4138 JUNTA DE ANDALUCIA CCONSEJERIA DE EDUCACION Y DEPORTE | 12-SEP. ant T/ 11 SEP 2019 t| 12 SEP 2019 D Uimo. Sr, Delegado Territorial de Fducacicn, Depopte;; A Rage Sear Iga Plies Soils y Conia ci Sevila BQ SO wes 1200/4444 soita| Mos" Sevlia Fecha : 10/09/19 [Nia of! DPD EDUCACION Y DEPORTE, AAsunto: Recomendaciones seguridad Conforme a fo establecido en el articulo 36.1 de la Ley Orgdnica 3/2018, de 5 de diciembre, de Proteccién de datos personales y garantia de las derechos digitales, en relacién con lo dispuesto en el articulo 39 del Reglamento General de Proteccién de Datos (RGPD). cl delegado de proteccidn de datos podré emitir recomendaciones en el Ambito de ‘su competencia, En virtud de dicha atribucién, me cumple comunicarle a VI lo siguiente: El delegado de protecci6n de datos (DPD) tiene conocimiento de que, en ocasiones, los peofesionales de la Consejera,fundamentalmente en centros docentes, EOF.s, CEP... almacenan datos personales del alumnado en dispasitives portables, tales como ppendrives, tablets, ordenadores portitiles, smarts, etc... para realizar las tareas que tienen encomendadas, 1 cual supone un alto riesgo para la protecciéa de dichos datos que afectan a personas especialmente vulnerables, como son los menores, y a veces también a datos de categorias especiales (piéasese, a titulo de ejemplo, en datos relacionados con informes psicopedagégicos realizados a los alumnos), por la alta probabilidad de pérdidae incluso de sustraccin ‘Ademés de la alta probabilidad de produccién de un dao consistente en el acceso ilegitimo a los datos por terceros no autorizados, posibilidad de modificacién, o bien de climinacién de los datos y falta de disponibilidad, que padcia afectar a los derechos de los interesados, la gravedad del daflo puede ser alta o, incluso, muy alta tenienda en ‘cuenta el tipo de datos almacenades, En principio, parece totalmente innecesario que se lleven a cabo estas pricticas, dadas las herramientas que posee Ja Consejeria agrupadas en el Sistema de Informacién ‘Séneca, no obstante si, tras una evaluacién suficiente del riesgo, se considera que es ecesario seguir con este tipo de almacenamiento de datos, lo cual deberia estar suficientemente motivado, se habrin de adoptar todas las medidas téenicas y organizativas adecuadas para garantizar el debido nivel de seguridad, ia confidencialidad, ta integridad y la disponibilidad de las datos. Se debe tener presente que el responsable del tratamiento viene obligado por la normativa vigente a aplicar las medidas técnicas y organizativas apropiadas a fin de sarantizar un nivel de seguridad adecuado a for riesgos que afecten a lo. libertades de los interesados y al cumplimiento de-lo dispuesto en el RGPD y ser capita” = Sy cain UF ZeTTOIOG7PDALLIFISSINCIE Barmmeevetcacbn deeded de una ‘Siu dette daruretssloarona ena cso: hap fanso sdomsealica suena se 08E JUAN BAUTISTA ROMERO. FECHA Taare 10. FIRMA “Ec 2eFATOD967°108LUDFISS2XCUE PAGINA TTAJUNTA DE ANDALUCIA de demostrar dicho cumplimiento, incluida la eficacia de las medidas adoptadas (Considerando 74 y articulos 24 y 32 RGPD). ELRGPD, en su articulo 32, eta entre las medidas de seguridad Ia scudonimizacién y el cifrado de datos personales, entendemos que ambas medidas podrian ser adecuadas, ademés de otras de tipo organizativo que deberian adoptar los responsables, si se realizan correctamente y hacen ininteligibles los datos en easo de que se produzca wa violacién de seguridad. Para un iftado fuerte que haga ininteligibles tos datos pueden dirigitse a los responsables dela seguridad informatica de sus respectivos cents, En todo caso, si se produce una pérdida, extravio, hurto, acceso indebido ete. del dispositivo de almacenamiento se ha podido materializar una violacién de seguridad en los téiminos establecidos en ei RGPD: “violacion de Ia seguridad de los datos personales»: toda violacién de la seguridad que ocasione la destruccién, pérdida 0 alteracién accidental o ilicita de datos personales transmitidos, conservados 0 tratados de otra forma, 0 la comunicacién 0 acceso no autorizados a dichos datos”; por lo que ddeberdn ponerse en contacto a la mayor brevedad posible con el delegado de proteccién de datos en la direccién de correo dpd.ced@juntadeandaluciaes, proporcionando la siguiente informacién: en qué consiste la violacidn de seguridad, interesados afectados, datos personales afectados, consecuencias previsibles: acceso ilegitimo, pérdida de informacién... plazo para notificar a 1a autoridad de control (Agencia Espafiola de Proteccién de Datos o Consejo Andaluz de Transparencia y Proteccidn de Datos) es solo de 72 horas, Se facilita un enlace a la Guia para gestionar brechas de seguridad de la AEPD: hups:/4vww-aepd es/media yuins’guia-brechas-seguridad.pdf Finalmente, quedando a su disposicién para cualquier consulta que desee formular al respecto en la direccién indicada, aprovecho para reiterar que el almacenamiento de datos personales de alumnos en dispositives portables ( inclayendo ficheros 0 archivos ‘manuales), es una prictica nada recomendable por suponer un alto riego para los derechos y libertades de los afectados. Le rego dé traslado de la presente comunicacién a los centros del dmbito de esa Delegacién Territorial Es cuanto me cumple recomendar a VI En Sevilla, a 10 de septiembre de 2019 EL DELEGADO DE PROTECCION DE DATOS DE LA CONSEJERIA DE EDUCACION Y DEPORTE ‘Goaige Segue de Veriicacion tFc20FKT01967PNYDELUFISSZXCUE, Permte le venfcacin de ‘ipa ce ete connate scarring a arerion tips unt hseendahcacee = FRWADO FOR JOSE JUAN BAUTISTA ROMERO FECHA TORR 1D RMA “EczerkTOD967PNNDBAUIEISSZXCIE AGN CITA