Tractament de dades personals als centres educatius

INTRODUCCIÓ 

DEFINICIONS QUE S’HAN DE CONÈIXER

• Dades personals 
• Categories especials de dades
• Tractament de dades

COM ES REPARTEIXEN LES RESPONSABILITATS

• El Responsable del tractament
• L’Encarregat del tractament
• El Delegat de protecció de dades
• El professorat i altres treballadores i treballadors

PRINCIPIS DE LA NORMATIVA QUE S’HAN DE CONÈIXER

• Privacitat des del disseny i per defecte
• Minimització de dades
• Limitació del termini de conservació o minimització del període de conservació
• Limitació de la finalitat
• Licitud, lleialtat i transparència
• Exactitud
• Accountability, responsabilitat proactiva & Seguretat, integritat, confidencialitat i secret

TASQUES DE CADASCÚ

DE QUÈ ÉS RESPONSABLE LA DIRECCIÓ DELS CENTRES EDUCATIUS
1) Registre d’activitats de tractament

2) Compliment dels principis de la normativa de protecció de dades

3) Informació sobre les mesures al professorat i personal
ANNEX 1. MODEL PER A NORMES D’ORGANITZACIÓ I FUNCIONAMENT DEL CENTRE (NOFC) SOBRE PROTECCIÓ DE DADES PERSONALS

4) Informació i consentiment de les persones afectades

4.1) Informació
ANNEX 2. MODEL PEL CONSENTIMENT DE LES FAMILIES

4.2) Consentiment

4.3) Informació que ha de constar en l’Avís legal de les eines educatives (i les pàgines web)
ANNEX 3. MODEL D’AVÍS LEGAL, CONDICIONS D’ÚS DE LA PLATAFORMA DD, POLÍTICA DE PRIVACITAT I POLÍTICA DE COOKIES

5) Encarregats del tractament
ANNEX 4. MODEL D’ANNEX CONTRACTUAL DE PROTECCIÓ DE DADES ENTRE RESPONSABLES I ENCARREGATS DEL TRACTAMENT (EX. EMPRESA EXTERNA DE SERVEIS)

6) Incidències de seguretat de protecció de dades

RESPONSABILITAT DEL PROFESSORAT

FAMILIES

ANNEX 1. MODEL PER A NORMES D’ORGANITZACIÓ I FUNCIONAMENT DEL CENTRE (NOFC) SOBRE PROTECCIÓ DE DADES PERSONALS

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).
 
Aquest document vol informar i comprometre el professorat i les i els treballadors en relació amb les normes de privacitat i confidencialitat que han de respectar en el desenvolupament de les seves funcions en el Centre ………………………… (d’ara endavant, el CENTRE). 
 
Totes les i els professionals que entren en contacte i gestionen dades personals de la comunitat educativa d’aquest CENTRE (tot el professorat, personal administratiu, persones col·laboradores, personal de serveis auxiliars, treballadores i treballadors, en endavant, PROFESSIONALS) han de conèixer la importància i obligació de protegir el dret fonamental a la privacitat, seva i de tota la comunitat, és a dir, la protecció de les dades de caràcter personal. Aquest dret es regula mitjançant el Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d’abril de 2016, General de Protecció de Dades (RGPD)(94) i una sèrie de normes que el desenvolupen i complementen, com la LOPDGDD a l’àmbit estatal(95), que estableixen tota una sèrie de mesures de compliment obligat que és una obligació conèixer, en particular amb dades sensibles i de menors com les que gestionen els centres educatius.

CONÈIXER LA PROTECCIÓ DE DADES

S’envien a les i els PROFESSIONALS del CENTRE els següents documents informatius que tenen l’obligació de llegir:
– Manual d’Xnet sobre el tractament de dades personals als centres educatius de Barcelona dependents del Departament d’Educació per a l’ús de serveis i recursos en línia(96).
– Guies de l’Autoritat Catalana de Protecció de Dades (APDCAT), en concret les relatives als centres educatius(97),(98),(99).
– Guies de l’Agència Espanyola de Protecció de Dades, en concret les relatives als centres educatius(100),(101),(102).

OBLIGACIONS DE CONFIDENCIALITAT I SECRET(103),(104),(105)

Les i els PROFESSIONALS tenen accés en el desenvolupament de les seves funcions a informació (d’ara endavant, les DADES PERSONALS), que és confidencial, així, per exemple: Dades de caràcter identificatiu: nom i cognoms, DNI/NIF/NIE, adreça postal i electrònica, telèfon i fax de contacte, codis i claus d’accés als serveis digitals i telemàtics, dibuixos, demostracions, fotografies, imatge/veu, signatura manuscrita/electrònica, targeta sanitària; Dades de característiques personals: edat, sexe, llengua materna, data de naixement, lloc de naixement, nacionalitat, dades familiars (dades identificatives i de contacte com correus electrònics i/o telèfons, informació financera); Dades acadèmiques i professionals: formació i titulacions, historial acadèmic i professió, expedients acadèmics, resultats de recerca; Categories especials de dades: salut (certificats o informes mèdics i certificats d’invalidesa o incapacitat necessaris per a l’atenció adequada dels alumnes en l’àmbit dels Centres educatius), necessitats educatives especials, observacions mèdiques i discapacitats; i altres dades, comunicades de forma escrita, verbal, visual o mitjançant demostracions, tant en forma de dibuixos, models, documents impresos, i/o format d’arxius electrònics o de qualsevol altra manera.

La Llei Orgànica d’educació (LOE)(106), estableix que el professorat i la resta del personal, en l’exercici de les seves funcions, accedeixen a dades personals i familiars o que afecten l’honor i la intimitat dels menors o de les seves famílies i queden subjectes al deure de secret.

Les DADES PERSONALS i tots els drets sobre les mateixes a les que han accedit les i els PROFESSIONALS, romandran sota la responsabilitat del CENTRE. Per tant, les i els PROFESSIONALS no es quedaran amb la possessió, còpia, ni en general tenen cap tipus de dret o titularitat, sobre les DADES PERSONALS on entrin en contacte sota qualsevol tipus de suport, per motius directament relacionats amb el seu lloc de treball. Tampoc tindran dret a utilitzar-les, excepte per a l’objecte de desenvolupar les funcions inherents al seu càrrec al CENTRE així com quan desenvolupin qualsevol altra funció de manera transitòria o eventual en el mateix. En tot cas s’haurà d’entendre que aquesta possessió és estrictament temporal.

Les i els PROFESSIONALS, com a receptors de les DADES PERSONALS en l’exercici de les seves funcions, estaran obligats i assumeixen el ferm i seriós compromís de complir amb el secret, la confidencialitat i la seguretat en el tractament de les DADES PERSONALS de les quals és Responsable el CENTRE, com ara: 

• Mantenir les DADES PERSONALS en estricta reserva i no revelar-les a cap altre persona, sense autorització prèvia i per escrit de la Direcció del CENTRE.
• Les i els PROFESSIONALS només podran comunicar o divulgar les DADES PERSONALS a les persones autoritzades a conèixer-les dins l’organització del CENTRE.
• En cap cas, permetran que tercers externs al CENTRE (persones o entitats), no designats pel CENTRE ni degudament autoritzats, puguin accedir a aquestes DADES PERSONALS, ja sigui de forma informàtica o visual.
• Queda prohibit enviar informació confidencial del CENTRE a l’exterior, mitjançant suports materials (com USBs o paper), o a través de qualsevol mitjà de comunicació (com correu electrònic o altres plataformes), incloent-hi la simple visualització o accés.
• La Direcció permet el traslladar fora de les instal·lacions del CENTRE les DADES PERSONALS o dispositius només quan sigui estricament necessari per complir amb les seves obligacions laborals. Les i els PROFESSIONALS ho faran sota la seva pròpia responsabilitat i complint amb els principis i normes enunciats en aquest document. Qualsevol altre motiu pel trasllat de DADES i/o dispositius s’ha de justificar i requereix l’autorització prèvia i per escrit de la Direcció del CENTRE.
• Queda prohibit recollir DADES PERSONALS sense l’autorització prèvia de la Direcció del CENTRE que haurà de procurar que la recollida sigui necessària i conforme als principis de la normativa de protecció de dades.

– Les i els PROFESSIONALS només podran accedir, utilitzar i gestionar les DADES PERSONALS dels seus alumnes, sense poder conèixer DADES PERSONALS d’altres membres de la de la comunitat educativa no necessàries per l’exercici de les seves funcions.

– Vetllar per la seguretat de les DADES PERSONALS fent ús de les eines i protocols de seguretat que li proporcioni i dels quals informi el CENTRE, entre altres: mantenint el secret respecte de les contrasenyes i claus d’accés que se li atorguin; l’eliminació de dades de carpetes o en dispositius que ja no s’utilitzin o que s’utilitzin temporalment (com les carpetes de l’escàner o USBs); tancar les sessions en ordinadors i aplicacions (tancar LA SESSIÓ el correu electrònic o la sessió de l’ordinador quan no s’estigui a davant); etc. 

