En un centro docente son muchos los datos que pueden llegar a recopilarse, desde el momento de la solicitud de plaza, pasando por la gestión de expedientes académicos, hasta los servicios de comedor, transporte, actividades extraescolares, becas, etc.
Los centros educativos están legitimados por la Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE) para el tratamiento de datos personales de su alumnado en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación jurídica que se produce con la matriculación del alumno y por el consentimiento explícito otorgado por los propios alumnos o de sus padres o tutores si son menores de 14 años.
Tratamiento de datos personales
El tratamiento será lícito, leal y transparente en relación con su titular. Los datos recopilados serán adecuados, pertinentes y limitados a lo necesario en relación con el fin para el que se traten. Además, serán exactos y estarán permanentemente actualizados.
Cuando se recaban datos personales de menores, los centros educativos han de facilitar a sus padres o tutores, como mínimo, la siguiente información:
- Identidad y datos de contacto del responsable del tratamiento y del delegado de protección de datos, cuya designación es obligatoria por ley.
- Base jurídica que legitima el tratamiento.
- Finalidad que se persigue.
- Categorías de datos personales que se vayan a tratar.
- Existencia de decisiones automatizadas o elaboración de perfiles.
- Si se tiene prevista la cesión de los datos a terceros, así como la realización de transferencias internacionales.
- Plazo de conservación o los criterios utilizados para determinar dicho plazo.
- Posibilidad de ejercer los derechos previstos en los artículos 15 a 22 del Reglamento General de Protección de Datos y cómo ejercitarlos.
- Posibilidad de presentar una reclamación ante la autoridad de control en caso de considerar que el tratamiento no se ajusta a la legalidad.
En la comunicación se empleará un lenguaje inteligible y será concisa y de fácil acceso, especialmente cuando se dirija a los menores. Dicha información se puede facilitar, por ejemplo, al cumplimentar los formularios de admisión.
Medidas a adoptar por los responsables del centro
Como responsables del tratamiento, los centros adoptarán las medidas necesarias para garantizar la seguridad de los datos, es decir, su integridad y confidencialidad y la protección frente al tratamiento no autorizado y contra su pérdida, destrucción o daño accidental. También han de asegurarse que los encargados y subencargados del tratamiento adopten medidas similares para el mismo fin.
Asimismo, han de garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos personales solo pueda tratar dichos datos en el ejercicio de las funciones que tenga asignadas, los cuales guardarán secreto sobre la información que conozcan, aun después de finalizar la relación con el centro.
El tratamiento de datos personales requiere la implantación de una política de gestión y seguridad de la información adecuada, que debe ser conocida tanto por el personal docente como por el personal administrativo, así como por las AMPAs.
Recursos facilitados por la AEPD
A efectos de consultas, la AEPD pone a disposición de centros, profesores y padres un canal específico de comunicación por correo electrónico (canaljoven@agpd.es), por teléfono en el número 901 233 144 y por WhatsApp en el número 616 172 204.
También les comparto una interesante conferencia asociada al curso «Protección de datos, privacidad y derechos digitales», cuyo ponente fue el Subdirector General del Registro General de Protección de Datos. En la ponencia se tratan temas como las clases online en tiempo de pandemia, la protección de datos en las redes sociales, los menores y su concienciación.
