a)
Normes específiques
·
Constitució
espanyola art. 18 i sentències del Tribunal Constitucional
·
Llei Orgànica
15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD)
· REIAL DECRET 1720/2007,
de 21 de desembre, pel qual s’aprova el Reglament de desplegament
de la Llei orgànica 15/1999, de 13 de desembre, de
protecció de dades de caràcter personal.
·
Llei 5/2002, de
19 d’abril, de l’Agència Catalana de Protecció de Dades
·
Decret 48/2003,
de 20 de febrer, pel qual s’aprova l’estatut de l’Agència Catalana de
Protecció de Dades
b)
Normes relacionades
·
LO 1/1982, de 5
de maig, de Protecció Civil del Dret a l’Honor, a la Intimitat Personal i
Familiar i a la Pròpia Imatge
·
Codi Penal (art.
197 ss Revelació de secrets)
·
Codi Civil,
LOPJM i LM pel que fa a la minoria d’edat i l’exercici de drets
·
LCGC en l’àmbit
de la contractació mercantil
·
Llei 30/1992, de
26 de novembre, de règim jurídic de les Administracions públiques i del
procediment administratiu comú
El món educatiu tot just
està assimilant l’impacte pedagògic de la implementació de les TIC.
Integrar i interioritzar les conductes annexes pot semblar un maldecap
afegit. Tanmateix, com recorda una de les primeres autoritats jurídiques
(si no la primera) en la matèria, Stefano Rodotà, les polítiques de
protecció de dades van més enllà de garantir la privacitat: són la
garantia de la “tutela global de les opcions de vida contra qualsevol
forma de control públic i d’estigmatització social, en un marc
caracteritzat per la llibertat de les opcions existencials i polítiques”
1.
Així, doncs, la qüestió de la protecció de les anomenades ‘dades de
caràcter personal’ no és banal davant del nou panorama que han obert les
TIC: o som conscients de la importància i els continguts d’aquest dret
fonamental o la mateixa pervivència de les pràctiques democràtiques és en
perill. I l’escola ha de ser la primera a saber preservar i transmetre les
maneres de fer que en permetin l’extensió i el manteniment.
La societat de la
informació multiplica exponencialment els riscos d’accés i, sobretot,
d’encreuament de les dades dels individus en mans dels més poderosos
(empreses, Estats...). Des de dades genètiques fins a les referides a
hàbits tot pot ser a l’abast d’aquestes mans en un clic. I no s’ha de ser
alarmista, d’acord, però tampoc beneit. Si volen formar una ciutadania
lliure per a la democràcia cal que cadascun dels seus membres sàpiga qui
té dades seves i per a què les té. Altrament, el panòptic de què parlava
Foucault2
(o si es fa més entenedora, la metàfora nazi de l’home de vidre) haurà
assolit el grau de perfecció més elevat. Un canvi social tan important com
el dut a terme per les TIC demana una reacció ràpida a l’hora de resituar
els valors i d’entendre com aquells que ens han costat tants segles
d’història i civilització d’assolir poden estar en vies d’extinció si no
s’actua ràpidament integrant els avenços tecnològics en les coordenades de
defensa dels valors d’igualtat, no-discriminació i convivència pacífica.
No oblidem mai que Internet va ser un invent militar... desenvolupat pel
jovent lliurepensador de les universitats californianes i sembla que la
dialèctica que va fer néixer la Xarxa es manté a l’hora de fer-la créixer,
tal i com exposa Manuel Castells al seu llibre de divulgació La galàxia
Internet (2001) . Tothom té una responsabilitat a l’hora de
fer decantar la balança cap a una banda o una altra. Molt especialment des
de l’àmbit educatiu.
La clau de l’èxit rau a
combinar tres factors: el tècnic (implementació de nivells de seguretat),
el jurídic (observança de la normativa) i l’eficiència en recursos humans
(persones que tracten dades conscients de la importància de la protecció
d’aquestes dades).
