¿Sabías que…? Adapta fácilmente tu centro educativo al nuevo RGPD
Hasta ahora se venía hablando mucho de la inminente implantación del nuevo RGPD, que desde el 25 de mayo ya es una realidad.
Hemos desarrollado este contenido para hacer acopio de los consejos prácticos y fundamentales a la hora de actualizar la política sobre protección de datos de tu centro educativo, de una manera cercana y sencilla. Con ello no pretendemos cubrir toda la casuística del nuevo reglamento, pero sí los puntos más recurrentes en las consultas que nos plantean en nuestra la Línea de Ayuda, tanto educadores como familias. Os proponemos una infografía con los elementos imprescindibles que debéis controlar sobre el RGPD y ¡en formato imprimible para que todo el equipo educativo pueda estar informado!
Uno de los puntos más sensibles a la hora de tratar con datos personales es el de disponer previamente del consentimiento necesario, que tendrá que solicitar al alumno o, si este es menor de 14 años, a los padres o tutores legales para dicho tratamiento. Los centros educativos están legitimados para ello dentro de su función educativa pero en otras muchas ocasiones realizan actividades que, aún correspondiendo al curso académico, no se relacionan directamente con la labor educativa. En otros momentos también pueden participar empresas externas a las que se contratan servicios o que solicitan algún tipo de colaboración. Para reflejar estas autorizaciones ponemos a vuestra disposición tres propuestas de modelos de consentimiento que también podréis encontrar de manera agrupada en nuestra guía/recurso "Modelos de consentimiento sobre datos personales":
Consejos prácticos para cumplir con el nuevo RGPD
Para contemplar de manera adecuada el proceso de adaptación del nuevo RGPD a nuestro centro educativo debemos tener en cuenta el decálogo de buenas prácticas sobre protección de datos. De esta manera también contribuiremos a la mejora de funcionamiento del día a día del propio centro.
Este decálogo recoge aspectos importantes sobre la privacidad, la formación del personal, la transparencia en el tratamiento, el consentimiento sobre el uso y, también, algunos consejos particulares sobre el uso de las aplicaciones informáticas, la mensajería y las imágenes.
-
Décalogo para el uso de datos personales en centros educativos
- Privacidad: El personal relacionado con el centro educativo debe tratar los datos personales con diligencia y respeto a la privacidad e intimidad, anteponiendo el interés y la protección de los menores.
- Formación: Los centros educativos deben formar sobre los principios básicos del tratamiento correcto de los datos personales.
- Transparencia: Aunque los centros educativos tienen justificado el tratamiento de los datos personales a través del ejercicio de su función educativa, deben informar del mismo con lenguaje claro y sencillo a los afectados añadiendo los datos de contacto del delegado de protección de datos y del plazo de conservación de los mismos o del criterio para determinarlo.
- Consentimiento: Cuando el tratamiento de datos personales tenga una finalidad diferente a la educativa el centro educativo debe obtener consentimiento de los alumnos o, en caso de ser menores de 14 años, de sus padres o tutores sobre cada finalidad detallada de manera clara, danto oportunidad de oposición.
- Dentro de las TIC:
- Políticas y condiciones de las aplicaciones: Los centros educativos deben conocer las políticas de privacidad y las condiciones de las aplicaciones a utilizar, rechazando las que no sean explícitas en el tratamiento de los datos personales.
- Protocolos y guías: Los centros educativos deben disponer de protocolos, guías y recomendaciones para el uso de las TIC por parte del profesorado, adaptando su enseñanza al grado de desarrollo de los niños.
- Mensajería instantánea: Es necesario sopesar el uso de mensajería instantánea entre profesores y padres o entre profesores y alumnos, recomendándose su uso únicamente para a casos en los que los que el interés superior del niño pudiera verse comprometido (en estos casos se podrían captar imágenes del niño y ser enviadas a los titulares de su patria potestad).
- Publicación: El profesorado debe ser cauteloso con los materiales que suben a Internet enseñando, al tiempo, a sus alumnos que no pueden sacar fotografías o videos de otras personas y hacerlas públicas sin su consentimiento.
- Imágenes familiares: Es recomendable que en los eventos con asistencia familiar informen a los familiares de los alumnos de que la obtención de imágenes debe ser exclusivamente para su uso personal y doméstico.
A pesar de que los conceptos empleados dentro del ámbito del RGPD no son complicados, sí es cierto que pueden causar cierta confusión entre el personal no iniciado en este tipo de reglamentación.
Conviene tener una idea clara y concreta de la implicación de cada uno de ellos ya que estos conceptos determinan, entre otras cosas, los roles y responsabilidades dentro de los contratos y las acciones fundamentales sobre los datos personales. Ello deriva en una serie de compromisos legales entre todas las partes afectadas.
-
Conceptos básicos sobre protección de datos
- Dato personal: Cualquier información en forma de dato, fotografía, vídeo, gráfico, sonido o de cualquier otro tipo relativo a personas físicas que permita su identificación dentro de un colectivo sin esfuerzos desproporcionados.
- Datos especialmente protegidos: Datos que revelan circunstancias o información de las personas sobre su intimidad y condición personal (ideología, afiliación, religión, origen racial, salud, sexualidad, penales y administrativos). Se denominan “categorías especiales de datos”.
- Pertenencia del dato personal: Corresponde a la persona física titular del dato, resultando ser el afectado o interesado.
- Fichero: Conjunto estructurado de datos personales, accesibles con criterios determinados, y que puede estar centralizado, descentralizado, repartido de forma funcional o geográfica o tratado de forma manual o automática. No es necesaria su notificación a la AEPD ni a las autonomías, siendo únicamente relevante su tratamiento.
- Tratamiento de datos: Cualquier actividad en la que estén presentes datos personales, ya sea manual o automatizada, total o parcialmente.
- Responsable del tratamiento de datos: Persona física o jurídica, pública o privada, que decide sobre el uso de los mismos por decisión directa o por imposición normativa. En el ámbito educativo normalmente será la Administración Pública correspondiente o el propio centro si es concertado o privado.
- Encargado del tratamiento de datos: Persona física o jurídica, autoridad pública, servicio u otro organismo que trate los datos personales por cuenta del responsable del tratamiento incluyendo a las personas o entidades que presten servicios al centro educativo caso en el que debe mediar un contrato con garantías sobre la protección de datos.
- Cesión de datos: Revelación de los mismos a una persona (física o jurídica, autoridad pública, servicio u organismo) distinta de su titular. No se considera cesión de datos a las comunicaciones de datos a las empresas que tengan condición de encargados del tratamiento.
- Transferencia internacional de datos: Envío de datos fuera del ámbito del Espacio Económico Europeo (EEE), ya se realice para que el destinatario preste un servicio al centro educativo o bien para que los trate para una finalidad propia.
Si ya tenemos claras las buenas prácticas sobre el tratamiento de datos personales contenidas en el decálogo y también nos hemos aclarado con los conceptos básicos del RGPD, es momento de afrontar los principios sobre la protección de datos.
Estos principios son los pilares básicos de toda la legislación entorno a su tratamiento pues describen qué pueden hacer los centros educativos por el simple hecho de ser tales instituciones a diferencia de otras personas, por qué motivo se puede solicitar un dato o no, qué seguridad debe ser tenida en cuenta durante su tutela y hasta cuándo se pueden conservar, entre otros detalles.
Sabemos que los datos personales son fundamentales para el normal funcionamiento de nuestro centro escolar, pero hemos de tener cuenta que en muchas ocasiones estarán supeditados a la voluntad de sus legítimos propietarios. En este sentido, las personas, dueñas de sus datos personales, pueden ejercitar una serie de derechos que nos obligan a que les facilitemos acceso a los mismos y la posibilidad de corregirlos, así como de cancelarlos e, incluso, a que atendamos su derecho a oponerse a nuestra tenencia y tratamiento sobre sus datos.
-
Principios sobre la protección de datos personales
- Legitimidad: Los datos pueden ser tratados si existe consentimiento previo por parte de los titulares. Los centros educativos están legitimados para el tratamiento de los datos de los alumnos en su ejercicio de la función educativa, así como para la relación jurídica que se produce con la matriculación de los alumnos, por consentimiento de los mismos o de sus padres en caso de ser menores de 14 años y por intereses legítimos que, por ponderación sobre los derechos y libertades de los afectados, se consideren que prevalecen sobre éstos.
- Calidad: No se pueden tratar más datos que aquellos necesarios estrictamente para la finalidad de cada caso, no pudiendo ser recabados fraudulentamente y su utilización debe ser conocida por los titulares. Además han de ser exactos y actualizados.
- Transparencia: Los centros educativos, aun estando legitimados, deben facilitar de forma clara y concisa, información sobre la existencia de ficheros y tratamientos, la finalidad de los mismos, la obligatoriedad o no de facilitar datos y consecuencias en caso de negativa, los destinatarios de los datos, los derechos de los interesados y dónde ejercitarlos así como la identidad del responsable del tratamiento (el centro o la Administración correspondiente), los datos de contacto del delegado de protección de datos y el plazo de conservación o el criterio para determinarlo.
- Seguridad: Los centros educativos deben adoptar medidas de seguridad, técnicas y organizativas, para garantizar la integridad, confidencialidad y protección de los datos personales frente a su tratamiento ilícito, pérdida, destrucción o daño accidental. No existe un catálogo de medidas, pero sí se establece que responsables y encargados del tratamiento deben definirlas en base a un análisis de riesgos, costes, alcances y derechos y libertades.
