Los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación, tratarán datos personales (datos identificativos, datos académicos, financieros, profesionales, imágenes, categorías especiales como pueden ser datos relativos a la salud: alergias o intolerancias alimenticias). En consecuencia, deben observar el derecho fundamental a la protección de datos y cumplir con el RGPD y LOPDGDD.

Para que el tratamiento de datos personales de los interesados (alumnos, profesores, progenitores, personal administrativo, proveedores y con especial consideración a los menores de edad) se realice conforme a la normativa, la Agencia Española de Protección de Datos (AEPD)  ha publicado una “Guía para centros educativos” en la que se expone un decálogo para un correcto uso de dichos datos por parte del personal de los centros educativos, dependiendo de las distintas finalidades para los cuales fueron recogidos los datos.

La normativa exige a dichas instituciones cumplir con una serie de requisitos. A saber,

  • Legitimación para el tratamiento de datos: El consentimiento expreso es la principal base para legitimar este tratamiento. Es necesaria una clara acción afirmativa del interesado. Los menores de 14 años no pueden otorgar este consentimiento por sí mismos, sino que se ha de recabar por medio de sus padres o tutores.
  • Deber de informar sobre el tratamiento, la identidad del responsable, finalidad del tratamiento, plazos de conservación, cesiones y derechos de los interesados.
  • Realizar un análisis de riesgos para valorar el riesgo que supone el tratamiento de datos y de ser necesario, realizar una Evaluación de impacto. Dicha evaluación es obligatoria en los supuestos tasados por ley.
  • Adoptar medidas de seguridad técnicas y organizativas para garantizar la seguridad, integridad y confidencialidad de los datos personales. En casos de violaciones o brechas de seguridad, se debe notificar a la AEPD y en su caso, comunicar a los interesados.
  • Deber de secreto
  • Llevar un Registro de actividades de tratamiento, con los datos de responsables y encargaos, fines de tratamiento, descripción de los interesados y las categorías de datos personales que se tratan; la existencia de transferencias internaciones, plazos de supresión y medidas de seguridad adoptadas.

⚖️ CURSO ONLINE PARA EMPRESAS Y EMPLEADOS

 

Portada del vídeo de introducción al curso online de COVID

➥ Formación impartida por el Dpto. de Formación de Grupo Adaptalia

➥ Dirigido a empresas y empleados «con o sin opción de teletrabajo»

Lo principal que debe, en todos los casos, estar correctamente identificado y claro es la titularidad del responsable de tratamiento de dichos datos, ya sea para solicitar información, ejercer derechos o realizar reclamaciones. El responsable es quien determina los fines y medios del tratamiento. En los centros concertados y privados, el responsable de dichos datos es el centro educativo (fundación, congregación religiosa, cooperativa, etc.). En los centros educativos públicos, el responsable normalmente es la administración educativa (Consejería de Educación de la Comunidad Autónoma) y para los centros de Ceuta, Melilla, y los del Exterior, el responsable es el Ministerio de Educación y Formación Profesional.

No obstante, muchas veces los responsables contratan a proveedores para prestar determinados servicios que implica el tratamiento de datos personales por parte de esta, y en el contrato se debe recoger lo que dispone la normativa sobre protección de datos personales. En estos casos, las personas físicas o jurídicas, autoridad, servicios y organismo que trate datos personales por cuentas del responsable será considerado Encargado de tratamiento (ET) y no hay cesión de datos. Ejemplos comunes de ET en los centros educativos son los prestadores de servicios tecnológicos, comedores escolares, la ruta escolar, actividades extraescolares, entre otras.

Por otro lado, los responsables de los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, están obligados a designar a delgado de protección de datos, en adelante DPD (art. 34.b LOPDGDD). La función del DPD es asesorar e informar tanto a responsables como a familiares sobre como se tratan los datos personales, puede resolver dudas, atender quejas y reclamaciones. Para determinar los niveles de educación se debe recurrir a Ley Orgánica 2/2006, de 3 de mayo, de Educación, en particular el artículo 3 establece cuales son las enseñanzas que ofrece el sistema educativo.

Por último, dentro de las iniciativas desarrolladas por la Agencia Española de Protección de Datos (AEPD) en los últimos años relacionadas con la educación y los menores, se ha publicado números materiales de ayuda y soporte para personal educativo y padres, entre los que podemos mencionar las Guías sobre el uso responsable de internet dirigidas a padres y profesores; Guíales en internet y Enséñales a ser legales en internet; Guía de privacidad y seguridad en internet,  Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas, entre otros. Asimismo, la AEPD dispone de un servicio llamado Canal Joven, que ofrece varias vías de comunicación dirigidas a dar respuesta a las cuestiones o dudas relacionadas con el ámbito escolar.

Si te gustó este contenido quizás te interese…
El canal de denuncias (whistleblowing) en el Compliance
Compromiso de confidencialidad empleados RGPD
Novedades legislativas de PBC-FT en la UE