En nuestros días, el mundo gira en torno a los datos. Datos que pueden comprometer nuestra privacidad y que pueden ser objeto de ataques por parte de los cibercriminales. Igualmente, los datos nos ayudan a tomar decisiones de manera más ágil y acertada.

Esta realidad, impulsó a la Unión Europea a la aprobación de una normativa que armonizará las distintas legislaciones existentes en materia de protección de datos en los estados miembro, creando así el Reglamento General de Protección de Datos (RGPD).

El 25 de mayo de 2018, fecha de aplicación del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), de obligado cumplimiento para todos los estados miembros de la Unión Europea, marcó un antes y un después en las obligaciones de las entidades.

En nuestro país, el Reglamento General de Protección de Datos sustituyó a la Ley Orgánica de Protección de Datos (LOPD) 15/1999, hasta la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), en la que el Derecho interno español se adaptó a la normativa europea.

La entrada en vigor de la normativa de protección de datos obligó a las entidades a realizar importantes cambios en la gestión de sus negocios, concretamente en el sector que me ocupa, el sector educativo, el impacto se puede resumir muy brevemente en tres conceptos clave: Consentimiento expreso, Registro de Actividades de Tratamiento y Delegado de Protección de Datos.

Como Delegada de Protección de Datos de la organización a la que pertenezco, compuesta por siete centros educativos localizados en toda la geografía española, mi labor se centra en velar por el cumplimiento de la legislación en todo el tratamiento de datos de carácter personal llevado a cabo por los Colegios en el desempeño de sus funciones, su personal contratado y familias.

Para llevar a cabo el proceso de adaptación a la normativa de protección de datos de los centros educativos, se comenzó por estudiar la realidad concreta de cada uno, para identificar los procesos en los que se tratan datos personales (Registro de Actividades de Tratamiento), a continuación los programas informáticos que utilizan, las personas encargadas de esos trámites, así como las medidas de seguridad tanto lógicas (informáticas) como organizativas que tienen implantadas; también se identificaron y regularon las relaciones con las distintas empresas que prestan algún servicio a cambio de una cesión de datos personales.

Para cumplir con todas las exigencias de la normativa europea y española, en abril del año 2019, nuestra organización contrató la herramienta informática especializada, denominada plataforma digital eGovit, propiedad de Integra Información y Comunicación (Integra).

Después de casi dos años de utilización de la plataforma, la valoración es muy positiva. Desde el primer momento, supieron dar respuesta a las necesidades planteadas por la organización y nos ayudaron a crear una infraestructura con todos los centros educativos propiedad de la entidad. Los colegios comenzaron a utilizar la plataforma como soporte y acreditación de los cumplimientos exigidos por la normativa de protección de datos y facilitando en todo momento el desempeño de mi labor de control y supervisión del cumplimiento.

La legislación de protección de datos exige a las entidades responsables la realización de una evaluación de los riesgos que puedan afectar a los datos personales que tratan los centros escolares y que potencialmente puedan afectar a sus tres dimensiones: integridad, confidencialidad y disponibilidad, con el fin de determinar el grado de probabilidad del impacto sobre los mismos y determinar unas medidas para mitigar o reducir el riesgo resultante. Para ello el servicio que ofrece la contratación de la plataforma eGovit, incluye la realización del análisis de riesgos, por medio de unas encuestas iniciales y un inventario de activos cumplimentados y proporcionados por cada centro educativo, los técnicos especializados de Integra, realizan este análisis individualizado para ser gestionados por cada colegio. Esta labor se actualiza con ayuda de los técnicos cada vez que se notifica cualquier modificación en los tratamientos que llevan a cabo los colegios.

La plataforma eGovit nos ayuda a cumplir con el proceso de adaptación de los centros educativos propiedad de la organización en cuanto al cumplimiento del principio de proactividad, es decir, en la vigilancia y supervisión periódica de las medidas de seguridad para garantizar que solo los usuarios autorizados tienen acceso a los datos de carácter personal. Dicha evaluación periódica, se combina con otro de los principios clave de la legislación de protección de datos, el enfoque de riesgo, de forma que obliga a la entidad a plantearse con carácter previo al tratamiento de datos, el impacto que puede llegar a tener en los derechos y libertades de los interesados, debiendo determinar la naturaleza, el ámbito, el contexto y el fin del tratamiento.

Como Delegada de Protección de datos, considero imprescindible  para el desempeño de mi labor, la utilización de la Plataforma eGovit y la asistencia de profesionales con conocimientos técnicos, facilitando así el análisis y valoración de la fase tecnológica, ya que cualquier forma de tratamiento de datos personales se basa hoy en día, en medios telemáticos y tecnológicos, programas y/o aplicaciones, que hay que conocer en profundidad para detectar sus carencias, identificar sus riesgos y poder valorar si optamos por una o por otra.

La implantación del nuevo Reglamento General de Protección de Datos posee como expectativa principal, conceder al interesado el control de sus datos personales, no obstante, resulta muy difícil llevar un control de todos los datos que comparten los individuos debido al gran volumen que pueden llegar a alcanzar.

Es por ello, que el RGPD propone el refuerzo de la seguridad de dichos datos debido a los avances tecnológicos y globalización, que ha supuesto la aparición de nuevos retos para mantener la protección de los datos personales.

Como aspecto a destacar sobre la implantación de la nueva normativa de protección de datos, es que su implantación ha supuesto una oportunidad para volver a evaluar el estado del parque tecnológico de los colegios de la organización y también como comprobación de la entidad acerca de si están preparadas en el ámbito de la ciberseguridad y de algún modo elevar el conocimiento de los involucrados con sus datos, todo ello con la colaboración de INTEGRA a través su herramienta eGovit y sus profesionales de reconocido prestigio.

Las tecnologías avanzan a un ritmo vertiginoso lo que obliga a que el entorno evolucione al mismo ritmo para conseguir adaptarse a estos continuos cambios. Nuestra organización con el esfuerzo realizado día a día, se propone realizar una mejora continua y con el apoyo de la herramienta eGovit, está lista para alcanzarla y garantizar la seguridad de los datos que trata.

 

En Madrid. A día 4 de Enero, 2021

 

Gema Reyes Rojas
Delegada de Protección de Datos
Capuchinos de España. Curia Provincial