Datos personales en Centros Educativos

Datos personales en Centros Educativos

Analizamos el impacto que tiene en los Centros Educativos la Normativa de protección de datos personales europea (RGPD 679/2016) y española (LOPD-GDD 3/2018).

Legitimación del tratamiento de datos personales

El punto de partida para que el tratamiento de datos de personas físicas sea lícito, es el consentimiento del titular de los datos. El consentimiento será por tanto, lo que legitimará el tratamiento de datos personales por parte del responsable del tratamiento.

Aunque los centros educativos disponen de legitimación para el tratamiento de datos del alumnado, pues así lo dispone la Ley Orgánica de Educación (LOE 2/2006) para el tratamiento de datos personales en el ejercicio de sus funciones docentes y orientadoras, pero con restricciones como veremos más adelante, las cuales precisan de consentimientos expresos.

Información sobre el tratamiento de datos personales

El hecho de que los centros educativos no precisan de consentimiento por parte de sus titulares para tratar sus datos personales, están obligados a informar sobre ciertos aspectos del tratamiento, como por ejemplo:

• Identificación del Centro Educativo
• Identificación del Delegado de protección de datos
• Finalidad del tratamiento
• Los destinatarios de las cesiones de datos
• Las consecuencias de no aportas los datos personales necesarios
• Los derechos que le asisten y como ejercerlos

 Delegado de protección de datos

La  LOPD-GDD  en su artículo 34.1 letra b), establece el supuesto en el que exige a un Centro Educativo que designe a un Delegado de Protección de Datos Personales (DPD-DPO):

«Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas».

Según establece el RGPD, el Delegado de protección de datos se designará atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en su artículo 39.

Este Delegado de protección de datos podrá ser persona física o jurídica y podrá formar parte de la plantilla o en el marco de un contrato de servicios.

Auditorías de protección de datos

Según establece el artículo 39 del RGPD, el Delegado de protección de datos supervisará el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;.

Tratamiento de datos personales en Centros Educativos

Clasificamos los datos personales que los centros educativos deben o que pueden llegar a tratar en el desempeño de sus funciones:

Datos Personales Generales

Los centros educativos solicitarán los siguientes datos personales necesarios para desarrollar la actividad docente y los padres o tutores legales:

• Datos identificativos de alumnos, tutores legales y de empleados
• Información curricular de alumnos y profesorado
• Datos financieros de docentes y tutores legales
• Fotografías de alumnos y profesores
• Imágenes (sesiones de videoconferencias) de alumnos con profesorado y de estos con tutores legales

Datos de Categoría Especial

Los centros educativos solicitarán datos considerados de categoría especial, tales como:

• Origen étnico, situación familiar, y/o ambiente familiar.
• Características o aspectos personales.
• Datos relacionados con la salud como alergias e intolerancias (servicio de comedor) u otros necesarios para recibir atención médica.
• Datos sobre discapacidad física tanto de alumnos como docentes
• Datos psicopedagógicos de alumnos
• Certificado penal de delincuentes sexuales, solicitados a los docentes

También se puede considerar necesario en ciertos centros, el tratamiento de datos relativos a la orientación religiosa de los alumnos.

Otros tratamientos de datos personales

Con bastante asiduidad existen tratamiento de datos que no son necesarios pero si habituales:

• Inclusión de padres en grupos de WhatsApp
• Publicidad por email, Whatsapp u otros medios
• Imágenes recogidas en eventos promovidos por el centro educativo
• Publicación de imágenes en páginas web, redes sociales y aplicaciones de mensajería instantánea

Para todo ellos se precisa de consentimiento previo por parte de alumnos y padres / tutores.

Consentimiento para el tratamiento de datos personales

Destacar que en los cuatro últimos puntos expuestos anteriormente, precisan de consentimiento expreso de alumnos (mayores de 14 años), padres y profesores ya que la finalidad no está relacionada con la misión docente del centro.

La edad establecida por la LOPD-GDD, para otorgar consentimiento de forma autónoma es la de 14 años, por tanto, para menores de 14 años, el centro deberá contar con el consentimiento de padres o tutores legales.

Acceso a datos personales de los alumnos

En términos generales el centro y sus docentes, solo deberán acceder a la información del alumno estrictamente necesaria para desarrollar sus funciones educativas y para garantizar el adecuado cuidado del alumno. Poniendo en práctica el principio de minimización de datos.

 Formación y otras medidas de seguridad

Será necesaria la formación del personal docente y de aquellos que intervengan en el proceso de tratamiento de datos personales de alumnos, padres, docentes, proveedores, etc. (personal de administración, recursos humanos, etc.), según establece el artículo 39.1 b) del RGPD. 