- Secreto: Todas las personas que tengan acceso a datos de carácter personal están obligadas aguardar secreto sobre los mismos, incluso cuando la relación con el responsable o el encargado del tratamiento haya finalizado.
- Cancelación: Los datos serán conservados estrictamente por el tiempo definido para la finalidad por el que fueron recabados. A partir de ese momento han de ser cancelados, lo que no implica su borrado material sino su identificación con la finalidad de impedir su ulterior proceso o utilización, excepto para ponerlos a disposición de Administraciones, Jueces y Tribunales. Transcurrido el plazo legal de conservación deben ser destruidos para evitar que sean accesibles por terceros no autorizados.
-
Derechos sobre la protección de datos personales
- Acceso:
- Conocimiento y obtención gratuita de información sobre si los datos personales son objeto de tratamiento, su finalidad, qué datos son, su origen y los destinatarios de los mismos.
- Existe un plazo de un mes para que el responsable del tratamiento facilite la información o en caso contrario, la respuesta de que no se dispone de ellos.
- No es obligada la copia del expediente escolar, aunque si contiene datos de salud, sí debe entregarse copia de los mismos.
- Rectificación:
- Corrección de errores, modificación de datos inexactos o incompletos y certeza de la información objeto del tratamiento.
- En caso de menores de 14 años, son sus padres o tutores quienes han de ejercitar este derecho.
- La rectificación no es aplicable a calificaciones ni a expedientes escolares.
- Cancelación:
- Supresión de datos que resulten inadecuados o excesivos.
- Los expedientes académicos han de ser conservados para posible información a los alumnos una vez finalizados sus estudios.
- Los datos sobre salud serán cancelados cuando no sean necesarios para el desarrollo de la función educativa.
- Oposición:
- Cese o no tratamiento de los datos de carácter personal.
- Los alumnos y familiares pueden oponerse a la publicación de los mismos cuando exista un motivo legítimo y fundado.
- Acceso:
Ahora bien, atendiendo a todo lo anterior, ¿cómo hemos de proceder para el tratamiento de los datos personales? Todas las acciones que se tomen en este sentido, que abarcan desde su recogida hasta su borrado, han de atender a aspectos como la calidad de los datos (en cuanto a que se recojan datos que realmente tengan una finalidad justificada), la forma de publicación, el tratamiento de las imágenes y la intervención de terceras figuras dentro de todos estos procesos.
-
Tratamiento de datos en los centros educativos
- Recogida de datos:
- Los centros educativos, informando siempre a sus titulares, pueden recabar datos personales, tanto de alumnos como de sus padres o tutores, para la función educativa y orientadora, incluso categorías especiales de datos y cualquier circunstancia cuyo conocimiento sea necesario para la educación y orientación.
- Para datos referentes a origen racial, salud y vida sexual se requiere consentimiento expreso y para datos referentes a ideología, afiliación, religión o creencias, el consentimiento ha de ser escrito.
- Ante situaciones de interés público, el centro educativo puede, conforme a su protocolo, acceder a contenidos de mensajería instantánea y redes sociales de los alumnos sin previo consentimiento.
- Respecto a las imágenes, aunque el centro educativo no puede recogerlas como parte de la labor educativa, sí lo puede hacer en el caso de que el interés superior del alumno estuviera comprometido.
- Tratamiento de datos:
- El centro educativo puede publicar listas de alumnos admitidos siempre y cuando no suponga un acceso indiscriminado a la información y teniendo en cuenta el derecho a oposición por motivos legítimos y fundamentados.
- Internamente puede publicar listas organizativas de las aulas.
- También pueden publicar la información relativa a subvenciones y ayudas públicas concedidas por las Administraciones.
- Las calificaciones han de ser dirigidas de manera privada a los alumnos y a sus padres o tutores aunque cabe la posibilidad de su lectura oral en el aula.
- Los profesores pueden acceder a los expedientes y datos de salud de los alumnos a los que imparten docencia, pero no a los del resto.
- Los padres y tutores tienen derecho de acceso a la información sobre el absentismo escolar de sus hijos así como a la información sobre su salud.
- En el caso de padres separados, ambos tienen derecho a recibir la misma información. En caso de conflicto deberá plantearse ante un juez competente en materia de familia.
- El centro educativo puede comunicar los datos personales de un alumno a otro centro para su matriculación en caso de traslado, sin consentimiento de padres o tutores.
- El centro educativo puede comunicar los datos personales de un alumno a las Administraciones, a los Servicios Sociales, a las Fuerzas y Cuerpos de Seguridad y a los centros sanitarios (siempre y cuando su personal esté sujeto al secreto profesional) para el ejercicio de sus competencias.
