1.5. Protección de Datos Personales, Privacidad, Seguridad y Bienestar Digital

Introducción

La última competencia del Área 1. Compromiso profesional del Marco Digital Docente. está orientada al desarrollo del compromiso docente con este objetivo y se ejercita a través de cuatro ejes:

  1. la protección de datos personales, de la privacidad y de los derechos digitales;
  2. la seguridad en el acceso a los dispositivos, sistemas y redes;
  3. el uso responsable y sostenible de los recursos digitales desde el punto de vista medioambiental y
  4. las medidas orientadas a garantizar la salud física y mental.

Un elemento fundamental para el desarrollo de esta competencia es la protección de datos personales, pues es una obligación que contrae todo docente en el desempeño de sus responsabilidades y su ejercicio está sujeto al deber de sigilo y debe ser completo desde un primer momento, por lo que no se puede graduar, en ningún caso, su aplicación.

Los contenidos que integran esta competencia son:

El nivel B2 de esta competencia demanda una "Colaboración en la evaluación de los planes y protocolos del centro relacionados con la protección de datos personales, la privacidad, la seguridad, los derechos digitales y el bienestar al utilizar las tecnologías digitales". Se logra cumpliendo los siguientes requisitos

Sintetizando: ¿Colaboro con el equipo directivo en el diseño y evaluación de cualquier iniciativa relacionada con la seguridad, la protección de datos, la garantía de los derechos digitales, el bienestar físico y psicológico del alumnado y la sostenibilidad medioambiental relacionados con el uso de tecnologías digitales?

Aquí vemos ejemplos de como llevarlo a cabo:

Seguridad y privacidad en internet

image.png

Decálogo: 10 pasos hacia la ciberseguridad de Aragonesa de Servicios Telemáticos

Actualmente usamos diariamente las nuevas tecnologías tanto en casa como en el trabajo y, en este escenario, desde la perspectiva de la seguridad de la información, hemos de tener mayor cuidado pues, como empleados públicos que gestionamos información en primera persona somos el primer perímetro de seguridad de los datos que manejamos.

De ahí, que sea clave nuestra implicación en la gestión segura de la información, desde la adopción de pautas de comportamiento seguro con las tecnologías hasta la integración de medidas de mejora de la seguridad de la información con la que trabajamos.

A continuación, te presentamos el Decálogo que nos recomienda seguir el medio técnico del Gobierno de Aragón, Aragonesa de Servicios Telemáticos:

Amenazas internas

En este apartado trataremos de dar respuesta al siguiente indicador del marco:

1.5.B2.2. Contribuye al diseño del plan de convivencia en lo relativo al uso de las tecnologías digitales y a su impacto en el bienestar físico y psicológico del alumnado.

Conoce a tu enemigo y conócete a ti mismo, y saldrás triunfador en mil batallas." Sun-Tzu, el Arte de la Guerra

Como ya hemos visto, las redes están llenas de potenciales peligros y amenazas externas pero, ¿qué pasa cuando la amenaza no es externa? A continuación vamos a ver los peligros de la adicción a Internet y los riesgos que conlleva para nuestra salud y bienestar digital.

Uso y consumo de tecnologías digitales

Este punto es muy importante, ya que está directamente relacionado con nuestra salud. El uso cada día más asiduo de las redes para la gestión prácticamente de cualquier cosa, hace que a lo largo del día repitamos movimientos de forma continua y mantengamos una postura ergonómica relacionada con el dispositivo que usamos. Esto significa que que si el movimiento que repetimos es forzoso, a lo largo de los días desarrollemos una lesión y acaba por condicionar nuestro estado de ánimo en el trabajo.

Es por ello que hay que tener en cuenta los siguientes aspectos para tener un uso sano de las tecnologías: 


                             

Youtube. Tu vida en las RRSS tiene público. Orange España

Adicción a la tecnología

Como ya hemos visto, las tecnologías digitales han venido para facilitarnos la vida, pudiendo ser de gran ayuda tanto en nuestro entorno laboral como en nuestro ocio. No obstante, su uso excesivo puede suponer un gran problema de salud y bienestar.

Las adicciones, hoy en día, suponen un gran problema de salud y no todas tienen por que ser a sustancias. El DSM-V, (manual de diagnóstico de trastornos mentales) ya ha incluido una sección de "Adicciones no relacionadas a sustancias", así como la OMS, que ya reconoce en su clasificación Internacional de Enfermedades (CIE) el "trastorno por videojuegos".

