare, pare o representant legal de l’alumna o alumne.

Condicions d’ús del correu electrònic: No es pot barrejar l’ús del correu electrònic personal amb el del CENTRE. El correu corporatiu proporcionat pel Centre només es pot utilitzar per complir amb finalitats acadèmiques. Així mateix, es prohibeix l’enviament de correus massius (spam) utilitzant l’adreça de correu electrònic del CENTRE o vulnerant els drets de tercers o del CENTRE, o per a la realització d’actes de caràcter il·lícit. No es pot facilitar aquesta adreça a terceres persones alienes a l’organització, tret que resulti necessari per a l’exercici d’activitats acadèmiques relacionades amb el CENTRE.
Així mateix, s’han de seguir les següents normes de bon ús del correu electrònic:
a)Emprar l’opció de còpia oculta (CCO) quan s’enviï un missatge a més d’una persona destinatària que no formi part del centre.
b) Utilitzar l’opció de reenviar solament en els casos en què la persona destinatària pugui accedir tant a l’emissor del missatge com al seu contingut, i a tota la informació de la cadena de correus que formin part d’ell.
c) Emprar el peu de signatura automàtic dels missatges de correu electrònic, conforme al model corporatiu establert. Quan es tracti de missatges amb finalitats personals, haurà de suprimir-se el peu de la signatura.
d) Revisar les adreces dels destinataris abans d’enviar el missatge.
e) A fi de no difondre injustificadament adreces de correu de tercers en reenviar un correu electrònic, hauran d’eliminar-se les adreces dels destinataris anteriors.
f) Identificar de forma clara i concisa l’assumpte.
g) No incloure dades personals en l’assumpte.
h) Evitar paraules o expressions que puguin activar els programes antispam.
i) Organitzar els missatges enviats i rebuts en carpetes. Mantenir la safata d’entrada actualitzada.

 

Especificacions tècniques:

El CENTRE ha escollit la plataforma DD, creada per Xnet, famílies, desenvolupadors i centres promotors i l’Ajuntament de Barcelona per proporcionar a la comunitat educativa, i en concret al professorat i a l’alumnat, un espai fàcil d’utilitzar per dur a terme l’activitat educativa en l’entorn digital de forma sobirana i respectuosa amb els seus drets. 

El desenvolupament tècnic dut a terme per les empreses IsardVDI i 3iPunt integra en una única plataforma, les següents eines de programari lliure i auditable que s’executen cadascuna als seus contenidors, fent ús en la seva majoria de les imatges oficials de cada programari de hub.docker.com.

Les eines que queden integrades són:

    Nextcloud: desenvolupament de programes client-servidor amb l’objectiu d’habilitar serveis d’allotjament d’arxius afegint al servidor funcionalitat en forma d’aplicacions (calendari, mapes, webmail, reproductors i organitzadors de música, suites ofimàtiques, etc.).
    Moodle: eina de gestió de continguts d’aprenentatge (Learning Content Management LCMS) precurssora de sistemes com el Classroom. Creada a Austràlia el 2001, compta amb més de 160 milions de persones usuàries. Traduïda a 120 idiomes.
    Big Blue Button – Blindside: sistema de videoconferència dirigit a l’aprenentatge online. Permet l’ús compartit d’àudio i vídeo, presentacions amb capacitats ampliades de pissarra com el punter, el zoom o el dibuix, xat públic i privat, ús compartit de l’escriptori, VoIP integrat amb FreeSWITCH i suport per a l’enviament de documents. 
    Etherpad: editor en línia que permet l’edició col·laborativa en temps real. 
    • Wordpress: gestor de continguts (Content Management System, CMS) en PHP i emparellat amb les bases de dades MySQL o MariaDB. Entre les seves característiques estan l’arquitectura a partir de plugins i el sistema de plantilles gràfiques o temes.
    Onlyoffice: paquet ofimàtic integrat amb Nextcloud que permet l’edició de documents ofimàtics (fulls de càlcul, editor de text, presentacions, conversions de format, etc.).
    Keycloak: gestor de l’autenticació, usuaris i grups. Totes les aplicacions del suite digital s’enregistren contra el SAML proporcionat per Keykloak. La creació d’usuaris es realitza amb Admin atacant la seva API.

S’han desenvolupat components propis del projecte per integrar les aplicacions i millorar l’experiència d’usuari:

    Admin: plataforma de gestió d’usuaris i customitzacions que opera sobre les APIs de la resta d’aplicacions per tal de gestionar la sincronització de la creació massiva d’usuaris i la configuració d’aspectes generals de la suite digital.
    API: serveis que fan servir la resta d’aplicacions per construïr el menu i els elements comuns de la suite digital.
    Plugins de Moodle i WordPress
    Eina per automatitzar configuracions i personalitzacions de les instal·lacions

Aquest conjunt d’eines queda allotjat a servidors Hetzner amb sistema operatiu Debian.

Les cookies utilitzades són cookies funcionals necessàries i indispensables per la navegació, permeses per la llei, són les següents:

 

4.2) Consentiment(115),(116),(117),(118)

El consentiment ha de ser una manifestació de voluntat de la o l’alumne major de 14 o de la seva mare, pare o tutor/a pel que accepta el tractament de les seves dades personals, ja sigui mitjançant una declaració (p. ex. “sí, accepto el tractament de dades”) o una clara acció afirmativa (p. ex. marcar una casella). Així doncs, les caselles ja marcades o el consentiment tàcit (deduït de fets com seguir navegant per una pàgina web o portar l’alumne al servei de bus) no constitueixen un consentiment vàlid.

Aquesta manifestació de voluntat ha de ser:

    • Lliure: la persona interessada pot decidir lliurement, sense coaccions ni condicions, si consenteix o no el tractament de les seves dades personals.
    • Específica: el consentiment es refereix a tractaments concrets i per a una finalitat determinada, explícita i legítima, sense que es puguin fer habilitacions genèriques per complir moltes finalitats diferents.
    • Informada: cal informar les persones perquè amb antelació al tractament en puguin conèixer l’existència del mateix, les finalitats i en quines condicions es produirà (veure apartat anterior sobre informació). 
    • Inequívoca: la sol·licitud i l’atorgament del consentiment s’han de produir de forma clara.

Correspon al Centre demostrar que s’ha obtingut el consentiment de la persona per a un tractament específic. Pot fer-ho mitjançant el formulari que hagi firmat, per exemple.

La persona afectada pot retirar/revocar el consentiment en qualsevol moment, sense efectes retroactius, és a dir, sense que afecti les activitats que s’han portat a terme abans de la revocació del consentiment. Abans de donar el seu consentiment, s’ha d’informar la persona interessada d’aquesta possibilitat, tenint en compte que ha de ser tan fàcil retirar el consentiment com donar-lo.

Pel que fa al consentiment de menors d’edat, un alumne o alumna més gran de 14 anys pot consentir per si mateix sobre el tractament de les seves dades personals, amb l’excepció dels supòsits en què la llei exigeixi l’assistència dels titulars de la pàtria potestat o tutela, és a dir, quan el tractament de dades s’inclogui dins d’un contracte. En el cas de dades d’un alumne o alumna menor de 14 anys, quan el tractament requereixi el seu consentiment, l’ha de prestar el o la titular de la pàtria potestat o tutela.
En casos de potestat parental compartida, amb independència de qui tingui la custòdia, qualsevol dels dos progenitors pot donar el consentiment o exercir els drets com a representant legal del fill o filla en comú. En tot cas, el dret d’informació s’ha de garantir a ambdós progenitors que tinguin la potestat parental. En cas de conflicte entre els progenitors, l’han de resoldre les autoritats competents en matèria de família.

A l’Annex 2 aportem un exemple pel compliment de les exigències d’informació i recollida de consentiment per l’ús de serveis i recursos digitals  en el marc del Pilot del Pla de Digitalització Democràtica d’Xnet, ja que fins que no s’aclareixi per què l’ús de plataformes no s’inclou dins de l’exercici de la funció orientadora i educativa de la Llei Orgànica d’Educació serà necessari obtenir el consentiment de les persones afectades.
 