• Cada PROFESSIONAL serà responsable de la confidencialitat del SEU identificador d’usuari, la clau d’accés i/o la contrasenya. En cas que aquesta sigui coneguda fortuïtament o fraudulentament per persones no autoritzades, haurà de canviar-la i comunicar-ho a la Direcció del CENTRE perquè registri el fet com a incidència. També haurà de canviar-la i comunicar-ho a la Direcció del CENTRE Si el PROFESSIONAL té coneixement que una altra persona coneix les seves dades d’identificació i accés. El PROFESSIONAL rebrà les seves credencials de forma presencial i les emmagatzemarà en un keypass que se li ensenyarà a utilitzar. El PROFESSIONAL coneix i accepta les obligacions que implica la tinença de les credencials, en particular el deure de custodia diligent, protecció de la seva confidencialitat i informació immediata en cas de pèrdua. A més, és coneixedor de que una vegada el PROFESSIONAL acabi la seva relació amb el CENTRE aquestes credencials es retiraran i deshabilitaran per part de la Direcció del CENTRE.
• Qualsevol fitxer que s’introdueixi des de l’exterior en un dispositiu que conté dades personals responsabilitat del CENTRE, ja sigui per correu electrònic, Internet o altres mitjans, haurà de ser analitzat per l’antivirus.
• CONDICIONS D’ÚS DEL CORREU ELECTRÒNIC: No es pot barrejar l’ús del correu electrònic personal amb el del CENTRE. El correu corporatiu proporcionat pel CENTRE només es pot utilitzar per complir amb finalitats relacionades amb les obligacions laborals del PROFESSIONAL. I viceversa, el correu personal no es pot utilitzar per acomplir les funcions professionals. Així mateix es prohibeix l’enviament de correus massius (spam) utilitzant l’adreça de correu electrònic del CENTRE o vulnerant els drets de tercers o del CENTRE, o per a la realització d’actes de caràcter il·lícit. No es pot facilitar aquesta adreça a terceres persones alienes a l’organització, tret que resulti necessari per a l’exercici d’alguna de les funcions encomanades al PROFESSIONAL, o així ho autoritzi el CENTRE.
Així mateix, s’han de seguir les següents normes de bon ús del correu electrònic:
a)Emprar l’opció de còpia oculta (CCO) quan s’enviï un missatge a més d’una persona
destinatària que no formi part del CENTRE.
b) Utilitzar l’opció de reenviar solament en els casos en què la persona destinatària pugui accedir tant a l’emissor del missatge ORIGINAL com al seu contingut, i a tota la informació de la cadena de correus que formin part d’ell.
c) Emprar el peu de signatura automàtic dels missatges de correu electrònic, conforme al
model corporatiu establert. Quan es tracti de missatges amb finalitats personals, haurà de
suprimir-se el peu de la signatura.
d) Revisar les adreces dels destinataris abans d’enviar el missatge.
e) A fi de no difondre injustificadament adreces de correu de tercers en reenviar un correu
electrònic, hauran d’eliminar-se les adreces dels destinataris anteriors.
f) Identificar de forma clara i concisa l’assumpte.
g) No incloure dades personals en l’assumpte.
h) Evitar paraules o expressions que puguin activar els programes antispam.
i) Organitzar els missatges enviats i rebuts en carpetes. Mantenir la safata d’entrada
actualitzada.
• No s’autoritza la instal·lació del correu electrònic del CENTRE en el telèfon mòbil personal de les i els PROFESSIONALS, en excepció de casos justificats i autoritzats per la Direcció del CENTRE.
• En els accessos tant locals com remots a la plataforma educativa emprada pel CENTRE, el PROFESSIONAL tindrà especial cura a seguir els protocols de seguretat que proporcioni el CENTRE. En particular seguirà les normes aquí establertes perquè cap tercer extern al CENTRE pugui accedir-hi, ja sigui de forma informàtica o per la simple visualització, tancant la sessió quan el PROFESSIONAL no estigui utilitzant la plataforma i assegurant-se de que l’entorn des del que hi accedeix és segur (connexió WiFi privada, no emmagatzemar les credencials en ordinadors d’ús comartit, esborrar l’historial de navegació i tancar la sessió en acabar quan s’utilitzi un ordinador d’ús compartit, utilitzar programes antivirus, etc.).

– Guardar, per temps indefinit, és a dir, fins i tot després de l’extinció de la relació professional amb el CENTRE, el secret i la màxima reserva i no divulgar ni utilitzar directament ni a través de terceres persones o entitats, les DADES PERSONALS, els documents, les metodologies, les claus i/o contrasenyes, els anàlisis, els programes i la resta d’informació a què tinguin accés durant la seva vinculació, sigui laboral o no amb el CENTRE, tant en suport material com electrònic.

– La i el PROFESSIONAL haurà de tornar les DADES PERSONALS al CENTRE immediatament després de la finalització de les tasques que n’han originat el seu ús de forma temporal, i en qualsevol cas, quan finalitzi la relació laboral. 
 

OBLIGACIONS EN LA GESTIÓ D’INCIDÈNCIES DE SEGURETAT DE PROTECCIÓ DE DADES(107)

En cas de conèixer alguna incidència, la i el PROFESSIONAL ha de comunicar-la el més aviat possible a la Direcció del CENTRE que adoptarà les mesures oportunes. 

S’entén per incidència qualsevol anomalia o incident que afecti o pogués afectar la seguretat i confidencialitat de les dades, és a dir, que permeti l’accés no autoritzat a dades, suports, aplicacions, xarxes o dispositius o ocasioni la seva destrucció, pèrdua o alteració.
Les incidències poden afectar tant a dades automatitzades (o informatitzades, en dispositius electrònics) com no automatitzades (en paper).

Exemples d’incidències habituals són:

• Alteració als permisos d’accés a DADES PERSONALS que té cadascú: Que PROFESSIONALS o terceres persones o entitats accedeixin a dades a les que no podrien tenir accés. Per exemple, un membre del PROFESSORAT accedeixi a dades d’alumnes que no són del seu curs o a qui no fa classe habitualment, i a les que per tant no hauria de tenir accés a través dels sistemes informàtics.
• Comunicació errònia de dades a destinataris que no haurien de rebre-les. Per exemple, enviar un correu electrònic amb dades d’un alumne a tercers que no són la seva mare, pare o tutor/a o mostrar les dades d’un membre de la comunitat educativa a tercers no autoritzats.
• Oblit de la contrasenya, claus d’accés o identificadors. 
• Bloqueig del compte o sessió per introduir la contrasenya erròniament múltiples vegades.
• Pèrdua de dades (pèrdua d’USBs, eliminació o destrucció d’arxius per error, desaparició de documents o suports que continguin dades personals, etc.). 
• Robatori o pèrdua de claus de llocs o suports on s’emmagatzemen documents o dispositius (sales, calaixos, armaris, etc.). 

No obstant, aquesta llista no pretén ser exhaustiva i s’ha de comunicar a la Direcció del CENTRE qualsevol incidència que la o el PROFESSIONAL cregui que afecta o pot afectar les dades de caràcter personal. 
 
És obligació de tot el personal del CENTRE comunicar a la Direcció del CENTRE qualsevol incidència als sistemes i dades als quals tinguin accés. Qualsevol PROFESSIONAL autoritzat que tingui coneixement d’una incidència és responsable de la comunicació d’aquesta a la Direcció del CENTRE. 
Aquesta comunicació s’ha de fer en un termini de temps no superior a una hora des del moment en què es tingui coneixement que s’hagi produït.

El coneixement i la no notificació d’una incidència per part d’una o un PROFESSIONAL es considera una falta contra la seguretat del sistema del CENTRE per part d’aquesta.
 

INCOMPLIMENT

L’incompliment d’aquestes normes i protocols per part d’una o un PROFESSIONAL pot estar subjecte a procediments sancionadors i/o disciplinaris de diverses índoles.

DECLARACIÓ DE LECTURA I DE COMPROMÍS D’APLICACIÓ

Declaro haver estat informat sobre les normes de protecció de dades personals del CENTRE ………………….. i em comprometo a complir-les. 

A ……, el …. de …… de …… 2021. 
 
Nom, cognoms, DNI 
Firma

 

ANNEX 2. MODEL PEL CONSENTIMENT DE LES FAMÍLIES

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

Mare, pare o representant legal dels menors de 14 anys i alumnes majors de 14 anys.

Autorització per a l’ús de serveis i recursos digitals a Internet per treballar a l’aula (aquesta autorització, encara que revocable, és vàlida durant tot el temps d’escolarització en aquest CENTRE).

Dades del CENTRE
Nom del CENTRE
Codi del CENTRE
Adreça
Municipi
Codi postal

Dades de l’alumne/a
Nom i cognoms
Data de naixement
Curs

Dades de la mare, pare o representant legal en el cas de menors de 14 anys
Nom i cognoms
DNI/Passaport

Autoritzo
Caselles: sí / no
Que el CENTRE gestioni la creació de l’usuari i contrasenya associats als següents recursos i serveis d’Internet: Suite educativa DD [o altra eina digital que s’empri], per al treball acadèmic, amb finalitats pedagògiques.

La gestió d’aquests identificadors i la responsabilitat de l’ús que se’n faci en l’àmbit dels Centres educatius correspon al CENTRE educatiu. El CENTRE no es fa responsable de l’ús indegut del recurs o dels seus continguts per part de les persones usuàries. La persona usuària serà l’únic responsable de les infraccions en què pugui incórrer o dels perjudicis que pugui causar per un ús inadequat dels seus serveis o dels seus continguts. En concret, per la present, la persona usuària declara, respecte les credencials que rebrà de forma presencial i emmagatzemarà en un keypass que se li ensenyarà a utilitzar, que coneix i accepta les obligacions que implica la tinença de les credencials, en particular el deure de custodia diligent, protecció de la seva confidencialitat i informació immediata en cas de pèrdua. Una vegada la persona usuària acabi la seva relació amb el CENTRE es retiraran i deshabilitaran les credencials que l’autentiquen per part de la Direcció del CENTRE.

Autoritzo
Caselles: sí / no
L’ús de serveis i recursos digitals a Internet per treballar a l’aula, en concret la Suite educativa DD [o altra eina digital que s’empri]
(Veure especificacions tècniques i condicions d’ús més avall).

Informació sobre protecció de dades
Responsable del tractament: Direcció del CENTRE educatiu.
Adreça postal i electrònica:
Adreça de contacte del delegat o delegada de protecció de dades: dpd.educacio@gencat.cat.
Finalitat: l’ús de serveis i recursos digitals a Internet per treballar a l’aula; la gestió i manteniment de les pròpies plataformes educatives utilitzades pels serveis educatius; la gestió dels usuaris, credencials i accessos als serveis i recursos digitals a Internet per treballar a l’aula i el control i seguiment dels continguts de la mateixa.
Legitimació: Consentiment de la persona interessada o de la persona que ostenta la tutoria legal en cas de menors d’edat. Podeu retirar-ne el consentiment en qualsevol moment. La revocació no té efectes retroactius.
Destinataris: Les dades no es comunicaran a tercers, excepte en els casos previstos per llei, o si ho heu consentit prèviament. En tot cas seran destinataris de les dades la/les plataforma/es de servei, entorns o entitats educatives corresponents, com a encarregades del tractament, que proveeixen, per compte del CENTRE/Responsable del tractament, els serveis TIC, que hàgiu autoritzat.
Drets: Accedir a les dades, rectificar-les, suprimir-les, oposar-se al tractament i sol·licitar-ne la limitació. A més de retirar el consentiment prestat en qualsevol moment, sense que la revocació no tingui efectes retroactius. Així com el dret a presentar una reclamació davant l’Autoritat Catalana de Protecció de Dades.
Conservació: Les dades de l’expedient acadèmic són de conservació permanent d’acord amb la legislació vigent, concretament segons l’establert a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.

