CDEFP- Uso de la plataforma Microsoft 365 Educación
Información general
Organismo
Desarrollo Educativo y Formación Profesional
Responsable del tratamiento
Identidad: Dirección General de Innovación y Formación del Profesorado. Consejería de Desarrollo Educativo y Formación Profesional.
Dir. Postal: C/ Juan Antonio de Vizarrón s/n. Edificio Torretriana. Isla de la Cartuja. 41092 - Sevilla
Teléfono: 955 06 40 00
Correo electrónico: dgifp.cdefp@juntadeandalucia.es
Dir. Postal: C/ Juan Antonio de Vizarrón s/n. Edificio Torretriana. Isla de la Cartuja. 41092 - Sevilla
Teléfono: 955 06 40 00
Correo electrónico: dgifp.cdefp@juntadeandalucia.es
Finalidad
El tratamiento de datos personales tiene como finalidad la gestión y el uso de la solución de servicios digitales y telemáticos Microsoft 365 Educación para:
Proveer herramientas de comunicación y colaboración en los entornos educativos no universitarios sostenidos con fondos públicos.
Facilitar la enseñanza y el aprendizaje, así como el intercambio de información en entornos educativos virtuales.
Potenciar programas y proyectos educativos que requieran entornos web para su coordinación y difusión.
Gestionar la información generada por los usuarios en los entornos educativos digitales.
Permitir el desarrollo de actividades educativas relacionadas mediante el uso de herramientas digitales.
Proveer herramientas de comunicación y colaboración en los entornos educativos no universitarios sostenidos con fondos públicos.
Facilitar la enseñanza y el aprendizaje, así como el intercambio de información en entornos educativos virtuales.
Potenciar programas y proyectos educativos que requieran entornos web para su coordinación y difusión.
Gestionar la información generada por los usuarios en los entornos educativos digitales.
Permitir el desarrollo de actividades educativas relacionadas mediante el uso de herramientas digitales.
Delegado de protección de datos
dpd.ced@juntadeandalucia.es
Interesados
Los colectivos de interesados cuyos datos personales son objeto de tratamiento son los siguientes:
Alumnado matriculado en centros educativos públicos dependientes de la Consejería.
Familiares o tutores legales del alumnado menor de edad, cuando sea necesario para la función educativa.
Profesorado adscrito a los centros educativos públicos gestionados por la Consejería.
Personal administrativo y de servicios (PAS) vinculado a los centros educativos públicos.
Empleados y personal técnico de la Consejería responsable de la implantación y mantenimiento de los servicios.
Alumnado matriculado en centros educativos públicos dependientes de la Consejería.
Familiares o tutores legales del alumnado menor de edad, cuando sea necesario para la función educativa.
Profesorado adscrito a los centros educativos públicos gestionados por la Consejería.
Personal administrativo y de servicios (PAS) vinculado a los centros educativos públicos.
Empleados y personal técnico de la Consejería responsable de la implantación y mantenimiento de los servicios.
Datos personales
Las categorías de datos personales tratados en el marco de este servicio son:
Datos proporcionados por la Consejería: nombre y apellidos, dirección de correo electrónico institucional, identificador de usuario en el Sistema de Información Séneca, rol asignado (alumnado, profesorado, etc.) y código del centro docente de pertenencia.
Datos especialmente protegidos que puedan incluirse en la información y conocimiento generado por las personas usuarias en las herramientas o servicios puestos a disposición siempre con la finalidad exclusiva de la función educativa.
Datos generados por el uso del servicio: contenido creado por los usuarios (documentos, presentaciones, hojas de cálculo, tareas, etc.), metadatos de uso (fechas de creación, colaboradores, permisos), registros de actividad (tiempos de conexión, uso de herramientas) y datos técnicos del dispositivo (navegador, sistema operativo, dirección IP).
Datos proporcionados por la Consejería: nombre y apellidos, dirección de correo electrónico institucional, identificador de usuario en el Sistema de Información Séneca, rol asignado (alumnado, profesorado, etc.) y código del centro docente de pertenencia.
Datos especialmente protegidos que puedan incluirse en la información y conocimiento generado por las personas usuarias en las herramientas o servicios puestos a disposición siempre con la finalidad exclusiva de la función educativa.
Datos generados por el uso del servicio: contenido creado por los usuarios (documentos, presentaciones, hojas de cálculo, tareas, etc.), metadatos de uso (fechas de creación, colaboradores, permisos), registros de actividad (tiempos de conexión, uso de herramientas) y datos técnicos del dispositivo (navegador, sistema operativo, dirección IP).
