La GDPR y la privacidad de los datos, la bestia de siete cabezas de la comunidad educativa

Ya han pasado algunos días desde que se aplicó la nueva regulación de protección de datos europea (GDPR) que modifica y refuerza a la ley española (LOPD). Sin embargo seguimos sin constancia por parte de la Agencia al SAR pese a que en el Pliego se específica que el adjudicatario del CGA/SIAD/SAR/ASAR/loquesea “quedará obligado al cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de Regulación del Tratamiento de Datos de Carácter Personal y/o de aquella que esté vigente durante la ejecución del contrato“.  

Esto, al igual que la mayoría de las condiciones así requeridas a la empresa adjudicataria (ISOTROL) del servicio de apoyo tecnológico y asistencia en materia de uso de infraestructura TIC y dispositivos tecnológicos de dotación informática de la Consejería de Educación en el Pliego de Prescripciones Técnicas que la Agencia emitió aquel fatídico marzo de 2017, difiere bastante de la realidad y en el CGA no se están tomando las medidas a cabo mencionadas en el Pliego. Igualmente el CGA no ha emitido a la comunidad educativa ningún comunicado sobre la actualización del tratamiento de la gran volumetría de datos que disponen.

gdpr

¿Qué es la GDPR?

La nueva ley de protección de datos (General Data Protection Regulation) es una regulación que entró en vigor el pasado 25 de mayo de 2018, el cual entre otras indica que las empresas no pueden usar los datos personales de ningún ciudadano europeo sin su consentimiento personal, teniendo que tenernos informados de los datos que están utilizando y la persona responsable de los mismos.

Dicha normativa afecta a todas las empresas y organismos públicos, independientemente del país de origen o de su actividad, por lo que están obligadas a cumplir la nueva ley si recogen, guardan o gestionan algún dato de un ciudadano de la Unión Europea.

La GDPR como ciudadanos europeos nos proporciona una serie de derechos frente a la trata de nuestros datos, como el derecho al olvido y la portabilidad.

Por lo tanto, podremos solicitar la cancelación del uso de nuestros datos, consultar si estos se están tratando y con qué propósito y solicitar una copia de aquella información personal sin que se nos cobre por ello.

Para que una empresa pueda usar dichos datos tendremos que dar nuestro beneplácito expreso, proporcionando una solicitud de consentimiento redactada con un lenguaje claro e inequívoco, abstrayendo a la persona a la que se le está recibiendo la solicitud de asuntos legales y términos que puedan hacer que la solicitud de permiso de la trata de los datos sea pesada o ininteligible.

¿Qué se consideran datos personales?

Se le considera así a cualquier información que pueda relacionarse con una persona física permitiendo identificarla directa o indirectamente, pudiendo incluirse desde un nombre, una foto, una publicación en un portal web, una IP o información de evaluación docente.

Si una empresa ya tiene mi “consentimiento adquirido” en el pasado, ¿tiene permiso para seguir usando mis datos?

En absoluto, uno de los principios de la GDPR es que si no se comunica lo contrario, no les hemos concedido permiso para usar nuestros datos.

Por lo que no podrán usar nuestros datos si no nos piden nuestra autorización y, en caso de no tenerla, deberán borrar toda información nuestra que tengan.

¿Qué pasará con mis datos si la empresa que los trata ha sufrido una vulneración de los mismos?

En caso de que exista una violación de datos, la empresa está obligada de informar en un plazo máximo de 72 horas del incidente que ha sucedido a las autoridades pertinentes (la Agencia de Protección de Datos en España) y a todos los usuarios que hayan visto comprometidos sus datos.

¿Qué cambio supone la GDPR en las empresas?

Las empresas deben tener un responsable si procesan datos personales especialmente sensibles, como datos de salud, genéticos o de ideologías.

El incumplimiento de la nueva ley de protección de datos conlleva unas sanciones que pueden alcanzar el 4% de la facturación anual de la empresa o 20 millones de euros.

gdprbanner-b7b07db287427372935d7618d8e25db0

¿Cómo me afecta a mí como usuario de la comunidad docente este reglamento?

Los usuarios de los centros educativos disponen de servicios a su disposición como las plataformas educativas Moodle o Helvia en los cuales se almacenan una gran cantidad de ficheros y evaluaciones de los alumnos, teniendo el CGA (Isotrol) total acceso a los datos de los profesores y alumnos que hayan almacenado cualquier información en los servidores de los centros educativos y, como ya comentamos previamente en la publicación, cualquier dato que pueda vincularse directa o indirectamente con una persona física es considerado un dato personal. Así, el CGA tiene ‘super acceso’ sobre los datos de miles y miles de usuarios sin ningún tipo de autorización solicitada para el tratado de los mismos.

Otro de los puntos donde los usuarios de los centros educativos se verían afectados es en el almacenamiento TicBox -próximamente el servicio cloud en la nube, TicBoxCloud– de cada usuario (usuarios LDAP generados en Gesuser3), donde se encuentran los datos personales que guarda cada usuario y ficheros de configuración, todo ellos sin cifrar, provocando que toda persona que tenga acceso root a dicho servidor (lo cual no es difícil, debido a que cualquier persona conectada a un centro educativo dentro de RCJA tiene acceso a todos los servidores TIC sin mucha complicación) tenga acceso sobre nuestros datos personales almacenados en los servidores del centro.

En resumen.

Una vez aplicada la nueva legislación de la GDPR y tras haber visto como todas las empresas nos han mandado correos a nuestro email pidiendo confirmación para tratar y conservar nuestros datos, observamos que el ente encargado de conservar los datos de los usuarios de más de tres mil centros educativos no toma ningún cambio en las políticas de uso de datos de los mismos.

Tampoco tenemos constancia de que se vaya a proteger los datos personales de los usuarios de amenazas externas o, incluso de los mismos técnicos del CGA, los cuales no deberían tener total acceso transparente a los datos para hacer lo que quieran con ellos sin tener ninguna traba que lo impida.

Sabiendo todo esto podríamos prever una futura sanción por la trata irregularizada de datos en caso de que no cambie todo lo mencionado, pudiendo llegar a multas de 20.000.000€ y, sabiendo que dicha adaptación del tratado de datos supone un gran esfuerzo personal y una planificación a corto-medio plazo, es sabido que van tarde debido a que ya se puso en marcha la nueva ley el pasado 25 de mayo y el CGA no dispone de los medios técnicos, humanos y políticos a su alcance.

2 comentarios en “La GDPR y la privacidad de los datos, la bestia de siete cabezas de la comunidad educativa

  1. La agencia no sabe en el jardín que se está metiendo. El palo que le puede caer no es fino y no dejan de metersela doblada al iluminado que se cree que entiende algo. Pobre. Se cree que con su carné socialista puede llegar a algo más.

    Un profesor de inglés metido a “informático”. Design Area Manager se dice llamar. ¿Cómo no nos va a ir como el culo?

    A veces creo que el pobre hombre vive en su burbuja ajeno a cualquier realidad inminente.

    Le gusta a 1 persona

  2. Pues no te digo na de los agujeros de seguridad que tienen que tener en los servidores. Siguen usando debían squeeze que salio en el año 2011. Y en sus máquinas centrales, que te conectas en un cole con llevalafregona y entras hasta la cocina.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .