En un centro educativo son muchos los datos que pueden llegar a recopilarse, desde el momento de la solicitud de plaza, pasando por la gestión de expedientes académicos, hasta los servicios de comedor, transporte, actividades extraescolares, becas, etc. Esta recopilación de datos personales requiere un manejo responsable para cumplir con la normativa vigente y proteger la privacidad de los afectados.
Los centros educativos están legitimados por la Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE), modificada por la Ley Orgánica 3/2020, de 29 de diciembre (LOMLOE), para el tratamiento de datos personales de su alumnado en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación jurídica que se produce con la matriculación del alumno y por el consentimiento explícito otorgado por los propios alumnos o de sus padres o tutores si son menores de 14 años.
Tratamiento de datos personales
El tratamiento será lícito, leal y transparente en relación con su titular. Los datos recopilados serán adecuados, pertinentes y limitados a lo necesario en relación con el fin para el que se traten. Además, serán exactos y estarán permanentemente actualizados, aplicando medidas para rectificar o eliminar datos inexactos de manera proactiva.
Cuando se recaban datos personales de menores, los centros educativos han de facilitar a sus padres o tutores, como mínimo, la siguiente información:
- Identidad y datos de contacto del responsable del tratamiento y del delegado de protección de datos, cuya designación es obligatoria por ley.
- Base jurídica que legitima el tratamiento.
- Finalidad que se persigue.
- Categorías de datos personales que se vayan a tratar.
- Existencia de decisiones automatizadas o elaboración de perfiles.
- Si se tiene prevista la cesión de los datos a terceros, así como la realización de transferencias internacionales, con las garantías adecuadas.
- Plazo de conservación o los criterios utilizados para determinar dicho plazo.
- Posibilidad de ejercer los derechos previstos en los artículos 15 a 22 del Reglamento General de Protección de Datos y cómo ejercitarlos.
- Posibilidad de presentar una reclamación ante la autoridad de control en caso de considerar que el tratamiento no se ajusta a la legalidad.
En la comunicación se empleará un lenguaje inteligible y será concisa y de fácil acceso, especialmente cuando se dirija a los menores. Dicha información se puede facilitar, por ejemplo, al cumplimentar los formularios de admisión o mediante políticas de privacidad en el sitio web del centro.
Medidas a adoptar por los responsables del centro
Como responsables del tratamiento, los centros adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, es decir, su integridad y confidencialidad, y la protección frente al tratamiento no autorizado y contra su pérdida, destrucción o daño accidental (por ejemplo, mediante cifrado, copias de seguridad y controles de acceso). También han de asegurarse de que los encargados y subencargados del tratamiento (por ejemplo, proveedores de software educativo) adopten medidas similares para el mismo fin.
Asimismo, han de garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos personales solo pueda tratar dichos datos siguiendo instrucciones documentadas y en el ejercicio de las funciones que tenga asignadas. Estos deberán guardar secreto sobre la información que conozcan, incluso después de finalizar la relación con el centro.
El tratamiento de datos personales requiere la implantación de una política de gestión y seguridad de la información adecuada, que debe ser conocida y aplicada tanto por el personal docente como por el personal administrativo, así como por las AMPAs (Asociaciones de Madres y Padres de Alumnos). Esta política debe incluir evaluaciones de impacto en la protección de datos (EIPD) para tratamientos de alto riesgo y formación periódica del personal.
Recursos facilitados por la AEPD
A efectos de consultas, la AEPD pone a disposición de centros, profesores y padres un canal específico de comunicación por correo electrónico (canaljoven@agpd.es), por teléfono en el número 901 233 144 y por WhatsApp en el número 616 172 204.
El Ministerio de Educación, Formación Profesional y Deportes ha elaborado un documento, en colaboración con el Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (INTEF), titulado «Orientaciones sobre el uso de herramientas digitales en el ámbito educativo desde la perspectiva de la protección de datos», que dejo enlazado aquí, en el que se analizan 627 herramientas digitales, de las cuales no se recomiendan 113. Recomiendo su lectura a cualquiera que sea docente, ya que clasifica las herramientas en categorías como recomendadas, condicionadas o no recomendadas, y ofrece pautas para su uso seguro.
También les comparto una interesante conferencia asociada al curso «Protección de datos, privacidad y derechos digitales», organizado por INTEF en 2021, cuyo ponente fue el Subdirector General del Registro General de Protección de Datos. En la ponencia se tratan temas como las clases online en tiempo de pandemia, la protección de datos en las redes sociales, los menores y su concienciación.
No se pierda nuestro podcast sobre el artículo
