La apariencia de cumplimiento

Publicado el 4 de Diciembre de 2011 por Luis. 6 comentarios
Miniatura noticia

Tengo dos hijas pequeñas (en adelante, las princesas) que van a un Colegio Público.

 

El curso pasado, tuve la suerte de trabajar para los Equipos de Orientación Psicopedagógica dela Juntade Castilla y León adscritos ala Dirección Provincialde Zamora. Son profesores que tratan de ayudar a alumnos con situaciones especiales, tanto “por abajo”, como “por arriba”. Y en su trabajo, como el lector podrá suponer, tratan y acceden a datos “sensibles” tanto de esos alumnos (MENORES) como de su entorno social, familiar, etc.… Ángeles de la guarda.

 

Tengo la costumbre, creo que buena, de antes de intervenir ante una audiencia tan específica, documentarme todo lo posible sobre los problemas a que se enfrentan los asistentes, sobre la normativa específica que aplica en el sector, sobre el grado de cumplimiento de sus empresas u organizaciones y demás aspectos relacionados con todo lo que pueda aportar algo útil a “mi público”… Las dos sesiones que impartí, además me permitieron confirmar “sobre el terreno” –de la propia voz de la audiencia- todo lo que ya me temía al documentarme en la preparación: NADIE les había hablado nunca de estos temas relacionados con la privacidad, ni con la protección de datos, ni les habían hablado de procedimientos seguros para realizar los tratamientos de datos –cuando menos, sensibles- que en el ejercicio de su profesión realizan a diario. Por no saber, los pobrecillos, ni siquiera sabían que el artículo 199 del código penal impone el deber de secreto en el ámbito profesional, aunque no hayan firmado compromiso de confidencialidad alguno, ni en sus contratos exista cláusula alguna que lo mencione… Y ya se sabe aquello de que “el desconocimiento de la norma…”

 

Me quedé francamente sorprendido y asustado (por aquello que menciono en la primera frase de mi entrada), aunque realmente cuando lo pienso con calma, no entiendo porqué no me había asustado antes. Seguramente, porque estoy tan “emberzado en mis otras cosas”, en esas otras cosas que a menudo y equivocadamente contemplo como más importantes, que simplemente no había caído en ello… La verdad es que nunca había apreciado síntoma alguno de cumplimiento en mi relación con el colegio de las princesas… En la vida me han informado del uso de los datos de mis hijas para finalidad alguna, ni me han solicitado consentimiento para ningún uso que así lo precisara, a pesar de que me suena haber leído en alguna parte aquello de que “la información y consentimiento son la piedra angular del derecho a la protección de datos”  -;)-… Por tanto, si ni esto, que parece básico, se tiene en cuenta… ¿por qué debía pensar que se estuviera cumpliendo con otras obligaciones “menos visibles”?

 

Este curso he de decir que me han sorprendido gratamente: la “seño” de informática de la princesa menor, me ha enviado a través de la susodicha, una solicitud de consentimiento para la publicación en la web del colegio, y/o en medios escritos de comunicación de imágenes que aparezca mi hija en actividades formativas… (entre otros compañeros, porque la princesa menor es muy guapa, pero también es muy tímida y no le gusta figurar).

 

Tuve la oportunidad de charlar un ratillo con la “seño” y, además de ofrecerle mi colaboración desinteresada para tratar de organizar alguna actividad “evangelizadora” para los ciberpeques el próximo 28 de enero –que para los residentes en Dataland que no hayan preparado aún el examen de ciudadanía, les diré que viene a ser “San Dato”- aproveché para preguntarle si había sido duro el proceso de adaptación al cumplimiento legal (por fin)… ¡Qué triste! (conste que me lo imaginaba): apenas hemos avanzado… siguen sin existir procedimientos de archivo, custodia, expurgo ni destrucción segura de todos aquellos “datos sensibles” que los padres –o madres o tutores- aportamos casi de forma continua (justificantes e informes médicos, sentencias de divorcio o separación –no es mi caso, gracias al cielo y sobre todo a la reina, que no saben lo que me aguanta- y demás… ni tampoco de los “menos sensibles” (identificativos, imagen, domicilio, teléfono…) de MENORES, nuestros menores. Los profesores de las princesas y resto de compañeros, con mejor o peor suerte, siguen teletrabajando en ordenadores propios, sin “securización” alguna, en los que siguen tratando datos de nuestros menores que transportan en “diminutas y fácilmente extraviables” memorias sin cifrado alguno, por supuesto, y que se envían entre ellos adjuntos a correos que acaban en @hotmail.com, @gmail.com y similares… Y, aunque a estas alturas ya lo habrán concluido Ustedes solitos, en la vida les han hablado de protocolos seguros ni de herramientas de cifrado… y por supuesto nada conocen acerca de lo que es un dato “legítimamente” tratado, ni del principio de calidad de los datos, ni de “otras piedras angulares”.

