En los Centros Educativos se dan dos circunstancias básicas que hacen necesario un adecuado tratamiento de los datos personales:

  • Conviven adultos con menores.
  • Se trata un gran volumen de información personal relativa a los estudiantes, sus padres, el personal del centro, etc.

Es por ello que los centros educativos deben adoptar una serie de medidas de seguridad en relación a los sistemas de información, a través de los que se tratan los datos personales.

Por ejemplo, es algo habitual que los colegios tengan perfiles en las redes sociales en los que publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.

También hay profesores que descargan una determinada aplicación educativa, con proveedor extranjero la mayoría de las veces, y la utilizan. Y todo ello aunque deba aportarse información de carácter personal de los alumnos.

Y el colegio, a pesar de tener conocimiento de estos hechos en muchos casos, no controla los dispositivos utilizados, el software, las medidas de seguridad que deben aplicarse y los correspondientes consentimientos que deben solicitarse.

Tipos de datos personales que tratan los centros educativos

Los tratamientos más comunes en un centro educativo según el tratamiento habitual de datos son:

  • Expediente académico: ficheros sobre calificaciones, absentismo, etc. de los alumnos.
  • Personal docente: ficheros de profesores para la gestión interna del centro escolar.
  • Personal no docente: personal de mantenimiento, limpieza, etc.
  • Servicios adicionales: servicios adicionales del centro como pueden ser, comedor, transporte ó guardería.
  • Proveedores: sobre los servicios de los proveedores.
  • Admisión de alumnos: sobre los datos que se incluyen en procesos de matriculaciones, solicitudes, etc.
  • Asesoramiento psicopedagógico: con datos sobre dificultades de aprendizaje de los alumnos.
  • Otros ficheros: según los servicios y características del centro, como pueden ser los de videovigilancia o control de accesos mediante huella dactilar.

Requisitos de los centros educativos

Según el RGPD, los centros educativos se convierten en Responsables del tratamiento de los datos y deben adoptar una serie de medidas de seguridad en relación a los sistemas de información a través de los que se tratan los datos personales relativos al alumnado, a sus representantes legales, al profesorado, etc.

Es decir, se debe elaborar un Registro de Actividades de tratamiento de todos los ficheros que contengan datos personales.

También deben elaborar un Documento de Seguridad, que contemple los ficheros mediante los cuales se tramita la información, los sistemas utilizados (informatizados o en soporte papel) y las medidas de seguridad implantadas que impone la legislación vigente (claves individuales de acceso, control de acceso, copias de seguridad, etc.).

Por otro lado, es imprescindible informar y formar al personal del centro escolar acerca de cuáles son sus competencias sobre a la información que deben gestionar para el ejercicio de sus funciones y cuáles son las medidas que el centro impone para garantizar la protección de la privacidad, especialmente de los menores.

Obligaciones de los centros educativos

  1. Llevar un Registro de actividades de tratamiento
  2. Realizar un análisis de riesgos
  3. Realizar una Evaluación de Impacto en Protección de Datos
  4. Nombrar un Delegado de Protección de Datos
  5. Obtener los consentimientos
  6. Notificar las violaciones de seguridad

1. Registro de actividades de tratamiento

Debe contener la siguiente información:

  • nombre y datos de contacto del responsable y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comuniquen los datos personales;
  • las transferencias de datos personales a un tercer país o una organización internacional;
  • los plazos previstos para la supresión de las diferentes categorías de datos;
  • una descripción general de las medidas técnicas y organizativas de seguridad.

2. Análisis de riesgos

Los centros educativos deberán realizar una valoración del riesgo que suponga el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.

Deben  adoptar las medidas que, por defecto, garanticen que sólo se tratarán los datos necesarios para la finalidad para la que se recogieron y que no estén accesibles a un número indeterminado de personas.

3. Evaluación de Impacto

Según el RGPD, será obligatorio realizar una Evaluación de impacto en Protección de Datos en los siguientes casos:

  • Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
  • Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.

4. Delegado de Protección de Datos

Los centros educativos tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos.

5. Consentimiento

El  consentimiento de los alumnos o de sus padres o tutores no se podrá obtener de forma tácita. Es necesaria una clara acción afirmativa del interesado.

Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso.

6. Notificación de brechas de seguridad

Si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una  violación de seguridad, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados.

OTROS TEMAS A TENER EN CUENTA

Proceso de matriculación

Desde el momento de la matrícula, en el impreso ha de informarse, con lenguaje claro y sencillo de:

  1. La existencia de un fichero o tratamiento de datos personales.
  2. Finalidad para la que se recaban los datos y su licitud.
  3. La obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos.
  4. Destinatarios de los datos.
  5. Derechos de los interesados (acceso, rectificación, cancelación u oposición) y dónde ejercitarlos.
  6. Identidad del responsable del tratamiento, es decir, la Administración educativa (si es público) el centro (si es privado).

La lista de alumnos admitidos solo se publicará en el tablón interno del centro o en una página en el sitio web del centro, a la que únicamente podrán tener acceso las personas que hayan solicitado la plaza.

Ésta es una medida de protección imprescindible teniendo en cuenta que buscando en internet el nombre completo de un estudiante puede averiguarse en qué centro cursa estudios y de qué estudios se trata.

También como medida de protección, en casos de violencia de género, la admisión le será comunicada directamente a la madre, de forma privada.

