Tecnología E Ingeniería

Normativa de protección de datos y su aplicación

Los centros educativos desempeñan un papel clave en el desarrollo y progreso de la sociedad. Tienen encomendada la función docente y orientadora de los alumnos, lo que exige el tratamiento de sus datos personales junto a los de otros colectivos como padres, tutores o profesores. Desde el momento de la solicitud de plaza en un centro, la fase de matrícula, la gestión de expedientes académicos, de becas o de ayudas, hasta los servicios de comedor, transporte, etc. inherentes al funcionamiento del sistema educativo; así como para la puesta en marcha y desarrollo de actividades extraescolares. 

Los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación que constituye su razón de ser, también han de observar el derecho fundamental a la protección de los datos de carácter personal que, al no constituir su actividad principal, en ocasiones genera dudas sobre la interpretación y aplicación de su regulación.

Además, hay que tener presente la especial consideración que se debe prestar a los menores, particularmente por los poderes públicos, que ha llevado a la Agencia Española de Protección de Datos a incluir la protección de los menores entre las líneas de actuación prioritarias de su Plan Estratégico 2015-2019, a través de una serie de medidas dirigidas, entre otros sectores, al educativo con la finalidad de reforzar y garantizar la protección de sus derechos y libertades.

Decálogo para un uso correcto de los datos de carácter personal en los Centros educativos

1. Los equipos directivos, profesores, personal administrativo y auxiliar de los centros educativos en el ejercicio de sus funciones y tareas necesitan tratar datos de carácter personal de los alumnos y de sus familiares, lo que deberán realizar con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores. 

2. Las Administraciones y los centros educativos son los responsables del tratamiento de los datos y deben formar sobre sus principios básicos y cómo hacerlo correctamente.

3. Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos para su tratamiento, que estará justificado en el ejercicio de la función educativa y en la relación ocasionada con las matrículas de los alumnos. No obstante, se les debe informar en un lenguaje claro y sencillo, que se puede realizar en el mismo impreso en el que se recojan los datos de:

  • la existencia de un fichero o tratamiento de datos personales, 
  • La finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
  • la obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos, 
  • los destinatarios de los datos, 
  • los derechos de los interesados y dónde ejercitarlos, 
  • la identidad del responsable del tratamiento: la Administración educativa o el centro,

El Reglamento europeo amplía, a partir del 25 de mayo de 2018, la información que debe facilitarse a los titulares de los datos cuando se recaben de ellos mismos, añadiendo los datos de contacto del delegado de protección de datos y el plazo de conservación o los criterios para determinarlo.

4. Cuando sea preciso obtener el consentimiento de los alumnos o de sus padres o tutores para la utilización de sus datos personales por tratarse de finalidades distintas a la función educativa, se debe informar con claridad de cada una de ellas, permitiendo a los interesados oponerse a aquellas que así lo consideren.

5. Las TIC son herramientas fundamentales para la gestión y el aprendizaje de los alumnos. Las Administraciones educativas y los centros deben conocer las aplicaciones que vayan a utilizar, su política de privacidad y sus condiciones de uso de éstas antes de utilizarlas, debiendo rechazarse las que no ofrezcan información sobre el tratamiento de los datos personales que realicen. 

6. Las Administraciones educativas y los centros deben disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC por los profesores, que deberán utilizar las que la Administración educativa y/o el centro hayan dispuesto. Su enseñanza y uso deberán adaptarse al grado de desarrollo del niño.

7. Las comunicaciones entre profesores y padres de alumnos deben llevarse a cabo, preferentemente, a través de los medios puestos a disposición de ambos por el centro educativo (plataformas educativas, correo electrónico del centro). 

8. El uso de aplicaciones de mensajería instantánea (como WhatsApp) entre profesores y padres o entre profesores y alumnos no se recomienda. No obstante, en aquellos casos en los que el interés superior del menor estuviera comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar y tranquilizar a los padres, titulares de la patria potestad, se podrían captar imágenes y enviárselas.

9. Los profesores deben tener cuidado con los contenidos del trabajo de clase que suben a Internet. Deben enseñar a valorar la privacidad de uno mismo y la de los demás, así como enseñar a los alumnos que no pueden sacar fotos ni videos de otros alumnos ni de personal del centro escolar sin su consentimiento y hacerlos circular por las redes sociales, para evitar cualquier forma de violencia (ciberacoso, grooming, sexting o de violencia de género).

10. Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares y de amistad).

Principales novedades del RGPD que afectan al sector educativo

 El Reglamento General de Protección de Datos (RGPD), aplicable a partir del 25 de mayo de 2018, parte de los conceptos y los principios recogidos en la normativa que lo precede, pero modifica algunos aspectos del régimen actual e introduce nuevas obligaciones en relación con su cumplimiento, basadas no sólo en cumplir sino en poder demostrarlo, mediante una actitud consciente, diligente y proactiva.

En términos prácticos, se requiere que los responsables analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la manera en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Sin perjuicio de la actualización que se lleve a cabo de la Guía cuando sea de aplicación el RGPD, se destacan las siguientes novedades que afectarían de una manera directa al sector educativo: 

  • Los responsables del tratamiento, centros y Administraciones educativas, deberán realizar una valoración del riesgo que implique el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias. 
  • Los centros y las Administraciones educativas, cuando planifiquen servicios o productos que impliquen tratamiento de datos personales, desde su inicio deberán tener en cuenta los riesgos que pueda entrañar para la protección de datos y aplicar las medidas de seguridad necesarias para proteger de forma efectiva los derechos de los alumnos y de los demás colectivos de quienes traten sus datos. Igualmente, adoptarán las medidas que, por defecto, garanticen que sólo se tratarán los datos necesarios para la finalidad para la que se recabaron y que no estén accesibles a un número indeterminado de personas.
  • La necesidad de realizar evaluaciones de impacto del tratamiento de los datos, en los siguientes supuestos, que se completarán con los que decidan la Agencia Española de Protección de Datos o las autoridades autonómicas correspondientes:
    • Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual). 
    • Observación sistemática a gran escala de una zona de acceso público (videovigilancia). 
    • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o les afecte de modo similar. 
  • La designación de un Delegado de Protección de Datos, obligatoria en las administraciones y centros educativos, en los términos que disponga la futura Ley de Protección de Datos.
  • Se suprime la obligación de inscripción de los ficheros de datos de carácter personal en el Registro General de Protección de Datos, pero a cambio se deberá llevar un registro de actividades de tratamiento que contenga la siguiente información:
    • el nombre y los datos de contacto del responsable y, en su caso, del representante del responsable y del delegado de protección de datos;
    • los fines del tratamiento; • una descripción de las categorías de interesados y de las categorías de datos personales;
    • las categorías de destinatarios a quienes se comuniquen los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; 
    • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional;
    • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
    • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
  • El consentimiento de los alumnos o de sus padres o tutores, cuando se precise, no se podrá obtener de forma tácita, se necesita al menos una clara acción afirmativa del interesado. Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso.
  • Cuando se produzca la destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una “violación de seguridad”, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados.

Modelo de consentimiento informado

Hemos desarrollado un modelo tanto para el PIE Filma como para el PIE Formapps:

Deja un comentario

Comments (

4

)

  1. PIE FORMapps: El Mapa – Tecnología E Ingeniería

    […] Además, se genera un documento de consentimiento informado a todos los alumnos participantes, para el tratamiento de imágenes y voz. […]

    Me gusta

    Responder
  2. PIE Filma 2: El camino – Tecnología E Ingeniería

    […] Para los permisos de voz e imagen se ha tenido en cuenta la normativa sobre protección de datos y su aplicación (aquí puedes leer más si quieres conocer más en profundidad el tema). […]

    Me gusta

    Responder
  3. PIE Filma 2: Partidas Ajedrez – Tecnología E Ingeniería

    […] Para los permisos de voz e imagen se ha tenido en cuenta la normativa sobre protección de datos y su aplicación (aquí puedes leer más si quieres conocer más en profundidad el tema). […]

    Me gusta

    Responder
  4. Chess: I Torneo de partidas semirrápidas – Tecnología E Ingeniería

    […] elaborado un documento de consentimiento informado para tratamiento de voz e imágenes. Aquí puedes encontrar más información sobre la normativa de protección de datos y su […]

    Me gusta

    Responder
Diseña un sitio como este con WordPress.com
Comenzar