Sobre el temps de conservació de la resta de les dades, la Generalitat i Consorci remeten al que estableix el Decret 13/2008, de 22 de gener, sobre accés, avaluació i tria de documents i a les Taules d’Avaluació Documental definides i aprovades per la Comissió Nacional d’Accés, Avaluació i Tria Documental (CNAATD) (http://taad.cultura.gencat.cat/), on s’indica només el temps de conservació de certs conjunts de dades (sol·licituds de beques i expedients d’admissió i matriculació dels alumnes). Pel que respecta a la resta de material generat per i sobre les i els alumnes, Xnet està consultant la Generalitat al respecte i actualitzarem la informació quan tinguem resposta.
Informació addicional: Tractament “Alumnes de centres educatius de titularitat del Departament d’Educació” del Departament d’Educació (https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament) i tractament “SE001 Plataformes educatives” dels serveis educatius dependents del Consorci d’Educació de Barcelona (https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf).
 

Lloc i data
Signatura de la mare, pare o representant legal de l’alumna o alumne.

Condicions d’ús del correu electrònic: No es pot barrejar l’ús del correu electrònic personal amb el del CENTRE. El correu corporatiu proporcionat pel CENTRE només es pot utilitzar per complir amb finalitats acadèmiques. Així mateix, es prohibeix l’enviament de correus massius (spam) utilitzant l’adreça de correu electrònic del CENTRE o vulnerant els drets de tercers o del CENTRE, o per a la realització d’actes de caràcter il·lícit. No es pot facilitar aquesta adreça a terceres persones alienes a l’organització, tret que resulti necessari per a l’exercici d’activitats acadèmiques relacionades amb el CENTRE.
Així mateix, s’han de seguir les següents normes de bon ús del correu electrònic:
a)Emprar l’opció de còpia oculta (CCO) quan s’enviï un missatge a més d’una persona destinatària que no formi part del CENTRE.
b) Utilitzar l’opció de reenviar solament en els casos en què la persona destinatària pugui accedir tant a l’emissor del missatge original com al seu contingut, i a tota la informació de la cadena de correus que formin part d’ell.
c) Emprar el peu de signatura automàtic dels missatges de correu electrònic, conforme al model corporatiu establert. Quan es tracti de missatges amb finalitats personals, haurà de suprimir-se el peu de la signatura.
d) Revisar les adreces dels destinataris abans d’enviar el missatge.
e) A fi de no difondre injustificadament adreces de correu de tercers en reenviar un correu electrònic, hauran d’eliminar-se les adreces dels destinataris anteriors.
f) Identificar de forma clara i concisa l’assumpte.
g) No incloure dades personals en l’assumpte.
h) Evitar paraules o expressions que puguin activar els programes antispam.
i) Organitzar els missatges enviats i rebuts en carpetes. Mantenir la safata d’entrada actualitzada.

 

Especificacions tècniques:
El CENTRE ha escollit la plataforma DD, creada per Xnet, famílies, desenvolupadors i centres promotors i l’Ajuntament de Barcelona per proporcionar a la comunitat educativa, i en concret al professorat i a l’alumnat, un espai fàcil d’utilitzar per dur a terme l’activitat educativa en l’entorn digital de forma sobirana i respectuosa amb els seus drets. 

El desenvolupament tècnic dut a terme per les empreses IsardVDI i 3iPunt integra en una única plataforma, les següents eines de programari lliure i auditable que s’executen cadascuna als seus contenidors, fent ús en la seva majoria de les imatges oficials de cada programari de hub.docker.com.

Les eines que queden integrades són:

• Nextcloud: desenvolupament de programes client-servidor amb l’objectiu d’habilitar serveis d’allotjament d’arxius afegint al servidor funcionalitat en forma d’aplicacions (calendari, mapes, webmail, reproductors i organitzadors de música, suites ofimàtiques, etc.).
• Moodle: eina de gestió de continguts d’aprenentatge (Learning Content Management LCMS) precurssora de sistemes com el Classroom. Creada a Austràlia el 2001, compta amb més de 160 milions de persones usuàries. Traduïda a 120 idiomes.
• Big Blue Button – Blindside: sistema de videoconferència dirigit a l’aprenentatge online. Permet l’ús compartit d’àudio i vídeo, presentacions amb capacitats ampliades de pissarra com el punter, el zoom o el dibuix, xat públic i privat, ús compartit de l’escriptori, VoIP integrat amb FreeSWITCH i suport per a l’enviament de documents. 
• Etherpad: editor en línia que permet l’edició col·laborativa en temps real. 
• WordPress: gestor de continguts (Content Management System, CMS) en PHP i emparellat amb les bases de dades MySQL o MariaDB. Entre les seves característiques estan l’arquitectura a partir de plugins i el sistema de plantilles gràfiques o temes.
• Onlyoffice: paquet ofimàtic integrat amb Nextcloud que permet l’edició de documents ofimàtics (fulls de càlcul, editor de text, presentacions, conversions de format, etc.).
• Keycloak: gestor de l’autenticació, usuaris i grups. Totes les aplicacions del suite digital s’enregistren contra el SAML proporcionat per Keykloak. La creació d’usuaris es realitza amb Admin atacant la seva API.

S’han desenvolupat components propis del projecte per integrar les aplicacions i millorar l’experiència d’usuari:

• Admin: plataforma de gestió d’usuaris i customitzacions que opera sobre les APIs de la resta d’aplicacions per tal de gestionar la sincronització de la creació massiva d’usuaris i la configuració d’aspectes generals de la suite digital.
• API: serveis que fan servir la resta d’aplicacions per construïr el menu i els elements comuns de la suite digital.
• Plugins de Moodle i WordPress
• Eina per automatitzar configuracions i personalitzacions de les instal·lacions

Aquest conjunt d’eines queda allotjat a servidors Hetzner amb sistema operatiu Debian.

Les cookies utilitzades són cookies funcionals necessàries i indispensables per la navegació, permeses per la llei, són les següents:

ANNEX 3. AVÍS LEGAL, CONDICIONS D’ÚS DE LA PLATAFORMA DD, POLÍTICA DE PRIVACITAT I POLÍTICA DE COOKIES

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

ÍNDEX

1.- DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES

2.- DESCRIPCIÓ TÈCNICA

3.- COM S’ADMINISTRA LA PLATAFORMA

4.- CONDICIONS D’ÚS I NAVEGACIÓ DE LA PLATAFORMA

4.1.- Continguts i llicència

4.2.- Exclusió de garanties i limitacions de responsabilitat i accions en cas de presumptes irregularitats

5.- POLÍTICA DE PRIVACITAT

5.1.- Responsable del Tractament

5.2.- Activitats de Tractament

5.3.- Finalitat del Tractament de les dades i Categories de dades tractades

5.3.1.- Amb quina finalitat tractarem les seves dades personals?

5.3.2.- Quines categories de dades tractem?

5.3.3.- D’on procedeix la informació recollida?

5.3.4.- Quant temps guardem les seves dades?

5.4.- Legitimació i Base Jurídica
Quina és la legitimació pel tractament de les seves dades?

5.5.- Drets de les Persones Usuàries
Quins drets té la persona interessada quan comunica les seves dades al CENTRE ?

5.6.- Comunicacions de Dades
A quins destinataris es comunicaran les seves dades?

6.- ÚS I POLÍTICA DE COOKIES

6.1.- Cookies dels diferents Components de DD

6.1.1.- Nextcloud

6.1.2.- Moodle

6.1.3.- Big Blue Button

6.1.4.- Etherpad

6.1.5.- WordPress

6.1.6.- Admin

6.1.7.- Onlyoffice

6.1.8.- Keykloak

6.1.9.- Haproxy, Mariadb y Postgresql

 

1.- DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES

El responsable d’aquesta plataforma, posa a la disposició de les persones usuàries el present avís legal, la finalitat del qual és complir les obligacions i deure d’informació establerts en l’article 10 de la Llei 34/2002, d’11 de juny, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE) i altra normativa aplicable.

Responsable de la Plataforma: Direcció del CENTRE
Denominació del CENTRE:
Direcció:
NIF/CIF:
Telèfon:
Direcció de correu electrònic:

Nom de domini:

 

2.- DESCRIPCIÓ TÈCNICA

El CENTRE ha escollit la plataforma DD, creada per Xnet, famílies, desenvolupadors i centres promotors i l’Ajuntament de Barcelona, per proporcionar a la comunitat educativa, i en concret al professorat i a l’alumnat, un espai fàcil d’utilitzar per dur a terme l’activitat educativa en l’entorn digital de forma sobirana i respectuosa amb els seus drets. 

El desenvolupament tècnic dut a terme per les empreses IsardVDI i 3iPunt integra en una única plataforma, les següents eines de programari lliure i auditable que s’executen cadascuna als seus contenidors, fent ús en la seva majoria de les imatges oficials de cada programari de hub.docker.com.

Les eines que queden integrades són:
• Nextcloud: desenvolupament de programes client-servidor amb l’objectiu d’habilitar serveis d’allotjament d’arxius afegint al servidor funcionalitat en forma d’aplicacions (calendari, mapes, webmail, reproductors i organitzadors de música, suites ofimàtiques, etc.).
• Moodle: eina de gestió de continguts d’aprenentatge (Learning Content Management LCMS) precursora de sistemes com el Classroom. Creada a Austràlia el 2001, compta amb més de 160 milions de persones usuàries. Traduïda a 120 idiomes.
• Big Blue Button – Blindside: sistema de videoconferència dirigit a l’aprenentatge online. Permet l’ús compartit d’àudio i vídeo, presentacions amb capacitats ampliades de pissarra com el punter, el zoom o el dibuix, xat públic i privat, ús compartit de l’escriptori, VoIP integrat amb FreeSWITCH i suport per a l’enviament de documents. 
• Etherpad: editor en línia que permet l’edició col·laborativa en temps real. 
• WordPress: gestor de continguts (Content Management System, CMS) en PHP i emparellat amb les bases de dades MySQL o MariaDB. Entre les seves característiques estan l’arquitectura a partir de plugins i el sistema de plantilles gràfiques o temes.
• Onlyoffice: paquet ofimàtic integrat amb Nextcloud que permet l’edició de documents ofimàtics (fulls de càlcul, editor de text, presentacions, conversions de format, etc.).
• Keycloak: gestor de l’autenticació, usuaris i grups. Totes les aplicacions de la suite digital s’enregistren contra el SAML proporcionat per Keykloak. La creació d’usuaris es realitza amb Admin atacant la seva API.