La protecció de dades al
sistema educatiu català demana un lideratge de l’Administració en una
triple vessant:
–
adequació al
marc legal i seguiment de l’aplicació correcta de les previsions
normatives de la mà de l’autoritat competent;
–
implementació
d'infrastructures tècniques que garanteixin la seguretat de la informació
segons els nivells establerts al RD 994/1999
–
desenvolupament
d’estratègies de recursos humans que contribueixin a estendre conductes
conscients de les implicacions que té una adequada protecció de dades
personals i, que al seu torn, reverteixen en accions educatives directes
sobre l’alumnat.
Pel que fa a la
primera vessant, l’ ORDRE ENS/175/2003, de 10 de març, per la qual es
regulen els fitxers automatitzats que contenen dades de caràcter personal
gestionats pel Departament d'Ensenyament va constituir un primer pas per a
l’adequació a la normativa vigent en matèria de protecció de dades
personals.. Tanmateix, caldria potenciar la tasca de l’Agència Catalana de
Protecció de Dades Personals i estendre’n la influència als diferents
departament per tal que esdevingui la guia que unifiqui els criteris, i
faci el control de qualitat de la gestió pública en aquest àmbit tal i com
preveu la normativa vigent. La trobareu a
http://www.apdcat.net/normativa/index.htm.
Pel que fa a la segona
vessant, amb la renovació política, la Conselleria d’Educació del govern
català ha fet un pas més enllà reforçant les mesures de seguretat a través
d’un control centralitzat dels fitxers mitjançant el desenvolupament d’un
nou programa de gestió informàtica administrativa: el SAGA. Queda pendent,
tanmateix, l’establiment d'infrastructures i protocols que garanteixin una
efectiva protecció de les dades que s’emmagatzemen i circulen en cadascun
dels centres educatius que depenen directament de l’Administració
catalana. En aquest sentit, la Comunidad de Madrid ha optat per registrar
tots i cadascun dels fitxers dels centres educatius públics com demostra
la gran quantitat de fitxers declarats3
a la seva Agència de Protecció de Dades i la publicació d’una guia de
protecció de dades personals per a Centres Educatius Públics. En canvi,
l’Administració catalana ho ha fet d’una forma centralitzada, tal vegada
per poder garantir el real compliment de les disposicions de seguretat.
Sigui com sigui, cal tenir present que, si bé el dret a la protecció de
dades és un dret fonamental, no té el caràcter d’absolut en topar amb
altres drets fonamentals de la persona com ara el de l’educació. Només una
visió política que no perdi de vista la necessària valoració basada en la
proporcionalitat pot donar una adequada resposta a aquesta dinàmica de
tensió entre ambdós drets.
Sigui quina sigui l’opció
política adoptada, com a proposta no tan direccionista, convindria
impulsar la redacció d’un codi deontològic de la comunitat educativa
catalana pel que fa a l’ús de les TIC en el qual, a partir de la ferma
convicció de la força positiva i el valor de futur que contenen,
s’esbossin els principis que han de regir qualsevol actuació a través
d’aquests mitjans i que comprengui els respecte a les polítiques de
protecció de dades enteses no com a complicacions burocràtiques, sinó com
a garanties de llibertats ciutadanes. Seguint la línia de fomentar
l’autonomia dels centres educatius, cada centre es podria adherir a aquest
codi o bé adaptar-lo al seu context precís i al seu projecte educatiu.
Finalment i a través dels
cursos de formació permanent i d’equips directius dels centres caldria
vetllar per una correcta aplicació dels principis de la legislació
relativa a protecció de dades i la promoció de conductes que preservin els
valors que se’n desprenen. Actituds tan senzilles com mirar d’evitar que
es pengin contrasenyes d’accés amb papers adhesius al costat de la
pantalla de l’ordinador, la mateixa cessió indiscriminada de les claus
d’accés o deixar en pantalla dades personals a l’abast de qualsevol
passavolant poden generar grans canvis de sensibilitat que, com he
exposat, són considerats cabdals a l’hora de fer anar la societat de la
informació en la via de perfecció dels valors de convivència que
desitgem.
