Al igual que cualquier empresa, las escuelas y los organismos educativos deben cumplir con las actualizaciones de la Ley de Protección de Datos que se publicarán en mayo.
Sabemos que las leyes de protección de datos, tal como las conocemos hoy, están cambiando. El Reglamento General de Protección de Datos (GDPR) entra en vigor el 25 de mayo de este año y la gran mayoría de las organizaciones, independientemente de su tamaño, deben estar preparadas para esos cambios.
Los centros educativos tratarán los datos personales de los profesores, alumnos y sus familias. En muchos casos, utilizarán el marketing para mejorar la ingesta o recaudar dinero. Las escuelas tienen CCTV, utilizan software en la nube: todas las áreas que aborda el RGPD. Entonces, echemos un vistazo a algunas de las áreas que las escuelas deberán considerar al cumplir con las nuevas regulaciones y cómo comenzar.
El ecosistema de datos personales es un término utilizado por la Departamento de Educación, para describir cómo se almacenan los datos y la interconexión de los sistemas que utilizan para almacenarlos. Estos sistemas incluyen:
A menudo se exigirá a las escuelas que envíen esos datos personales a otras agencias, incluidas las de Salud y Atención Social, las autoridades locales y el propio Departamento de Educación.
Mirar los datos de esta manera le ayuda a planificar cualquier cambio que necesite realizar para el RGPD.
Por eso, mencionamos anteriormente que no son solo los datos personales de los alumnos los que manejarás como escuela, sino que también pueden ser datos de los padres o cuidadores y de cualquier persona empleada por ti. Esto incluye empleados actuales y anteriores, así como personas que han solicitado trabajo en su organización. Las escuelas deben identificar todos los datos personales y de categorías especiales que poseen.
Vuelva a consultar el ecosistema de datos personales: ¿comparte datos con otras organizaciones?
Como la mayoría de los aspectos del RGPD, necesitará que se implementen políticas que describan cómo manejará los datos. Aquí, deberá consultar la política de retención de datos de su sistema y preguntarse si se alinea con su política de retención de datos. ¿Le permite cumplir con sus deberes escolares y está incluido en los contratos con proveedores?
Si una persona solicita ver qué datos tiene sobre ella, debe proporcionar esta información. Esto se denomina Solicitudes de acceso de sujeto o SAR. Debe estar seguro de que puede acceder a esta información y poder proporcionársela al Sujeto dentro del plazo especificado.
Cualquier sistema en el que almacene datos personales debe ser seguro. Se esperará que usted describa los pasos que ha implementado para protegerlo. ¿Cumple con algún estándar reconocido, como ISO 27001 para sistemas de gestión de seguridad de la información?
Una sesión práctica adaptada a tus necesidades y objetivos.
Cuando llegue el 25 de mayo de este año, ¿está seguro de que el proveedor que proporciona sus sistemas a su escuela estará preparado para los cambios en la Ley de Protección de Datos? ¿Han descrito y demostrado sus pasos hacia el RGPD?
Al nombrar un Delegado de Protección de Datos, o DPO, el Departamento de Educación recomienda que no se elija un Responsable de TI ni el Director de Profesores. Sugieren un individuo que no participa en la toma de decisiones sobre tecnología o procesamiento.
También vale la pena señalar que los Delegados de Protección de Datos pueden trabajar para varias organizaciones. Esto significa que puedes compartir un DPO con otra escuela.
La Oficina del Comisionado de Información, junto con el DfE, seguirán actualizando sus directrices en las próximas semanas. ISMS.online lo mantendrá actualizado.