Señales de Alarma o Red Flags

Cuando una de estas adicciones se presenta, la persona adicta en cuestión puede presentar síntomas a los que hemos de prestar atención como:

Consecuencias de la adicción a la tecnología

La adicción a las tecnologías digitales, como cualquier otra adicción, supone consecuencias en los planos social, psicológico, y físico.

En el plano psicológico se produce una gran inestabilidad emocional, con estados que pueden pasar de la depresión a la agresividad.

En el plano social encontramos las siguientes consecuencias: aislamiento social o limitando las relaciones personales a aquellas relacionadas con la adicción, falta de sinceridad con amigos y familiares, no cumplir objetivos ya sean domésticos, laborales o escolares. 

En cuanto al plano fisiológico encontramos fatiga ocular por el uso de pantallas, fatiga mental y dolores de cabeza por el constante flujo de información así como cansancio y obesidad como consecuencia de un gran número de horas realizando esta actividad sedentaria. Además, los ciclos de sueño se ven alterados, produciendo irritabilidad e, incluso, alteraciones inmunitarias.

Este es un contenido extensible al módulo 6 dada la vulnerabilidad del alumnado a las tecnologías digitales. Para obtener más recursos para trabajar en el aula visita: tudecideseninternet.es , portal para los más jóvenes de la Agencia Española de Protección de Datos (AEPD) donde encontrarás videos como el siguiente, para trabajar en el aula:


Youtube. UN CRACK DEL BMX (Versión larga). Agencia Española de Protección de Datos.

Adicción al móvil 

También conocida como nomofobia (del inglés NO-MObile-phone phobia) hace referencia a la fobia irracional a no disponer del teléfono móvil físicamente o disponer de él pero sin sus funcionalidades (batería, cobertura), imposibilitando el acceso a la información y actualizaciones que este nos ofrece en redes sociales o servicios de mensajería. Este se enmarcaría dentro de la adicción a la tecnología y sus consecuencias son muy similares: irascibilidad, ansiedad y estrés.

Hemos de prestar atención a las siguientes señales de alerta para empezar a plantearnos si una persona tiene adicción al móvil.

SI quieres saber algunos tips de aplicaciones que nos ayudan a controlar nuestro tiempo, mira este vídeo en clave de humor sobre la adicción a los dispositivos:

Adicción a los videojuegos

Práctica y uso excesivo y compulsivo de los videojuegos. Como todas las actividades, comienza a ser considerada adicción cuando afecta a los hábitos fundamentales del individuo en su día a día.

Como la adicción a la tecnología, interfiere en nuestra vida afectando al espacio y al tiempo dedicado a estas, dañando nuestras interaccione sociales y afectando a nuestra salud física y mental.

Además, los videojuegos, se basan en principios propios de la ludopatía clásica, que los hacen más adictivos como el feedback inmediato, haciendo que el cerebro genere dopamina, sensación placentera.

También se desarrollan en escenarios fantásticos alejados de la realidad.

Derecho a la desconexión digital

Los dispositivos digitales con conexión a internet, han supuesto una gran ayuda en el mundo laboral facilitando opciones como el teletrabajo, concepto que empezó a cobrar fuerza durante el primer año de la pandemia por COVID-19 en nuestro país.

Algo tan novedoso, albergaba muchos pros y contras, y entre ellos estaba un elemento que desconocíamos: la desconexión digital.

El hecho de estar confinados y sin un horario establecido de trabajo, hizo que este se extendiera a lo largo de toda la jornada (24 horas), lo que, a la larga, generó situaciones de estrés y ansiedad. No obstante, esta situación ya había sido contemplada en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales:

Artículo 88. Derecho a la desconexión digital en el ámbito laboral.

  1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar."
¿Cómo conseguirlo?

Hay varios tips y herramientas que nos ayudarán a conseguir este propósito (que a veces se vuelve bastante dificil):

  1. Establece y delimita tu horario laboral, fuera de este, no deberías prestar atención a e-mails o llamadas laborales.
  2. Establece canales para URGENCIAS de tipo laboral, y lo de urgencias lo escribimos así con mayúsculas, no para cualquier actividad.
  3. Aunque ya has establecido un horario laboral, estaría bien que te obligues a tener periodos sin dispositivos tecnológicos (PC o smartphone) así como socializar con los tuyos.
  4. Utiliza las facilidades que te ofrecen los dispositivos: Modo no molestar, horario de notificaciones... Para esto, aunque muchos terminales ya disponen de su propio configurador de horario, han surgido distintas apps como OFFTIME, que permite bloquear un buen número de aplicaciones o llamadas entrantes que sepas que te pueden molestar o incluso establecer un horario de bloqueo. Puedes conocer más apps para la desconexión digital pulsando aquí.
  5. Separa tu vida laboral de tu vida personal: Procura no utilizar cuentas personales para asuntos laborales.