4.3) Informació que ha de constar en l’Avís legal de les eines educatives (i les pàgines web)

Un altre àmbit obligatori molt important és l’Avís legal de les eines educatives que s’utilitzen i de les pàgines web.
Proporcionem a l’Annex 3 un exemple d’Avís Legal, Política de Privacitat i Política de Cookies que serviria per a plataformes educatives com el DD. Heu de tenir present que aquestes polítiques podrien no ser d’aplicació per les pàgines webs dels centres educatius ja que és diferent una eina d’ús intern d’una pàgina web per a rebre visites externes. Pels avisos legals i polítiques de les webs heu d’adaptar-los a la situació concreta segons les funcionalitats que hi hagi incloses (cookies analítiques, mitjans de pagament, drets d’imatge, etc.). Podeu utilitzar com a referència, per exemple, l’avís legal del Consorci d’Educació de Barcelona(119).

Així mateix, en l’exemple d’avís legal que es proporciona s’ha previst que tant la plataforma com els continguts que s’hi incorporen es troben sota una llicència Creative Commons de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)(120), ja que és la que nosaltres suggerim. En cas de voler utilitzar un altre tipus de llicència o règim de propietat intel·lectual i industrial s’hauria de modificar l’apartat corresponent.

 


ANNEX 3. AVÍS LEGAL, CONDICIONS D’ÚS DE LA PLATAFORMA DD, POLÍTICA DE PRIVACITAT I POLÍTICA DE COOKIES

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

ÍNDEX

1.- DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES

2.- DESCRIPCIÓ TÈCNICA

3.- COM S’ADMINISTRA LA PLATAFORMA

4.- CONDICIONS D’ÚS I NAVEGACIÓ DE LA PLATAFORMA

4.1.- Continguts i llicència

4.2.- Exclusió de garanties i limitacions de responsabilitat i accions en cas de presumptes irregularitats

5.- POLÍTICA DE PRIVACITAT

5.1.- Responsable del Tractament

5.2.- Activitats de Tractament

5.3.- Finalitat del Tractament de les dades i Categories de dades tractades

5.3.1.- Amb quina finalitat tractarem les seves dades personals?

5.3.2.- Quines categories de dades tractem?

5.3.3.- D’on procedeix la informació recollida?

5.3.4.- Quant temps guardem les seves dades?

5.4.- Legitimació i Base Jurídica
Quina és la legitimació pel tractament de les seves dades?

5.5.- Drets de les Persones Usuàries
Quins drets té la persona interessada quan comunica les seves dades al centre ?

5.6.- Comunicacions de Dades
A quins destinataris es comunicaran les seves dades?

6.- ÚS I POLÍTICA DE COOKIES

6.1.- Cookies dels diferents Components de DD

6.1.1.- Nextcloud

6.1.2.- Moodle

6.1.3.- Big Blue Button

6.1.4.- Etherpad

6.1.5.- WordPress

6.1.6.- Admin

6.1.7.- Onlyoffice

6.1.8.- Keykloak

6.1.9.- Haproxy, Mariadb y Postgresql

 

1.- DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES

El responsable d’aquesta plataforma, posa a la disposició de les persones usuàries el present avís legal, la finalitat del qual és complir les obligacions i deure d’informació establerts en l’article 10 de la Llei 34/2002, d’11 de juny, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE) i altra normativa aplicable.

Responsable de la Plataforma: Direcció del Centre

Denominació del Centre:

Direcció:

NIF/CIF:

Telèfon:

Direcció de correu electrònic:

Nom de domini:

 

2.- DESCRIPCIÓ TÈCNICA

El CENTRE ha escollit la plataforma DD, creada per Xnet, famílies, desenvolupadors i centres promotors i l’Ajuntament de Barcelona, per proporcionar a la comunitat educativa, i en concret al professorat i a l’alumnat, un espai fàcil d’utilitzar per dur a terme l’activitat educativa en l’entorn digital de forma sobirana i respectuosa amb els seus drets. 

El desenvolupament tècnic dut a terme per les empreses IsardVDI i 3iPunt integra en una única plataforma, les següents eines de programari lliure i auditable que s’executen cadascuna als seus contenidors, fent ús en la seva majoria de les imatges oficials de cada programari de hub.docker.com.

Les eines que queden integrades són:
Nextcloud: desenvolupament de programes client-servidor amb l’objectiu d’habilitar serveis d’allotjament d’arxius afegint al servidor funcionalitat en forma d’aplicacions (calendari, mapes, webmail, reproductors i organitzadors de música, suites ofimàtiques, etc.).
Moodle: eina de gestió de continguts d’aprenentatge (Learning Content Management LCMS) precursora de sistemes com el Classroom. Creada a Austràlia el 2001, compta amb més de 160 milions de persones usuàries. Traduïda a 120 idiomes.
Big Blue Button – Blindside: sistema de videoconferència dirigit a l’aprenentatge online. Permet l’ús compartit d’àudio i vídeo, presentacions amb capacitats ampliades de pissarra com el punter, el zoom o el dibuix, xat públic i privat, ús compartit de l’escriptori, VoIP integrat amb FreeSWITCH i suport per a l’enviament de documents. 
Etherpad: editor en línia que permet l’edició col·laborativa en temps real. 
WordPress: gestor de continguts (Content Management System, CMS) en PHP i emparellat amb les bases de dades MySQL o MariaDB. Entre les seves característiques estan l’arquitectura a partir de plugins i el sistema de plantilles gràfiques o temes.
Onlyoffice: paquet ofimàtic integrat amb Nextcloud que permet l’edició de documents ofimàtics (fulls de càlcul, editor de text, presentacions, conversions de format, etc.).
Keycloak: gestor de l’autenticació, usuaris i grups. Totes les aplicacions de la suite digital s’enregistren contra el SAML proporcionat per Keykloak. La creació d’usuaris es realitza amb Admin atacant la seva API.

S’han desenvolupat components propis del projecte per integrar les aplicacions i millorar l’experiència d’usuari:
Admin: plataforma de gestió d’usuaris i customitzacions que opera sobre les APIs de la resta d’aplicacions per tal de gestionar la sincronització de la creació massiva d’usuaris i la configuració d’aspectes generals de la suite digital.
API: serveis que fan servir la resta d’aplicacions per construir el menú i els elements comuns de la suite digital.
Plugins de Moodle i WordPress.
Eina per automatitzar configuracions i personalitzacions de les instal·lacions.

Aquest conjunt d’eines queda allotjat a servidors Hetzner amb sistema operatiu Debian.
 


3.- COM S’ADMINISTRA LA PLATAFORMA

La plataforma s’administra segons les indicacions de la Direcció del Centre, que n’és responsable. Per tant, en cas de considerar que en aquesta hi ha errades, millores tècniques, problemes amb continguts, o té alguna reclamació, qüestió, consulta o suggeriment, dirigeixi’s a la Direcció del CENTRE.


4.- CONDICIONS D’ÚS I NAVEGACIÓ DE LA PLATAFORMA


4.1.- CONTINGUTS I LLICÈNCIA

Les presents condicions d’ús i navegació tenen com a finalitat regular la relació entre el titular de la plataforma, és a dir, el CENTRE, i les persones usuàries de la comunitat educativa que accedeixen, naveguen i generen contingut i duen a terme tasques relacionades amb l’activitat educativa mitjançant aquesta eina. Així doncs, la plataforma proporciona l’accés lliure i gratuït a gran quantitat de continguts, entenent per aquests, sense que aquesta enumeració tingui caràcter limitatiu, informació, serveis, dades, textos, fotografies, gràfics, imatges, icones, tecnologia, programari, links i altres continguts audiovisuals o sonors, així com el seu disseny gràfic i codis font (d’ara endavant, “els continguts”).

Cada persona usuària serà responsable de que els continguts que pugi o enllaci a la plataforma són conformes a la legislació vigent en el moment de pujar-los o enllaçar-los, per exemple, disposar dels drets d’imatge de fotografies fetes a l’alumnat. El CENTRE es reserva el dret de retirar o modificar els continguts que consideri que no responen o no són oportuns en l’àmbit educatiu del CENTRE.
Així mateix, les persones usuàries han de fer un ús adequat de la plataforma, els continguts i serveis oferts de conformitat amb la Llei, la moral, i les bones costums generalment acceptades, l’ordre públic i les condicions previstes en el present Avís Legal i altres avisos, polítiques, reglaments d’ús i instruccions posats en el seu coneixement.