S’han desenvolupat components propis del projecte per integrar les aplicacions i millorar l’experiència d’usuari:
• Admin: plataforma de gestió d’usuaris i customitzacions que opera sobre les APIs de la resta d’aplicacions per tal de gestionar la sincronització de la creació massiva d’usuaris i la configuració d’aspectes generals de la suite digital.
• API: serveis que fan servir la resta d’aplicacions per construir el menú i els elements comuns de la suite digital.
• Plugins de Moodle i WordPress.
• Eina per automatitzar configuracions i personalitzacions de les instal·lacions.

Aquest conjunt d’eines queda allotjat a servidors Hetzner amb sistema operatiu Debian.
 

3.- COM S’ADMINISTRA LA PLATAFORMA
La plataforma s’administra segons les indicacions de la Direcció del CENTRE, que n’és responsable. Per tant, en cas de considerar que en aquesta hi ha errades, millores tècniques, problemes amb continguts, o té alguna reclamació, qüestió, consulta o suggeriment, dirigeixi’s a la Direcció del CENTRE.

4.- CONDICIONS D’ÚS I NAVEGACIÓ DE LA PLATAFORMA

4.1.- CONTINGUTS I LLICÈNCIA

Les presents condicions d’ús i navegació tenen com a finalitat regular la relació entre el titular de la plataforma, és a dir, el CENTRE, i les persones usuàries de la comunitat educativa que accedeixen, naveguen i generen contingut i duen a terme tasques relacionades amb l’activitat educativa mitjançant aquesta eina. Així doncs, la plataforma proporciona l’accés lliure i gratuït a gran quantitat de continguts, entenent per aquests, sense que aquesta enumeració tingui caràcter limitatiu, informació, serveis, dades, textos, fotografies, gràfics, imatges, icones, tecnologia, programari, links i altres continguts audiovisuals o sonors, així com el seu disseny gràfic i codis font (d’ara endavant, “els continguts”).

Cada persona usuària serà responsable de que els continguts que pugi o enllaci a la plataforma són conformes a la legislació vigent en el moment de pujar-los o enllaçar-los, per exemple, disposar dels drets d’imatge de fotografies fetes a l’alumnat. El CENTRE es reserva el dret de retirar o modificar els continguts que consideri que no responen o no són oportuns en l’àmbit educatiu del CENTRE.
Així mateix, les persones usuàries han de fer un ús adequat de la plataforma, els continguts i serveis oferts de conformitat amb la Llei, la moral, i les bones costums generalment acceptades, l’ordre públic i les condicions previstes en el present Avís Legal i altres avisos, polítiques, reglaments d’ús i instruccions posats en el seu coneixement.

Per defecte, els continguts que es publiquen a la plataforma ho fan sota l’empara de la llicència Creative Commons de Reconeixement-No Comercial-Compartir Igual 4.0 Internacional (CC BY-NC-SA 4.0), és a dir, poden ser compartits (copiar i redistribuir el material en qualsevol mitjà i format) i adaptats (remesclar, transformar i crear a partir del material), amb els termes següents:

• Reconeixement — Heu de reconèixer l’autoria de manera apropiada, proporcionar un enllaç a la llicència i indicar si heu fet algun canvi. Podeu fer-ho de qualsevol manera raonable, però no d’una manera que suggereixi que el llicenciador us dóna suport o patrocina l’ús que en feu.
• No Comercial — No podeu utilitzar el material per a finalitats comercials.
• Compartir Igual — Si remescleu, transformeu o creeu a partir del material, heu de difondre les vostres creacions amb la mateixa llicència que l’obra original.

És per això que les persones usuàries són responsables de verificar que els continguts, en el moment de pujar-los, són publicables sota aquesta llicència o d’indicar en el moment d’incloure els continguts a la plataforma sota quina llicència s’emparen.

Tanmateix, s’ha de tenir en compte que l’article 32 de la Llei de Propietat Intel·lectual permet citar i ressenyar fragments d’obres amb finalitats educatives o d’investigació científica, indicant la font i el nom de l’autor de l’obra utilitzada. Així doncs, tot el contingut de la plataforma estarà sotmès a la llicència abans referenciada a l’excepció d’aquests continguts.

Encara que en el moment d’introduir un hipervincle de tercers en les activitats que es porten a terme en la plataforma la persona usuària és responsable de verificar la legalitat i correcció del contingut que enllaça, aquesta persona només n’és responsable en el moment de fer-ho i no ulteriorment, ja que el CENTRE no exerceix cap mena de control sobre els enllaços o hipervincles a altres pàgines d’Internet, que no pertanyen, ni són editades o censurades pel CENTRE. Per tant, una vegada que la persona usuària accedeixi als enllaços de tercers i abandoni la plataforma, tant el present Avís Legal, com la Política de Privacitat i la Política de Cookies deixaran de tenir efecte, ja que les pàgines web als quals la persona usuària accedeixi estan subjectes a les seves pròpies polítiques.
 

4.2.- EXCLUSIÓ DE GARANTIES I LIMITACIONS DE RESPONSABILITAT I ACCIONS EN CAS DE PRESUMPTES IRREGULARITATS

Si la persona usuària se sent perjudicada per la difusió en la plataforma de continguts, vídeos o imatges, que puguin resultar erronis o inadequats pot enviar un correu electrònic al CENTRE qui respondrà a la seva reclamació el més aviat possible informant sobre la possibilitat o no de rectificar el contingut o retirar el material de la plataforma.

Qualsevol incompliment de les clàusules contingudes en la present plataforma (Avís Legal, Política de Privacitat, Política de Cookies, així com altres continguts que suposin obligacions per a la persona usuària) i en general de la legalitat vigent, es comunicarà immediatament per part del CENTRE a les autoritats pertinents, comprometent-se aquesta a cooperar amb aquestes. En tal cas, la persona usuària respondrà enfront del CENTRE o enfront de tercers, de qualsevol dany i perjudici que pogués causar a conseqüència de l’incompliment d’aquestes obligacions.
 

5.- POLÍTICA DE PRIVACITAT
[Aquesta política de privacitat només és vàlida pels centres dependents del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona. Per adaptar-la a altres Centres de Catalunya, s’han de treure les referències al Consorci. Per adaptar-la a Centres de fora de Catalunya o d’altres àmbits, s’han de substituir les referències amb les de les institucions responsables. En el cas que les institucions responsables no proveeixin la informació els centres l’hauran de detallar].

5.1.- RESPONSABLE DEL TRACTAMENT

En compliment del que es disposa a l’article 13 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en relació al tractament de dades personals i a la lliure circulació d’aquestes dades, i a l’article 11 de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, el CENTRE l’informa que les dades de caràcter personal que la persona usuària proporcioni durant la seva navegació i ús de la plataforma seran objecte de tractament per part del CENTRE (veure apartat relatiu a les DADES IDENTIFICATIVES DEL TITULAR DE LA PLATAFORMA I RESPONSABLE DEL TRACTAMENT DE LES DADES).

5.2.- ACTIVITATS DE TRACTAMENT

El CENTRE duu a terme les activitats de tractament següents en la present plataforma.

Podeu trobar la descripció completa de cadascuna al Registre de les activitats de tractament del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona:

• Detall de les activitats de tractament realitzades als Centres educatius, tractament “Alumnes de centres educatius de titularitat del Departament d’Educació”, disponible a:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

• Detall de les activitats de tractament realitzades als Serveis educatius dependents del Consorci d’Educació de Barcelona, tractament “SE001 Plataformes educatives”, disponible a:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

5.3.- FINALITAT DEL TRACTAMENT DE LES DADES I CATEGORIES DE DADES TRACTADES

5.3.1.- Amb quina finalitat tractarem les seves dades personals?

El CENTRE tracta la informació facilitada per la persona usuària amb la finalitat de proporcionar l’ús de serveis i recursos digitals a Internet per portar a terme l’activitat educativa.
Concretament: el CENTRE tractarà les dades de la persona usuària, de manera automatitzada/electrònica, per a les següents finalitats específiques:

• l’ús de serveis i recursos digitals a Internet per dur a terme l’activitat educativa;
• la gestió i manteniment de la pròpia plataforma educativa utilitzada pels serveis educatius;
• la gestió dels usuaris, credencials i accessos als serveis i recursos digitals a Internet per treballar a l’aula; i
• el control i seguiment dels continguts de la mateixa.

Les dades recollides no seran tractades ulteriorment de manera incompatible amb els fins aquí indicats.

5.3.2.- Quines categories de dades tractem?

Ateses les finalitats esmentades i en compliment del principi de minimització de dades el CENTRE pot tractar les categories de dades previstes en els Registres d’Activitats de Tractament del Departament d’Educació de la Generalitat de Catalunya i del Consorci d’Educació de Barcelona mencionats.

5.3.3.- D’on procedeix la informació recollida?

Les dades de què disposa el CENTRE procedeixen de:
• La informació recollida per part de les Administracions Públiques per garantir l’accés a l’activitat educativa, la qual es troba emparada per les previsions de l’article 28 de la Llei 39/2015 modificat per la LOPDGDD; i
• La informació proveïda voluntàriament per les persones usuàries mitjançant la plataforma durant el desenvolupament de l’activitat educativa.

5.3.4.- Quant temps guardem les seves dades?

Les dades de l’expedient acadèmic són de conservació permanent d’acord amb la legislació vigent, concretament segons l’establert a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas.