Acabant de descendir a la
realitat de cada centre educatiu, és fonamental en aquests moments (final
del curs 2004-2005) procedir a una auditoria de l’estat de la qüestió
d’usos ètics de les TIC. Com exposa Ricard Martínez Martínez referint-se
al món universitari4“el
primer repte en la gestió de les dades personals i en l’aplicació de la
legalitat és conèixer la realitat i definir procediments per a la creació
de nous fitxers.” Fóra convenient de tirar endavant un seguit d’accions
destinades a escorcollar els ordinadors dels centres educatius per tal de
determinar quins fitxers estan subjectes a la LOPD i decidir com se n’ha
de fer el manteniment o la creació ajustant-se a la normativa vigent en la
matèria. Una auditoria que, al capdavall, depèn d’una decisió clarament
política i que comporta el disseny d’una estratègia que no carregui a les
espatlles dels gestors immediats de l’educació (docents, equips directius
i coordinacions d’informàtica) d’aquest responsabilitat, sinó que l’ajudi
a exercir-la sense costos afegits. Com a opcions hi ha encarregar aquestes
auditories a empreses especialitzades, difusió de normes que fixin
criteris al voltant de la protecció de dades o l’establiment d’accions
informatives acompanyades de procediments d’autodeclaració tutelades des
de la Inspecció. En qualsevol cas, cal en aquest àmbit un esforç per
conèixer-ne la realitat, promoure-hi usos responsables i ajustar-la a la
legislació vigent.
Dades de caràcter personal
registrades en suport físic que les faci susceptibles de tractament.
Comprèn, doncs, tant fitxers electrònics com manuals, tot i que aquests
darrers no han de ser declarats fins al 2007.
NO
comprèn els fitxers mantinguts per persones físiques en
l’exercici d’activitats exclusivament personals o domèstiques, p.e.
agendes personals.
SÍ
que comprèn:
–
agendes de tutoria siguin en suport paper o en suport
electrònic
–
fitxers manuals de dades acadèmiques
–
qualsevol mena de llistat a què es tingui accés a causa de
l’exercici professional i en qualsevol format, p.e. llistats d’alumnes
–
...
“qualsevol informació referent
a persones físiques identificades o identificables” (art. 3.a LOPD)
susceptible de tractament.
-
Ho són:
-
noms i
cognoms
-
números de
DNI, NIF i passaport
-
adreces
físiques que s’hi associïn o s’hi puguin associar a través del
tractament informàtic
-
telèfons i
adreces de correu electrònic que s’hi associïn o s’hi puguin
associar a través del tractament informàtic
-
fotografies on es pugui reconèixer clarament algú
-
veu a
través de la qual es pugui reconèixer algú
-
dades
genètiques i mèdiques associades a persones concretes
-
dades
biomètriques
-
dades
referides a creences, filiació política o sindical
-
dades
referides a la raça
5
-
+
qualsevol dada que permeti identificar algú (la llei no opta per una
enumeració tancada, sinó per la definició anteriorment exposada; per
tant, la intenció és atorgar el màxim de protecció possible atesos
els continus avenços de la ciència i la tècnica)
Operacions i procediments
tècnics de caràcter automatitzat o no, que permetin la recollida,
enregistrament, conservació, elaboració, modificació, bloqueig i
cancel·lació. El tractament permet creuar dades, per tant, associar-les de
manera que unes que, originàriament no permetrien identificar ningú,
acabin fent-ho o bé que les dades es puguin anar acumulant fins a donar
perfils complets de la persona i de la seva esfera privada. Un exemple de
tractament de dades amb finalitats d’eficiència comercial: el de la
llibreria en línia amazone.com que, a partir de l’establiment d’un perfil
basat en compres anteriors, recomana a cada client/a les novetats que li
poden interessar i li fa ofertes personalitzades. Val a dir que la
política de protecció de dades als EUA és molt més flexible que la marcada
per les directives europees al respecte.
A més, cal tenir present que
el format electrònic permet una fàcil disponibilitat i un àgil traspàs de
la informació.
