Hace unos días, pude ver el funcionamiento de una nueva iniciativa empresarial que me parece muy interesante, llevada a cabo por Tecnausa. Se trata de implantar el «cuaderno del profesor» de toda la vida, pero en soporte digital. Es decir, proporcionar a profesores, de centros públicos y privados, una herramienta a través de la cual los docentes pueden anotar todas las actividades realizadas en clase (temas, deberes, exámenes, puntuaciones, listado de asistencias y ausencias en clase, etc.), a través de una plataforma digital.
El profesor que adquiera la licencia de uso podrá, desde cualquier terminal con acceso a Internet, acceder a su cuenta y anotar todas las incidencias de clase.
Evidentemente, aquí estamos en presencia de un tratamiento de datos de carácter personal (datos de los alumnos), introducidos por el profesor, en una plataforma digital, que no es propiedad del centro educativo. Ahora, si éste contrata el servicio, estamos en presencia de una «simple» (en realidad, nunca son simples…) relación entre el Responsable del Fichero (centro educativo) y la empresa suministradora del servicio (Encargada del Tratamiento).
Pero, ¿qué pasa si es el profesor quien contrata el servicio?
Veamos de dar una solución a este asunto, gracias a la inestimable ayuda de estas entradas (BYOD y Responsable del Fichero).
El profesor en cuestión hace uso de su propia tablet/portátil/móvil/torre (lo del BYOD y esas cosas) y sube los datos personales de los alumnos a la aplicación. La empresa, para comercializar el producto, establece unos términos y condiciones de uso (seguridad, copias, controles de acceso, etc.) y quiere asumir el papel de Encargado del Tratamiento. Pero, no quiere (ni puede) firmar un contrato cuyas características están fijadas en el art. 12 LOPD con el Responsable del Fichero (instituto privado o Concejalía de Educación competente).
En realidad, analizando literalmente el mencionado artículo de la LOPD, la empresa deberá firmar el contrato con el «Responsable del Tratamiento» que, como recuerdan los colegas mencionados en los links, es «el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica».
Et voilà, asunto solucionado. Los datos personales son del centro educativo/Concejalía de Educación; el profesor asume las obligaciones propias del Responsable del Tratamiento y la empresa puede firmar tranquilamente el contrato, ex art. 12 LOPD, con este último.
Ahora me siento, y espero cómodo a que los centros educativos y las Concejalías de Educación establezcan las normas de uso de los BYOD de los profesores.
fjaviersempere
Hola,
Como ya te adelante algo en www.privacidadlogica.es, esa distinción entre el responsable del fichero y del tratamiento siempre me ha parecido bastante farragosa, e incluso forzada. Da más quebraderos de cabeza que otra cosa.
Desde un punto de vista práctico, no veo a la empresa firmando con cada uno de los profesores un contrato de encargado.
Si como dices y parece entender hay una empresa ofreciendo el servicio, me parece más sencillo que lo firmen entre el centro y la citada empresa.
Luego está, claro, que lo firmen, que sabemos todos los que suele pasar.
Salu2.
Amedeo Maturo
Hola,
Gracias por los enlaces, han sido muy útiles.
Contestando a tu sugerencia, en realidad, la empresa se quiere dirigir directamente a los profesores y es con ellos con quien hay que regular la relación.
No interesa firmar el contrato de Encargo del Tratamiento con los centros privados y con las Concejalías competentes porque, tal y como dice la empresa: 1) es misión (casi) imposible; 2) no son el cliente potencial a quien quieren dirigirse (por cierto, ya lo hacen con otros productos).
A pesar de las definiciones farragosas (¿en qué estarían pensando cuando redactaron el texto?), esta vez sí que creo que se le puede sacar partido a estas ambiguas definiciones (responsable del fichero y del tratamiento).
Fran
Que conste que no es por enredar el asunto pero me hace cierta gracia que el art 12 LOPD diga lo siguiente en su apartado 1:
«No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.»
Recalco que expresamente señala al Responsable del Tratamiento y no al Responsable del Fichero.
Amedeo Maturo
Enreda, enreda, que algo queda. Creo que en 1999 no tenían muy clara la diferencia entre Responsable del Fichero y Responsable del Tratamiento. De aquellos polvos…