¿Cuál es el uso de los datos en los centros formativos?

¿Cuál es el uso de los datos en los centros formativos?

En este post te contaremos sobre el tratatamiento de los datos que implica la prestación del servicio se rija por un contrato que deberá incluir las garantías adecuadas:

La obligación del encargado del tratamiento de tratar los datos únicamente conforme a las instrucciones del centro que ostente en cada caso la condición de responsable del tratamiento.

  • Que los datos no se utilizarán para finalidades distintas de las previstas en el contrato, ni se comunicarán a otras personas, ni siquiera para su conservación.
  • Las medidas de seguridad a implantar por el encargado del tratamiento.
  • La devolución de los datos al centro que sea responsable o al encargado del tratamiento que ésta designe o, en su defecto, su destrucción una vez finalizado el contrato.

No se consideran encargados del tratamiento a las personas físicas que tengan acceso a los datos personales en su condición de empleados del centro.

El RGPD establece un deber de diligencia en la elección de encargados del tratamiento y un contenido más detallado del contrato. La Agencia Española, la Agencia Vasca y la Autoridad Catalana de Protección de Datos han publicado unas Directrices para la elaboración de estos contratos entre responsable y encargado del tratamiento.

¿Qué se entiende por comunicación de datos?

La comunicación de datos supone su revelación a una persona distinta de su titular.

Los destinatarios de los datos serán las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos a los que se les comuniquen. Los titulares de los datos no realizan nunca una “comunicación”, aunque se hayan obtenido de ellos mismos.

Sin embargo, no se consideran comunicaciones de datos su transmisión a empresas que tengan la condición de encargados de tratamiento, conforme a lo que se indica en el apartado anterior.

Cuando se transfieren los datos de los alumnos de un centro a otro con motivo de un cambio de matrícula o se comunican a Servicios Sociales o Sanitarios, Jueces, Tribunales, Cuerpos y Fuerzas de Seguridad se produce una comunicación de datos.

En cambio, no son comunicaciones de datos su transmisión a las empresas para que, en nombre y previo contrato con el centro, presten servicios al mismo.

¿Cuándo se produce una transferencia internacional de datos?

Siempre que los datos personales se envían fuera del ámbito de Espacio Económico Europeo (EEE), que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos, ya se realice para que el destinatario de los datos preste un servicio al centro o para que los trate para una finalidad propia.

Se realizan transferencias internacionales de datos cuando se contratan servicios de cloud computing en los que, por ejemplo, el alojamiento de datos se realiza en servidores fuera del EEE, o cuando se comunican a centros educativos establecidos en países fuera de este ámbito para realizar intercambios de alumnos o periodos de formación.

No son transferencias internacionales de datos las que se realicen con destino a Estados de la Unión Europea o del EEE, aunque dichas transmisiones deberán cumplir los requisitos establecidos por la Ley para la validez de las comunicaciones de datos o la contratación de un encargado.

Medidas de seguridad

Los centros de formación, como responsables de los tratamientos de datos personales que realizan, deben adoptar una serie de medidas de seguridad, de carácter técnico y organizativo, que garanticen la seguridad de los citados datos, es decir, su integridad y confidencialidad y la protección frente al tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

El RGPD, no establece un catálogo de medidas de seguridad a aplicar, sino que parte de las siguientes premisas:

En primer lugar, relacionado con el principio de responsabilidad activa, los responsables deben realizar una valoración del riesgo de los tratamientos que realicen, a fin de establecer qué medidas se deben aplicar y cómo hacerlo.

En segundo lugar, y en función de los riesgos detectados en el análisis realizado anteriormente citado, los responsables y encargados deben adoptar las medidas de seguridad, teniendo en cuenta:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, alcance, contexto y fines del tratamiento
  • Los riesgos para los derechos y libertades

Asimismo, el RGPD prevé que cada responsable deberá mantener documentación relativa a las actividades de tratamiento efectuadas bajo su responsabilidad que incluya, cuando sea posible, una descripción general de las medidas de seguridad adoptadas teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Los centros, como responsables del tratamiento, tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos en el ejercicio de las funciones que tenga asignadas.

Fuente: https://www.aepd.es/sites/default/files/2019-10/GuiaCentrosEducativos.pdf

 

Leave a reply

Tu dirección de correo electrónico no será publicada.