Importància per a la
salvaguarda de la privacitat de saber:
–
quines dades
tenen de nosaltres
–
qui les té
–
què en fa
–
qui les tracta
–
amb quina
finalitat les tracten
–
si les cediran o
no
–
on són
–
on puc exercir
els meus drets d’accés, rectificació i cancel·lació
Diferent del de la tutela de
la vida privada, el dret a la protecció de dades personals té entitat
pròpia al text constitucional espanyol. L’anomenada autodeterminació
informàtica consisteix en el poder de governar la circulació de les
informacions que afecten cada persona. CE art. 18.4; Carta de Drets
Fonamentals de la Unió Europea art. 8. Jurisprudència Constitucional STC
292/200 interpreta que la llei ha de garantir “un poder de control sobre
les dades personals, l’ús que se’n fa i el seu destí, amb el propòsit
d’impedir-ne el tràfic il·lícit i lesiu per a la dignitat i dret de la
persona afectada”.
–
Persona afectada
o interessada, no comprèn la protecció a les dades de persones difuntes.
La LOPD no estableix cap limitació concreta per a l’exercici del dret a la
protecció de dades de caràcter personal per part de menors
d’edat. La persona menor d’edat és titular del dret a la protecció
de les seves dades personals i pot exercir-lo directament sempre i quan
tingui suficient maduresa o no estigui incapacitada. L’art. 162, 1r del
Codi Civil exceptua de la representació legal del titular de la pàtria
potestat “els actes relatius a drets de la personalitat o d’altres que el
fill/a, d’acord amb les lleis i amb les seves condicions de maduresa,
pugui realitzar per ell/a mateix/a”.
Pel que fa a l’avaluació del
grau de maduresa: art. 2 LOPJM: cal tenir en compte, especialment, la
maduresa de la persona menor que ja té més de 14 anys i que, d’acord amb
l’ordenament jurídic espanyol i la jurisprudència, té capacitat suficient
per exercir drets de la personalitat com ho és el de la protecció de dades
personals. Segons reiterada jurisprudència els límits a l’exercici dels
drets de la personalitat han de ser interpretats de manera restrictiva.
Si, d’acord amb el Codi Civil, les persones majors de 14 anys tenen
capacitat per testar (art. 663, 1r) o per poder optar per la nacionalitat
espanyola, també se’ls ha de reconèixer per exercir els drets de la
personalitat, com ara els inherents a la protecció de dades i els de
l’honor, la intimitat i la pròpia imatge (art. 3.1 de la LO 1/1982, de 5
de maig, de Protecció Civil del Dret a l’Honor, a la Intimitat Personal i
Familiar i a la Pròpia Imatge estableix que el consentiment de les
persones menors i incapacitades en aquest àmbit “haurà de ser atorgat per
elles mateixes si les seves condicions de maduresa ho permeten, d’acord
amb la legislació civil”) . També l’Agència Espanyola de Protecció de
Dades s’ha mostrat partidària d’establir com a principi la validesa del
consentiment atorgat per les persones majors de 14 anys per al tractament
de les seves dades personals (Memoria de la Agencia Española de Protección
de Datos 2000 pàgs. 381-383)6.
Per tant, cal concloure la validesa legal del consentiment atorgat per
majors de 14 anys al tractament de dades personals. Al cas de menors de 14
anys, sempre caldrà el consentiment de qui en tingui la pàtria potestat.
N’hi ha prou amb el consentiment d’un dels pares sempre i quan n’ostenti
la pàtria potestat. Si un dels pares es troba privat de la pàtria potestat
per resolució judicial no podrà ni prestar el consentiment ni accedir a
les dades del fill/a menor.
–
Persona
responsable del tractament (o fitxer): persona física o jurídica, de
naturalesa pública o privada, o òrgan administratiu, que decideixi
sobre la finalitat, contingut i ús del tractament (art. 3.d LOPD).
o
Una persona
empleada, sense responsabilitats no pot ser la responsable del tractament.
o
Serà la persona
davant la qual s’exercitin els drets en cas d’incompliment
o
És el
responsable civil.
o
És qui té poder
real de decisió vs. qui executa materialment el fitxer. P.e. en un
centre educatiu públic seria la direcció i no pas la coordinació
d’informàtica.
