GDPR: Consideraciones para las escuelas
El Reglamento General de Protección de Datos (o RGPD) es un cambio en la legislación sobre cómo usamos y almacenamos los datos personales y que entró en vigor el 25 de mayo de 2018 . Todas las organizaciones deben cumplir con las nuevas reglas. Entonces, ¿qué significa esto para las escuelas?
¿Qué son los datos personales?
Los datos personales se refieren a información que puede, directa o indirectamente, identificar a una persona real. Esto incluye información como: un nombre, una dirección de correo electrónico, publicaciones en sitios de redes sociales, información médica, datos bancarios, una foto o incluso una dirección IP.Las escuelas también pueden tener información adicional sobre el origen étnico, la religión o el historial médico de un niño. Hay reglas que deberán abordar cómo se maneja esta información.
¿Por qué el cambio?
El Reglamento General de Protección de Datos (RGPD) garantiza que las organizaciones y las empresas sean más responsables y transparentes en la recopilación, el uso y la protección de los datos personales.
La nueva legislación reemplaza la Directiva de Protección de Datos 95/46/EC y será una regulación más estricta y actualizada. La UE reconoce que la recopilación de datos personales es un gran negocio y tiene como objetivo garantizar que se implementen prácticas responsables y éticas, junto con procedimientos de protección. Proporcionará a los ciudadanos de la UE una mayor protección de datos y privacidad.
Las organizaciones y las empresas ahora tendrán que ser más responsables y responder las siguientes preguntas en relación con los datos personales:
- ¿Por qué lo sostienes?
- ¿Cómo lo obtuviste?
- ¿Por qué se reunió originalmente?
- ¿Cuánto tiempo lo conservará?
- ¿Qué tan seguro es, tanto en términos de encriptación como de accesibilidad?
- ¿Alguna vez lo comparte con terceros y sobre qué base podría hacerlo?
Derechos del individuo
Bajo GDPR, las personas tendrán más control sobre quién tiene su información, para qué se usa, con quién se comparte y cómo se procesa. Ahora tendrán los siguientes derechos:
- El derecho a ser informado
- El derecho de acceso
- El derecho a la rectificación
- El derecho al olvido
- El derecho a restringir el procesamiento
- El derecho a la portabilidad de los datos
- El derecho a la indemnización y la responsabilidad
A medida que las escuelas recopilan información sobre los niños, Datos personales confidenciales para más detalles.
Recolectando datos
La información personal debe ser procesada de manera justa y legal. Como escuela, si recopila datos personales, debe poder explicar:
- ¿Por qué lo estás coleccionando?
- Cómo lo procesará
- Con quién lo compartirá y quién tiene acceso a él
- Cuanto tiempo piensas conservarlo
Hay seis bases legales bajo las cuales una escuela puede procesar datos personales. La recopilación de datos debe caer bajo una de estas seis bases o no cumple con GDPR y no debe procesarse. Las bases son las siguientes:
- Consentimiento del interesado
- El procesamiento es necesario para la ejecución de un contrato con el interesado o para tomar medidas para celebrar un contrato
- El tratamiento es necesario para el cumplimiento de una obligación legal
- El procesamiento es necesario para proteger los intereses vitales de un interesado o de otra persona
- El procesamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferida al controlador
- Necesario a los fines de los intereses legítimos perseguidos por el controlador o un tercero, excepto cuando dichos intereses sean anulados por los intereses, derechos o libertades del interesado.
Lo que debe recordar aquí es que es posible que necesite información sobre un estudiante, como el nombre y la dirección. Esto sería necesario para el desempeño de una tarea llevada a cabo en el interés público o en el ejercicio de la autoridad oficial conferida al controlador. Sin embargo, no puede usar esa información de una manera diferente, como compartirla con un tercero, sin obtener primero el permiso del interesado.
Del mismo modo con la toma fotografías de estudiantes . No solo requerirás ¿Qué se considera una buena práctica cuando las escuelas/ETB toman fotos de sus estudiantes? .
¿Qué hacer?
Las escuelas primero deben realizar una auditoría de la información que tienen, decidir si la necesitan o no, por qué se recopiló en primer lugar y por cuánto tiempo pretenden conservarla. Descargar el Lista de verificación de cumplimiento .
Luego, desarrolle una política interna de protección de datos que especifique qué datos personales tiene la escuela/ETB. Este documento debe ser revisado y actualizado periódicamente. También debe referirse a los ocho Regla 1: Obtenga y procese la información de manera justa
¿Qué es una violación de datos?
Una violación de datos ocurre cuando los datos personales, ya sea sin darse cuenta o no, se comparten o divulgan a otros, se modifican de alguna manera, se eliminan o se pierden. Si los datos se ven comprometidos, se debe notificar al ICO dentro de las 72 horas. Si el incumplimiento afecta negativamente a los derechos de algún interesado, también deberá ser notificado.
Para las escuelas, esto significa que los líderes y el personal de la escuela deben contar con procedimientos para hacer frente a tales ocasiones.
Conclusión
La nueva regulación puede parecer desalentadora, pero proporcionará una mejor protección para sus estudiantes y personal. Si bien hay muchas cosas que considerar, el mejor consejo sería comenzar el proceso lo antes posible. Hay una serie de enlaces útiles para ayudarle a empezar a continuación.
Enlaces útiles
Preparación para GDPR: http://dataprotectionschools.ie/Document-Library/GDPR-12-Steps.pdf