- En caso de actividades extraescolares en las que se estén implicadas instituciones, entidades o empresas, los centros escolares podrán cederles datos de sus alumnos con el previo consentimiento expreso de sus padres o tutores.
- El centros educativo necesita previo consentimiento expreso de padres y tutores para comunicar datos personales a las AMPAs.
- Tratamiento de imágenes:
- Los centros escolares están legitimados para la toma de imágenes necesarias para el desarrollo de su función educativa, para otros fines necesitan consentimiento de padres o tutores (informándoles de la forma de publicación que tendrán).
- Los casos de conflicto entre cónyuges sobre el consentimiento deben solucionarse ante un juez competente en materia de familia.
- Las familias de los alumnos pueden realizar fotografías y vídeos en eventos abiertos para ellas siempre y cuando uso sea personal y doméstico, no pudiendo difundirlas sin previo consentimiento de los afectados.
- La oposición de padres a la grabación de imágenes y vídeos por parte de las familias para su uso personal y doméstico en eventos abiertos para ellas no tiene cabida pues se encuentra excluida de la normativa de protección de datos.
- Si una empresa realiza toma de imágenes o vídeos por encargo del centro educativo, éste debe tener consentimiento de padres o tutores.
- Si una empresa realiza toma de imágenes o vídeos para sus propios fines, ésta deberá tener consentimiento de padres o tutores de manera directa o a través del centro educativo.
- Tratamiento de datos en Internet:
- Los centros educativos que suscriban contratos con empresas de prestación de servicios de plataformas educativas en Internet son los responsables del servicio, mientras que las empresas son las encargadas del tratamiento, y deben poder conocer el procedimiento de recuperación de datos así como transmitir a los usuarios las políticas en materia de seguridad.
- En los contratos con empresas de servicios de plataformas educativas, se deben especificar la naturaleza de los datos de cara a definir y establecer medidas y procedimientos de seguridad, así como las responsabilidades de todos los intervinientes.
- Las empresas prestatarias de servicios de plataformas educativas sólo pueden realizar comunicaciones comerciales a los usuarios de los centros, previo consentimiento por su parte.
- La cesión de datos personales a las editoriales para servicios de adquisición de libros digitales precisa de consentimiento previo de los afectados, no pudiendo ser utilizados dichos datos para otras finalidades.
- Los centros educativos sólo pueden utilizar herramientas de almacenamiento en la nube que cumplan las garantías previstas en la normativa de protección de datos.
- Las aplicaciones utilizadas por los profesores para su labor educativa deben garantizar la política de privacidad definida por el centro educativo, no implicando la transmisión de datos de los alumnos al prestatario del servicio contratado para que los utilice para sus propios fines o los almacene de manera permanente.
- Si se contratan servicios de plataforma educativa con una empresa ubicada en el Espacio Económico Europeo sólo es necesaria la formalización de un contrato con el encargado del tratamiento. Para los casos de empresas ubicadas en territorios no declarados con un nivel adecuado de protección por parte de la Comisión Europea se debe solicitar autorización a la AEPD.
- Al finalizar la contratación de un servicio de plataforma educativa, el centro educativo debe disponer de la portabilidad de la información a sus propios sistemas así como tener la garantía del borrado seguro de los datos personales donde se encuentren almacenados.
- La publicación de datos de docentes en la web del centro de manera restringida a los alumnos y padres o tutores no precisa de consentimiento, aunque se aconseja informar a los afectados, mientras que la publicación en abierto sí precisa de consentimiento.
- Los centros educativos están legitimados para la publicación de datos personales de los alumnos cuando su finalidad sea educativa (publicándolas de manera restrictiva para los alumnos y padres o tutores), para otros fines necesitan consentimiento de padres o tutores (informándoles de la forma de publicación que tendrán).
- Recogida de datos:
¡No olvides que estamos al otro lado del teléfono!
En ocasiones, la única traba no es carecer de conocimientos sobre el tema ni acerca de las medidas para prevenirlo o solucionarlo, sino simplemente no saber cómo afrontar ciertas situaciones. Por eso, siempre que nos encontremos con cualquier cuestión relacionada con la experiencia online de nuestros hijos o bien estemos sufriendo cualquiera de los riesgos mencionados, podemos acudir a la Línea de Ayuda en Ciberseguridad de INCIBE, 017 (teléfono gratuito y confidencial), para obtener un asesoramiento cercano y experto. Ya no existen excusas para no navegar de forma segura y responsable: Si dudas online, IS4K te ayuda.
¡Síguenos en nuestras redes sociales y comparte nuestros contenidos (Facebook y Twitter)!
Para ampliar más información sobre el nuevo RGPD, consulta: www.aepd.es