–
Persona
encarregada del tractament: persona física o jurídica, autoritat pública,
servei o qualsevol altre organisme que, només o conjuntament amb d’altres,
tracti dades personals per compte del responsable del tractament”
(art. 3.g LOPD).
–
Agències de
protecció de dades:
Ens de Dret Públic que vetllen
pel compliment de la LOPD, inspeccionen i sancionen.
o
Agencia Española
de Protección de Datos
https://www.aepd.es
o
Agència Catalana
de Protecció de Dades
http://www.apdcat.net
Autoritat independent de
control que vetlla pel compliment de la normativa sobre protecció de dades
gestionades per les administracions públiques catalanes, les entitats que
en depenen i els consorcis que en formen part, les universitats de
Catalunya i les entitats que presten serveis públics, les associacions o
fundacions o les societats amb participació pública majoritària i que
actuen per compte d’una administració.
Situació excepcional perquè
el principi és de no comunicació de les dades. La llei estableix de
forma taxada en quins supòsits es pot fer cessió de dades (criteris
restrictius):
–
Excepció general
(art. 7.6 LOPD): l’interès vital de la persona afectada: prevenció i
diagnòstic mèdics, atenció sanitària per part de professional sanitari
subjecte al secret professional.
–
Pel que fa a la
cessió de dades entre administracions públiques (art. 21 LOPD)
s’autoritza a fer-ho sense consentiment de la persona afectada sempre que
sigui
o
per a l’exercici
de competències semblants o sobre les mateixes matèries; p.e. la cessió de
dades d’expedient acadèmic entre centres educatius;
o
sempre que una
llei ho autorizi;
o
amb finalitats
històriques, estadístiques i científiques; p.e. la cessió de dades
d’estudiants de l’últim curs de Cicle Formatius a les Cambres de Comerç
amb finalitats estadístiques per comprovar el grau d’inserció laboral de
l’alumnat;
o
urgències
sanitàries o seguiments epidemiològics (vacunacions);
o
Forces i Cossos
de seguretat de l’Estat, només per a casos concrets i en cap cas per a
situacions genèriques, si es compleixen dues condicions:
§
existència d’un
perill real per a la seguretat pública
§
repressió
d’infraccions penals, NO administratives (p.e. multes de
circulació)
o
El cessionari és
el nou responsable. Per tant, en cas de cessió de dades del Departament
d’Educació a les direccions de centres, aquestes esdevenen de facto
les responsables de la protecció de les dades. La cessió funciona entre
dos responsables.
o
Si es cedeixen
dades dissociades, no se’ls ha d’aplicar la LOPD ja que, en aquesta
circumstància, no pertanyen a cap persona física identificable (p.e. notes
de PAU sense referents a persones, ni noms amb cognoms ni DNI).
Pel que fa a la cessió de
dades a les AMPA, cal tenir en compte que:
–
no són entitats
pertanyents a l’administració pública,
–
l’associació/no
de les famílies de l’alumnat a aquestes entitats és voluntària, per tant,
–
només es podran
cedir, amb advertiment previ i expressió del consentiment, les dades que
afectin les famílies associades. En cap cas, no es pot cedir la
integritat de les dades referides a la matrícula del centre.
Publicació de
dades (art. 11.2.a LOPD)
Està permesa legalment
o
la publicació (web
inclòs) de dades d’admissió als centres educatius (preinscripció i
matrícula)
o
la publicació
d’actes de qualificació de les convocatòries dels premis extraordinaris de
batxillerat
Publicació general de notes
al web
NO.
Internet és un mitjà accessible a tothom i, com que la
informació que hi circula té un format electrònic, esdevé fàcilment
manipulable i fàcil d’emmagatzemar de manera que es poden arribar a
construir perfils molt detallats de les persones,i conservar-los i
transmetre’ls. Una altra cosa és l’accés per part de la persona titular de
les dades a les seves notes en línia.