Sobre el temps de conservació de la resta de les dades, la Generalitat i Consorci remeten al que estableix el Decret 13/2008, de 22 de gener, sobre accés, avaluació i tria de documents i a les Taules d’Avaluació Documental definides i aprovades per la Comissió Nacional d’Accés, Avaluació i Tria Documental (CNAATD) (http://taad.cultura.gencat.cat/), on s’indica només el temps de conservació de certs conjunts de dades (sol·licituds de beques i expedients d’admissió i matriculació dels alumnes). Pel que respecta a la resta de material generat per i sobre les i els alumnes, Xnet està consultant la Generalitat al respecte i actualitzarem la informació quan tinguem resposta.

5.4.- LEGITIMACIÓ I BASE JURÍDICA

Quina és la legitimació pel tractament de les seves dades?

El tractament de dades personals per proporcionar l’ús de serveis i recursos digitals a Internet per treballar a l’aula està legitimat pel consentiment de la persona interessada o de la persona que ostenta la tutoria legal en cas de menors d’edat que heu atorgat al CENTRE prèviament a l’accés a la present plataforma. Podeu retirar-ne el consentiment en qualsevol moment. La revocació no té efectes retroactius. De la mateixa manera, el tractament també es troba legitimat per l’interès públic del CENTRE en l’exercici de funcions orientadores i educatives incloses en l’àmbit de la Llei Orgànica d’Educació.

5.5.- DRETS DE LES PERSONES USUÀRIES

Quins drets té la persona interessada quan comunica les seves dades al CENTRE?

• Dret a revocar els consentiments atorgats.
• Dret d’accés: Dret a obtenir confirmació sobre si al CENTRE s’estan tractant dades personals que el concerneixen o no, i a accedir a les seves dades personals si fos el cas.
• Dret de rectificació: Dret a rectificar les dades inexactes o incompletes que el concerneixen.
• Dret de supressió o dret a l’oblit: Dret a sol·licitar la supressió de les seves dades quan, entre altres motius, les dades ja no siguin necessàries per als fins que van ser recollides.
• Dret de limitació del tractament: Dret a obtenir del CENTRE la limitació del tractament de les dades quan es compleixi alguna de les condicions previstes en la normativa de protecció de dades.
• Dret d’oposició: En determinades circumstàncies i per motius relacionats amb la seva situació particular al tractament de les seves dades, les persones interessades podran oposar-se al tractament de les seves dades. El CENTRE deixarà de tractar les dades, excepte per motius legítims imperiosos, o l’exercici o la defensa de possibles reclamacions.
• Dret de portabilitat: Dret a sol·licitar la portabilitat de les seves dades.

En qualsevol moment i de manera gratuïta, les persones interessades podran exercir els drets referits anteriorment, en els termes i condicions prevists en la legislació vigent, enviant un correu electrònic al CENTRE, indicant en l’assumpte “Exercici de Drets de Protecció de Dades” i el següent contingut:
– El seu nom
– Informació sobre la qual vol exercir el seu dret d’accés, rectificació, supressió o oblit, limitació del tractament o portabilitat.
– Adreça de correu electrònic perquè li comuniquem la possibilitat, o no, de fer efectiva la seva sol·licitud.

En el cas que no obtingui resposta o no obtingui una resposta satisfactòria, o consideri que el CENTRE ha vulnerat els drets que li són reconeguts per la normativa aplicable en protecció de dades o desitgi major informació respecte qualsevol d’aquests drets, pot dirigir-se a l’Autoritat Catalana de Protecció de Dades mitjançant el següent enllaç https://apdcat.gencat.cat o a l’adreça C/ Rosselló, 214, Esc. A, 1r 1a 08008 Barcelona.


Al CENTRE estem compromesos amb el compliment normatiu i el respecte dels drets de les persones usuàries, així com el respecte a la seva privacitat, per la qual cosa si té algun dubte respecte a com tractem les seves dades personals, no dubti a posar-se en contacte amb nosaltres a través de les vies indicades.

5.6.- COMUNICACIONS DE DADES

A quins destinataris es comunicaran les seves dades?

Amb caràcter general les dades no es comunicaran a tercers, excepte en els casos d’obligacions previstes per llei, o si ho heu consentit prèviament. En tot cas seran destinataris de les dades la/les plataforma/es de servei, entorns o entitats educatives corresponents, com a encarregades del tractament, que proveeixen, per compte del responsable del tractament, els serveis TIC, que hàgiu autoritzat.
 

6.- ÚS I POLÍTICA DE COOKIES

Les cookies són petits fitxers creats en el navegador de les persones usuàries necessàries per a desenvolupar unes certes funcionalitats per a la navegació. Algunes, però, poden extreure informació de la persona usuària sense que aquesta en sigui conscient.

Els components de la plataforma DD utilitzen diverses tipologies de cookies necessàries pel seu funcionament que es detallen a continuació.

La taula següent enumera les cookies que utilitzen aquests components. Com que els noms, nombres i propòsits d’aquestes cookies poden canviar amb el temps, aquesta pàgina pot ser actualitzada per reflectir aquests canvis.


6.1.- COOKIES DELS DIFERENTS COMPONENTS DE DD

 

ÚLTIMA ACTUALITZACIÓ: …

[És important no utilitzar aquest avís legal sense assegurar-se que realment el CENTRE compleix amb tot el que s’indica]

ANNEX 4. MODEL D’ANNEX CONTRACTUAL DE PROTECCIÓ DE DADES ENTRE RESPONSABLES I ENCARREGATS DEL TRACTAMENT (EX. EMPRESA EXTERNA DE SERVEIS)(127)

(Aquest document és una proposta feta per Xnet on exposem com ho faríem nosaltres però no és la única manera de fer-ho).

A …, el …. de ………. de 20… .

Atès que la realització dels treballs relatius a l’objecte del contracte suposa el tractament de dades de caràcter personal, de persones identificades o identificables, per part de l’Encarregat del tractament, es relacionen a continuació els seus deures i obligacions en relació amb el tractament de les dades, tal com preveu la normativa vigent de protecció de dades personals.

1. Objecte i naturalesa de l’encàrrec de tractament, identificació de la informació afectada i durada.

Mitjançant aquestes clàusules s’habilita a ………, com a Encarregat del tractament (en endavant el l’Encarregat de tractament), a tractar per compte del CENTRE educatiu ….. (en endavant, el CENTRE/Responsable del tractament, les dades de caràcter personal necessàries per a prestar el servei consistent en …………. .

El tractament consistirà en la gestió de les dades personals derivada de les prestacions previstes en el contracte per compte del CENTRE/Responsable del tractament, podent consistir en el tractament de les categories de dades personals i persones interessades previstes en els tractaments realitzats pels centres educatius previstos pel Departament d’Educació(128), pel Consorci d’Educació de Barcelona(129),(130),(131) i la guia de l’APDCAT sobre protecció de dades per als centres educatius(132).

En tot cas aquests tractaments es regiran pel que disposa el document relatiu a la Protecció de dades personals dels “Documents per a l’organització i la gestió dels centres sobre Protecció de Dades”(133), el qual té caràcter normatiu per als centres educatius de titularitat del Departament d’Educació.

Per executar les prestacions derivades de l’acompliment de l’objecte d’aquest encàrrec, el CENTRE educatiu, CENTRE/Responsable del tractament, posa a disposició de l’Encarregat del tractament, la informació detallada en el contracte de què deriva aquest annex.

Aquest acord es troba supeditat quant a la seva durada al contracte de prestació de serveis contractats amb l’Encarregat.
 

2. Obligacions de l’Encarregat del tractament

L’Encarregat del tractament i tot el seu personal s’obliga a:

a) Utilitzar les dades personals objecte de tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d’aquest encàrrec. En cap cas pot utilitzar les dades per a finalitats pròpies.

b) Si existeixen més instruccions a part de les obligacions indicades en aquest contracte, tractar les dades d’acord amb les instruccions del CENTRE/Responsable del tractament.

Si l’Encarregat del tractament considera que alguna de les instruccions infringeix el RGPD o qualsevol altra disposició en matèria de protecció de dades de la Unió o dels estats membres, l’Encarregat ha d’informar immediatament el CENTRE/Responsable.

c) Tenir, per escrit, un registre de totes les categories d’activitats de tractament efectuades per compte del CENTRE/Responsable, que contingui el previst a l’article 30 del RGPD.

d) Amb caràcter general, a no comunicar les dades a terceres persones, llevat que tingui l’autorització escrita expressa del CENTRE/Responsable del tractament, en els supòsits legalment admissibles.

L’Encarregat pot comunicar les dades a altres Encarregats del tractament del mateix CENTRE/Responsable, d’acord amb les instruccions del CENTRE/Responsable. En aquest cas, el CENTRE/Responsable ha d’identificar, prèviament i per escrit, l’entitat a la qual s’han de comunicar les dades, les dades a comunicar i les mesures de seguretat que cal aplicar per a procedir a la comunicació.

Si l’Encarregat hagués de transferir dades personals a un tercer país o una organització internacional, en virtut del dret de la Unió o dels estats membres que li sigui aplicable, ha d’informar el CENTRE/Responsable d’aquesta exigència legal de manera prèvia, llevat que aquest dret ho prohibeixi per raons importants d’interès públic.

e) Subcontractació
Per subcontractar amb altres empreses, el subcontractista, que també té la condició d’Encarregat de tractament, està obligat igualment a complir les obligacions que aquest document estableix per a l’Encarregat del tractament i les instruccions que dicti el CENTRE/Responsable. Correspon a l’Encarregat inicial regular la nova relació, de manera que el nou Encarregat quedi subjecte a les mateixes condicions (instruccions, obligacions, mesures de seguretat …) i amb els mateixos requisits formals que ell, pel que fa a el tractament adequat de les dades personals i a la garantia dels drets de les persones afectades. Si el sots-Encarregat l’incompleix, l’Encarregat inicial continua sent plenament responsable davant el CENTRE/Responsable pel que fa a l’acompliment de les obligacions.

f) Mantenir el deure de secret professional i confidencialitat respecte de les dades de caràcter personal objecte del present contracte a les quals tingui accés en virtut d’aquest encàrrec, fins i tot després que finalitzi l’objecte d’aquest o es resolgui. L’Encarregat de prendre les mesures necessàries perquè el contingut de la informació no es divulgui a tercers, ni que aquests puguin tenir accés a la mateixa sense autorització del CENTRE/Responsable del tractament.

