Centros Escolares y Protección de Datos: la prevalencia del interés superior del menor
El establecimiento de mecanismos de videovigilancia es una de las cuestiones más conflictivas que afecta directamente a la normativa sobre protección de datos y que ha dado lugar a innumerables resoluciones de la Agencia Española de Protección de Datos en las que se han desgranado los requisitos que han cumplirse para adecuarse a la legalidad, así como los límites a los que se encuentran sometidos tales mecanismos.
La cuestión se hace aún más compleja cuando nos encontramos ante centros escolares en los que los destinatarios principales de la videovigilancia son menores de edad. Ante las dudas existentes sobre la legalidad o no de instalar videocámaras en los Colegios, se ha pronunciado recientemente, mediante el correspondiente Informe, el gabinete jurídico de la Agencia Española de Protección de Datos (en adelante AEPD).
El citado Informe toma como punto de partida la Ley Orgánica de Protección Jurídica del Menor en la que se establece que, en todo caso, siempre deberá primar el interés jurídico del menor sobre cualquier otro interés legítimo que pueda concurrir en una determinada situación. Partiendo de la necesaria protección del interés jurídico del menor, la AEPD avala la instalación de sistemas de videovigilancia en los centros escolares por entender que esta medida contribuye a la defensa de dicho interés proporcionando mayor seguridad a los menores de edad. No obstante, se establecen importantes limitaciones o restricciones que son, fundamentalmente, las siguientes:
El uso de videocámaras tiene como único fin la protección jurídica del menor por lo que los datos obtenidos únicamente pueden ser utilizados para este concreto fin y no para otros fines ajenos como puedan serlo fines de seguridad privada o de control laboral de los empleados del centro escolar. Las videocámaras solamente pueden instalarse en las zonas comunes de los centros escolares y concretamente se hace referencia de forma expresa a los patios y comedores.
Y no pueden establecerse, en ningún caso, en las aulas puesto que ello permitiría ejercer un control laboral sobre el personal docente.
Las videocámaras deberán estar instaladas de tal forma que su orientación únicamente permita captar datos del patio o comedor. En ningún caso podrán captarse imágenes de la vía pública.
El acceso a las imágenes captadas se encuentra restringido al director del centro escolar, o la persona responsable de la gestión de los recursos humanos o persona específicamente designada para ello.
El plazo máximo de conservación de las imágenes captadas es de un mes desde el momento de la grabación de las mismas, si bien se señala también que resulta aconsejable la eliminación de las imágenes en un plazo no superior a diez días salvo aquellas imágenes que deban conservarse más tiempo (hasta el plazo máximo de un mes) por recoger hechos relevantes para el interés de los menores.
La instalación de estos sistemas de videovigilancia conlleva para el centro escolar el deber de cumplir con todas las obligaciones generales derivadas de la protección de datos: comunicar el fichero a la AEPD y proceder a su inscripción en el Registro de la Agencia; elaborar el correspondiente documento de seguridad en el que se recojan las previsiones relativas a la videovigilancia o permitir a los padres de los alumnos el ejercicio de los derechos de acceso, cancelación o rectificación....LEER NOTICIA COMPLETA.
Normas para instalacion de un sistema de videovigilancia en una comunidad
Un programa de vigilancia de un vecindario en Madrid, no solo informa a los delincuentes que en esa comunidad no será sencillo delinquir, sino que además, resuelve una serie de problemas vecinales.
Aunque algunas comunidades son más tranquilas porque experimentan menos delitos que otras, igualmente es aconsejable que estén preparadas para hacer frente a la amenaza de la delincuencia.
Lo aconsejable en todo caso es conocer primero a los vecinos para formar un equipo de trabajo con el fin de resolver pequeños problemas antes de que se transformen en más graves.
Lo conveniente es invertir, en un sistema profesional de seguridad monitoreado y preparado, para robos o vandalismos.
Una vez instaladas las cámaras, la comunidad tendrá que cumplir, con el protocolo establecido con la Ley de Seguridad Privada y la Ley Orgánica de Protección de Datos (LOPD) y que es el siguiente:
· La persona autorizada y designada por la comunidad, para acceder a la visualización y recuperación de imágenes, deberá configurar un nombre de usuario y contraseña y será la única que pueda visualizar las grabaciones.
· Las modificaciones de usuario y contraseña extracción de imágenes etc, deberán constar en la última página del manual de seguridad.
· Cada dos años la comunidad estará obligada a realizar una auditoría de sistemas y procedimientos, tal como indica el reglamento de la LOPD.
