Vuelta al cole y el uso de datos de los alumnos

La vuelta al cole es un buen momento para recordar a los padres los derechos que tienen los hijos como estudiantes y a los centros educativos las obligaciones que se les exige, que cada vez son más abundantes y provenientes de distintas normas, entre ellas, las relacionadas con la protección de datos de estudiantes y trabajadores.

Los menores y adolescentes, se consideran grupos vulnerables y son objeto de protección con los más altos estándares por parte de nuestro ordenamiento jurídico, sin que el ámbito de la protección de datos sea una excepción.

Para dar contexto, en el sector educativo identificamos los siguientes actores que ayudan a cumplir con la protección de datos del alumnado y trabajadores.

Figuras existentes en los centros educativos

Los centros educativos, tienen identificadas las siguientes figuras que interactúan en el tratamiento de datos.

Estudiantes:

Son los titulares de los datos personales y a él/ella le pertenecen.

Los estudiantes pueden ser menores o mayores de 14 años; en este caso, cuando sean menores de 14 años, serán los padres o tutores quién darán el consentimiento para el tratamiento de los datos, y no el menor.

El/la estudiante ostenta la figura de interesado/a.

Profesores y resto de trabajadores con acceso a datos personales:

Estos colectivos están obligados mantener la confidencialidad de los datos a los que accedan y no sólo a proteger los datos de los estudiantes, sino también los datos de sus propios compañeros/as de trabajo.

Estas personas, cada una de ellas, ostentan la figura de interesados/as.

El centro educativo:

Es la persona jurídica representada en el centro educativo, y que determina las finalidades del tratamiento de los datos personales, tanto de los alumnos como de los profesionales y cuerpo administrativo que integra el centro.

Por lo tanto, ostenta la figura del Responsable del tratamiento.

El encargado de tratamiento

Normalmente es externo al centro educativo, y trata los datos proporcionados por el responsable del tratamiento, siguiendo sus instrucciones. Un ejemplo claro de Encargado de tratamiento en un centro educativo es la empresa que se encarga del comedor o de las actividades extraescolares.

El delegado de protección de datos (DPD):

Todo centro educativo obligatoriamente debe nombrar a un DPD, según lo dispuesto en el art. 34.1 b) de la LOPDGDD, ya sea que lo nombre la Administración Pública en el Sector Educativo, si el centro es público, o la dirección del centro escolar, si éste es privado o concertado.

Las funciones del DPD son las establecidas en el art. 39 del RGPD, de entre las cuales son las de asesorar en el área de protección de datos y vigilar el cumplimiento de las obligaciones legales en la materia, así como atender dudas, quejas y reclamaciones que puedan surgir por parte de los afectados, el centro escolar o la propia AEPD.

Coordinador/a de bienestar y protección del alumnado

Amén de lo ya expuesto, existen otra figura que debemos tener en el radar y que está directamente relacionada con la protección y bienestar de los menores.

Aunque su objetivo no es propiamente la protección de datos, tiene presencia en los centros educativos por imperativo legal; estamos hablando del Coordinador o Coordinadora de bienestar y protección del alumnado, regulado en la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.

El art. 35 de esta ley señala que en todos los centros educativos donde cursen estudios personas menores de edad, independientemente de su titularidad, deberán tener un Coordinador o Coordinadora de bienestar y protección del alumnado, que actuará bajo la supervisión de la persona que ostente la dirección o titularidad del centro.

Novedades en materia de protección de datos en el sector educativo

Desde que es obligatorio cumplir con la Normativa de protección de datos europea y española (RGPD y LOPD-GDD),  el sector educativo debe cumplir con numerosas obligaciones, tales como llevar a cabo un Registro de Actividades y un Análisis de riesgo del tratamiento de los datos personales de los menores, así como Evaluaciones de Impacto (EIPD) y reflejar todos sus tratamientos en el registro de actividades de tratamiento, así como nombrar a un Delegado de Protección de Datos (DPD) y un Coordinador de bienestar.

Sin embargo, estos no son los únicos cambios a los que han tenido que enfrentarse los centros educativos en materia de protección de datos; también han debido adaptarse a lo dispuesto incluso a otras normativas, que inciden directamente con el tratamiento de datos personales, incluyendo el tratamiento de datos de categoría especial.

Detallamos algunas de estas obligaciones:

Certificado negativo de delitos sexuales

Todo el personal que trate habitualmente con menores, sea su actividad remunerada o no, tendrá que aportar un certificado negativo del Registro Central de delincuentes sexuales (art. 57.1 Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.

Activar un Canal propio de denuncias

Con la entrada en vigor de la Ley 20/2023 de Protección al Informante, todos los centros educativos que tengan contratados cincuenta o más trabajadores, deberán activar un Canal propio de denuncias, así como elaborar todas las políticas y demás obligaciones establecidas en la mencionada Ley.

Formación de las personas trabajadoras

El personal docente y administrativo, incluso otras personas trabajadoras que pudieran acceder a datos personales, como por ejemplo, servicios de cocina o limpieza, deberán formarse en materia de protección de datos (art. 39.1.b) del RGPD).

Adicionalmente, las personas trabajadoras deberán formarse en derechos digitales, esto es, sobre el derecho a la desconexión digital y el derecho a la privacidad (según art. 88.3 de la LOPD-GDD.

Responsabilidad activa

Generar toda la documentación necesaria para poder demostrar que el centro educativo  cumple las obligaciones en materia de protección de datos.

Consentimiento individual desde los 14 años

En cumplimiento de la LOPD-GDD, el menor podrá otorgar su consentimiento para el tratamiento de sus datos, siempre y cuando sea mayor de 14 años.

Medidas de seguridad específicas según el riesgo del tratamiento

Aplicar todas las medidas técnicas y organizativas necesarias para garantizar la protección de los datos personales, tanto de los alumnos como de todo el personal del centro educativo.

Consentimiento para publicar imágenes

Solicitar el consentimiento expreso a los padres para poder utilizar las imágenes y la voz de los menores en actividades escolares que pudieran ser publicitadas en la web o redes sociales del centro educativo, prensa, revista escolar, etc.

Business Adapter® a tu servicio 

Si necesitas adecuar tu centro educativo, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: