Protección de datos en centros educativos. Guía 2022

Cumplir con la Ley de Protección de Datos en centros educativos es una obligación ineludible, dado el volumen de datos que estos tratan, desde los del alumnado hasta el de sus empleados, además de tratar datos de menores de edad, estos centros también pueden llegar a tratar datos de categorías especiales (como los de la salud).

En esta guía de protección de datos para centros educativos explicaremos cómo estos, en su papel de responsables del tratamiento, deben proceder a cumplir con todas las obligaciones de la normativa y detalláremos algunos aspectos en concreto que les afectan especialmente.

Aspectos fundamentales de la protección de datos en los centros educativos

La protección de datos en centros educativos entraña, en muchos casos, cumplir con la normativa de una manera mucho más estricta que en otro tipo de organizaciones, puesto que cuando hablamos de colegios, institutos y academias, muchas veces estamos hablando de tratar datos de menores de edad, incluso, y como decíamos en la introducción, con datos relativos a la salud, aparte de los datos de padres o tutores legales y los datos de los propios empleados del centro.

Así mismo, y dadas las actividades que se desarrollan en un centro educativo, también suelen surgir algunas dudas respecto a qué se puede y no hacer en materia de protección de datos, como por ejemplo, ¿se pueden colgar las notas en tablones de anuncios?, ¿pueden acceder los padres a las notas de sus hijos mayores de edad?, ¿se pueden colgar fotos de los alumnos en la página web del colegio o sus redes sociales?, ¿un profesor puede grabar a sus alumnos?, etc.

En los siguientes puntos trataremos de despejar estas y otras dudas, explicando cómo deben aplicar el RGPD y la LOPDGDD los centros educativos.

¿Qué tipos de datos tratan los centros educativos?

La garantía del derecho a la educación reconocida en el artículo 27.1 de la Constitución Española, implica el desarrollo de una actividad administrativa que trae consigo el tratamiento de datos personales.

Recordamos que un dato personal es aquel que se refiere a una persona física identificada o identificable.

Por lo tanto, estamos hablando de los datos identificativos de una persona: nombre, apellidos, domicilio, teléfono, DNI, e-mail, etc.

Pero junto a estos, la Ley Orgánica de Educación legitima a los centros escolares a recabar datos de carácter personal para la ayuda a la función docente y orientadora de los alumnos en referencia a:

– Origen y ambiente familiar y social:

Con esto nos referimos a toda la información sobre la situación familiar de los alumnos.

Un centro escolar puede recoger información relativa tanto a los alumnos como a los padres.

El caso de los padres es relevante, ya que si, por ejemplo, están divorciados, el centro debe saber quién ostenta la patria potestad para la recogida de los menores.

– Características o condiciones personales del menor:

Aquí encontramos los llamados datos sensibles, en cuanto sean necesarios para la función educativa.

En este caso hay diferentes momentos en que se pueden recabar datos sensibles del menor, entre los que destacamos:

• En la matriculación del alumno:
  • Discapacidades
  • Enfermedades crónicas
  • TDAH
  • Intolerancias alimentarias
  • Alergias
• Durante el curso escolar:
  • Tratamiento médico que reciba un alumno a través del servicio médico o de enfermería del centro
  • Informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro
  • Informes de los equipos de orientación psicopedagógica

– Desarrollo y resultados de su escolarización:

Se trata de datos e información relacionada con el rendimiento escolar, como, por ejemplo, las notas de cada uno de los alumnos, así como las asignaturas que ellos mismos hayan podido escoger.

– Circunstancias cuyo conocimiento sea necesario para educar y orientar a los alumnos:

Este punto nos enlaza con los dos primeros, ya que será necesario el conocimiento de la situación familiar y personal del alumno para su buen desarrollo educativo.

Por ejemplo, conocer la situación socioeconómica de una familia puede ayudar a determinar si un alumno necesita más o menos apoyo en determinadas áreas o acceso a material escolar.

– Datos ajustados a la finalidad:

Como ocurre en otros ámbitos, uno de los requisitos de la ley de protección de datos en centros educativos es no recabar datos personales que sean excesivos para la finalidad para la que son recogidos.

Por ejemplo, en el caso de las solicitudes de plaza en un centro de enseñanza, no es necesario recabar los datos bancarios para el pago de actividades extraescolares hasta que no se hubiera resuelto el proceso y fuese admitido el alumno.

¿Cómo se deben recoger los datos personales en los centros educativos?

Cuando el consentimiento explícito sea la base legitimadora del tratamiento, los centros educativos deberán obtenerlo con carácter previo al propio tratamiento de datos. Si los datos se recaban y tratan en base a otra legitimación que no exija el consentimiento de los interesados, estos, en cualquier caso, deben ser informados del tratamiento y su finalidad.