Per defecte, els continguts que es publiquen a la plataforma ho fan sota l’empara de la llicència Creative Commons de Reconeixement-No Comercial-Compartir Igual 4.0 Internacional (CC BY-NC-SA 4.0), és a dir, poden ser compartits (copiar i redistribuir el material en qualsevol mitjà i format) i adaptats (remesclar, transformar i crear a partir del material), amb els termes següents:

    Reconeixement — Heu de reconèixer l’autoria de manera apropiada, proporcionar un enllaç a la llicència i indicar si heu fet algun canvi. Podeu fer-ho de qualsevol manera raonable, però no d’una manera que suggereixi que el llicenciador us dóna suport o patrocina l’ús que en feu.
    No Comercial — No podeu utilitzar el material per a finalitats comercials.
    Compartir Igual — Si remescleu, transformeu o creeu a partir del material, heu de difondre les vostres creacions amb la mateixa llicència que l’obra original.

És per això que les persones usuàries són responsables de verificar que els continguts, en el moment de pujar-los, són publicables sota aquesta llicència o d’indicar en el moment d’incloure els continguts a la plataforma sota quina llicència s’emparen.

Tanmateix, s’ha de tenir en compte que l’article 32 de la Llei de Propietat Intel·lectual permet citar i ressenyar fragments d’obres amb finalitats educatives o d’investigació científica, indicant la font i el nom de l’autor de l’obra utilitzada. Així doncs, tot el contingut de la plataforma estarà sotmès a la llicència abans referenciada a l’excepció d’aquests continguts.

Encara que en el moment d’introduir un hipervincle de tercers en les activitats que es porten a terme en la plataforma la persona usuària és responsable de verificar la legalitat i correcció del contingut que enllaça, aquesta persona només n’és responsable en el moment de fer-ho i no ulteriorment, ja que el CENTRE no exerceix cap mena de control sobre els enllaços o hipervincles a altres pàgines d’Internet, que no pertanyen, ni són editades o censurades pel CENTRE. Per tant, una vegada que la persona usuària accedeixi als enllaços de tercers i abandoni la plataforma, tant el present Avís Legal, com la Política de Privacitat i la Política de Cookies deixaran de tenir efecte, ja que les pàgines web als quals la persona usuària accedeixi estan subjectes a les seves pròpies polítiques.
 

4.2.- EXCLUSIÓ DE GARANTIES I LIMITACIONS DE RESPONSABILITAT I ACCIONS EN CAS DE PRESUMPTES IRREGULARITATS

Si la persona usuària se sent perjudicada per la difusió en la plataforma de continguts, vídeos o imatges, que puguin resultar erronis o inadequats pot enviar un correu electrònic al CENTRE qui respondrà a la seva reclamació el més aviat possible informant sobre la possibilitat o no de rectificar el contingut o retirar el material de la plataforma.

Qualsevol incompliment de les clàusules contingudes en la present plataforma (Avís Legal, Política de Privacitat, Política de Cookies, així com altres continguts que suposin obligacions per a la persona usuària) i en general de la legalitat vigent, es comunicarà immediatament per part del CENTRE a les autoritats pertinents, comprometent-se aquesta a cooperar amb aquestes. En tal cas, la persona usuària respondrà enfront del CENTRE o enfront de tercers, de qualsevol dany i perjudici que pogués causar a conseqüència de l’incompliment d’aquestes obligacions.
 

5.- POLÍTICA DE PRIVACITAT
[Aquesta política de privacitat només és vàlida pels centres dependents del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona. Per adaptar-la a altres Centres de Catalunya, s’han de treure les referències al Consorci. Per adaptar-la a Centres de fora de Catalunya o d’altres àmbits, s’han de substituir les referències amb les de les institucions responsables. En el cas que les institucions responsables no proveeixin la informació els centres l’hauran de detallar].

5.1.- RESPONSABLE DEL TRACTAMENT

En compliment del que es disposa a l’article 13 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en relació al tractament de dades personals i a la lliure circulació d’aquestes dades, i a l’article 11 de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, el CENTRE l’informa que les dades de caràcter personal que la persona usuària proporcioni durant la seva navegació i ús de la plataforma seran objecte de tractament per part del CENTRE (veure apartat relatiu a les DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES).

5.2.- ACTIVITATS DE TRACTAMENT

El CENTRE duu a terme les activitats de tractament següents en la present plataforma.

Podeu trobar la descripció completa de cadascuna al Registre de les activitats de tractament del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona:

5.3.- FINALITAT DEL TRACTAMENT DE LES DADES I CATEGORIES DE DADES TRACTADES

5.3.1.- Amb quina finalitat tractarem les seves dades personals?

El CENTRE tracta la informació facilitada per la persona usuària amb la finalitat de proporcionar l’ús de serveis i recursos digitals a Internet per portar a terme l’activitat educativa.
Concretament: el CENTRE tractarà les dades de la persona usuària, de manera automatitzada/electrònica, per a les següents finalitats específiques:

    • l’ús de serveis i recursos digitals a Internet per dur a terme l’activitat educativa;
    • la gestió i manteniment de la pròpia plataforma educativa utilitzada pels serveis educatius;
    • la gestió dels usuaris, credencials i accessos als serveis i recursos digitals a Internet per treballar a l’aula; i
    • el control i seguiment dels continguts de la mateixa.

Les dades recollides no seran tractades ulteriorment de manera incompatible amb els fins aquí indicats.

5.3.2.- Quines categories de dades tractem?

Ateses les finalitats esmentades i en compliment del principi de minimització de dades el CENTRE pot tractar les categories de dades previstes en els Registres d’Activitats de Tractament del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona mencionats.

5.3.3.- D’on procedeix la informació recollida?

    Les dades de què disposa el CENTRE procedeixen de:
    • La informació recollida per part de les Administracions Públiques per garantir l’accés a l’activitat educativa, la qual es troba emparada per les previsions de l’article 28 de la Llei 39/2015 modificat per la LOPDGDD; i
    • La informació proveïda voluntàriament per les persones usuàries mitjançant la plataforma durant el desenvolupament de l’activitat educativa.

5.3.4.- Quant temps guardem les seves dades?

Les dades de l’expedient acadèmic són de conservació permanent d’acord amb la legislació vigent, concretament segons l’establert a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.


Sobre el temps de conservació de la resta de les dades, la Generalitat i Consorci remeten al que estableix el Decret 13/2008, de 22 de gener, sobre accés, avaluació i tria de documents i a les Taules d’Avaluació Documental definides i aprovades per la Comissió Nacional d’Accés, Avaluació i Tria Documental (CNAATD) (http://taad.cultura.gencat.cat/), on s’indica només el temps de conservació de certs conjunts de dades (sol·licituds de beques i expedients d’admissió i matriculació dels alumnes). Pel que respecta a la resta de material generat per i sobre les i els alumnes, Xnet està consultant la Generalitat al respecte i actualitzarem la informació quan tinguem resposta.

5.4.- LEGITIMACIÓ I BASE JURÍDICA

Quina és la legitimació pel tractament de les seves dades?

El tractament de dades personals per proporcionar l’ús de serveis i recursos digitals a Internet per treballar a l’aula està legitimat pel consentiment de la persona interessada o de la persona que ostenta la tutoria legal en cas de menors d’edat que heu atorgat al CENTRE prèviament a l’accés a la present plataforma. Podeu retirar-ne el consentiment en qualsevol moment. La revocació no té efectes retroactius. De la mateixa manera, el tractament també es troba legitimat per l’interès públic del Centre en l’exercici de funcions orientadores i educatives incloses en l’àmbit de la Llei Orgànica d’Educació.

5.5.- DRETS DE LES PERSONES USUÀRIES

Quins drets té la persona interessada quan comunica les seves dades al CENTRE?