Amenazas externas

Phishing, qué es y cómo evitarlo

El phishing es una de las estafas con mayor trayectoria y mejor conocidas de Internet. Es un tipo de fraude que se da en las telecomunicaciones y que emplea trucos de ingeniería social para obtener datos privados de sus víctimas. La diferencia entre Spam y Phishing es clara: el Spam es correo basura, no es más que un montón de anuncios no deseados. El phishing por otro lado, tiene como finalidad robar tus datos y utilizarlos contra ti.

La mayor parte del phishing puede dar como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos. “Algunos hackers llegan incluso a crear perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer saltar la trampa”.

Un ataque de phishing tiene 3 componentes:

  1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico, un SMS o una llamada de teléfono.
  2. El atacante se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.

Como a veces es difícil detectarlo, aquí te dejamos una serie de características y trucos que pueden funcionar para detectar un intento de phishing:

Ciberacoso

UNICEF lo define como:

Ciberacoso es acoso o intimidación por medio de las tecnologías digitales. Puede ocurrir en las redes sociales, las plataformas de mensajería, las plataformas de juegos y los teléfonos móviles. Es un comportamiento que se repite y que busca atemorizar, enfadar o humillar a otras personas.

Y por último, en el caso de que nuestro alumnado reciba el tan temido ciberacoso hay que enseñarles a gestionarlo:

Ciberbullying.png

 IS4K de INCIBE. Ciberacoso escolar.

INCIBE es el Instituto Nacional de Ciberseguridad y tiene una web específica para el uso seguro en menores (IS4K). En ella se puede obtener más información sobre ciberacoso escolar en el siguiente enlace.

Sexting

Etimológicamente proviene de los anglicismos SEX (sexo) y TEXTING (mensajería de texto) y hace referencia a la producción y difusión de contenido sexual mediante aplicaciones de mensajería digital. 

Estudios nacionales afirma que el 31% de los menores de entre 11 y 16 años ha recibido ha recibido mensajes sexuales de algún tipo principalmente por servicios de mensajería instantánea, habiendo aumentado exponencialmente frente al 10% del año 2010.
Entre sus características encontramos:
•    Uso de medios digitales para la producción.
•    Contenido erótico/sexual
•    Protagonistas identificables en el contenido difundido.
•    Naturaleza privada en su origen.

Pero pese a ser contenidos privados, pueden ser difundidos debido a:
•    Pérdida del dispositivo
•    Fallo de seguridad
•    Haber sido enviado a un destinatario erróneo
•    O difusión posterior por parte del receptor del mensaje sin estar autorizado.

Esto puede acarrear consecuencias como:
•    Sextorsión: Utilización de material privado de contenido sexual para chantajear.
•    Ciberbulling o Ciberacoso
•    Grooming: Forma de acoso en la que un adulto contacta con un menor con el fín de ganarse su confianza para posteriormente involucrarle en una actividad sexual.
•    Pornovenganza:  difusión de contenido íntimo en redes sociales o servicios de mensajería sin consentimiento del protagonista.

Todas estas actuaciones conllevarán a la exigencia de 
-Responsabilidad en materia de protección de datos por difusión de datos sensibles sin consentimiento.
-Responsabilidad civil:  por daños y perjuicios materiales y morales, con su consecuente sanción administrativa e indemnización
-Responsabilidad penal:  la grabación y difusión de imágenes o vídeos sin consentimiento podrá ser constitutiva de delito, sancionable con penas de hasta 5 años de prisión. Y de uno a tres meses para quienes difundan, revelen o cedan a terceros sin consentimiento de la víctima.

Youtube. No puedes compartirlas sin su consentimiento #RevengePorn. Pantallas Amigas

Para saber más, échale un ojo al libro de "Convivencia segura en la red, ciberayudantes"

Tratamiento de los datos personales en los centros educativos y personas que intervienen

¿Qué es el tratamiento de datos?