A l’efecte del present acord, tindrà la consideració d’informació confidencial tota aquella susceptible de ser revelada de paraula, per escrit o per qualsevol altre mitjà o suport, tangible o intangible, ja sigui intercanviada com a conseqüència d’aquesta relació contractual o que una part assenyali o designi com a confidencial a l’altra.

Així mateix, l’Encarregat ha de guardar reserva respecte de les dades o antecedents que no siguin públics o notoris dels quals hagi tingut coneixement en ocasió del contracte. En aquest sentit, la documentació i informació a la qual tingui accés l’Encarregat té caràcter confidencial, i no podrà ser objecte de divulgació o transmissió a terceres persones, total o parcialment, per cap mitjà o suport, fora de l’estricte àmbit d’execució directa del contracte.

g) Garantir que les persones autoritzades per tractar dades personals del CENTRE/Responsable es comprometen, de manera expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents a aquest efecte, de les quals cal informar-se convenientment, i mantenir a disposició del CENTRE/Responsable la documentació que acredita que es compleix aquesta obligació.

h) Garantir la formació necessària en matèria de protecció de dades personals de les persones autoritzades per tractar dades personals.

i) Assistir el CENTRE/Responsable i resoldre pel compte del CENTRE/Responsable i dins el termini establert, segons escaigui, en el context d’aquest contracte, en la resposta a l’exercici dels drets següents:

1) Accés, rectificació, supressió i oposició
2) Limitació del tractament
3) Portabilitat de dades
4) A no ser objecte de decisions individualitzades automatitzades (inclosa l’elaboració de perfils)

j) Dret d’informació

L’Encarregat del tractament ha de facilitar, en cas de recollir directament de les persones afectades les seves dades personals, en el moment de recollir les dades, la informació relativa als tractaments de dades que es duran a terme. La redacció i el format en què es facilitarà la informació s’ha de consensuar amb el CENTRE/Responsable, abans d’iniciar la recollida de les dades.

k) Notificació de bretxes de seguretat de les dades

L’Encarregat del tractament ha d’informar el CENTRE/Responsable del tractament, sense dilació indeguda, i a través del correu electrònic proveït pel CENTRE/Responsable, de qualsevol sospita o constatació d’eventuals errors, incidències o bretxes de seguretat de les dades personals al seu càrrec de les quals tingui coneixement, juntament amb tota la informació rellevant per documentar i comunicar la incidència, per tal que el CENTRE pugui complir amb la seva obligació de posar-se en contacte de forma immediata amb el servei territorial corresponent a l’efecte informatiu i també amb el delegat o delegada de protecció de dades del Departament d’Educació, a través del qual es recomana notificar la violació de seguretat a l’APDCAT, la qual s’ha d’efectuar en el termini màxim de 72 hores.

A l’efecte del present contracte i de conformitat amb el que disposa el RGPD, una incidència de seguretat, serà aquella que ocasioni la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, fins i tot, la comunicació o accés no autoritzats a aquesta informació.

Sense perjudici de l’anterior, la notificació no serà necessària quan sigui improbable que aquesta incidència de seguretat constitueixi un risc per als drets i les llibertats de les persones físiques.

Si es disposa d’ella, cal facilitar al CENTRE/Responsable, com a mínim, la informació següent:

1) Descripció de la naturalesa de la incidència de seguretat de les dades personals, incloses, quan sigui possible, les categories i el nombre aproximat de persones interessades afectades i les categories i el nombre aproximat de registres de dades personals afectats.
2) Nom i dades de contacte del Delegat de Protecció de Dades o d’un altre punt de contacte en el qual es pugui obtenir més informació.
3) Descripció de les possibles conseqüències de la incidència de seguretat de les dades personals.
4) Descripció de les mesures adoptades o propostes per posar remei a la incidència de seguretat de les dades personals, incloses, si mesures adoptades per mitigar els possibles efectes negatius.

Si no és possible facilitar la informació simultàniament, i en la mesura que no ho sigui, la informació s’ha de facilitar de manera gradual sense més dilació indeguda.

l) Facilitarà diligentment i sense dilació indeguda la informació requerida pel CENTRE/Responsable del tractament a l’hora de fer les avaluacions d’impacte relatives a la protecció de dades, quan procedeixi.

m) Facilitarà diligentment i sense dilació indeguda la informació requerida pel CENTRE/Responsable del tractament a l’hora de fer les consultes prèvies a l’autoritat de control, quan sigui procedent.

n) Posar a disposició del CENTRE/Responsable tota la informació necessària per demostrar que compleix les seves obligacions, així com per realitzar les auditories o les inspeccions que s’efectuïn el CENTRE/Responsable o un altre auditor autoritzat per ell.

o) Implantar, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposades, i en estricte compliment de la normativa vigent en matèria de protecció de dades de caràcter personal, les mesures i mecanismes de caràcter tècnic i organitzatiu necessàries per:

1) Garantir la seguretat, confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament així com de les dades de caràcter personals a les quals té accés en ocasió de l’execució del contracte, tot evitant-ne la seva alteració, pèrdua, tractament o accés no autoritzat;
2) Restaurar la disponibilitat i l’accés a les dades personals de forma ràpida, en cas d’incident físic o tècnic.
3) Verificar, avaluar i valorar, de manera regular, l’eficàcia de les mesures tècniques i organitzatives implantades per garantir la seguretat del tractament.
4) Pseudoanonimizar i xifrar les dades personals, si s’escau.

L’adhesió a codis de conducta o la possessió d’una certificació són elements que serveixen per demostrar el compliment dels requisits indicats anteriorment. S’ha de facilitar la informació sobre aquestes certificacions si es disposa de la mateixa.

En aquest sentit, s’han d’aplicar les mesures que es determinen al Marc de ciberseguretat per a la protecció de dades (MCPD).

Així mateix, d’acord amb el que estableix la Disposició Addicional primera de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals, l’Encarregat es compromet al compliment de l’Esquema Nacional de Seguretat regulat pel Reial Decret 3/2010, de 8 de gener, segons la categoria corresponent del sistema.

p) Destinació de les dades

Durant la vigència del contracte, l’Encarregat haurà de conservar qualsevol dada objecte de tractament, llevat que rebi indicacions en sentit contrari del CENTRE/Responsable del tractament.
Una vegada acabada la prestació de serveis l’Encarregat eliminarà les dades objecte de tractament.

No obstant això, l’Encarregat pot conservar una còpia, amb les dades degudament bloquejades, mentre es puguin derivar responsabilitats de l’execució de la prestació.
 

5. Obligacions del CENTRE/Responsable del tractament

Correspon al CENTRE/Responsable del tractament:

a) Lliurar a l’Encarregat les dades a les quals es refereix la clàusula 2 d’aquest document.

b) En els casos de tractaments que d’acord amb la llei(134) comporten un risc elevat, fer una avaluació de l’impacte en la protecció de dades personals de les operacions de tractament que ha d’efectuar l’Encarregat, i en cas de confirmar que el tractament comporta un alt risc, fer les consultes prèvies que correspongui(135).

c) Vetllar, abans i durant tot el tractament, perquè l’Encarregat compleixi el RGPD. A tal fi, el CENTRE/Responsable podrà designar en qualsevol moment durant la vigència del contracte a personal intern o extern per a verificar que l’Encarregat té implantades les mesures necessàries per garantir la seguretat de les dades de caràcter personal. Supervisar el tractament, inclosa l’execució d’inspeccions i auditories.

d) Autoritzar l’Encarregat del tractament a:

1) Dur a terme el tractament de les dades de caràcter personal en dispositius portàtils de tractament de dades només per part de les persones usuàries o perfils d’usuari assignats a la prestació de serveis contractada.
2) Dur a terme el tractament fora dels locals del CENTRE/Responsable del tractament, només per part dels les persones usuàries o perfils d’usuari assignats a la prestació de serveis contractats.
3) L’entrada i sortida dels suports i documents que continguin dades de caràcter personal, inclosos els compresos i / o annexos a un correu electrònic, fora dels locals sota el control del CENTRE/Responsable del tractament.
4) L’execució dels procediments de recuperació de dades que l’Encarregat del tractaments vegi en obligació d’executar.
5) Tractar les dades en els seus locals, aliens als del CENTRE/Responsable del tractament esmentat en el punt 2 d’aquesta clàusula.

6. Incompliments i responsabilitats

En especial en el cas que destini les dades a les quals tingui accés a una finalitat diferent a l’establerta, o les comuniqui o les utilitzi incomplint les estipulacions del contracte o les instruccions del CENTRE/Responsable, l’Encarregat respondrà personalment de les infraccions que hagi comès i de les possibles reclamacions que es puguin produir al respecte.
 

7. Vigència

Aquest contracte conté el total acord entre les parts sobre l’objecte del mateix i anul·la i substitueix qualsevol acord anterior sobre protecció de dades personals, verbal o escrit, a què haguessin arribat les parts.
Així mateix, en cas de contradicció entre les condicions estipulades en el present acord i qualsevol altre signat amb anterioritat entre les dues parts, prevaldrà l’estipulat en el present.
Qualsevol modificació del contingut d’aquest acord, només serà efectiva si es realitza per escrit i amb el consentiment d’ambdues parts.

 

1
Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Disponible a: https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

2
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. Disponible a:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

3
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

4
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

5
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

6
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

7
Article 4 i considerants 26, 28-30, 34-37 RGPD.

8
APDCAT. Guies APDCAT. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

9
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

10
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

11
AEPD. Guías y herramientas. Disponible a:
https://www.aepd.es/es/guias-y-herramientas/guias

12
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

13
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

14
Article 4.1 RGPD.

15
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 8. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

16
AEPD. (2018). Guía para centros educativos. Pàgina 9. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

17
Més exemples a: APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 10. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

18
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgines 8-11. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

19
Article 9 i considerants 51-56 RGPD.

20
Article 9, Disposició Addicional 17ª i Disposició Final 3ª LOPDGDD.

21
AEPD. (2018). Guía para centros educativos. Pàgines 9-10. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

22
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 11. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

23
Article 4.2 RGPD.

24
AEPD. (2021). Quién es quién en el tratamiento de datos personales en tu centro educativo. Disponible a:
https://www.aepd.es/es/documento/quien-es-quien-centros-docentes.pdf

25
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 10. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

26
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

27
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 11. Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“El responsable del tractament, l’escola –en el cas de l’escola pública serà el Departament d’Ensenyament el que haurà d’establir si el responsable és cada centre o el mateix Departament– ha de garantir i poder demostrar que el tractament és conforme a la normativa de protecció de dades i que ha adoptat les mesures més adequades per garantir els drets i les llibertats de les persones de qui tracta les dades.”