    Dret a revocar els consentiments atorgats.
    Dret d’accés: Dret a obtenir confirmació sobre si al CENTRE s’estan tractant dades personals que el concerneixen o no, i a accedir a les seves dades personals si fos el cas.
    Dret de rectificació: Dret a rectificar les dades inexactes o incompletes que el concerneixen.
    Dret de supressió o dret a l’oblit: Dret a sol·licitar la supressió de les seves dades quan, entre altres motius, les dades ja no siguin necessàries per als fins que van ser recollides.
    Dret de limitació del tractament: Dret a obtenir del CENTRE la limitació del tractament de les dades quan es compleixi alguna de les condicions previstes en la normativa de protecció de dades.
    Dret d’oposició: En determinades circumstàncies i per motius relacionats amb la seva situació particular al tractament de les seves dades, les persones interessades podran oposar-se al tractament de les seves dades. El CENTRE deixarà de tractar les dades, excepte per motius legítims imperiosos, o l’exercici o la defensa de possibles reclamacions.
    Dret de portabilitat: Dret a sol·licitar la portabilitat de les seves dades.

En qualsevol moment i de manera gratuïta, les persones interessades podran exercir els drets referits anteriorment, en els termes i condicions prevists en la legislació vigent, enviant un correu electrònic al CENTRE, indicant en l’assumpte “Exercici de Drets de Protecció de Dades” i el següent contingut:
El seu nom
Informació sobre la qual vol exercir el seu dret d’accés, rectificació, supressió o oblit, limitació del tractament o portabilitat.
Adreça de correu electrònic perquè li comuniquem la possibilitat, o no, de fer efectiva la seva sol·licitud.

En el cas que no obtingui resposta o no obtingui una resposta satisfactòria, o consideri que el CENTRE ha vulnerat els drets que li són reconeguts per la normativa aplicable en protecció de dades o desitgi major informació respecte qualsevol d’aquests drets, pot dirigir-se a l’Autoritat Catalana de Protecció de Dades mitjançant el següent enllaç https://apdcat.gencat.cat o a l’adreça C/ Rosselló, 214, Esc. A, 1r 1a 08008 Barcelona.


Al CENTRE estem compromesos amb el compliment normatiu i el respecte dels drets de les persones usuàries, així com el respecte a la seva privacitat, per la qual cosa si té algun dubte respecte a com tractem les seves dades personals, no dubti a posar-se en contacte amb nosaltres a través de les vies indicades.

5.6.- COMUNICACIONS DE DADES


A quins destinataris es comunicaran les seves dades?

Amb caràcter general les dades no es comunicaran a tercers, excepte en els casos d’obligacions previstes per llei, o si ho heu consentit prèviament. En tot cas seran destinataris de les dades la/les plataforma/es de servei, entorns o entitats educatives corresponents, com a encarregades del tractament, que proveeixen, per compte del responsable del tractament, els serveis TIC, que hàgiu autoritzat.
 

6.- ÚS I POLÍTICA DE COOKIES

Les cookies són petits fitxers creats en el navegador de les persones usuàries necessàries per a desenvolupar unes certes funcionalitats per a la navegació. Algunes, però, poden extreure informació de la persona usuària sense que aquesta en sigui conscient.

Els components de la plataforma DD utilitzen diverses tipologies de cookies necessàries pel seu funcionament que es detallen a continuació.

La taula següent enumera les cookies que utilitzen aquests components. Com que els noms, nombres i propòsits d’aquestes cookies poden canviar amb el temps, aquesta pàgina pot ser actualitzada per reflectir aquests canvis.


6.1.- COOKIES DELS DIFERENTS COMPONENTS DE DD


 

ÚLTIMA ACTUALITZACIÓ: …

[És important no utilitzar aquest avís legal sense assegurar-se que realment el Centre compleix amb tot el que s’indica]

 

5) Encarregats del tractament(121),(122),(123),(124),(125),(126)

La relació entre el Centre/Responsable del tractament i l’Encarregat del tractament (el proveïdor de serveis amb accés a dades personals) s’ha d’establir a través d’un contracte, conveni o acord, o d’un acte jurídic que els vinculi. El contracte ha de constar per escrit. Normalment  és un annex al contracte de servei. Proposem un model més avall.

La directora o el director del centre, ha d’escollir únicament Encarregats del tractament que ofereixin “garanties suficients” per aplicar les mesures tècniques apropiades, conforme amb els requisits de l’RGPD. Per tant, hi ha un deure de diligència a l’hora d’escollir l’Encarregat. Per poder demostrar que l’Encarregat ofereix prou garanties, l’RGPD estableix l’adhesió a codis de conducta o la possessió de certificats de compliment de la normativa de protecció de dades. Per tant, en el moment de contractar un proveïdor de serveis, la Direcció del  Centre haurà de demanar si disposen d’alguna acreditació que demostri que compleixen amb la normativa de protecció de dades personals.

Veure, en aquest sentit l’Annex 4, amb una plantilla de com hauria de ser el contracte entre el Centre i els proveïdors de serveis amb accés a dades personals.

 


ANNEX 4. MODEL D’ANNEX CONTRACTUAL DE PROTECCIÓ DE DADES ENTRE RESPONSABLES I ENCARREGATS DEL TRACTAMENT (EX. EMPRESA EXTERNA DE SERVEIS)(127)

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

A …, el …. de ………. de 20… .

Atès que la realització dels treballs relatius a l’objecte de el contracte suposa el tractament de dades de caràcter personal, de persones identificades o identificables, per part de l’Encarregat del tractament, es relacionen a continuació els seus deures i obligacions en relació amb el tractament de les dades, tal com preveu la normativa vigent de protecció de dades personals.

1. Objecte i naturalesa de l’encàrrec de tractament, identificació de la informació afectada i durada.

Mitjançant aquestes clàusules s’habilita a ………, com a Encarregat del tractament (en endavant el l’Encarregat de tractament), a tractar per compte del Centre educatiu ….. (en endavant, el Centre/Responsable del tractament, les dades de caràcter personal necessàries per a prestar el servei consistent en …………. .

El tractament consistirà en la gestió de les dades personals derivada de les prestacions previstes en el contracte per compte del Centre/Responsable del tractament, podent consistir en el tractament de les categories de dades personals i persones interessades previstes en els tractaments realitzats pels centres educatius previstos pel Departament d’Educació(128), pel Consorci d’Educació de Barcelona(129),(130),(131) i la guia de l’APDCAT sobre protecció de dades per als centres educatius(132).

En tot cas aquests tractaments es regiran pel que disposa el document relatiu a la Protecció de dades personals dels “Documents per a l’organització i la gestió dels centres sobre Protecció de Dades”(133), el qual té caràcter normatiu per als centres educatius de titularitat del Departament d’Educació.

Per executar les prestacions derivades de l’acompliment de l’objecte d’aquest encàrrec, el Centre educatiu, Centre/Responsable del tractament, posa a disposició de l’Encarregat del tractament, la informació detallada en el contracte de què deriva aquest annex.

Aquest acord es troba supeditat quant a la seva durada al contracte de prestació de serveis contractats amb l’Encarregat.
 

2. Obligacions de l’Encarregat del tractament

L’Encarregat del tractament i tot el seu personal s’obliga a:

a) Utilitzar les dades personals objecte de tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d’aquest encàrrec. En cap cas pot utilitzar les dades per a finalitats pròpies.

b) Si existeixen més instruccions a part de les obligacions indicades en aquest contracte, tractar les dades d’acord amb les instruccions del Centre/Responsable del tractament.

Si l’Encarregat del tractament considera que alguna de les instruccions infringeix el RGPD o qualsevol altra disposició en matèria de protecció de dades de la Unió o dels estats membres, l’Encarregat ha d’informar immediatament el Centre/Responsable.

c) Tenir, per escrit, un registre de totes les categories d’activitats de tractament efectuades per compte del Centre/Responsable, que contingui el previst a l’article 30 del RGPD.

d) Amb caràcter general, a no comunicar les dades a terceres persones, llevat que tingui l’autorització escrita expressa del Centre/Responsable del tractament, en els supòsits legalment admissibles.

L’Encarregat pot comunicar les dades a altres Encarregats del tractament del mateix Centre/Responsable, d’acord amb les instruccions del Centre/Responsable. En aquest cas, el Centre/Responsable ha d’identificar, prèviament i per escrit, l’entitat a la qual s’han de comunicar les dades, les dades a comunicar i les mesures de seguretat que cal aplicar per a procedir a la comunicació.