 

Y esto, alejándome del ámbito educativo, es lo que veo a diario en mi despacho: muchas empresas “cumplen” con lo que se ve… Copian y pegan algunas cláusulas informativas en sus documentos más visibles (facturas y pies de correos electrónicos, fundamentalmente), notifican sus ficheros al RGPD –aunque no acaben de tener muy claro que es eso de fichero- y ya está todo hecho… ¿a que sí? Es fácil y barato.

 

Que no decaiga el ánimo, que vamos progresando, y además, como suelo decir, las Administraciones Públicas siempre a la cabeza y dando ejemplo: este año ya piden consentimiento expreso y escrito para hacer lo mismo que el año pasado hacían, seguramente, sin ni siquiera saber que precisaban tal consentimiento…

 

Muy buenos días.

 

Imagen © Ikhlasul Arnal

6 comentarios

  1. fjavier_sempere dice:

    Muy buen post, como siempre. Permíteme unas palabras, ya que tocas varios temas, y creo que hay que diferenciarlos.

    – Sobre el tratamiento de datos personales en los colegios:

    El volumen es bestial, y se encuentran bastante “desamparados”. Al igual que tú, el año pasado estuve en una CCAA dando una sesión de unas 12 horas a inspectores de educación, q tampoco conocían la norma, y me “bombardearon” a preguntas. No tenían nada hecho, salvo si no recuerdo mal el registro de algún fichero.
    Y es unos de los ámbitos donde más problemas pueden ocasionarse, sobre todo cuando nos encontramos con la situación de los padres separados (incluso a veces, aunque uno de ellos sea el que tenga la patria potestad y no esté compartida, el otro se pasea por el colegio y obtiene información usando los tablones).

    – El caso de los equipos de orientación: como bien sabes, etiene algunas peculiaridades. Sobre ello, aprovecho la oportunidad que me dás para darme un poco de autobombo 🙂

    Quién tenga interés en este tema, hay unas breves palabras en este enlace:
    http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142571140559&esArticulo=true&idRevistaElegida=1142567361821&language=es&pag=1&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales

    – Lo de las webs: se está poniendo de moda en los colegios la subida de fotos de manera indiscriminada a sus respectivas webs. En otras ocasiones, son los propios profesores los que suben imagenes, vídeos…etc…

    -Lo del 28 de enero: la charla sería sobre los alumnos ¿De qué edad? La mayoría de charlas de este tipo se han dirigido a alumnos de 13-14 años, teniendo en cuenta la restricción de la edad de las redes sociales, pero…por debajo de esa edad también están en dichas redes. ¿No habría que ir más abajo? ¿No se está obviando la realidad aunque realmente no deberían estar?

    – Sobre la obligación del deber de secreto, no tienes que irte tan lejos al código penal, está implícita en la relación funcionarial. Pero, ¿hasta que punto un docente o un médico tiene que saber de protección de datos? Digo yo que básicamente unas meras pautas, sobretodo como bien dices con el deber de secreto. De ahí que sea fundamental la figura del DPO o algún tipo de asistencia. En los colegios suelen tener algún informático -no en todos- o profesor de tecnologías, pero de protección de datos no suelen saber nada.

    – Por último, lo que mencionas de registrar y copiar y quedarse ahí, el llamado “cumplo y miento”, creo que hay un problema y es que la lopd se ha volcado demasiado en el cumplimiento formal, y realmente en como se traten los datos. Y no me refiero exclusivamente a la implanción de las medidas de seguridad, sino lo que citas de pendrives y envíos por correos electrónicos.