28
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 11. Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf:
“Responsable del tractament: la persona física o jurídica, autoritat pública, servei o altre organisme que sol o amb altres, determini els fins i mitjans del tractament (…). En el cas dels centres educatius públics ens trobem davant de centres que depenen d’un Departament de l’Administració de la Generalitat, però que alhora tenen atribuïda una certa autonomia en la gestió. Per això, el Departament d’Ensenyament serà el que establirà qui és el responsable del tractament.”

29
Article 24 RGPD i article 28 LOPDGDD.

30
Mitjançant el «Documents d’organització i gestió dels centres » (DOIGC) sobre «Protecció de dades personals», del 2 de juliol de 2021, el Departament ha establert que el Responsable del Tractament són els centres i serveis educatius, i en concret els seus directors o titulars.

31
Departament d’Educació. (2021). Document d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 4. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Els centres i els serveis educatius, mitjançant la direcció o la titularitat d’aquests, són responsables del tractament de les dades de l’alumnat i del personal del centre. (…) El responsable de tots els tractaments de dades que es facin en un centre educatiu és el director o directora del centre o la persona titular del centre.”

32
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 4. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:

33
Articles 28-29 RGPD.

34
Articles 28, 33 i Disposició Transitòria 5ª LOPDGDD.

35
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, pàgines 10-11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Un encarregat del tractament és la persona física o jurídica, autoritat pública, servei o altre organisme que tracti dades personals per compte del responsable del tractament.
Les escoles, com a responsables dels tractaments, poden encarregar a terceres persones o entitats un tractament de dades personals o una activitat que comporti el tractament de dades de caràcter personal, com ara organitzar les activitats extraescolars, el servei d’autocar, el servei de menjador o altres serveis externalitzats (natació, activitats extraescolars, assessoria comptable i laboral, destrucció de paper, etc.).
La regulació de la relació entre el responsable i l’encarregat del tractament s’ha  d’establir a través d’un contracte, conveni o acord, o d’un acte jurídic que els vinculi. El contracte o l’acte jurídic ha de constar per escrit, i inclusivament en format electrònic.”

36
Articles 37, 38, 39 RGPD.

37
Articles 34, 35, 36 i 37 LOPDGDD.

38
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura és obligatòria per al Departament i també per als centres docents (…)”.

39
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:

40
Article 39.1.b) RGPD

41
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, pàgina 12. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Fa referència a la figura del delegat o delegada de protecció de dades per als centres i serveis educatius de titularitat del Departament d’Educació: “El Departament d’Educació té assignat un delegat o delegada de protecció de dades que s’encarrega de vetllar pel dret fonamental a la protecció de dades personals en l’àmbit del Departament (en què s’inclouen els centres i serveis educatius de titularitat del Departament) i de supervisar el compliment de la normativa reguladora.
L’adreça de contacte és dpd.educacio@gencat.cat.”

42
Decisió per acord del Comitè de Direcció en el moment de l’entrada en vigor del nou Reglament General de Protecció de Dades.

43
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-7. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

44
Article 25 i considerant 78 RGPD.

45
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 7. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

46
AEPD. (2021). Medidas de protección de datos desde el diseño y por defecto. Disponible a:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/proteccion-de-datos-diseno-por-defecto

47
AEPD. (2019). Guía de Privacidad desde el Diseño. Disponible a:
https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf

48
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible a:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

49
Articles 5.1.c) i 25 RGPD.

50
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 14. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

51
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 24 i 27. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

52
AEPD. (2020). Guía de Protección de Datos por Defecto. Disponible a:
https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf

53
Articles 5.1.e) i 6 RGPD.

54
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 14. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

55
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible a:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

56
Definit a l’article 32 de la Orden ECD/1361/2015, de 3 de julio, por la que se establece el currículo de Educación Secundaria Obligatoria y Bachillerato para el ámbito de gestión del Ministerio de Educación, Cultura y Deporte, y se regula su implantación, así como la evaluación continua y determinados aspectos organizativos de las etapas. Disponible a:
https://boe.es/buscar/act.php?id=BOE-A-2015-7662#a32,%20https://dpej.rae.es/lema/expediente-acad%C3%A9mico

57
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre la Gestió del centre (curs 2021-2022). Pàgina 110, “gestió d’arxius”. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/DOIGC_Gestio.pdf

58
Articles 5.1.b) i 6 RGPD.

59
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 13. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

60
Article 5.1.a) RGPD

61
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 13. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

62
Licitud, lleialtat i legitimació:
– Article 6 i considerants 40, 41, 44, 45, 31, 46-50 RGPD.
– Article 8, Disposició Addicional 9ª, Disposició Addicional 10ª, Disposició Final 12ª LOPDGDD.
– APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 13. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

63
Transparència:
– Article 12 i considerants 39, 58-59 RGPD
– Article 12 LOPDGDD.
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 15. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

64
Llei Orgànica 2/2006, de 3 de maig, d’educació. Disponible a:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

65
Veure apartat dedicat al deure d’informació.

66
Article 5.1.d) RGPD

67
Article 4 i Disposició Addicional 8ª LOPDGDD.

68
Articles 5.2, 24, 25, 32, 35 i considerant 85 RGPD.

69
Article 28 LOPDGDD

70
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 5. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

71
Articles 5.1.f) i 32, considerant 39 RGPD.

72
Articles 5 i 28.2.a) LOPDGDD.

73
AEPD. (2018). Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento.
Disponible a:
https://www.aepd.es/es/documento/guia-rgpd-para-responsables-de-tratamiento.pdf-0

74
AEPD. (2018). Listado de Cumplimiento Normativo. Disponible a:
https://www.aepd.es/es/node/44505

75
APDCAT. Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/Guia-sobre-la-evaluacion-de-impacto-relativa-a-la-proteccion-de-datos-en-el-RGPD/

76
AEPD. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. Disponible a:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

77
AEPD. (2019). Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas. Disponible a:
https://www.aepd.es/es/node/816

78
Això és el que proposem al Departament: S’indica la Direcció dels Centres, com a responsables del tractament.
Al mateix temps s’indica la obligació de tenir un Delegat de protecció de dates per part dels centres que depenguin del Departament i, d’una forma no completament clara que «El Departament d’Educació té assignat un delegat o delegada de protecció de dades que s’encarrega de vetllar pel dret fonamental a la protecció de dades personals en l’àmbit del Departament (en què s’inclouen els centres i serveis educatius de titularitat del Departament) i de supervisar el compliment de la normativa reguladora.
S’hauria de clarificar que això significa que aquesta figura és la Delegada per als centres educatius que depenguin del Departament.
Un cop aclarit això, així com s’han proveïts els llistats de tractaments perquè la realització del Registre d’Activitats de Tractament (RAT) obligatori per part dels centres sigui fàcil de complir, la o el Delegat del Departament haurien de proveir el llistat per que l’auditoria de riscos i impacte que corresponguin sigui fàcilment realitzable. Actualment només donant algunes indicacions de mesures de seguretat referents a les videoconferències, i aquestes mesura són restrictives i no gaire realitzables o innecessàries.

Els Centres no tenen els recursos ni les competències per complir i estan abandonats a una complexitat que podria ser resolta per la institució que, pel contrari, l’augmenta.

Considerem més adient que aquesta responsabilitat sigui assumida pel Delegat de Protecció de Dades del Departament. Proposem que la gestió dels riscos dels centres educatius es gestioni des del Departament, ja que el personal i les Direccions dels Centres ja tenen prou càrrega de treball amb el seu dia a dia com per a més haver de dissenyar i implantar mesures per complir amb una normativa que desconeixen en profunditat. 

Això hauria de succeir sense sobrecarregar els Centres, és a dir amb unes plantilles prèviament realitzades per al DPD del Departament, perquè l’anàlisi de riscos sigui de molt fàcil compliment per part dels Centres. Per exemple prenent exemple de les Plantilles realitzades per Xnet en el seu Manual de Protecció de Dades per als Centres Educatius.

Per exemple. pel que respecta a les MESURES TÈNCIQUES I ORGANITZATIVES DE SEGURETAT que han d’aplicar els Centres en general, als Registres d’Activitats de Tractament, tant del Departament d’Educació com del Consorci d’Educació de Barcelona es fa referència a diverses mesures que s’apliquen pels tractaments relatius als alumnes, en concret: 
– El RAT del Departament indica que “S’aplicaran les mesures que es determinen al Marc de ciberseguretat per a la protecció de dades (MCPD)”. 

No s’ha explicat als Centres en què consisteixen aquestes mesures ni s’ha complert amb la formació – la responsabilitat del a qual recau en el Delegat -, però de la inclusió de les mateixes en aquests registres que defineixen els tractaments duts a terme pels Centres se’n deriva que les mateixes són d’aplicació per part seva. Suggerim que la o el Delegat de Protecció de Dades del Departament prepari els formularis necessaris i realitzi ella mateixa les avaluacions de riscos de cada centre sense sobrecarregar-los, creant els protocols necessaris per tal que els Centres puguin ser coneixedors del que impliquen les mesures anunciades tant pel Departament com pel Consorci i simplement se li traslladin els protocols que han de complir sobre uns mínims i no uns màxims que no poden assolir.

De la mateixa manera, en alguns punts del DOCUMENT es pressuposa l’existència d’un “Responsable de Seguretat TIC” als centres, quan no tots disposen d’aquesta figura, que com a mínim hauria de tenir una correcta remuneració per dur a terme les tasques que li correspondrien.