Publicació de notes en
taulers
Pràctica no tan invasiva per a
la intimitat (mitjà potencialment molt més limitat que el web) i d’ús
socialment consolidat (art. 2 LO 1/1982: “La protecció civil de
l’honor, de la intimitat i de la pròpia imatge quedarà delimitada per
les lleis i pels usos socials atenent l’àmbit que, pels seus propis
actes, mantingui cada persona reservat per a si mateixa o la seva família”.)
Per tant, la pràctica de la publicació de notes en taulers constitueix una
pràctica admissible a causa de la força legal del costum social.
–
Finalitats
determinades, explícites i legítimes (art. 4.1
LOPD). Al cas de l’Administració Pública, s’entenen subjectes al principi
de competència.
–
Racionalitat
o qualitat de les dades: han de ser adequades,
pertinents i no excessives en relació a l’àmbit i a les finalitats
determinades, explícites i legítimes. Comporta el deure de cancel·lar-les
quan ja no siguin necessàries.
–
Congruència:
les dades no poden ser utilitzades per a finalitats incompatibles amb les
especificades al moment de recollir-les.
–
Exactitud:
les dades s’han d’ajustar amb veracitat a la situació actual de la persona
afectada (art. 4.3 LOPD). Necessitat d’actualització i de cancel·lació de
dades obsoletes.
–
Autodeterminació: la persona interessada
o
controla en tot
moment
o
l’existència de
dades seves en poder d’altri
o
quines són
o
on són
o
per a què les
tenen
o
què en fan
o
per la qual cosa
–
atorga el
consentiment inequívoc al moment de ser recollides, requisit del qual
estan eximides les administracions públiques en l’àmbit de les seves
competències (art. 7.2 LOPD) o bé quan una llei ho prevegi.
·
Condicions
especials, fins i tot per a les administracions públiques,
d’expressió del consentiment:
-
exprés i per
escrit de les dades personals que revelin la ideologia, afiliació
sindical, religió i creences (art. 7.2 LOPD)
-
exprés: dades
relatives a l’origen racial, a la salut i a la vida sexual (art. 7.3 LOPD),
si és que no hi ha una llei que n’autoritzi la recollida.
Al moment de sol·licitar el
consentiment s’ha d’informar la persona afectada que, d’acord amb el que
estableix l’art. 16.2 de la Constitució espanyola, ningú no està obligat a
declarar sobre aquestes dades.
-
pot revocar-lo
quan hi hagi una causa justificada
-
té dret a
accedir a les dades
o
Excepcions al
consentiment
- dades recollides per a
l’exercici de les funcions pròpies de les administracions públiques en
l’àmbit de les seves competències. STC 292/200: l’apoderament legal que
permeti a un poder públic recopilar, emmagatzemar, tractar, usar i, si és
procedent, cedir dades personals, només està justificat si respon a la
protecció d’altres drets fonamentals o béns constitucionalment protegits”.
Al cas de les administracions públiques educatives s’entén que l’altre
bé a tenir en compte a l’hora de ponderar és el dret a l’educació.
–
quan es
refereixin a les parts d’un contracte o precontracte d’una relació
negocial
–
quan es tracti
de protegir un interès vital de la persona interessada
–
quan les dades
figurin en fonts accessibles al públic i el seu tractament sigui necessari
per a la satisfacció de l’interès legítim pel responsable del fitxer o pel
del tercer a qui es comuniquin les dades, sempre que no es vulnerin drets
i llibertats fonamentals de la persona interessada.
Les administracions públiques
els han de complir tots precisament perquè tenen la prerrogativa que no
els cal el consentiment. Majors potestats = majors obligacions.
–
D’informació:
o
De què cal
informar? (art. 5.1 LOPD)
§
De l’existència
d’un fitxer o tractament de dades de caràcter personal
§
De la finalitat
de la recollida
§
De les persones
o entitats destinatàries de la informació
§
De la identitat
i adreça del responsable del tractament
§
De la
possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i
oposició i on.