    Fin del “ladrillazo”. 🙂

    • Luis dice:

      Totalmente de acuerdo contigo, Javier, lo cual me preocupa porque al final acabaré siendo confederado cuando siempre me he considerado “muy indio” 😉

      En serio, en el tema de Administraciones, soy totalmente consciente de lo que dices, de la falta de medios, “de disponibilid presupuestaria”… pero no es menos cierto que éste de la educación es un sector en el que se manejan datos muy, pero que muy sensibles, amén de constituir una palanca fundamental en la educación de los futuros cumplidores/incumplidores de la normativa (en definitiva, de constituir un elemento básico en la configuración de los valores de nuestros menores) y por ello, creo que debería prestarse más atención… Por supuesto que los profesores y educadores no deben convertirse en expertos en privacidad, pero si que considero más que necesario un mínimo de formación y concienciación, aunque debo decir que en mi experiencia del curso pasado, la concienciación no es lo que más falta… al menos entre los Equipos de Orientación…

      El enlace que ofreces en tu “autobombo”, creo que sabes, fue usado en mis labores de documentación 😉

      En relación a las edades, yo trabajo con “estas cosillas” con mis hijas que no tienen perfil en redes… Evidentemente no les doy más que lo que creo que pueden “digerir”, pero de vez en cuando me llevo alguna alegría, sobre todo con la princesa mayor, que ya tiene alguna compañera con perfil en alguna red… Seguramente esté equivocado, pero creo que la información sobre los riesgos debe ser ofrecida paralelamente al conocimiento de las virtudes…

      Y por último, sobre el tema del cumplimiento formal… ¡pues claro que es importante! (“lo que no se documenta, no se ha hecho”) y más teniendo en cuenta que estamos ante un derecho administrativo en el que podemos tener que probar lo que hemos hecho o dejado de hacer para defendernos de posibles denuncias, pero sin un profundo y total cumplimiento material, en mi opinión, flaco favor estaremos haciendo al derecho fundamental que constituye la protección de datos de carácter personal.

      Enormes gracias por tu comentario, Javier.

  2. EFOJONC dice:

    Estoy totalmente de acuerdo con lo que comentas. Es cierto que muchas empresas, pero muchas, se ´quedan´en la parte procedimental de la LOPD. El papel, aparentemente, lo soporta todo. Pero, ¿cuántas, realmente, han implementado las medidas que se definen en la LOPD y su reglamento? Sigo sin creerme que el 20% de las empresas españolas cumplan con la LOPD….

    Cambiando de tema, desde hace un año llevo preguntando a la AGPD sobre la legalidad de las webcam que las guarderias tienen accesibles para los padres en sus sitios web.¿Qué ocurriría si uno ó mas padres no dan su consentimiento.

    Muchas Gracias

    • Luis dice:

      Enrique, gracias por “dejarte caer” por aquí… un placer que mis amigos vengan por mi casa 😉

      En relación con la preguntas que formulas sobre las “ciberguarderías”, te daré mi opinión: En materia de videovigilancia hay que cumplir con la normativa en protección de datos, puesto que la imagen es uin dato personal, obviamente. No se precisa consentimiento, pero si pesiste el deber de información, por tanto, en principio, si la finalidad con que se usan es legítima y los datos tratados, no excesivos, (y en mi opinión, el caso que planteas lo podría ser) tendría cabida legal el uso de estas web cams de vigilancia infantil…