Cesiones de datos
No se prevén comunicaciones de datos a terceros, salvo obligación legal aplicable al responsable del tratamiento. En este sentido, los datos podrán ser comunicados a las autoridades competentes (Juzgados y Tribunales, Ministerio Fiscal, Autoridades Tributarias, etc.) y a otras Administraciones Públicas en el ejercicio de sus potestades, en estricto cumplimiento de la normativa nacional y de la Unión Europea.
Transferencias internacionales
Sí, se realizarán transferencias internacionales de datos. Dichas transferencias se realizan en estricto cumplimiento de lo dispuesto en el Capítulo V (artículos 44 a 49) del Reglamento (UE) 2016/679 (RGPD). Con carácter general, los datos se almacenan y procesan dentro de la UE mediante la aplicación de la EU Data Boundary. No obstante, la prestación del servicio Microsoft 365 Educación implica transferencias internacionales residuales y limitadas fuera del EEE. En particular, estas se reducen a la replicación mínima de datos de directorio en Microsoft Entra ID , accesos remotos excepcionales para soporte y resiliencia del servicio , y aquellas transferencias iniciadas por la propia operativa de los usuarios.
Destinatarios/categorías de destinatarios: Microsoft Ireland Operations Limited (exportador), Microsoft Corporation (importador) y subencargados autorizados por Microsoft.
Base jurídica/garantías:
Artículo 45 RGPD (Decisión de adecuación): las transferencias a EE.UU. quedan amparadas por la certificación de Microsoft Corp. en el EU-US Data Privacy Framework (DPF).
Artículo 46 RGPD (Garantías adecuadas): para transferencias a terceros países sin decisión de adecuación, rigen las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea de 2021, incorporadas en el DPA de Microsoft.
Medidas suplementarias: se aplican estrictas medidas técnicas como el cifrado de datos en tránsito y en reposo, la seudonimización por defecto de identificadores en registros del sistema, y políticas de ausencia de accesos permanentes (Zero Standing Access).
Destinatarios/categorías de destinatarios: Microsoft Ireland Operations Limited (exportador), Microsoft Corporation (importador) y subencargados autorizados por Microsoft.
Base jurídica/garantías:
Artículo 45 RGPD (Decisión de adecuación): las transferencias a EE.UU. quedan amparadas por la certificación de Microsoft Corp. en el EU-US Data Privacy Framework (DPF).
Artículo 46 RGPD (Garantías adecuadas): para transferencias a terceros países sin decisión de adecuación, rigen las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea de 2021, incorporadas en el DPA de Microsoft.
Medidas suplementarias: se aplican estrictas medidas técnicas como el cifrado de datos en tránsito y en reposo, la seudonimización por defecto de identificadores en registros del sistema, y políticas de ausencia de accesos permanentes (Zero Standing Access).
Periodo de conservación
Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir con las finalidades educativas para las que fueron recabados.
Una vez cumplida dicha finalidad, los datos podrán ser conservados, debidamente bloqueados, para la atención de las posibles responsabilidades legales o administrativas que pudieran derivarse de su tratamiento, conforme a los plazos establecidos en la normativa de aplicación, principalmente la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 7/2011, de 3 de noviembre, de Documentos, Archivos y Patrimonio Documental de Andalucía.
Contractualmente, Microsoft eliminará los datos de sus sistemas en un plazo máximo de 180 días tras la finalización del servicio, salvo que una norma exija su conservación.
Una vez cumplida dicha finalidad, los datos podrán ser conservados, debidamente bloqueados, para la atención de las posibles responsabilidades legales o administrativas que pudieran derivarse de su tratamiento, conforme a los plazos establecidos en la normativa de aplicación, principalmente la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 7/2011, de 3 de noviembre, de Documentos, Archivos y Patrimonio Documental de Andalucía.
Contractualmente, Microsoft eliminará los datos de sus sistemas en un plazo máximo de 180 días tras la finalización del servicio, salvo que una norma exija su conservación.
Medidas de seguridad
Las medidas de seguridad implantadas se corresponden con las previstas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), con el fin de garantizar un nivel de seguridad adecuado al riesgo del tratamiento, conforme al artículo 32 del RGPD.
Base jurídica
El tratamiento de los datos personales se legitima en las siguientes bases jurídicas del Reglamento (UE) 2016/679 (RGPD):
Artículo 6.1.e) RGPD: El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha misión se concreta en la gestión del servicio público educativo y la promoción de competencias digitales.
Este tratamiento se realiza en el marco de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y demás normativa de aplicación.
Artículo 6.1.e) RGPD: El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha misión se concreta en la gestión del servicio público educativo y la promoción de competencias digitales.
Este tratamiento se realiza en el marco de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y demás normativa de aplicación.
Índice
La Junta