Publicación de calificaciones universitarias y la nueva LOPD

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

• Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
• Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
• En cuanto a los datos a publicar:

• • Nombre y apellidos del alumno y la calificación obtenida.
  • Si hubiera alumnos con mismo nombre y apellidos, incluir cuatro cifras aleatorias de su DNI o documento equivalente, recomendándose seguir los criterios del documento de la AEPD “Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD”.
• Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

“GDPR Y LOPDGDD: De la teoría a la práctica” El Club DPD participa en el II Encuentro de Privacidad de Telefónica

El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.

Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.

El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.

Ponencias: El nuevo Reglamento RGPD

La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita.  El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.

A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.

Mesa redonda: Experiencias prácticas de DPDs tras un año de exigencia del RGPD

Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:

• Antonio Muñoz Marcos, Data Protection Technical Diretor, Global DPO Officer at Telefónica.
• Elena Terradillos Figueiro, DPD en la Confederación Sindical de CCOO.
• Nuria Calvo, DPD de Thyssen Krupp.
• Marta Martínez Pérez, DPD de Mutua MAZ.
• Iñaki González-Pol, DPD de Parlamento de Andalucía, Junta Electoral de Andalucía y Defensor del Pueblo Andaluz.

La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.

En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso  Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.

Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.

Desconexión y Transformación Digital

Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.

La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.

Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.

Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.

El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!

Privacy by design

El Reglamento General de Protección de Datos de la Unión Europea tiene como objetivo establecer unas nuevas reglas del juego en el desarrollo de productos y servicios del siglo XXI en donde la privacidad cobra una importancia trascendental desde el inicio. Por este motivo, se ha contemplado tanto la adecuación de los sistemas y productos existentes como la protección de los entornos futuros.

La protección de datos en el panorama internacional. Una primera aproximación

En la década de los 80, fue la OCDE, Organización para la Cooperación y el Desarrollo Económicos, la primera en adoptar un documento con implicaciones internacionales en materia de protección de datos personales y privacidad. Poco después, sería el Consejo de Europa el que adoptara el Convenio 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.