Cuando los datos que se vayan a tratar sean de categorías especiales (origen racial, relativos a la salud y a la vida sexual, ideología, religión o creencias o afiliación sindical), el consentimiento debe ser siempre expreso y prestarse por escrito.

Como el consentimiento debe quedar registrado, lo habitual es recurrir a incluir la correspondiente cláusula en el mismo impreso o formulario en el que se van a recabar los datos (por ejemplo, en el formulario de matriculación), usando casillas para marcar el otorgamiento del consentimiento o mediante la firma.

El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia.

En cuanto a los profesores, más allá de cuando los profesores recogen datos personales de los alumnos en el ejercicio de sus funciones administrativas, también estarán legitimados para recoger datos personales de los alumnos directamente en el desempeño de sus labores docentes, por ejemplo, para evaluar ejercicios, dentro de las instrucciones o protocolos internos al respecto del centro.

¿Para qué se pueden emplear los datos personales recabados?

De acuerdo a la ley de protección de datos en centros educativos, los datos personales no podrán usarse para fines diferentes al educativo (función docente y orientadora).

Tanto el profesor como el resto del personal del centro que acceda a los datos de carácter personal de los alumnos, se encuentran sometidos al deber de guardar secreto.

¿Qué tipo de datos pueden publicar los centros educativos?

De acuerdo a la Ley de Protección de Datos, los centros educativos pueden publicar los siguientes datos personales:

– Listas de admitidos:

Se puede publicar la lista de alumnos admitidos siempre y cuando se haga de una manera que no suponga un acceso indiscriminado la información:

• Publicación en tablones dentro del centro
• A través de una página web de acceso restringido

Esta publicación deberá recoger solo el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.

Esta información, no obstante, estará disponible para los interesados que ejerzan su derecho a reclamar.

– Notas de alumnos:

A diferencia de lo que ocurre en la educación universitaria, la publicación de notas en los centros educativos no está regulada y, por lo tanto, es un tema en el que es habitual que surjan dudas.

Para resolver estas dudas, la guía de la AEPD para la aplicación de la ley de protección de datos en centros educativos da algunas directrices, que resumimos a continuación:

• Como norma general, las notas de los alumnos solo se deben facilitar a los propios alumnos y sus padres, evitando su exposición pública en tablones de anuncios o comunicándolas de forma oral en la clase.
• Si las notas se comunican a través de una plataforma digital, estas solo deberían ser accesibles para los propios alumnos, sus padres o tutores.
• En el caso de que el alumno fuese mayor de edad, los padres podrán solicitar el acceso a las notas cuando estos corran con los gastos educativos o de alimentos (en el caso de padres separados), ya que se considera que existe un interés legítimo de los padres derivado del mantenimiento de sus hijos mayores de edad.

– Beneficiarios de becas:

En estos casos hay que poner en valor dos situaciones:

• Si la beca está fundada en una situación de discapacidad de los beneficiarios
• Si la beca puede afectar a la esfera íntima del afectado

En estos casos, se podrá publicar solamente mediante el número identificador de la solicitud que solo el afectado conoce.

– Imágenes y videos:

Es habitual que los centros docentes, con motivo de eventos o celebraciones, recojan imágenes de alumnos, profesores y familiares. Pero ¿qué dice la ley de protección de datos en centros educativos respecto a la captación y publicación de imágenes en estas situaciones? Hay diferentes casuísticas que debemos tener en cuenta.

Primero, señalar que cuando el consentimiento para la captación y publicación de imágenes sea necesario, los alumnos mayores de 14 años podrán darlo ellos mismos, mientras que para los menores de 14 años, será necesario que el consentimiento lo den sus padres o tutores legales.

Así, cuando las imágenes o vídeos se capten con fines educativos, como pueden ser trabajos o evaluaciones, no será necesario recabar el consentimiento. Sí lo será cuando esas imágenes vayan a ser publicadas en la web del centro.

Los profesores podrán grabar a sus alumnos siempre y cuando la finalidad esté relacionada con la actividad docente y dichas imágenes solo estén accesibles para los propios alumnos, sus padres o tutores legales, aparte del propio profesor.

Si las imágenes las captan padres o tutores legales u otros familiares en el desarrollo de un evento escolar, al tratarse de un uso doméstico, la normativa de protección de datos no es de aplicación.

¿Dónde y cómo publicar los datos personales?

Hemos visto cómo pueden recabar datos personales los centros educativos, pero qué ocurre con su publicidad? ¿Dónde se pueden publicar datos personales y cómo hacerlo de acuerdo a la normativa de protección de datos para centros educativos?