Si l’Encarregat hagués de transferir dades personals a un tercer país o una organització internacional, en virtut de el dret de la Unió o dels estats membres que li sigui aplicable, ha d’informar el Centre/Responsable d’aquesta exigència legal de manera prèvia, llevat que aquest dret ho prohibeixi per raons importants d’interès públic.

e) Subcontractació
Per subcontractar amb altres empreses, el subcontractista, que també té la condició d’Encarregat de tractament, està obligat igualment a complir les obligacions que aquest document estableix per a l’Encarregat del tractament i les instruccions que dicti el Centre/Responsable. Correspon a l’Encarregat inicial regular la nova relació, de manera que el nou Encarregat quedi subjecte a les mateixes condicions (instruccions, obligacions, mesures de seguretat …) i amb els mateixos requisits formals que ell, pel que fa a el tractament adequat de les dades personals i a la garantia dels drets de les persones afectades. Si el sots-Encarregat l’incompleix, l’Encarregat inicial continua sent plenament responsable davant el Centre/Responsable pel que fa a l’acompliment de les obligacions.

f) Mantenir el deure de secret professional i confidencialitat respecte de les dades de caràcter personal objecte de el present contracte a les quals tingui accés en virtut d’aquest encàrrec, fins i tot després que finalitzi l’objecte d’aquest o es resolgui. L’Encarregat de prendre les mesures necessàries perquè el contingut de la informació no es divulgui a tercers, ni que aquests puguin tenir accés a la mateixa sense autorització del Centre/Responsable del tractament.

A l’efecte de el present acord, tindrà la consideració d’informació confidencial tota aquella susceptible de ser revelada de paraula, per escrit o per qualsevol altre mitjà o suport, tangible o intangible, ja sigui intercanviada com a conseqüència d’aquesta relació contractual o que una part assenyali o designi com a confidencial a l’altra.

Així mateix, l’Encarregat ha de guardar reserva respecte de les dades o antecedents que no siguin públics o notoris dels quals hagi tingut coneixement en ocasió del contracte. En aquest sentit, la documentació i informació a la qual tingui accés l’Encarregat té caràcter confidencial, i no podrà ser objecte de divulgació o transmissió a terceres persones, total o parcialment, per cap mitjà o suport, fora de l’estricte àmbit d’execució directa del contracte.

g) Garantir que les persones autoritzades per tractar dades personals del Centre/Responsable es comprometen, de manera expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents a aquest efecte, de les quals cal informar-se convenientment, i mantenir a disposició del Centre/Responsable la documentació que acredita que es compleix aquesta obligació.

h) Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per tractar dades personals.

i) Assistir el Centre/Responsable i resoldre pel compte del Centre/Responsable i dins el termini establert, segons escaigui, en el context d’aquest contracte, en la resposta a l’exercici dels drets següents:

    1) Accés, rectificació, supressió i oposició
    2) Limitació del tractament
    3) Portabilitat de dades
    4) A no ser objecte de decisions individualitzades automatitzades (inclosa l’elaboració de perfils)

j) Dret d’informació

L’Encarregat del tractament ha de facilitar, en cas de recollir directament de les persones afectades les seves dades personals, en el moment de recollir les dades, la informació relativa als tractaments de dades que es duran a terme. La redacció i el format en què es facilitarà la informació s’ha de consensuar amb el Centre/Responsable, abans d’iniciar la recollida de les dades.

k) Notificació de bretxes de seguretat de les dades

L’Encarregat del tractament ha d’informar el Centre/Responsable del tractament, sense dilació indeguda, i a través del correu electrònic proveït pel Centre/Responsable, de qualsevol sospita o constatació d’eventuals errors, incidències o bretxes de seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per documentar i comunicar la incidència, per tal que el CENTRE pugui complir amb la seva obligació de posar-se en contacte de forma immediata amb el servei territorial corresponent a l’efecte informatiu i també amb el delegat o delegada de protecció de dades del Departament d’Educació, a través del qual es recomana notificar la violació de seguretat a l’APDCAT, la qual s’ha d’efectuar en el termini màxim de 72 hores.

A l’efecte de el present contracte i de conformitat amb el que disposa el RGPD, una incidència de seguretat, serà aquella que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, fins i tot, la comunicació o accés no autoritzats a aquesta informació.

Sense perjudici de l’anterior, la notificació no serà necessària quan sigui improbable que aquesta incidència de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.

Si es disposa d’ella, cal facilitar al Centre/Responsable, com a mínim, la informació següent:

1) Descripció de la naturalesa de la incidència de seguretat de les dades personals, incloses, quan sigui possible, les categories i el nombre aproximat de persones interessades afectades i les categories i el nombre aproximat de registres de dades personals afectats.
2) Nom i dades de contacte del Delegat de Protecció de Dades o d’un altre punt de contacte en el qual es pugui obtenir més informació.
3) Descripció de les possibles conseqüències de la incidència de seguretat de les dades personals.
4) Descripció de les mesures adoptades o propostes per posar remei a la incidència de seguretat de les dades personals, incloses, si mesures adoptades per mitigar els possibles efectes negatius.

Si no és possible facilitar la informació simultàniament, i en la mesura que no ho sigui, la informació s’ha de facilitar de manera gradual sense més dilació indeguda.

l) Facilitarà diligentment i sense dilació indeguda la informació requerida pel Centre/Responsable del tractament a l’hora de fer les avaluacions d’impacte relatives a la protecció de dades, quan procedeixi.

m) Facilitarà diligentment i sense dilació indeguda la informació requerida pel Centre/Responsable del tractament a l’hora de fer les consultes prèvies a l’autoritat de control, quan sigui procedent.

n) Posar a disposició del Centre/Responsable tota la informació necessària per demostrar que compleix les seves obligacions, així com per realitzar les auditories o les inspeccions que s’efectuïn el Centre/Responsable o un altre auditor autoritzat per ell.

o) Implantar, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposades, i en estricte compliment de la normativa vigent en matèria de protecció de dades de caràcter personal, les mesures i mecanismes de caràcter tècnic i organitzatiu necessàries per:

    1) Garantir la seguretat, confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament així com de les dades de caràcter personals a les quals té accés en ocasió de l’execució del contracte, tot evitant-ne la seva alteració, pèrdua, tractament o accés no autoritzat;
    2) Restaurar la disponibilitat i l’accés a les dades personals de forma ràpida, en cas d’incident físic o tècnic.
    3) Verificar, avaluar i valorar, de manera regular, l’eficàcia de les mesures tècniques i organitzatives implantades per garantir la seguretat del tractament.
    4) Pseudoanonimizar i xifrar les dades personals, si s’escau.

L’adhesió a codis de conducta o la possessió d’una certificació són elements que serveixen per demostrar el compliment dels requisits indicats anteriorment. S’ha de facilitar la informació sobre aquestes certificacions si es disposa de la mateixa.

En aquest sentit, s’han d’aplicar les mesures que es determinen al Marc de ciberseguretat per a la protecció de dades (MCPD).

Així mateix, d’acord amb el que estableix la Disposició Addicional primera de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, l’Encarregat es compromet al compliment de l’Esquema Nacional de Seguretat regulat pel Reial Decret 3/2010, de 8 de gener, segons la categoria corresponent del sistema.

p) Destinació de les dades

Durant la vigència del contracte, l’Encarregat haurà de conservar qualsevol dada objecte de tractament, llevat que rebi indicacions en sentit contrari del Centre/Responsable del tractament.
Una vegada acabada la prestació de serveis l’Encarregat eliminarà les dades objecte de tractament.

No obstant això, l’Encarregat pot conservar una còpia, amb les dades degudament bloquejades, mentre es puguin derivar responsabilitats de l’execució de la prestació.
 