Publicación de fotografías

A la hora de publicar fotografías en las redes sociales o captar imágenes de los menores en determinadas actividades del centro, es necesario solicitar el consentimiento de los representantes legales de los menores, y el centro debe aprobar determinadas medidas de seguridad.

No es conveniente tener más fotografías de los alumnos que aquellas destinadas a los listados de clase.

En caso de fotografiar salidas escolares, actuaciones u actividades especiales que organice el centro, podrán subirse a su sitio web solo si, al igual que en las listas de admitidos, la página en la que se visualicen sea de acceso restringido a los padres y en ella se recuerde que las imágenes no pueden ser descargadas o capturadas.

Reparto de notas

Repartir entre los miembros del Consejo Escolar las notas de todos los alumnos con sus nombres para ver las dificultades que puedan tener y buscar las mejoras necesarias, podría ser contrario al artículo 4 de la LOPD dado que se trataría de un acceso excesivo de información que no estaría justificado.

Con el mismo propósito de proteger al alumnado de rechazo u hostilidad por parte de sus compañeros, los profesores tampoco podrán publicar calificaciones individuales de exámenes o trabajos.

De hecho, ni siquiera deberían comunicarlas oralmente durante la clase.

Auditorías

También es importante que el colegio lleve a cabo Auditorías de cumplimiento que pueden ser internas o externas, siempre que se desarrolle por un profesional experto en la materia, que diagnostique si se está cumpliendo con los requisitos mínimos establecidos por la normativa, o bien, indique los aspectos que necesiten de adaptación.

Datos de salud de los alumnos

Sí que se pueden recoger los datos de salud de los alumnos, y se pueden distinguir los siguientes momentos:

  • En la matriculación: discapacidades, enfermedades crónicas, intolerancias alimentarias o alergias.
  • Durante el curso escolar: tratamiento médico facilitado a un alumno a través del servicio médico o de enfermería del centro, o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro, o los informes de los equipos de orientación psicopedagógica.

Datos biométricos

El RGPD incluye a los datos biométricos dentro de las categorías especiales de datos.

La normativa de protección de datos exige que los datos que se recaben sean adecuados, pertinentes y no excesivos.

Han de responder al principio de proporcionalidad, es decir, deben ser idóneos para la finalidad que se pretende conseguir con su recogida, no deben existir otros medios menos intrusivos para ello, y de su tratamiento deben derivarse más beneficios para el interés general que perjuicios sobre otros bienes y valores.

La AEPD ha admitido el uso de la huella dactilar para fines como el control de acceso al servicio de comedor en centros escolares con un gran número de alumnos, siempre que se establezcan medidas que refuercen la confidencialidad de los datos como la conversión de la huella a un algoritmo, el cifrado de la información, la vinculación a un dato distinto de la identificación directa del alumno o la limitación de los protocolos de acceso a los datos.

Situación familiar

Los centros educativos pueden recabar la información sobre la situación familiar de los alumnos.

Entre los datos que se recogen en las escuelas está la situación familiar de los estudiantes.

Por tanto, se tratarán datos tanto de padres como de alumnos. Estos últimos datos son relevantes, por ejemplo, en caso de divorcios, pues el colegio debe saber quién ostenta la patria potestad.

Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación.

En caso de que los padres estén separados, debe solicitarse información sobre quién tiene la patria potestad y sobre los autorizados para recoger al alumno.

Datos para fines distintos de la función educativa

Los centros educativos pueden recabar datos para otras finalidades legítimas, como puede ser la gestión de la relación jurídica derivada de la matriculación de los alumnos, o dar a conocer la oferta académica, participar con los alumnos en concursos educativos u ofrecer servicios deportivos, de ocio o culturales.

En estos casos, se podrán solicitar los datos necesarios, bien como consecuencia de la relación jurídica establecida con la matrícula, o si media el consentimiento previo de los alumnos o de sus padres o tutores.

Servicios escolares como enfermería, comedor, transporte o seguridad

El centro educativo tendrá que firmar un contrato con las empresas de los servicios prestados, en el que se defina que dichas empresas, aunque no son las responsables de los datos personales, ostentan la condición de encargadas de los datos y por consiguiente tienen el mismo deber de guardar secreto, deber que perdurará incluso más allá de finalizar la relación entre el colegio y la empresa.

Cámaras de vigilancia en patios de recreo y comedores

Se pueden instalar siempre y cuando la instalación responda a la protección del interés superior del menor, toda vez que, sin perjuicio de otras actuaciones como el control presencial por adultos, se trata de espacios en los que se pueden producir acciones que pongan en riesgo su integridad física, psicológica y emocional.

Las cámaras serán señalizadas y bajo ninguna circunstancia, ni aunque haya riesgo de conflictividad, podrán instalarse en las aulas, vestuarios y aseos de estudiantes o profesorado, puesto que sería una invasión de la intimidad.

Teléfono móvil

Los maestros habrán de respetar también la privacidad de los estudiantes de cara a sus dispositivos de telefonía móvil.

Si son requisados durante la clase, no podrán permanecer en poder del profesor una vez finalizada ésta, ni mucho menos accederse a la información que almacenan. 

A excepción, eso sí, de que haya fundadas sospechas de que peligra la integridad de un alumno (situaciones de ciberacoso, sexting, grooming o de violencia de género) en cuyo caso, previa ponderación y siguiendo el protocolo establecido por el centro, podrá accederse a dichos contenidos, así como a cualquier otra información que pudiera resultar esencial.