– Tablón de anuncios

Se pueden publicar listas de admitidos, notas y cualquier otra información similar en los tablones de anuncios de centro, cuando esta información deba estar disponible de forma pública. Si bien, esta publicación debe realizarse de manera proporcionada, es decir, sin que suponga un acceso indiscriminado a la misma (los tablones deben estar en el interior del centro o una web de acceso restringido) y solo deberá recoger el resultado final del baremo o contener ningún dato relativo a la situación particular de cada familia.

Una vez que ya no sean necesarios, estos listados se deberán retirar de los tablones.

– Página web y redes sociales

Es habitual que la web de un centro educativo cuente con información referida a las actividades que desarrolla y los servicios que ofrece.

Debido a esto, en algunas ocasiones incluyen información que contiene datos de carácter personal del personal del centro y los alumnos, por lo que se deben considerar y aplicar las obligaciones de la ley de protección de datos en centros educativos, en especial en lo que se refiere al consentimiento de los interesados.

Así mismo, si se van a subir fotografías o vídeos a la web del centro o las redes sociales, será necesario recabar el consentimiento expreso de los interesados (alumnos, padres o tutores legales, profesores y cualquier otro personal del centro). Además, se les proveerá de la siguiente información:

• Datos que se van a publicar

• Redes sociales en las que se van a utilizar

• Finalidad de uso

• Quién puede acceder a los datos
• Plazo durante el que se van a conservar las imágenes, así como los criterios para su eliminación

En el caso de que un profesor quiera usar las imágenes en su blog personal, al margen de la función de docencia, deberán siempre solicitar el consentimiento expreso de alumnos o padres o tutores legales, siendo el profesor el responsable del tratamiento.

– Otros medios

Si en el centro se han instalado cámaras de videovigilancia, esta instalación debe responder a un interés legítimo del centro en mantener la seguridad e integridad de las personas e instalación. Y deberá tener en cuenta lo siguiente:

• Su colocación debe ser proporcional, es decir, que la finalidad perseguida no se pueda conseguir por otros medios menos intrusivos y que la instalación de cámaras de seguridad ofrezca más beneficios que perjuicios (por ejemplo, velar por la seguridad física o psicológica de los menores).
• Informar de su existencia mediante el distintivo correspondiente, donde debe figurar la información que exige la normativa de protección de datos.
• No podrán colocarse nunca en zonas íntimas o donde se espere privacidad, como aseos o vestuarios.

¿Quién es el responsable de la protección de datos en un centro educativo?

Cuando el centro educativo es público, el responsable del tratamiento será la Administración pública correspondiente (la Consejería de la Comunidad Autónoma competente en materia educativa, con excepción de Ceuta y Melilla y los centros fuera de España bajo titularidad del Estado, que dependerán del Ministerio de Educación).

En el caso de los centros concertados o privados, el responsable del tratamiento será el propio centro.

Si el centro educativo, para cumplir con sus funciones, contrata los servicios de terceros externos al mismo (servicio de comedor, servicio médico, transporte, etc.) y estos tienen acceso a los datos personales de alumnos, padres o tutores legales y empleados del centro, este deberá firmar con ellos un contrato de encargo del tratamiento.

Requisitos de la Ley de Protección de Datos para centros educativos

Ya hemos visto algunas de las consideraciones que cualquier centro educativo debe tener en cuenta a la hora de adaptarse a la Ley de Protección de Datos, pero aún hay otros requisitos que debe tener en cuenta para su correcta aplicación.

Legitimación para el tratamiento de datos

Los centros educativos están legitimados para el tratamiento de datos personales para dar cumplimiento, como hemos dicho, a la función docente y educativa. Además, el consentimiento expreso es la otra base legitimadora para el tratamiento de datos, en especial cuando nos referimos a datos sensibles o el uso de imágenes.

Lealtad y transparencia

Solo se recabarán y tratarán los datos personales necesarios para cumplir con la finalidad perseguida, es decir, que los centros educativos no deben recabar más datos de los estrictamente necesarios para cumplir con su labor.

Deber de informar

La protección de datos en centros educativos requiere cumplir con el deber de informar a los interesados (alumnos, padres o tutores legales y empleados del centro) de todo lo relativo al tratamiento de sus datos, en concreto se informará sobre:

• El tratamiento de datos
• La identidad del responsable del tratamiento, del Delegado de Protección de Datos (DPO) y del encargado o encargados del tratamiento
• La finalidad del tratamiento
• El plazo de conservación de los datos
• Si los datos serán cedidos a terceros (identificando a los mismos)
• Si se producirán transferencias internacionales de datos y las garantías de las mismas
• La vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición)

Adoptar las medidas de seguridad pertinentes

Los centros educativos deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales que manejan. Estas medidas deben impedir el acceso de terceros no autorizados a los datos personales del centro, evitar su pérdida o destrucción o su filtración.

