Com seleccionar un delegat de protecció de dades en un centre educatiu?
Des de la publicació de la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD), el desembre de 2018, la necessitat que els centres educatius nomenin un Delegat de Protecció de Dades ( DPD) és una obligació legal.
Els reptes de la posició de l’DPD (DPO, en anglès), que després analitzarem, han augmentat de manera considerable, amb la crisi de la Covid-19 que ha llançat a moltes Escoles, Universitats i Instituts a explorar múltiples eines tecnològiques per seguir amb la seva activitat “normal” amb els/les alumnes a casa: plataformes de videoconferències, aplicacions o extensions per passar llista, exàmens a distància mitjançant reconeixement facial o publicació de treballs dels alumnes en línia, etc …
Respostes dels DPD enfront de les noves solucions tecnològiques
Com dic, això ha fet que els DPD dels Centres Educatius haguessin actuat de manera ràpida davant les necessitats creixents del Centre i davant la demanda de respostes per part seva.
Davant qualsevol nova tecnologia cal fer una avaluació a fons de les seves polítiques de privacitat i seguretat:
- Quines dades recullen?
- Per quina finalitat?
- On les allotgen?
- Subcontracten algun dels seus serveis?
Als reptes ja habituals de l’ús d’una nova tecnologia, s’afegeix en el sector educatiu que les dades tractades són habitualment de menors, per la qual cosa el repte és doble.
El paper del delegat de protecció de dades en el sector educatiu
Tot això em porta a escriure unes línies sobre la posició o rol de l’DPD en un sector tan especial com l’educatiu.
Com deia, a més de ser una obligació legal, el mateix sector té unes característiques especials: tractament de dades de menors, a vegades categories especials de dades, un alt ús de tecnologies de la informació, progressiva ampliació del tipus de contractistes de Centre amb accés a dades, serveis en el núvol, etc ….
Per tot això en la recerca de l’DPD, especialment si aquest o aquesta és externa, els Centres s’haurien de fer quatre preguntes clau davant la gran oferta disponible:
Disposa el DPD d’algun tipus de certificació?
Actualment existeixen múltiples certificacions per acreditar coneixements en matèria de privacitat i protecció de dades.
En la meva opinió no tenen per què significar res a priori amb relació a qui les presenti, però sí que pot ser una pista inicial de coneixements, que hauran de ser confirmats a posteriori.
Té experiència acreditable en el sector educatiu?
És un sector molt especial i un Delegat de Protecció de Dades sense experiència pot ser un problema fins que es “formi”, igual que ho seria un DPD només amb experiència en el sector educatiu, per a altres sectors.
És realment independent el delegat de protecció de dades?
L’autonomia del delegat de protecció de dades en un centre educatiu és una altra obligació legal, ja que en les seves funcions no ha de caure en possibles conflictes d’interessos.
Sovint el servei de DPD és ofert, directament o indirectament, per altres proveïdors de Col·legi, Universitat o Institut, que al seu torn ofereixen productes o serveis que impliquen un gran tractament de dades.
En aquests casos la independència d’aquesta figura és com menys discutible, ja que difícilment posaran de manifest mancances d’aquests altres serveis o productes contractats pel Centre.
Compromisos del DPD en un centre educatiu
El dia a dia d’un centre és dinàmic i canviant. Un Delegat de Protecció de Dades, especialment quan és extern, ha de tenir la capacitat organitzativa per estar present en aquest dia a dia i que no hagi de ser el Centre qui “recordi” que té un DPD.
Un correcte desenvolupament de la funció de DPD, implica establir una estructura formal, en la qual el DPD prengui part per ser coneixedor de qualsevol acció de centre que impliqui tractament de dades, així com implementar un sistema d’informe a l’equip directiu perquè aquest, coneixent l’opinió el DPD, sigui qui prengui les decisions.
L’ús de les tecnologies ha de ser, sens dubte, una eina per a prestar aquest servei, però el DPD ha de tenir “presència” al Centre Educatiu i no limitar-se a donar instruccions generals i despersonalitzades.
Externalització del delegat de protecció de dades
Moltes Universitats, Instituts o Escoles opten per externalitzar la figura del DPD, en qualsevol cas la decisió de contractar un Delegat de Protecció de Dades en un Centre Educatiu és fonamental en el sector, i no només per ser una obligació legal.
La correcta funció d’aquesta figura i la seva participació activa en les decisions de Centre, ha de llançar un “missatge” a la comunitat educativa que no és altre que la privacitat és un valor d’aquest Centre, com ho ha de ser de qualsevol societat democràtica.
Espero que la resposta a aquestes quatre preguntes clau, pugui servir per prendre una correcta decisió.
Podeu obtenir més informació sobre el nostre servei de Delegat de Protecció de Dades en Centres Educatius i recordeu que si teniu qualsevol dubte estem a la vostra disposició per a resoldre-les i ajudar-vos a implementar correctament aquesta figura en el vostre Institut, Escola o Universitat. Ens podeu contactar aquí!
Aquesta obra està sota una llicència de Reconeixement-No comercial-Sense obres derivades 4.0 Internacional de Creative Commons.