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Resumiendo, es cualquier actuación que se haga sobre datos personales, y podrá ser considerada un tratamiento de datos personales.

image.png

Fuente propia

Desde la tramitación de los procesos de admisión del alumnado, los centros educativos tratan información personal del alumno para proporcionarle los servicios de educación y orientación, que se traduce en acciones muy diversas realizadas por parte de diferentes intervinientes: las autoridades educativas estatales y autonómicas, el centro docente, los órganos de gobierno y participación de los centros, los integrantes de la comunidad educativa (profesorado, alumnado, familias...), con finalidades tan distintas como la confección de los expedientes académicos, la gestión de los comedores y transporte escolares, la concesión de ayudas para estos conceptos y para material curricular, la concesión de premios académicos, la organización y promoción de actividades educativas, culturales, deportivas y de ocio, la evaluación académica, la orientación del alumnado con necesidades educativas especiales o específicas, la corrección disciplinaria. Para ello se recogen y registran datos personales, se captan y difunden imágenes del alumnado y profesorado, se organizan eventos, se utilizan recursos didácticos digitales, se comunican datos a diversas instituciones...

Todo ello implica el tratamiento de un considerable volumen de datos personales que afectan a toda la comunidad educativa. Este tratamiento se realiza en diversos formatos, en papel, a través de aplicaciones informáticas, por medio de empresas externas, con y sin transferencias internacionales de datos.

Por otra parte, algunos de estos datos deberán destruirse tras finalizar el curso escolar o tras agotarse la finalidad de su tratamiento, pero otros se mantienen por tiempo indefinido en los gestores y repositorios de expedientes académicos. Cada uno de estos medios y cada uno de estos períodos de conservación tiene unos riesgos específicos para la protección de datos que debemos tener en cuenta.

Por lo tanto, desde el origen de un tratamiento hasta su supresión se realizan determinadas operaciones con los datos personales. Cada operación tiene unas reglas básicas que afectan al diseño de cualquier proyecto, al registro del tratamiento, a la transparencia e información a los interesados, a la gestión del tratamiento por el propio responsable o a través de otra persona encargada, al sistema informático utilizado y las medidas de seguridad aplicables, así como a la gestión de los incidentes o brechas de seguridad, al ejercicio de derechos o a cómo conservar y destruir adecuadamente los datos una vez agotada su finalidad.


image.png

Infografía Quién es quién. Fuente AEPD.

Responsable

Persona física o jurídica, autoridad pública, servicio u organismo que solo o con otros determine los fines y medios del tratamiento.
En los tratamientos educativos realizados por los centros educativos públicos, son responsables, habitualmente, los órganos administrativos de la Consejería de Educación o del Ministerio de Educación en su ámbito de actuación respectivo, aunque actúen en muchos tratamientos a través de los centros docentes o de otro personal. El tratamiento de los datos por estas personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable no se considera cesión o comunicación de datos, porque estas personas actúan en nombre del responsable.

El registro de actividades de tratamiento (RAT) en las Administraciones Públicas (incluidos los centros docentes) es público y debe ser accesible por medios electrónicos (art. 31.2 LOPDGDD). En los centros públicos, normalmente será la Consejería de Educación la que se encargue de actualizar ese RAT, en su caso, con el asesoramiento de los Delegados de Protección de Datos, a quienes deben comunicarse por el responsable las modificaciones, adiciones o supresiones que se hagan en el RAT.

6.png

Modificación de la imagen de Mohamed Hassan en Pixabay.

A continuación se muestran dos ejemplos de RAT de los Departamentos de Educación de Valencia (enlace) y de Educación de Madrid (enlace), donde se desglosan los diferente tipos de actividades y agente involucrados.


En los centros concertados y privados son responsables los titulares de los propios Centros

Captura de pantalla_20221112_125027.png

Fuente AEPD

Encargado del tratamiento

Persona física o jurídica, autoridad, servicio u organismo que trata los datos por cuenta del responsable. Al igual que en el caso de los responsables del tratamiento, el encargado puede actuar por sí mismo o a través de otras personas que actúan bajo su autoridad directa. Además, el encargado puede subencargar el tratamiento a otras personas o entidades que actúan siguiendo las instrucciones del encargado principal (y a su vez, ambos, siempre deben actuar en el marco de las instrucciones fijadas por el responsable).
El encargado de tratamiento debe ofrecer las garantías suficientes de aplicación de medidas técnicas y organizativas adecuadas para garantizar la protección de datos y su seguridad.
El encargo requiere la firma de un contrato. En resumen, los encargados asumen la mayor parte de las obligaciones de los responsables con respecto al encargo realizado, pero actúan por cuenta de estos y siguiendo sus instrucciones, fijadas en el acto jurídico correspondiente.

Captura de pantalla_20221112_125113.png

Fuente AEPD

Delegado de protección de datos

El DPD tiene funciones principales de supervisión del cumplimiento de la legislación sobre protección de datos, asesoramiento a responsables y encargados en esta materia de protección de datos, cooperación e interlocución con la autoridad de control respectiva, participación en las reclamaciones de los interesados, evaluaciones de impacto y en otros asuntos encomendados a los responsables de los tratamientos.