5. Obligacions del Centre/Responsable del tractament

Correspon al Centre/Responsable del tractament:

a) Lliurar a l’Encarregat les dades a les quals es refereix la clàusula 2 d’aquest document.

b) En els casos de tractaments que d’acord amb la llei(134) comporten un risc elevat, fer una avaluació de l’impacte en la protecció de dades personals de les operacions de tractament que ha d’efectuar l’Encarregat, i en cas de confirmar que el tractament comporta un alt risc, fer les consultes prèvies que correspongui(135).

c) Vetllar, abans i durant tot el tractament, perquè l’Encarregat compleixi el RGPD. A tal fi, el Centre/Responsable podrà designar en qualsevol moment durant la vigència del contracte a personal intern o extern per a verificar que l’Encarregat té implantades les mesures necessàries per garantir la seguretat de les dades de caràcter personal. Supervisar el tractament, inclosa l’execució d’inspeccions i auditories.

d) Autoritzar l’Encarregat de el tractament a:

    1) Dur a terme el tractament de les dades de caràcter personal en dispositius portàtils de tractament de dades només per part de les persones usuàries o perfils d’usuari assignats a la prestació de serveis contractada.
    2) Dur a terme el tractament fora dels locals del Centre/Responsable del tractament, només per part dels les persones usuàries o perfils d’usuari assignats a la prestació de serveis contractats.
    3) L’entrada i sortida dels suports i documents que continguin dades de caràcter personal, inclosos els compresos i / o annexos a un correu electrònic, fora dels locals sota el control del Centre/Responsable del tractament.
    4) L’execució dels procediments de recuperació de dades que l’Encarregat del tractaments vegi en obligació d’executar.
    5) Tractar les dades en els seus locals, aliens als del Centre/Responsable del tractament esmentat en el punt 2 d’aquesta clàusula.


6. Incompliments i responsabilitats

En especial en el cas que destini les dades a les quals tingui accés a una finalitat diferent a l’establerta, o les comuniqui o les utilitzi incomplint les estipulacions del contracte o les instruccions del Centre/Responsable, l’Encarregat respondrà personalment de les infraccions que hagi comès i de les possibles reclamacions que es puguin produir al respecte.
 

7. Vigència

Aquest contracte conté el total acord entre les parts sobre l’objecte del mateix i anul·la i substitueix qualsevol acord anterior sobre protecció de dades personals, verbal o escrit, a què haguessin arribat les parts.
Així mateix, en cas de contradicció entre les condicions estipulades en el present acord i qualsevol altre signat amb anterioritat entre les dues parts, prevaldrà l’estipulat en el present.
Qualsevol modificació de el contingut d’aquest acord, només serà efectiva si es realitza per escrit i amb el consentiment d’ambdues parts.


 

 

6) Incidències de seguretat de protecció de dades(136),(137)

La gestió de les incidències de seguretat, com comentat, és responsabilitat de totes i tots les i els PROFESSIONALS i en última instància de la Direcció, que també és responsable de vehicular les incidències greus cap a l’Autoritat de Protecció de Dades.

Com ja s’ha comentat anteriorment, el Delegat de protecció de dades(138),(139), del Departament d’Educació(140), figura obligatòria en educació(141), és l’interlocutor en nom dels centres i serveis educatius(142) amb l’Autoritat Catalana de Protecció de Dades (APDCAT).(143)

En cas d’ocórrer una incidència greu relativa a la seguretat de les dades s’ha de notificar el més aviat possible al Delegat de Protecció de Dades del Departament d’Educació perquè aquest guiï al Centre sobre com actuar i compleixi amb els tràmits que corresponguin d’acord amb la normativa de protecció de dades davant de l’Autoritat. 

 

RESPONSABILITAT DEL PROFESSORAT

Les professores i professors, degut a la seva activitat estan constantment en contacte amb dades personals de la comunitat educativa, en particular les de les i els alumnes, per exemple, comunicant-se amb els alumnes i les seves famílies o utilitzant serveis informàtics per la realització de les classes.(144)

Per tal de conèixer com es gestionen les dades personals al Centre educatiu on treballen, el professorat ha de ser informat com indicat anteriorment (veure annex 1).

 

FAMILIES

Pel un funcionament transparent dels Centres i seguint els més alts estàndards del dret d’informació, seria adequat que els Centres informessin les famílies tal i com s’ha indicat anteriorment en l’apartat relatiu a la “Informació i consentiment de les persones afectades”, d’aspectes tant importants del tractament de les dades personals, com: per què es recullen les dades (finalitat), qui és el responsable d’aquestes dades (el Centre) i com posar-s’hi en contacte, si és obligatori proporcionar les dades, els drets dels alumnes sobre la protecció de les seves dades i com exercir-los, i si aquestes dades es comparteixen amb algun destinatari. 

Aquesta informació s’hauria de trobar en general – suggerim a la web – i en tot cas en el moment en què es recullin dades personals (ex. un formulari) o bé, en cas que el Centre rebi les dades d’una altra entitat, haurà de proporcionar-la en un mes des de la recepció d’aquestes dades.

Tanmateix, els Centres educatius en principi no necessitarien el consentiment dels alumnes o de les seves mares, pares i tutors per utilitzar les seves dades ja que aquestes són necessàries per complir amb la seva funció docent i orientadora.

En alguns casos, no estrictament relacionats amb la funció docent i educativa, és necessari que el Centre demani el consentiment de les mares, pares i tutors o dels alumnes que ja siguin majors de 14 anys, els quals ja poden consentir legalment sobre el tractament de les seves dades personals.

 

© Copyright Xnet – CC 4.0 BY-SA-NC

Contacte:
contact@xnet-x.net

ÚLTIMA VERSIÓ: 28/01/2022.

 


1
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Disponible a: https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

2
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. Disponible a:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

3
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

4
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

5
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

6
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

7
Article 4 i considerants 26, 28-30, 34-37 RGPD.

8
APDCAT. Guies APDCAT. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

9
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

10
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

11
AEPD. Guías y herramientas. Disponible a:
https://www.aepd.es/es/guias-y-herramientas/guias

12
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

13
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

14
Article 4.1 RGPD.

15
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 12. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

16
AEPD. (2018). Guía para centros educativos. Pàgina 9. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

17
Més exemples a: APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 14. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

18
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 12-16 i 27. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

19
Article 9 i considerants 51-56 RGPD.

20
Article 9, Disposició Addicional 17ª i Disposició Final 3ª LOPDGDD.

21
AEPD. (2018). Guía para centros educativos. Pàgines 9-10. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

22
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 15-16. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

23
Article 4.2 RGPD.

24
AEPD. (2021). Quién es quién en el tratamiento de datos personales en tu centro educativo. Disponible a:
https://www.aepd.es/es/documento/quien-es-quien-centros-docentes.pdf

25
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 9 i 16. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

26
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

27
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 9. Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“El responsable del tractament, l’escola –en el cas de l’escola pública serà el Departament d’Ensenyament el que haurà d’establir si el responsable és cada centre o el mateix Departament– ha de garantir i poder demostrar que el tractament és conforme a la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades.”

28
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 16. Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“Responsable del tractament: la persona física o jurídica, autoritat pública, servei o altre organisme que sol o amb altres, determini els fins i mitjans del tractament (…). En el cas dels centres educatius públics ens trobem davant de centres que depenen d’un Departament de l’Administració de la Generalitat, però que alhora tenen atribuïda una certa autonomia en la gestió. Per això, el Departament d’Ensenyament serà el que establirà qui és el responsable del tractament.”

29
Article 24 RGPD i article 28 LOPDGDD.

30
Mitjançant el «Documents d’organització i gestió dels centres » (DOIGC) sobre «Protecció de dades personals», del 2 de juliol de 2021, el Departament ha establert que el Responsable del Tractament són els centres i serveis educatius, i en concret els seus directors o titulars.

31
Departament d’Educació. (2021). Document d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 4. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Els centres i els serveis educatius, mitjançant la direcció o la titularitat d’aquests, són responsables del tractament de les dades de l’alumnat i del personal del centre. (…) El responsable de tots els tractaments de dades que es facin en un centre educatiu és el director o directora del centre o la persona titular del centre.”