Deber de secreto

Todo el personal del centro educativo que haya tenido acceso a datos personales tiene el deber de guardar secreto sobre los mismos, no publicarlos, difundirlos o filtrarlos, bien por intereses personales o en beneficio de terceros o bien de manera accidental. Este deber se prolongará una vez finalizada la relación contractual con el centro.

Bloqueo de datos

Puesto que hay determinados casos en que los datos personales de alumnos y ex-alumnos, así como de empleados y ex-empleados del centro educativo deben conservarse, incluso cuando se haya cumplido la finalidad para la que fueron recabados, se deberá proceder al bloqueo de dichos datos, de manera que no serán eliminados, pero no podrán usarse o accederse a ellos, salvo que así lo requiera una administración pública o las autoridades judiciales en el ejercicio de sus funciones.

Aplicación de la Ley de Protección de Datos en centros educativos en 2022

Aparte de los requisitos del punto anterior, la Ley de Protección de Datos en centros educativos también establece una serie de obligaciones que deben cumplir.

Registro de actividades de tratamiento

Por cada tratamiento de datos personales que se haga en el centro (listado de alumnos, nóminas de profesores, cámaras de seguridad, información referente a la salud, etc.), el centro deberá realizar el correspondiente registro de actividades de tratamiento, que recogerá la siguiente información:

• Datos identificativos del responsable del tratamiento, del encargado o encargados del tratamiento y del DPO
• La finalidad del tratamiento
• La base legitimadora del tratamiento
• Las categorías de datos e interesados afectados
• Las categorías de destinatarios de los datos existentes o previstos
• Las transferencias internacionales de datos (si procede)
• El plazo de conservación de los datos
• Descripción general de las medidas técnicas y organizativas de seguridad

Análisis de riesgos

Con carácter previo a cualquier tratamiento de datos, el centro realizará un análisis de riesgos, para determinar la posibilidad de que dicho riesgo se materialice y cómo afectaría a los interesados. Este análisis, además, se empleará para diseñar e implementar las medidas de seguridad necesarias para minimizar las probabilidades de materialización del riesgo y para reducir su impacto, si al final ocurre.

Hablamos aquí de riesgos que pongan en peligro la integridad, disponibilidad, fiabilidad y confidencialidad de los datos, tanto físicos como digitales, accidentales o intencionados.

Evaluación de Impacto

Puesto que la mayoría de centros educativos tratan un gran volumen de datos personales y entre ellos se tratan también (o pueden llegar a tratarse) datos sensibles, será necesario llevar a cabo una evaluación de impacto de protección de datos, que no es más que un análisis de riesgos más en profundidad, que servirá para determinar el grado de impacto de la materialización de un riesgo para los derechos y libertades fundamentales de los interesados, además de para implementar las medidas de seguridad necesarias para mitigarlo.

Responsable del tratamiento y DPO

Ya dijimos más arriba quiénes son los responsables del tratamiento en el caso de los centros educativos, tanto públicos como privados. Pero además, independientemente de su titularidad, los centros educativos están obligados de designar o contratar un DPO, que se ocupará, entre otras funciones, de supervisar el cumplimiento de la normativa, asesorar al responsable del tratamiento y actuar como enlace entre la AEPD y el propio centro.

Consentimiento

Lo adelantamos más arriba, cuando la base legitimadora del tratamiento es el consentimiento del interesado, este habrá de ser expreso e inequívoco y, en caso de tratarse de datos sensibles, recogerse por escrito.

Notificación de brechas de seguridad

En el caso de que se produzca un incidente de seguridad que dejé al descubierto o provoque la filtración de los datos personales de alumnos, padres o tutores o personal del centro educativo, este deberá informar, en un plazo no superior a 72 horas, a la AEPD y a los propios interesados cuyos datos se hayan visto afectados.

Sanciones cuando un centro educativo incumple la normativa de protección de datos

No cumplir con la normativa de protección de datos en centros educativos es motivo de sanción. La cuantía de estas sanciones se determina con relación a la gravedad de las mismas, de acuerdo con las infracciones recogidas en la LOPDGDD y en el RGPD, de manera que:

• Las infracciones leves (art. 74 de la LOPDGDD) están sancionadas con hasta 40.000 euros
• Las infracciones graves (art. 73 de la LOPDGDD) están sancionadas desde 40.001 a 300.00 euros
• Las infracciones muy graves (art. 72 de la LOPDGDD) están sancionadas desde 300.001 a 20 millones de euros (o el 4% del volumen de facturación, la cuantía que resulte superior)

¿Necesitas ayuda con la Ley de Protección de datos en tu centro educativo?

Si después de leer esta guía de protección de datos en centros educativos aún tienes dudas o necesitas ayuda para su correcta aplicación, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de profesionales expertos en protección de datos te ayudarán y asesorarán en todo cuanto necesites.