79
AEPD. (2019). Protege sus datos en la vuelta a clase. Consejos para padres, profesores y centros educativos. Disponible a:
https://www.aepd.es/es/documento/infografia-vuelta-clase.pdf

80
Article 30 i considerant 82 RGPD.

81
Article 31 i Disposició Final 11ª LOPDGDD.

82
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

83
APDCAT. (actualització 2021). Aplicació per gestionar el registre de les activitats de tractament. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/ 

84
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible a :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

85
Departament d’Educació. Registre d’Activitats de Tractament. Tractament: “Alumnes de centres educatius de titularitat del Departament d’Educació”. Disponible a:
https://educacio.gencat.cat/ca/Detall/alumnes-centres-departament

86
Consorci d’Educació de Barcelona. Informe del Registre d’Activitats de Tractament. Tractament: “SE001 Plataformes educatives”. Disponible a:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

87
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 5, pàgines 8-9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

88
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 5, pàgina 9. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“En cas que no ho siguin, cal notificar als serveis territorials corresponents o, en el cas de la ciutat de Barcelona, al Consorci d’Educació de Barcelona, l’activitat no inclosa per revisar-ne l’adequació i, si escau, publicar-la al Registre.”

89
APDCAT. (2018). Pautes de protecció de dades per als centres educatius.
Disponible a: https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

90
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-8, 12-14, 32. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

91
APDCAT (2022). “L’APDCAT promou la difusió responsable d’imatges de menors a internet”. Disponible a:
https://apdcat.gencat.cat/ca/sala_de_premsa/notes_premsa/noticia/Pautes-difusio-imatges-menors-escoles

92
Pàgines 6-7 del Documents d’organització i gestió dels centres sobre Protecció de dades personals.: “Per tant, cal que el conjunt de mesures organitzatives i tècniques que garanteixen el tractament adequat de les dades personals, per part de tot el personal autoritzat, estigui inclòs en les normes d’organització i funcionament del centre o serveis educatius. La direcció o titularitat dels centres o serveis educatius és la responsable de difondre les normes d’organització i funcionament del centre i de comprovar i assegurar que es compleixin.”
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

93
Pàgina 29 del Documents d’organització i gestió dels centres sobre Protecció de dades personals.: “Els centres han d’establir les normes que es requereixin per garantir un tractament adequat de les dades i són els responsables d’adoptar les mesures necessàries perquè tots els usuaris del sistema coneguin les polítiques del centre en matèria de seguretat.”

94
Reglament (UE) 2016/679 del Parlament Europeu y del Consell, de 27 de abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que deroga la Directiva 95/46/CE (Reglament general de protecció de dades). Disponible a:
https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

95
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. Disponible a:
https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

96
Xnet. (2021). Manual d’Xnet sobre el tractament de dades personals als centres educatius de Barcelona dependents del departament d’educació per a l’ús de serveis i recursos en línia. Disponible a:
https://xnet-x.net/ca/manual-proteccio-dades-centres-educatius-educacio

97
APDCAT. Guies APDCAT. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/

98
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

99
APDCAT. (n.d.). FAQS “Escoles”. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/PAUTES-MENORS-PREGUNTES-FREQUeENTS-ESCOLES.pdf

100
AEPD. Guías y herramientas. Disponible a:
https://www.aepd.es/es/guias-y-herramientas/guias

101
AEPD. (2018). Guía para centros educativos. Disponible a:
https://www.aepd.es/es/documento/guia-centros-educativos.pdf

102
AEPD. (2018). Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas. Pàgines 9-15. Disponible a:
https://www.aepd.es/es/documento/guia-orientaciones-apps-datos-alumnos.pdf

103
Article 90 i considerant 164 RGPD.

104
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 27. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

105
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgina 34. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

106
Llei Orgànica 2/2006, de 3 de maig, d’educació, Disposició addicional 23. Disponible a:
https://www.boe.es/buscar/pdf/2006/BOE-A-2006-7899-consolidado.pdf

107
Articles 33, 34 i considerants 85, 86, 87 i 88 RGPD. 

108
Articles 13-14 i considerants 60-62 RGPD. 

109
Article 11 LOPDGDD.

110
APDCAT. (2018). Pautes de protecció de dades per als centres educatius.
Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

111
APDCAT. (2018). Guia per al compliment del deure d’informar a l’RGPD. Disponible a:
https://apdcat.gencat.cat/ca/documentacio/guies_basiques/Guies-apdcat/guia_per_al_compliment_del_deure_d_informar_RGPD/ 

112
Consorci d’Educació de Barcelona. La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona. Apartat “ets un centre educatiu?” Disponible a :
https://www.edubcn.cat/ca/centres_serveis_educatius/proteccio_de_dades_personals

113
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 22. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

114
Aquí més detalls sobre cada dret concret:
https://apdcat.gencat.cat/ca/drets_i_obligacions/drets/drets_habeas_data/

115
Articles 7-8 i considerants 32, 42, 43 i 38 RGPD.

116
Articles 6, 7 i 92 LOPDGDD.

117
APDCAT. (2018). Pautes de protecció de dades per als centres educatius. Pàgina 19. Disponible a:
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

118
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Pàgines 6-8. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

119
Consorci d’Educació de Barcelona. (s.d.). Avís legal. Disponible a:
https://www.edubcn.cat/ca/avis_legal

120
Creative Commons (s.d.). Reconeixement-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0). Disponible a:
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.ca

121
Articles 28-29 RGPD.

122
Articles 28, 33 i Disposició Transitòria 5ª LOPDGDD.

123
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 8, pàgines 10-11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

124
APDCAT. (2019). Guia sobre l’encarregat del tractament al RGPD. Disponible a:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-tractament-RGPD-CAT.pdf 

125
APDCAT. (2019). Annex a la guia sobre l’encarregat del tractament al RGPD: Model de clàusules contractuals. Disponible a:
https://apdcat.gencat.cat/web/.content/03-documentacio/Reglament_general_de_proteccio_de_dades/documents/Guia-encarregat-del-tractament-Annex-CAT.docx 

126
AEPD. (2018). Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Disponible a:
https://www.aepd.es/es/documento/guia-directrices-contratos.pdf

127
Si el contracte és a un proveïdor de servidors, Xnet defensa que els servidors no només han de ser rigorosos amb la protecció de dades personals sinó també amb altres drets fonamentals. En aquest cas, suggerim afegir aquestes clàusules perquè no solen trobar-se en els contractes o condicions dels servidors:
– Si bé els clients es comprometen a no publicar cap contingut que pugui vulnerar els drets de tercers o que pugui infringir la llei, el proveïdor no ha de tenir l’obligació de retirar cap contingut del servidor llevat que tingui coneixement efectiu que l’activitat o la informació emmagatzemada és il·lícita o perjudicial per a un tercer. A aquests efectes, es considera que hi ha coneixement efectiu quan estigui en vigor una resolució judicial o administrativa que bloquegi o retiri els continguts i el proveïdor en tingui coneixement.
– El client ha de ser informat en primer lloc.
– Les contrasenyes dels servidors només poden ser modificades, després de la configuració inicial, pel client i no han de ser conegudes pel proveïdor. A més, els clients poden utilitzar l’autenticació de dos factors i el xifratge per assegurar encara més els comptes.

128
Detall de les activitats de tractament realitzades als Centres educatius:
https://educacio.gencat.cat/ca/departament/proteccio-dades/informacio-addicional-tractaments/llista-responsables/#bloc1

129
La protecció de dades personals al Consorci d’Educació de Barcelona i als centres i serveis educatius de la ciutat de Barcelona:
https://www.edubcn.cat/ca/el_consorci/proteccio_de_dades_personals

130
Detall de les activitats de tractament realitzades al Consorci d’Educació de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_CEB.pdf

131
Detall de les activitats de tractament realitzades als Serveis educatius dependents del Consorci d’Educació de Barcelona:
https://www.edubcn.cat/rcs_gene/extra/01_proteccio_de_dades/Rp_informeAT_SE.pdf

132
https://apdcat.gencat.cat/web/.content/04-actualitat/menors-i-joves/documents/GUIA-ESCOLES-2018-PAUTESv2.pdf

133
Documents per a l’organització i la gestió dels centres. Protecció de dades personals: https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf

134
Autoritat Catalana de Protecció de Dades (). l
https://apdcat.gencat.cat/web/.content/02-drets_i_obligacions/obligacions/documents/Lista-DPIA-ES.pdf

135
Article 36 del Reglament General de Protecció de Dades

136
Articles 33, 34 i considerants 85, 86, 87 i 88 RGPD.

137
AEPD. (2021). Guía para la notificación de brechas de datos personales. Disponible a:
https://www.aepd.es/es/documento/guia-brechas-seguridad.pdf

138
Articles 37, 38 i 39 RGPD.

139
Articles 34, 35, 36 i 37 LOPDGDD. 

140
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9.1, pàgina 12. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf
Fa referència a la figura del delegat o delegada de protecció de dades per als centres i serveis educatius de titularitat del Departament d’Educació: “El Departament d’Educació té assignat un delegat o delegada de protecció de dades que s’encarrega de vetllar pel dret fonamental a la protecció de dades personals en l’àmbit del Departament (en què s’inclouen els centres i serveis educatius de titularitat del Departament) i de supervisar el compliment de la normativa reguladora.
L’adreça de contacte és dpd.educacio@gencat.cat.”

141
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura és obligatòria per al Departament i també per als centres docents (…)”.

142
Decisió per acord del Comitè de Direcció en el moment de l’entrada en vigor del nou Reglament General de Protecció de Dades. 

143
Departament d’Educació. (2021). Documents d’organització i gestió dels centres sobre Protecció de dades personals. Punt 9, pàgina 11. Disponible a:
https://documents.espai.educacio.gencat.cat/IPCNormativa/DOIGC/GEST_Proteccio_dades.pdf:
“Aquesta figura (…) té, entre d’altres, les funcions següents: informar i assessorar el centre o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades, supervisar el compliment de la normativa, assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades i ser l’interlocutor del centre escolar amb l’autoritat de protecció de dades (APDCAT).”

144
AEPD. (2021). Docentes y su importancia para la protección de datos y la privacidad. Disponible a:
https://www.aepd.es/es/prensa-y-comunicacion/blog/docentes-y-su-importancia-para-la-proteccion-de-datos-y-la-privacidad