En referencia a las medidas de seguridad que deberán adoptar los centros educativos, será las establecidas tanto en el RGPD como la LOPD-GDD. Adicionalmente, los centros educativos públicos, deberán implantar el Esquema Nacional de Seguridad.

 Situaciones específicas

 Transferencia internacional de datos

Los centros pueden comunicar los datos de los alumnos a otros centros extranjeros en casos de intercambio.

Siempre que los datos personales se envían fuera de la Unión Europea, Noruega, Islandia y Liechtenstein, se considerará una transferencia internacional de datos y se precisaría de consentimiento del alumno o tutores.

Y no tiene que ser una simple comunicación de datos a terceros, bastaría con contratar un servicio a un proveedor que estuviera en un país no incluido en los países detallados anteriormente, que implicara un alojamiento cloud de datos.

Ciberacoso, grooming o sexting

En casos en los que pueda existir una vulneración de derechos de alguna persona, el centro educativo podría acceder a los servicios de mensajería instantánea de un alumno, sin consentimiento de este.

Para otros casos, el contenido y claves de acceso a plataformas de mensajería instantánea, (ej. WhatsApp o Telegram) se consideran datos personales y para el acceso se precisaría de consentimiento previo del alumno, si tiene 14 años o más, o en su defecto por los padres o tutores legales.

Entrega de Calificaciones académicas

Las calificaciones se entregarán a padres y alumnos exclusivamente y si se comparten mediante plataformas educativas, se restringirá el acceso con identificadores y contraseñas.

Para casos en los que los alumnos sean mayores de 18 años, los padres podrán solicitar las calificaciones de sus hijos, siempre que los progenitores corran con los gastos educativos o de manutención, pues existiría un interés legitimo en conocer la evolución académica.

Intimidad de alumnos en caso de Violencia de género

En casos en los que el alumno solicite eliminar la publicación de sus datos en las listas de admisión, será atendida la solicitud, con la finalidad de preservar su seguridad e intimidad.

Publicación de listas con los alumnos admitidos

Cuando sea necesario reunir una serie de requisitos para ser admitido como alumno en un centro educativo, se podrán publicar listas.

No obstante, cabe puntualizar que esta lista se publicará con ciertos límites o restricciones, con la finalidad de que sean los solicitantes los que tengan acceso a ella.

 Publicación de listas sobre los alumnos becados

Según la normativa vigente, es obligatorio publicar la información sobre subvenciones y ayudas públicas concedidas por las Administraciones Públicas.

Pero es importante señalar que en ningún caso, se podrán publicar datos personales que nada tengan que ver con los requisitos establecidos por la Administración para la concesión de las ayudas que correspondan en cada caso.

Estos listados además deben de ser retirados cuando ya no se consideren necesarios.

Expedientes Académicos

Los docentes dentro de su relación con los alumnos, tendrán libre acceso sobre datos de expediente académico y datos de la salud de estos. Pues se considera necesario dicho acceso, para poder llevar a cabo debidamente la labor que desempeñan.

La finalidad: el docente tiene que ser consciente de las limitaciones físicas, intelectuales o psíquicas de sus alumnos. Pues con ello se procura garantizar una atención personalizada al alumno.

 Padres Separados o Divorciados

La relación de los Centros Educativos con padres están separados o divorciados, con independencia de quien tenga la custodia, implica informarles a ambos sobre la situación académica de sus hijos.

En caso de conflicto entre los progenitores, deberá plantearse el caso ante el juez competente en materia de familia, para su resolución.

Pero existen casos donde un progenitor solicita al centro que no le proporcione información al otro progenitor. En esos casos el centro deberá solicitar el Convenio Regulador o Sentencia Judicial que determine la privación de la patria potestad o prohibición de comunicarse con los hijos.

Las AMPA

Disponiendo del previo consentimiento de los alumnos y/o padres, las Asociaciones de madres y padres de alumnos (AMPA), podrán obtener información de forma directa por parte del centro educativo.

Otros tratamientos

Videovigilancia, captación de imágenes por parte de terceros o de familiares, comunicación de datos a servicios sanitarios, servicios sociales, Ayuntamientos, etc., etc.

Asesoramiento experto

Business Adapter® es Delegado de protección de datos personales de varios Centros Educativos, algunos de gran prestigio.

Si necesita un Delegado de protección de datos para su Centro Educativo, contáctenos o solicite presupuesto

[su_button url=»https://businessadapter.es/servicios/proteccion-de-datos/presupuesto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]Quiero presupuesto sin compromiso[/su_button]