32
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 4. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Com a responsable, ha de garantir i poder demostrar que el tractament és conforme a la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades.
El centre ha d’analitzar quines dades personals tracta, amb quines finalitats ho fa i quin tipus d’operacions de tractament porta a terme. A partir d’aquesta anàlisi ha de valorar el risc que pot generar aquest tractament i, d’acord amb aquesta valoració, adoptar les mesures tècniques i organitzatives pertinents per garantir els drets i llibertats de les persones. Quan aquest nivell de risc sigui alt, pot ser necessari fer una avaluació d’impacte del tractament de dades personals (Guia de l’Autoritat Catalana de Protecció de Dades, APDCAT, d’avaluació d’impacte i la plantilla).
S’ha de poder demostrar el compliment de la normativa sobre protecció de dades davant les persones interessades i davant l’APDCAT, que és l’organisme que té per objecte garantir, en l’àmbit de les competències de la Generalitat, els drets a la protecció de dades personals i d’accés a la informació que hi està vinculada.
Cal que el centre tingui una actitud conscient, diligent i proactiva davant de tots els tractaments de dades personals que duu a terme. Tractar aquesta informació de forma adequada esdevé un objectiu d’una importància cabdal, no només pel paper dels centres o serveis educatius com a eix transmissor dels valors que, com la privacitat, estan lligats al respecte dels drets i llibertats de les persones, tal com recull la disposició addicional catorzena de la Llei d’educació, sinó també perquè el tractament de la informació dels menors requereix una cura especial; un tractament inadequat de la seva informació en aquesta fase de la vida, en què encara s’estan formant, pot afectar el desenvolupament de la seva personalitat en aquesta etapa i en etapes posteriors.
De conformitat amb l’article 92 de la LOPDGDD, els centres educatius i qualsevol persona física o jurídica que dugui a terme activitats en què participin menors d’edat han de garantir la protecció de l’interès superior del menor i els seus drets fonamentals, especialment el dret a la protecció de dades personals, en la publicació o difusió de les seves dades personals a través de serveis de la societat de la informació. Quan aquesta publicació o difusió s’hagi de dur a terme en xarxes socials o serveis equivalents, han de tenir el consentiment del menor, si és més gran de 14 anys, o dels seus representants legals, de conformitat amb el que estableix l’article 7 d’aquesta Llei orgànica.”

33
Articles 28-29 RGPD.

34
Articles 28, 33 i Disposició Transitòria 5ª LOPDGDD.

35
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, pàgines 10-11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Un encarregat del tractament és la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del responsable del tractament.
Les escoles, com a responsables dels tractaments, poden encarregar a terceres persones o entitats un tractament de dades personals o una activitat que comporti el tractament de dades de caràcter personal, com ara organitzar les activitats extraescolars, el servei d’autocar, el servei de menjador o altres serveis externalitzats (natació, activitats extraescolars, assessoria comptable i laboral, destrucció de paper, etc.).
La regulació de la relació entre el responsable i l’encarregat del tractament s’ha  d’establir a través d’un contracte, conveni o acord, o d’un acte jurídic que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, i inclusivament en format electrònic. (…)
El responsable del tractament, és a dir, el director o directora del centre o el o la titular, ha d’escollir únicament encarregats del tractament que ofereixin garanties suficients per aplicar les mesures tècniques apropiades, conforme amb els requisits de l’RGPD. Per tant, hi ha un deure de diligència a l’hora d’escollir l’encarregat.
Per demostrar que l’encarregat ofereix prou garanties, l’RGPD estableix l’adhesió a codis de conducta o la possessió de certificats de compliment de la normativa de protecció de dades que serveixen com a mecanismes d’acreditació de compliment.
Els centres i serveis educatius han de revisar tots els acords, convenis i contractes per adaptar-los al que estableix l’RGPD.
Per a més informació es pot consultar la Guia sobre l’encarregat del tractament al RGPD, de l’Autoritat Catalana de Protecció de Dades.”

36
Articles 37, 38, 39 RGPD.

37
Articles 34, 35, 36 i 37 LOPDGDD.

38
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura és obligatòria per al Departament i també per als centres docents (…)”.

39
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura (…) té, entre d’altres, les funcions següents: informar i assessorar el centre o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades, supervisar el compliment de la normativa, assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades i ser l’interlocutor del centre escolar amb l’autoritat de protecció de dades (APDCAT).”

40
Article 39.1.b) RGPD: “1. El delegado de protección de datos tendrá como mínimo las siguientes funciones: (…)
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

41
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, pàgina 12. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Fa referència a la figura del delegat o delegada de protecció de dades per als centres i serveis educatius de titularitat del Departament d’Educació: “El Departament d’Educació té assignat un delegat o delegada de protecció de dades que s’encarrega de vetllar pel dret fonamental a la protecció de dades personals en l’àmbit del Departament (en què s’inclouen els centres i serveis educatius de titularitat del Departament) i de supervisar el compliment de la normativa reguladora.
L’adreça de contacte és dpd.educacio@gencat.cat.”

42
Decisió per acord del Comitè de Direcció en el moment de l’entrada en vigor del nou Reglament General de Protecció de Dades.

43
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-7. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

44
Article 25 i considerant 78 RGPD.

45
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 10. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

46
AEPD. (2021). Medidas de protección de datos desde el diseño y por defecto. Disponible a:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/proteccion-de-datos-diseno-por-defecto

47
AEPD. (2019). Guía de Privacidad desde el Diseño. Disponible a:
https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf

48
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible a:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

49
Articles 5.1.c) i 25 RGPD.

50
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 21. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

51
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 24 i 27. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

52
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible a:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

53
Articles 5.1.e) i 6 RGPD.

54
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 22. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

55
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible a:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

56
Definit a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas. Disponible a:
https://boe.es/buscar/act.php?id=BOE-A-2015-7662#a32,%20https://dpej.rae.es/lema/expediente-acad%C3%A9mico

57
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre la Gestió del centre (curs 2021-2022). Pàgina 110, “gestió d’arxius”. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/DOIGC_Gestio.pdf

58
Articles 5.1.b) i 6 RGPD.

59
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 21. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

60
Article 5.1.a) RGPD

61
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 21. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

62
Licitud, lleialtat i legitimació:
– Article 6 i considerants 40, 41, 44, 45, 31, 46-50 RGPD.
– Article 8, Disposició Addicional 9ª, Disposició Addicional 10ª, Disposició Final 12ª LOPDGDD.
– APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 26-30. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

63
Transparència:
– Article 12 i considerants 39, 58-59 RGPD
– Article 12 LOPDGDD.
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 22-26. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

64
Llei Orgànica 2/2006, de 3 de maig, d’educació. Disponible a:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

65
Veure apartat dedicat al deure d’informació.

66
Article 5.1.d) RGPD

67
Article 4 i Disposició Addicional 8ª LOPDGDD.

68
Articles 5.2, 24, 25, 32, 35 i considerant 85 RGPD.

69
Article 28 LOPDGDD

70
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 9-10. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

71
Articles 5.1.f) i 32, considerant 39 RGPD.

72
Articles 5 i 28.2.a) LOPDGDD.

73
AEPD. (2018). Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento.
Disponible a:
https://www.aepd.es/es/documento/guia-rgpd-para-responsables-de-tratamiento.pdf-0

74
AEPD. (2018). Listado de Cumplimiento Normativo. Disponible a:
https://www.aepd.es/es/node/44505

75
APDCAT. Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/

76
AEPD. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. Disponible a:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

77
AEPD. (2019). Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas. Disponible a:
https://www.aepd.es/es/node/816

78
Això és el que proposem al Departament: “El Reglament General de Protecció de Dades és clar quan encarrega al Delegat de Protecció de Dades, que recordem, és una figura que el Departament ha designat i que correspon a tots els centres públics de Catalunya (Punt 9.1 Document d’organització i gestió dels centres sobre Protecció de dades personals i Decisió per acord del Comitè de Direcció en el moment de l’entrada en vigor del nou Reglament General de Protecció de Dades), la supervisió del compliment de la normativa de protecció de dades i la realització les auditories corresponents, que són el pas previ imprescindible per complir amb la normativa (Article 39.1.b) RGPD).
És per això que proposem que d’alguna manera la gestió dels riscos dels centres educatius es gestioni des del Departament, ja que el personal i les Direccions dels Centres ja tenen prou càrrega de treball amb el seu dia a dia com per a més haver de dissenyar i implantar mesures per complir amb una normativa que desconeixen.
Un exemple de com fer-ho podria trobar-se en el  “Catàleg de Serveis” de l’any 2016 de la Diputació de Barcelona on es oferir una subvenció per a “Auditories de compliment de les mesures de seguretat en el tractament de dades de caràcter personal” (Diputació de Barcelona. Catàleg de Serveis 2016. Pàgina 38. Disponible a:
https://seuelectronica.diba.cat/tramits-ens/concertacio/docs/Cataleg%202016%20-%20Petits%20municipis.pdf). D’aquesta manera els centres podrien externalitzar la gestió dels riscos.”