El DPD puede formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. 

Captura de pantalla_20221112_125149.png

Fuente AEPD

La LOPDGDD especifica los responsables y encargados que deberán designar un DPD, mencionándose entre ellos los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles educativos. Esto no significa que cada centro docente deba tener un DPD distinto, sino que todos los centros deben tener un DPD. A estos efectos, el artículo 37.3 RGPD establece que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, «se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño». 

image.png

Fuente AEPD


Los centros concertados y privados también están obligados a tener su propio DPD, si bien, entre varios centros pueden compartir uno.

Interesado

Es la persona física titular (propietaria) de los datos personales. Es importante recordar que los responsables o encargados de tratamiento tratan (administran) los datos de los interesados, pero los datos pertenecen únicamente a cada persona física identificada o identificable a la que se refieren.

Captura de pantalla_20221112_124956.pngFuente AEPD

Además a los interesados les ampara la normativa de protección de datos y le otorga una serie de derechos, los cuales los puede ejercer dirigiéndose ante quien está tratando sus datos (responsable). Los derechos son los siguientes:

image.png

Fuente AEPD

Destinatario

Es la persona física o jurídica, autoridad u organismo a quien se comuniquen (cedan) los datos personales, ya sea esta persona otro responsable o un tercero.
La cesión de datos será una transferencia internacional cuando el destinatario de los datos está establecido en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega). En caso de transferencia internacional, el RGPD exige garantías o requisitos adicionales para el tratamiento de datos personales.


Tercero

Es la persona física o jurídica, autoridad, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.


Autoridad de control

La autoridad pública independiente establecida por un Estado miembro de la UE con arreglo a lo dispuesto en el artículo 51 RGPD. Se llama «autoridad de control interesada» a la autoridad de control a la que afecta el tratamiento de datos personales.
La Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.

image.png

Agencia Española de Protección de Datos. Fuente AEPD

Tiene atribuidos los poderes y funciones, los más relevantes son las potestades de investigación e inspección, la atención de reclamaciones, la potestad sancionadora, dictar criterios y circulares obligatorias, los planes de auditoría preventiva y directrices.

¿Cuál es el protocolo de actuación en caso de tener una brecha de seguridad?: El responsable debe notificar a la correspondiente autoridad de control (AEPD) a través del DPD en un plazo muy reducido (72 horas desde que se tenga conocimiento del incidente), así como la adopción de las medidas cautelares que procedan para evitar perjuicios mayores en la privacidad y, en algunos casos, la notificación del incidente producido también a los interesados.


Una ejemplo de plantilla para ir constatando los acuerdos y compromisos del centro puede ser esta.image.png

image.png

image.png

image.png

image.png

image.png

image.png

Más información sobre protección de datos en centros educativos pulsando aquí

Protección de datos en centros educativos. Guía 2023

El cifrado de documentos

Existen diversas formas de cifrar documentos en educación para proteger su confidencialidad y privacidad. Algunas de las técnicas más comunes son:

Contraseñas

Es posible utilizar contraseñas para proteger los documentos. Para ello, se puede utilizar una aplicación de software de procesamiento de texto que permita agregar una contraseña para abrir y modificar el documento. De esta forma, solo las personas autorizadas que tengan la contraseña podrán acceder al contenido del documento.image.png

image.png

Ejemplo de cifrado de documentos

Office

Google Docs


Cifrado de archivos

También es posible cifrar los archivos de los documentos utilizando herramientas de cifrado de archivos. Estas herramientas convierten los archivos en un formato ilegible sin la clave de descifrado, lo que protege la información confidencial del acceso no autorizado.

Por otro lado, los servicios en la nube cada vez son más populares ya que nos permiten alojar gran cantidad de información que no queremos perder con la tranquilidad de que siempre va a estar ahí. Pero a veces surgen fallos de seguridad que ponen en riesgo nuestra privacidad, de manera que, para evitar problemas, lo mejor que podemos hacer es cifrar nuestros archivos antes de subirlos a la nube.

Ejemplos de cifrado de archivos

Encriptación de Windows y en la nube

Herramientas de cifrado de archivos (entrono Windows)

Encripatador de datos (entrono iOS)


Es importante recordar que, independientemente del método de cifrado utilizado, se deben establecer políticas de seguridad claras y asegurarse de que todas las partes involucradas comprendan y sigan estas políticas.