      En relación al deber de información, obviamente, deberá cumplirse hacia los padres o tutores legales del menor en el momento en que acuden a la guardería… es decir, además del resto de obligaciones que impone la normativa (y entre ella no olvidemos la instrucción 1/1996 de la Agencia sobre VideoVigilancia en todo aquello que no contradiga la Ley 15/1999) en relación a implantación de medidas de seguridad (autenticación y registro de quien accede a esas imagenes, como se conservan, copias de seguridad, bloqueo y cancelación, seguridad en la transmisión por red…), a mi entender, en ese momento en que contratan la “guardia y custodia de sus criaturas”, los progenitores deberán ser informados de “todas las reglas del juego”, incluida la posibilidad de que sus hijos sean visionados por otros progenitores que acceden a ver a los suyos… Y en ese momento en que los padres conocen las reglas, podrán optar por contratar la custodia o elegir otra guardería que no use este sistema… Si optan por contratar con esta guardería, en mi opinión están dando un consentimiento tácito para este tratamiento de la imagen de sus hijos (igual que tú cuando ves un cartel de zona videovigilada en la puerta de un establecimiento y decides entrar en él), y no podrán ejercer derecho de oposición (habría que anonimizar las imágenes de forma parcial, y ésto o supondría unos costes elevados de tratamiento de esas imágenes, o aunque se me ocurren otros métodos de anonimización -como el tener al pobre crío todo el día con una careta (es broma, obviamente)- quizá resultara inviable… Por tanto, creo que si no están de acuerdo, la única vía de que dispondrían para que las imágenes de sus hijos no fueran recogidas en esos circuitos, sería el optar por irse “a otro campo de juego” (al fin y al cabo, vendrían a ser cláusulas de adhesión que se marcan por el prestador del servicio y si el comprador no las quiere debe renunciar por completo a dicho servicio… take it or leave it… ¿te suena? 😉

      Por supuesto, como ya he dicho, es mi opinión.

  3. Luis, ya que hablas de colegios, voy a aprovechar para ir un poco más allá de tu comentario.
    Mencionas el importante grade de incumplimiento que hay en los colegios públicos. Pero salgámonos de los públicos.
    No hay actividad alguna que exiga mayores esfuerzos y entrañe más dificultades para adecuarse a la normativa sobre protección de datos que la de la educación. La variedad y cantidad de datos que se tratan, los distintos orígenes de los datos, los múltiples destinatarios (públicos y privados), la existencia de ficheros y tratamientos de nivel medio y alto, el hecho de tratar datos de menores y un sinfín de problemas más.
    Los colegios públicos incumplen, pero los colegios concertados hacen unos esfuerzos tremendos por intentar cumplir con la normativa, sin ninguna ayuda por parte de la administración, que lo único que hace es requerirles datos una y otra vez sin preocuparse de si hay habilitación legal para ello, o de si ya los tiene en su poder. Si cualquier sector hiciera el mismo esfuerzo que se hace en los colegios concertados por cumplir con la LOPD, no habría prácticamente incumplimientos.
    En fin, que creo que los colegios son un ejemplo y yo les haría un monumento. Ya podría hacerles el monumento la administración.

    Un saludo.

    • Luis dice:

      Estar de acuerdo contigo, lo mismo que con Javier Sempere, me empieza a preocupar, jajajaja… No, en serio, David: estoy totalmente de acuerdo con lo que dices en tu comentario… y ello nos lleva a lo de siempre: las dos varas de medir (cuidado que me repatean), una para las empresas (colegios concertados, en este caso) y otra para las administraciones (colegios públicos)…

      Aunque no me parece forma de realizar un estudio de cumplimiento en base a encuestas a los responsables, y ya hablamos mucho el otoño pasado al respecto, el estudio de cumplimiento en hospitales lo pone de manifiesto: el nivel de cumplimiento es mayor en la empresa privada que en las administraciones… ¿la cultura del palo funciona?, pues en mi opinión sería mucho más deseable la de la formación y la concienciación, pero lo cierto es que cualquiera no se protege de los palos que dan (aunque muchas de estas acciones “autoprotectoras, desemboquen como digo en la entrada, en un mero cumplimiento formal)…. En este caso como en el de los hospitales, todavía es más indignante, si cabe, ya que además de lo especial de los datos que se manejan, es que en ese panorama que pinto de las dos varas de medir, nos encontraremos con un nivel de exigencia distinto para los dos ámbitos por una misma administración: me da la sensación de que en el caso que nos ocupa, la Consejería de Educación de la Junta de Castilla y León, cuando desarrolla los pliegos para los conciertos con privados, exigirá un nivel de cumplimiento normativo, que luego deja de lado o al menos no atiende en la misma medida a la hora de cumplir en los centros públicos que gestiona directamente. En fin… Muchas gracias por tu comentario.

      Muy buenos días.

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad