En esa guía de Ayudaley te explica cómo cumplir con la protección de datos en centros educativos. Descubre qué tipo de datos personales se pueden tratar en colegios y escuelas, qué obligaciones tienen los centros docentes o la información relativa a menores que se puede publicar.
El tratamiento de los datos en un centro educativo La protección de datos en un centro educativo es fundamental, ya que se están tratando datos de menores de edad. Para el desarrollo de sus actividades, los centros docentes recaban información sobre los alumnos que es necesario proteger y tratar con la debida diligencia y cumpliendo los requisitos de la LOPD y el reglamento de protección de datos.
Por ejemplo, la publicación de imágenes de centros educativos es algo habitual; hablamos de imágenes de todo tipo que los colegios pueden tener en perfiles de las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.
También hay profesores que descargan una determinada aplicación educativa, con proveedor extranjero la mayoría de las veces, y la utilizan aunque para ello deba aportarse información de carácter personal de los alumnos. Todo ello sin que el centro, a pesar de tener conocimiento de estos hechos en muchos casos, controle los dispositivos utilizados, el software, las medidas de seguridad que deben aplicarse y los correspondientes consentimientos que deban solicitarse. En los colegios se dan dos circunstancias básicas que hacen necesario un adecuado tratamiento de los datos personales:
Conviven adultos con menores.
Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.
Por supuesto, las actuaciones que hemos comentado se realizan de buena fe y la creación de un perfil en las redes sociales o la captación de imágenes de los estudiantes no es ilegal en sí. El problema aparece cuando los cauces a través de los cuales se llevan a cabo estas actuaciones no son los apropiados ni los exigidos legalmente y esto supone un obstáculo para proteger la privacidad y la intimidad de los menores. Por estos motivos, es necesario que cumplir con la ley de protección de datos en centros educativos.
¿Qué tipos de datos tratan los centros educativos? Los datos personales que permiten identificar a una persona directa o indirectamente dentro del contexto de tratamiento de datos realizado en un centro educativo son:
Datos identificativos
Datos académicos, financieros o profesionales
Las imágenes captada de los alumnos
Categorías especiales de datos: por ejemplo, aquellos relativos a la salud de los alumnos, cuyo tratamiento se hace para prestar los correspondientes servicios médicos, conocer alergias y/o intolerancias de los alumnos respecto a los servicios de comedor escolar y para adaptar la docencia en función de posibles discapacidades físicas o psíquicas.
¿Cómo pueden recoger los datos personales? Los centros educativos pueden recoger datos personales de sus alumnos de diversas maneras, por ejemplo a través de los formularios de inscripción en el colegio o escuela. Sea cual sea el caso, la condición imprescindible para recabar datos personales de los alumnos es obtener consentimiento expreso. Además, en el caso de los alumnos menores de 14 años este consentimiento RGPD ha de ser otorgado por sus padres o tutores. Esto incluye a la información de cualquier tipo, incluyendo las categorías especiales de datos que hagan referencia al origen ético o racial, o a la salud de los alumnos. ¿Qué tipo de datos pueden publicar los centros educativos? A continuación vemos qué tipos de datos se pueden publicar en un centro docente, y cómo debe hacerse esta publicación. Listas de admitidos Los centros educativos podrán hacer públicas las listas de admitidos, siempre y cuando se haga de forma restringida. Por ejemplo, a través de una página web de acceso restringido, o mediante la publicación de las listas en el tablón de anuncios del centro. Solo se podrá publicar la nota final, esto es, la suma de todos los baremos, evitando cualquier información accesoria, por ejemplo, la relativa a la situación económica familiar. Beneficiarios de becas La publicación de los beneficiarios de becas debe seguir los mismos preceptos que las listas de admitidos. A su vez, hay que tener en cuenta si la publicación puede afectar a la intimidad del alumno o si está basada en una situación de discapacidad. En casos como estos, la beca será publicada a través de un número identificador que evite la identificación personal del alumno por parte de terceros. Datos personales en la web del centro En caso de que se trate de una web de acceso restringido, se podrán publicar los datos, aunque se debería informar a los afectados. Si se trata de webs de acceso público será imprescindible contar con el consentimiento explícito de los alumnos, y si son mejores de 14 años, de sus padres o tutores. Fotografías y vídeos de los alumnos De nuevo, cualquier publicación de imágenes está supeditada a la obtención de consentimiento expreso. La autorización para publicar fotos de niños menores de 14 años debe ser otorgada por sus padres o tutores legales. Requisitos de los centros educativos según la normativa de protección de datos La protección de datos en centros docentes exige a estas instituciones cumplir con una serie de requisitos. Los vemos a continuación. Legitimación para el tratamiento de datos El tratamiento de datos en centros educativos ha de estar legitimado. El consentimiento expreso es la principal base para legitimar este tratamiento. De nuevo, recordamos que los mejores de 14 años no puede otorgar este consentimiento por sí mismos, sino que se ha de recabar por medio de sus padres o tutores. Lealtad y transparencia Los datos han de ser recabados y tratados de forma real. Esto implica que no se pueden recoger ni tratar más datos de los estrictamente necesarios para cumplir con la finalidad perseguida. Deber de informar La protección de datos en colegios y escuelas también está supeditado al deber de información. Las instituciones educativas tienen el deber de informar acerca de:
El tratamiento de datos.
Identidad de responsables y encargados del tratamiento.
Finalidad del tratamiento.
Plazo de conservación de los datos
Si los datos se van a ceder a terceros
Vías para ejercer los derechos de Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición.
Adoptar las medidas de seguridad pertinentes Para una adecuada protección de datos en centros educativos, estas instituciones han de adoptar todas las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad y confidencialidad de los datos personales que manejan. Esto incluye la protección frente a cualquier acceso no autorizado o frente a cualquier pérdida o destrucción de la información. Deber de secreto Todos los profesionales de los centros educativos están obligados a guardar secreto sobre los datos personales de los estudiantes. Este deber persiste incluso una vez que haya finalizado la relación contractual con el centro docente. Bloqueo de datos Los datos solo se deben conservar durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados. Una vez cumplido este plazo, se procederá a su bloqueo, que no eliminación. Este bloqueo o supresión de los datos implica que no se podrá acceder a dicha información, salvo que sea requerida por administraciones públicas o autoridades judiciales durante el ejercicio de sus funciones. Obligaciones LOPD/RGPD en centros educativos En este punto vemos las principales obligaciones en materia de protección de datos para centros educativos. Estas obligaciones tienen que ver con el registro de actividades de tratamiento, la realización de análisis de riesgos y evaluaciones de impacto, la definición de responsabilidad ante el tratamiento, la obtención de consentimiento y la notificación de brechas de seguridad.
Registro de actividades de tratamiento Los centros educativos deben llevar en el centro un Registro de actividades de tratamiento con la siguiente información:
Nombre y datos de contacto del responsable y del delegado de protección de datos.
Los fines del tratamiento.
Una descripción de las categorías de interesados y de las categorías de datos personales.
Las categorías de destinatarios a quienes se comuniquen los datos personales.
Las transferencias de datos personales a un tercer país o una organización internacional.
Los plazos previstos para la supresión de las diferentes categorías de datos.
Una descripción general de las medidas técnicas y organizativas de seguridad.
Análisis de riesgos Los centros educativos deberán realizar una auditoría LOPD para valorar el riesgo que suponga el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias. Deben adoptar las medidas que, por defecto, garanticen que solo se tratarán los datos necesarios para la finalidad para la que se recogieron y que no estén accesibles a un número indeterminado de personas. Evaluación de Impacto Según el RGPD, será obligatorio realizar una Evaluación de impacto en Protección de Datos en los siguientes casos:
Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.
Responsable del tratamiento Los centros educativos tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos. Consentimiento El consentimiento de los alumnos o de sus padres o tutores se deberá obtener de forma expresa. Es necesaria una clara acción afirmativa del interesado. Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso. Notificación de brechas de seguridad Si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una “violación de seguridad”, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados. Modelos y plantillas de ayuda A continuación encontraréis varios modelos y plantillas que podéis descargar y editar según vuestras necesidades, para cumplir con la protección de datos personales para centros educativos públicos y privados.
Descarga nuestro modelo de cláusula informativa para obtener el consentimiento expreso de los alumnos para el tratamiento de datos personales.
Aquí puedes descargar una plantilla para el ejercicio de derecho de acceso.
También puedes descargar un plantilla para el derecho de rectificación.
También es posible que necesites descargar este modelo para el derecho de cancelación.
Aquí puedes descargar el modelo para el derecho de oposición.
Sanciones por incumplir
Las infracciones en materia de protección de datos pueden dar lugar a sanciones por parte de la Agencia Española de Protección de Datos (AEPD).
La cuantía de las multas depende de factores como la gravedad de la infracción (leves, graves o muy graves), el perjuicio ocasionado al menor o sus padres o tutores legales, la prolongación en el tiempo de la infracción o la voluntad por parte del centro educativo de erradicar la conducta ilícita.
Bibliografía:
Ayudaley. (2021). Protección de datos en centros educativos. Ayuda Ley Protección Datos. Recuperado de https://ayudaleyprotecciondatos.es/centros-educativos/
Comments