· Las cámaras para vigilancia en Madrid no podrán contener imágenes de más de 30 días
· El grabador deberá tener una ubicación en lugar protegido.
· El Protocolo establecido debe cumplir con la Ley de Seguridad Privada y con la Ley Orgánica de Protección de Datos:
OBLIGACIONES DE LA COMUNIDAD EQUIPADA CON VIDEO VIGILANCIA
· La persona o entidad que prevea la creación de ficheros de video vigilancia, deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma.
· Colocar en zonas videos vigilados, un distintivo informativo.
· Tener a disposición de los interesados impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.
· El alta de las comunidades, debe ser complementada obligatoriamente, con la elaboración del Documento de Seguridad.
TIEMPO DE CONSERVACIÓN DE LAS IMÁGENES DE LAS CÁMARAS DE VIDEOVIGILANCIA
Según la normativa de la LOPD, las imágenes de un grabador de un sistema de seguridad privada, no deberán superar los 30 días de antigüedad.
El artículo 94.1 del reglamento de la LOPD, establece lo siguiente: «Deberán establecerse procedimientos de actuación para la realización, de como mínimo semanalmente copias de respaldo, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos».
La instrucción 1/2006 establece en su artículo 6, un plazo de cancelación máximo de 1 mes (30 días), una vez transcurrido dicho plazo deberán ser canceladas, conservándose únicamente a disposición de las Administraciones Publicas, Jueces y Tribunales, aquellas grabaciones que recojan las imágenes de un delito o cuando algún afectado (persona grabada) haya ejercitado sus derechos frente al titular del fichero, pero no será necesario guardar indefinidamente las imágenes cuando nada haya sucedido.
El tiempo máximo de grabación deberá ser el mínimo necesario, de tal forma que si la utilidad del sistema se cubre con una grabación de 1 semana no deberá agotarse el límite de los 30 días.
La Agencia Española de Protección de Datos, señala en su informe del 5 de junio de 2007, que se deberá limitar el acceso al bloque de imágenes, sólo a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. Por este motivo debe ser una Empresa de Seguridad Homologada, quien tenga acceso a las imágenes que contengan incidentes....LEER NOTICIA COMPLETA
Snowden insiste en proteger datos personales
El ex analista de inteligencia de Estados Unidos Edward Snowden apeló hoy a no descuidar la protección de la esfera privada de las personas en un mundo cada vez más digitalizado.
"Si se dice que la privacidad me da igual porque no tengo nada que ocultar, entonces sería como decir que te da igual la libertad de expresión porque no tienes nada que decir", explicó Snowden durante la conferencia sobre Internet de re:publica en Berlín.
Snowden, quien filtró información clasificada de la Agencia Nacional de Seguridad de Estados Unidos (NSA) y que vive exiliado en Rusia desde 2014, fue conectado en directo durante la conferencia.
Durante su comparecencia, aprovechó para alertar del abuso de datos a manos de empresas y gobiernos y del hecho de que el poder se concentre en manos de cada vez menos grupos empresariales.
En su opinión, la sociedad se encuentra actualmente en una "encrucijada". "No se puede escapar de la técnica de la información, pero podemos controlarla y limitarla. Para ello hay tiempo suficiente", afirmó.
La revelación de miles de documentos por parte de Snowden en 2013 desató escándalos a nivel mundial. Los documentos evidenciaban tareas de inteligencia que llegaban hasta la intercepción del teléfono de la canciller alemana, Angela Merkel, y labores de espionaje económico que también afectaron a empresas brasileñas....LEER NOTICIA COMPLETA.
VALENCIA
La jueza del “Caso IVAM” rechaza la petición de Císcar para que investiguen las filtraciones sobre su patrimonio
La instructora considera que la denuncia interpuesta por Consuelo Císcar en un juzgado de instrucción por revelación de secretos prevalece sobre la jurisdicción administrativa
La jueza del “Caso IVAM”, que investiga irregularidades en la gestión del museo valenciano, ha rechazado la petición de la exdirectora, Consuelo Císcar, de poner en conocimiento de la Agencia de Protección de Datos las informaciones sobre su patrimonio incluidas en las diligencias judiciales que han aparecido publicados en diversos medios de comunicación.
La exdirectora del Instituto Valenciano de Arte Moderno está imputada por delitos de malversación, prevaricación y falsedad por los sobrecostes en la adquisición de obras de arte y en la edición de publicaciones.
La instructora, de conformidad con el criterio del fiscal, considera que no procede remitir la información a la Agencia de Protección de Datos porque ya existe un procedimiento penal en trámite por los mismos hechos, que tiene preferencia sobre la vía administrativa que reclama la interesada.
Císcar, según señala la jueza en su auto, ha presentado una denuncia en un juzgado de Instrucción contra varios periodistas por un presunto delito de revelación de secretos.
La causa, que nació en julio de 2015 tras una denuncia de la Fiscalía se dirige contra Císcar y otras cinco personas, que tienen la condición de investigadas, término que sustituye al de imputado tras la última reforma de la Ley de Enjuiciamiento Criminal.
Se trata del subdirector general de Administración y Finanzas, el de Gestión Interna, el de Publicaciones y la subdirectora general Técnico Artística. Además está investigado el responsable de dos empresas con las que el IVAM suscribió contratos de transporte eludiendo, supuestamente, la normativa de contratación del sector público.
Las seis personas contra las que se dirige la causa tendrán que declarar como investigados (imputados)...LEER NOTICIA COMPLETA.
Protección de Datos expedienta a la Agencia Tributaria de Sevilla por el fallo en la web
El fallo en la web municipal permitió consultar 51 DNI sin autorización
Otro fallo de seguridad
Los datos personales de los usuarios quedaban al descubierto con tan sólo introducir el DNI en la web del organismo local. También abre procedimiento sancionador a Tecnocom, gestora del portal.
La Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento de declaración de infracción de administraciones públicas a la Agencia Tributaria de Sevilla por no proteger los datos de los ciudadanos. El organismo ha iniciado estas actuaciones tras analizar una denuncia de FACUA Sevilla y otra en el mismo sentido del grupo municipal de Ciudadanos contra la Agencia Tributaria y la empresa que gestiona su web (Tecnocom) del pasado mes de septiembre.
Tras a investigación llevada a cabo sobre el caso, Protección de Datos considera que la entidad municipal ha cometido dos infracciones, una leve y otra grave. Sin embargo, el expediente no derivará en una sanción por tratarse de un organismo público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que una institución multe a otra.
En otra resolución sobre el mismo caso, la AEPD ha comunicado que inicia expediente sancionador a Tecnocom por una infracción grave de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto podría suponer una multa para la empresa de entre 40.001 y 300.000 euros.
Datos personales al descubierto
FACUA Sevilla denunció en septiembre pasado que con tan sólo introducir el DNI de cualquier ciudadano en el enlace a la Oficina Virtual de la Agencia Tributaria de la ciudad se podían consultar, sin ningún otro tipo de comprobación de seguridad (como un certificado digital), datos personales como domicilio, número de cuenta bancaria, multas pendientes, si el usuario tiene deuda o embargos, matrícula del coche y si paga o no los impuestos municipales. Esta brecha en la seguridad de la web se mantuvo durante, al menos, varios meses, dado que el equipo municipal indicó que no habían modificado ni el contrato ni las condiciones de servicio de la web desde que había accedido al Gobierno local (al menos tres meses antes).
Tras la investigación llevada a cabo por la AEPD, el organismo considera acreditado que el contrato que mantienen la Agencia Tributaria de Sevilla y Tecnocom para la realización de trabajos de mantenimiento del Sistema Integrado de Gestión Tributaria y de Recaudación del Ayuntamiento de Sevilla no se ajusta a las previsiones de seguridad de los ficheros establecidas en la Ley Orgánica de Protección de Datos (artículo 12.2). Esto es, dicho contrato no contempla las medidas de seguridad que llevarán a cabo tanto la Agencia como Tecnocom para proteger el fichero de datos que manejan.
Esto derivaría en dos infracciones: una leve, tipificada en el artículo 44.2.d. ("son infracciones leves (…) la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley") y otra grave, recogida en el artículo 44.3.h ("son infracciones graves (…) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen").
Expediente sancionador a Tecnocom
Además del procedimiento de infracción a la Agencia Tributaria de Sevilla, la denuncia de FACUA también ha motivado la apertura de un expediente sancionador a Tecnocom, la empresa que gestiona la web del organismo.
La Agencia de Protección de Datos considera que la empresa no tomó las medidas de seguridad necesarias para garantizar la privacidad de los datos personales que manejaban a través de la web de la Agencia Tributaria de Sevilla. En este sentido, la AEPD recuerda en su resolución que el artículo 9.1. de la Ley Orgánica de Protección de Datos indica que "el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal".
La vulneración de este artículo, recuerda la AEPD, supone una infracción grave, según se indica en el artículo 44.3.h de la citada norma, que considera como tal "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". Esto podría suponer una sanción de entre 40.001 y 300.000 euros, según indica la propia Agencia en su resolución....LEER NOTICIA COMPLETA.