§
De caràcter
obligatori o facultatiu de la seva resposta a les preguntes formulades
§
De les
conseqüències de l’obtenció de les dades o de la negativa a
subministrar-les.
o
Quan?
§
En recollir les
dades de la persona afectada
·
De seguretat
(necessitat de mesures establerta a l’art. 9
LOPD i concretada en el Reial Decret 994/1999, d’11 de juny, pel qual
s’aprova el reglament de mesures de seguretat dels fitxers automatitzats
que continguin dades de caràcter personal)
o
Tres nivells:
bàsic, mitjà i alt, d’acord amb la naturalesa de la informació tractada.
El nivell de seguretat és marcat per la dada més protegida: si al fitxer
només hi ha noms i cognoms, però hi ha una sola dada de salut, call
aplicar-li el nivell més elevat.
§
Obligació
d’aplicar-los que compromet el responsable i l’encarregat del tractament
§
Bàsic:
per defecte, s’ha d’aplicar a tots els fitxers que continguin dades de
caràcter personal. Els equips informàtics de tots els centres educatius
han de complir les mesures de nivell bàsic i tant pel que fa als accessos
locals com en els accessos a través de xarxes de comunicacions.
Descripció de les característiques: arts. 8 – 14 RD 994/1999: exigència
d’un document de seguretat (carta de compromisos del responsable del
fitxer), funcions i obligacions del personal amb accés al fitxer, registre
d’incidències, identificació i autenticació, controls d’accés, gestió de
suports informàtics que facilitin els accessos restringits, protocol de
còpies de seguretat.
§
Mitjà:
s’ha d’aplicar a fitxers que continguin dades
relatives a infraccions administratives. Per tant, als fitxers
d’expedients sancionadors de l’alumnat o als que permetin obtenir una
avaluació de la personalitat de l’individu. Descripció de les
característiques: arts. 15 - 22 RD 994/1999. Bàsicament, es tracta de les
del nivell bàsic reforçades: designació de responsable de seguretat,
auditoria dels sistemes d’informació i tractament cada dos anys, accés
físic únicament al personal autoritzat al document de seguretat,
existència de registre d’entrades i sortides detallat que permeti la
identificació de les persones que n’han fet ús, mesures especials per
garantir l’eliminació total de les dades emmagatzemades en cas de rebuig o
reutilització per part d’altres agents.
§
Alt:
s’ha d’aplicar als fitxers amb dades de
·
creences,
p.e. alumnat que ha optat per cursar Religió X
·
salut,
p.e. dades referides a minusvàlues, patologies a tenir en compte als
serveis de menjador...
·
dades
d’afiliació política o sindical
Descripció de les
característiques: art. 23 – 26 RD 994/1999: les dels nivells inferiors +
xifratge de les dades local i en les xarxes de comunicacions, increment de
la informació de control d’entrades i sortides.
–
De secret
(art. 10 LOPD): afecta la persona responsable
del fitxer i totes aquelles que intervinguin en qualsevol fase del procés
de tractament de les dades de caràcter personal (secret professional). Cal
recordar que la Llei de la Funció Pública considera com a falta molt greu
o greu la divulgació de secrets professionals.
–
De
notificació de la creació del fitxer
o
Règim
especial per a les administracions públiques
(art. 20 LOPD):
§
La creació,
modificació o supressió dels fitxers només es poden fer per mitjà d’una
disposició general publicada al BOE o al diari oficial corresponent
(al cas de Catalunya al DOGC). Pel que fa al Departament d’Educació els
fitxers van ser declarats a través de l’Ordre ENS/175/2003, de 10 de març,
per la qual es regulen els fitxers automatitzats que contenen dades de
caràcter personal gestionats pel Departament d'Ensenyament.
§
On s’han de
declarar? a l’Agència Catalana de Protecció de Dades.