79
AEPD. (2019). Protege sus datos en la vuelta a clase. Consejos para padres, profesores y centros educativos. Disponible a:
https://www.aepd.es/es/documento/infografia-vuelta-clase.pdf

80
Article 30 i considerant 82 RGPD.

81
Article 31 i Disposició Final 11ª LOPDGDD.

82
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

83
APDCAT. (actualització 2021). Aplicació per gestionar el registre de les activitats de tractament. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/ 

84
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible a :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

85
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible a:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

86
Consorci d’Educació de Barcelona. Informe del Registre d’Activitats de Tractament. Tractament: “SE001 Plataformes educatives”. Disponible a:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

87
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 5, pàgines 8-9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

88
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 5, pàgina 9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“En cas que no ho siguin, cal notificar als serveis territorials corresponents o, en el cas de la ciutat de Barcelona, al Consorci d’Educació de Barcelona, l’activitat no inclosa per revisar-ne l’adequació i, si escau, publicar-la al Registre.”

89
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 21-30. Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

90
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-8, 12-14, 32. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

91
APDCAT (2022). “L’APDCAT promou la difusió responsable d’imatges de menors a internet”. Disponible a:
https://apdcat.gencat.cat/ca/sala_de_premsa/notes_premsa/noticia/Pautes-difusio-imatges-menors-escoles

92
Pàgines 6-7 del Documents d’organització i gestió dels centres sobre Protecció de dades personals.: “Per tant, cal que el conjunt de mesures organitzatives i tècniques que garanteixen el tractament adequat de les dades personals, per part de tot el personal autoritzat, estigui inclòs en les normes d’organització i funcionament del centre o serveis educatius. La direcció o titularitat dels centres o serveis educatius és la responsable de difondre les normes d’organització i funcionament del centre i de comprovar i assegurar que es compleixin.”

93
Pàgina 29 del Documents d’organització i gestió dels centres sobre Protecció de dades personals.: “Els centres han d’establir les normes que es requereixin per garantir un tractament adequat de les dades i són els responsables d’adoptar les mesures necessàries perquè tots els usuaris del sistema coneguin les polítiques del centre en matèria de seguretat.”

94
Reglament (UE) 2016/679 del Parlament Europeu y del Consell, de 27 de abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Disponible a:
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

95
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. Disponible a:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

96
Xnet. (2021). Manual d’Xnet sobre el tractament de dades personals als centres educatius de Barcelona dependents del departament d’educació per a l’ús de serveis i recursos en línia. Disponible a:
https://xnet-x.net/ca/manual-proteccio-dades-centres-educatius-educacio

97
APDCAT. Guies APDCAT. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

98
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

99
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

100
AEPD. Guías y herramientas. Disponible a:
https://www.aepd.es/es/guias-y-herramientas/guias

101
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

102
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

103
Article 90 i considerant 164 RGPD.

104
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 39-40. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

105
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 34. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

106
Llei Orgànica 2/2006, de 3 de maig, d’educació, Disposició addicional 23. Disponible a:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

107
Articles 33, 34 i considerants 85, 86, 87 i 88 RGPD. 

108
Articles 13-14 i considerants 60-62 RGPD. 

109
Article 11 LOPDGDD.

110
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 22-25. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

111
APDCAT. (2018). Guia per al compliment del deure d’informar a l’RGPD. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/guia_per_al_compliment_del_deure_d_informar_RGPD/ 

112
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible a :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

113
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 23-24. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

114
Aquí més detalls sobre cada dret concret:
https://apdcat.gencat.cat/ca/drets_i_obligacions/drets/drets_habeas_data/

115
Articles 7-8 i considerants 32, 42, 43 i 38 RGPD.

116
Articles 6, 7 i 92 LOPDGDD.

117
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 28-30. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

118
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-8. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

119
Consorci d’Educació de Barcelona. (s.d.). Avís legal. Disponible a:
https://www.edubcn.cat/ca/avis_legal

120
Creative Commons (s.d.). Reconeixement-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0). Disponible a:
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.ca

121
Articles 28-29 RGPD.

122
Articles 28, 33 i Disposició Transitòria 5ª LOPDGDD.

123
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, pàgines 10-11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

124
APDCAT. (2019). Guia sobre l’encarregat del tractament al RGPD. Disponible a:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-tractament-RGPD-CAT.pdf 

125
APDCAT. (2019). Annex a la guia sobre l’encarregat del tractament al RGPD: Model de clàusules contractuals. Disponible a:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-del-tractament-Annex-CAT.docx 

126
AEPD. (2018). Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Disponible a:
https://www.aepd.es/es/documento/guia-directrices-contratos.pdf

127
Si el contracte és a un proveïdor de servidors, Xnet defensa que els servidors no només han de ser rigorosos amb la protecció de dades personals sinó també amb altres drets fonamentals. En aquest cas, suggerim afegir aquestes clàusules perquè no solen trobar-se en els contractes o condicions dels servidors:
– Si bé els clients es comprometen a no publicar cap contingut que pugui vulnerar els drets de tercers o que pugui infringir la llei, el proveïdor no ha de tenir l’obligació de retirar cap contingut del servidor llevat que tingui coneixement efectiu que l’activitat o la informació emmagatzemada és il·lícita o perjudicial per a un tercer. A aquests efectes, es considera que hi ha coneixement efectiu quan estigui en vigor una resolució judicial o administrativa que bloquegi o retiri els continguts i el proveïdor en tingui coneixement.
– El client ha de ser informat en primer lloc.
– Les contrasenyes dels servidors només poden ser modificades, després de la configuració inicial, pel client i no han de ser conegudes pel proveïdor. A més, els clients poden utilitzar l’autenticació de dos factors i el xifratge per assegurar encara més els comptes.

128
Detall de les activitats de tractament realitzades als Centres educatius:
https://educacio.gencat.cat/ca/departament/proteccio-dades/informacio-addicional-tractaments/llista-responsables/#bloc1

129
La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona:
https://www.edubcn.cat/ca/el_consorci/proteccio_de_dades_personals

130
Detall de les activitats de tractament realitzades al Consorci d’Educació de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_CEB.pdf

131
Detall de les activitats de tractament realitzades als Serveis educatius dependents del Consorci d’Educació de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

132
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

133
Documents per a l’organització i la gestió dels centres. Protecció de dades personals: https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

134
Autoritat Catalana de Protecció de Dades (). l
https://apdcat.gencat.cat/web/.content/02-drets_i_obligacions/obligacions/documents/Lista-DPIA-ES.pdf

135
Article 36 del Reglament General de Protecció de Dades

136
Articles 33, 34 i considerants 85, 86, 87 i 88 RGPD.

137
AEPD. (2021). Guía para la notificación de brechas de datos personales. Disponible a:
https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf

138
Articles 37, 38 i 39 RGPD.

139
Articles 34, 35, 36 i 37 LOPDGDD. 

140
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, pàgina 12. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Fa referència a la figura del delegat o delegada de protecció de dades per als centres i serveis educatius de titularitat del Departament d’Educació: “El Departament d’Educació té assignat un delegat o delegada de protecció de dades que s’encarrega de vetllar pel dret fonamental a la protecció de dades personals en l’àmbit del Departament (en què s’inclouen els centres i serveis educatius de titularitat del Departament) i de supervisar el compliment de la normativa reguladora.
L’adreça de contacte és dpd.educacio@gencat.cat.”

141
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura és obligatòria per al Departament i també per als centres docents (…)”.

142
Decisió per acord del Comitè de Direcció en el moment de l’entrada en vigor del nou Reglament General de Protecció de Dades. 

143
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura (…) té, entre d’altres, les funcions següents: informar i assessorar el centre o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades, supervisar el compliment de la normativa, assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades i ser l’interlocutor del centre escolar amb l’autoritat de protecció de dades (APDCAT).”

144
AEPD. (2021). Docentes y su importancia para la protección de datos y la privacidad. Disponible a:
https://www.aepd.es/es/prensa-y-comunicacion/blog/docentes-y-su-importancia-para-la-proteccion-de-datos-y-la-privacidad