4138
JUNTA DE ANDALUCIA CCONSEJERIA DE EDUCACION Y DEPORTE
| 12-SEP. ant
T/ 11 SEP 2019 t| 12 SEP 2019
D Uimo. Sr, Delegado Territorial de Fducacicn, Depopte;;
A Rage Sear Iga Plies Soils y Conia ci Sevila BQ SO
wes 1200/4444 soita| Mos" Sevlia
Fecha : 10/09/19
[Nia of! DPD EDUCACION Y DEPORTE,
AAsunto: Recomendaciones seguridad
Conforme a fo establecido en el articulo 36.1 de la Ley Orgdnica 3/2018, de 5 de
diciembre, de Proteccién de datos personales y garantia de las derechos digitales, en
relacién con lo dispuesto en el articulo 39 del Reglamento General de Proteccién de Datos
(RGPD). cl delegado de proteccidn de datos podré emitir recomendaciones en el Ambito de
‘su competencia, En virtud de dicha atribucién, me cumple comunicarle a VI lo siguiente:
El delegado de protecci6n de datos (DPD) tiene conocimiento de que, en ocasiones, los
peofesionales de la Consejera,fundamentalmente en centros docentes, EOF.s, CEP...
almacenan datos personales del alumnado en dispasitives portables, tales como
ppendrives, tablets, ordenadores portitiles, smarts, etc... para realizar las tareas que
tienen encomendadas, 1 cual supone un alto riesgo para la protecciéa de dichos datos
que afectan a personas especialmente vulnerables, como son los menores, y a veces
también a datos de categorias especiales (piéasese, a titulo de ejemplo, en datos
relacionados con informes psicopedagégicos realizados a los alumnos), por la alta
probabilidad de pérdidae incluso de sustraccin
‘Ademés de la alta probabilidad de produccién de un dao consistente en el acceso
ilegitimo a los datos por terceros no autorizados, posibilidad de modificacién, o bien de
climinacién de los datos y falta de disponibilidad, que padcia afectar a los derechos de
los interesados, la gravedad del daflo puede ser alta o, incluso, muy alta tenienda en
‘cuenta el tipo de datos almacenades,
En principio, parece totalmente innecesario que se lleven a cabo estas pricticas, dadas
las herramientas que posee Ja Consejeria agrupadas en el Sistema de Informacién
‘Séneca, no obstante si, tras una evaluacién suficiente del riesgo, se considera que es
ecesario seguir con este tipo de almacenamiento de datos, lo cual deberia estar
suficientemente motivado, se habrin de adoptar todas las medidas téenicas y
organizativas adecuadas para garantizar el debido nivel de seguridad, ia
confidencialidad, ta integridad y la disponibilidad de las datos.
Se debe tener presente que el responsable del tratamiento viene obligado por la
normativa vigente a aplicar las medidas técnicas y organizativas apropiadas a fin de
sarantizar un nivel de seguridad adecuado a for riesgos que afecten a lo.
libertades de los interesados y al cumplimiento de-lo dispuesto en el RGPD y ser capita” = Sy
cain UF ZeTTOIOG7PDALLIFISSINCIE Barmmeevetcacbn deeded de una
‘Siu dette daruretssloarona ena cso: hap fanso sdomsealica suena se
08E JUAN BAUTISTA ROMERO. FECHA
Taare
10. FIRMA
“Ec 2eFATOD967°108LUDFISS2XCUE PAGINA
TTAJUNTA DE ANDALUCIA
de demostrar dicho cumplimiento, incluida la eficacia de las medidas adoptadas
(Considerando 74 y articulos 24 y 32 RGPD).
ELRGPD, en su articulo 32, eta entre las medidas de seguridad Ia scudonimizacién y el
cifrado de datos personales, entendemos que ambas medidas podrian ser adecuadas,
ademés de otras de tipo organizativo que deberian adoptar los responsables, si se
realizan correctamente y hacen ininteligibles los datos en easo de que se produzca wa
violacién de seguridad.
Para un iftado fuerte que haga ininteligibles tos datos pueden dirigitse a los
responsables dela seguridad informatica de sus respectivos cents,
En todo caso, si se produce una pérdida, extravio, hurto, acceso indebido ete. del
dispositivo de almacenamiento se ha podido materializar una violacién de seguridad en
los téiminos establecidos en ei RGPD: “violacion de Ia seguridad de los datos
personales»: toda violacién de la seguridad que ocasione la destruccién, pérdida 0
alteracién accidental o ilicita de datos personales transmitidos, conservados 0 tratados
de otra forma, 0 la comunicacién 0 acceso no autorizados a dichos datos”; por lo que
ddeberdn ponerse en contacto a la mayor brevedad posible con el delegado de proteccién
de datos en la direccién de correo dpd.ced@juntadeandaluciaes, proporcionando la
siguiente informacién: en qué consiste la violacidn de seguridad, interesados afectados,
datos personales afectados, consecuencias previsibles: acceso ilegitimo, pérdida de
informacién... plazo para notificar a 1a autoridad de control (Agencia Espafiola de
Proteccién de Datos o Consejo Andaluz de Transparencia y Proteccidn de Datos) es solo
de 72 horas,
Se facilita un enlace a la Guia para gestionar brechas de seguridad de la AEPD:
hups:/4vww-aepd es/media yuins’guia-brechas-seguridad.pdf
Finalmente, quedando a su disposicién para cualquier consulta que desee formular al
respecto en la direccién indicada, aprovecho para reiterar que el almacenamiento de
datos personales de alumnos en dispositives portables ( inclayendo ficheros 0 archivos
‘manuales), es una prictica nada recomendable por suponer un alto riego para los
derechos y libertades de los afectados.
Le rego dé traslado de la presente comunicacién a los centros del dmbito de esa
Delegacién Territorial
Es cuanto me cumple recomendar a VI
En Sevilla, a 10 de septiembre de 2019
EL DELEGADO DE PROTECCION DE DATOS DE LA CONSEJERIA DE
EDUCACION Y DEPORTE
‘Goaige Segue de Veriicacion tFc20FKT01967PNYDELUFISSZXCUE, Permte le venfcacin de
‘ipa ce ete connate scarring a arerion tips unt hseendahcacee =
FRWADO FOR JOSE JUAN BAUTISTA ROMERO FECHA TORR
1D RMA “EczerkTOD967PNNDBAUIEISSZXCIE AGN
CITA