§
A la disposició
s’hi indica:
·
La finalitat del
fitxer i els usos previstos
·
Les persones o
els col·lectius sobre els quals es pretén obtenir dades de caràcter
personal o que estiguin obligats a facilitar-les
·
El procediment
de recollida d’aquestes dades
·
L’estructura
bàsica del fitxer i la descripció dels tipus de dades de caràcter personal
incloses en el fitxer
·
Les cessions
previstes
·
Els òrgans de
les administracions responsables del fitxer
·
Els serveis o
les unitats davant els quals es puguin exercir els drets de les persones
afectades
·
Les mesures de
seguretat aplicades segons nivells establerts al RD 994/1999
Exemple de declaració de fitxer (extret de
l’Ordre ENS/175/2003)
D’acord amb les
raons adduïdes a l’apartat ‘Subjectes’,
el menor d’edat a partir de 14 anys (si no hi concorre incapacitat) és
titular dels següents drets, conjuntament amb els pares que n’ostentin la
pàtria potestat.
–
De consulta
–
D’accés
o
Accessos
telemàtics: només amb codi d’accés personal per
a les persones interessades (alumne/a i representant legal) i
exclusivament a les seves dades.
§
Expedient
acadèmic:
·
té caràcter de
dada personal protegida per la LOPD
·
majors de 18
anys, accés restringit a les persones titulars de les dades, no als pares
·
nivell de
seguretat mitjà atesa la possibilitat d’establir perfils
·
menors d’edat,
d’acord amb la LODE, hi poden accedir els pares que n’ostentin la pàtria
potestat. Si es denega l’accés a aquestes terceres persones, caldrà
motivar l’acte.
§
Notes en
línia:
·
accés
personalíssim
·
cal articular un
procediment informàtic que asseguri:
o
que serà la
persona titular de les dades qui les consulti i que només pugui accedir a
les seves
o
que l’accés a
les bases de dades serà segur i a través de claus que evitin l’ús
d’identificadors clarament esbrinables com ara el número de DNI.
–
De
rectificació / cancel·lació: termini de 10 dies
a partir de la petició de la persona interessada.
–
D’oposició
Responsabilitat
Quins danys?
§
Intromissió
il·legítima en la intimitat
§
Lesió del dret
fonamental a la protecció de dades
Tipus:
Dues i es poden acumular
Administrativa
§
Règim especial
establert a l’art. 46 LOPD
·
Òrgan competent
per sancionar: la direcció de l’Agència Catalana de Protecció de Dades
(art. 16 – 18 Llei 5/2002, de 19 d’abril, de l’Agència Catalana de
Protecció de Dades)
·
Objectiva. Se’n
té pel sol fet de tractar dades de caràcter personal, no cal demostrar
conducta negligent ni dol, però sí causalitat. Excepcions: culpa de la
víctima o força major.
§
Agent del dany:
responsable del tractament.
§
Fitxers de
titularitat pública: exigència de responsabilitat d’acord amb el règim de
responsabilitat establert a la Llei 30/1992, de 26 de novembre, de règim
jurídic de les Administracions públiques i del procediment administratiu
comú (art. 130, 145 i 146).
Penal:
§
Tipificació a
l’art. 197.4 CP: delicte de subjecte especial de descobriment i revelació
de secrets.
§
Cal acreditar
conducta negligent o dol
§
És personal i
intransferible (recau sobre la persona o persones responsables de l’acte
tipificat com a delicte al Codi Penal)
§
Pel que fa a la
responsabilitat civil derivada del delicte, l’assumeix l’Administració que
pot després actuar d’ofici contra la persona al seu servei.
2
FOUCAULT, M. (1975) Surveiller et punir. París: Ed. Gallimard.
3
Més de 6000 fitxers de centres públics de primària i secundària hi
constaven declarats el 2004. Dades extretes de la Guía de
protección de datos personales para Centros Educativos Públicos
(2005), p. 23.
4
“L’aplicació de la Llei Orgánica 15/1999 a la universitat aspectes
pràctics (I)”
6
Dades extretes de la Guía de protección de datos
personales para Centros Educativos Públicos (2005) de l’APDCM,
Págs.. 28-31, nota 36)
|