Protección de datos en centros educativos. Guía 2023

¿Deben cumplir la Ley de Protección de Datos los centros educativos? ¿Cómo deben adaptarse a la normativa? ¿Qué tipo de datos personales manejan los centros educativos? ¿Quién es el responsable del tratamiento? ¿Deben designar un Delegado de Protección de Datos?

En esta guía de protección de datos para centros educativos daremos respuesta a estas y otras preguntas relacionadas con la materia.

¿Están obligados a cumplir la Ley de Protección de Datos los centros educativos?

Cumplir con la Ley de Protección de Datos en centros educativos es una obligación ineludible, dado el volumen de datos que estos tratan, desde los del alumnado hasta el de sus empleados, además de tratar datos de menores de edad, estos centros también pueden llegar a tratar datos de categorías especiales (como los de la salud).

Además, adaptar la normativa de protección de datos en centros educativos entraña, en muchos casos, cumplir con unas obligaciones más estrictas, puesto que cuando hablamos de colegios, institutos y academias, hablamos de tratar datos de menores de edad, de sus padres o tutores y, como decíamos, de los propios empleados del centro.

Así mismo, la normativa de protección de datos también debe tener en cuenta respecto a la publicación de notas, el acceso a las calificaciones por parte de los padres de alumnos mayores edad, el uso de imágenes de alumnos en la página web o redes sociales del centro, cuándo un profesor puede grabar a sus alumnos durante una actividad, etc.

Normativa de protección de datos para centros educativos

La normativa de protección de datos para centros educativos la tenemos en:

• El RGPD (Reglamento General de Protección de Datos, que es el marco regulatorio europeo, vigente desde 2016 y que introdujo varias novedades respecto a la protección de datos, entre ellas, el consentimiento expreso, el registro de actividades de tratamiento o la figura del Delegado de Protección de Datos (DPO).
• La LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), es la ley española de protección de datos, con la que se adaptó al ordenamiento jurídico español el RGPD. Vigente desde 2018, cumplirla implica cumplir el RGPD, puesto que contempla básicamente las mismas obligaciones, infracciones y sanciones.
• Ley de Educación.

Guía para la protección de datos en centros educativos

Para adaptar la Ley de Protección de Datos en centros educativos, estos deben cumplir con una serie de obligaciones y requisitos establecidos en la normativa, siempre teniendo en cuenta el tipo de datos personales que se tratan en los centros y la finalidad de los tratamientos, que siempre deberá estar relacionada con la función docente y orientadora.

¿Quién es el responsable de la protección de datos en centros educativos?

Quién asume el papel del responsable de la protección de datos en los centros educativos, es decir, quién es el responsable del tratamiento, depende de si el centro es público o privado.

Así, cuando el centro educativo es público, el responsable del tratamiento será la Administración pública correspondiente (la Consejería de la Comunidad Autónoma competente en materia educativa, con excepción de Ceuta y Melilla y los centros fuera de España bajo titularidad del Estado, que dependerán del Ministerio de Educación).

En el caso de los centros concertados o privados, el responsable del tratamiento será el propio centro.

¿Qué tipos de datos tratan los centros educativos?

Como ya dijimos al comienzo de esta guía de protección de datos en centros educativos, estos tratan un gran volumen de datos personales, pero ¿cuáles exactamente?

Por un lado, los centros educativos van a tratar datos identificativos de alumnos, padres o tutores de alumnos y empleados: nombre, apellidos, domicilio, teléfono, DNI, email, etc.

Por tro lado, la Ley de Educación también legitima a los centros educativos a recabar datos de carácter personal para la ayuda a la función docente y orientadora de los alumnos. De manera que también tratarán los siguientes datos:

• Origen y ambiente familiar y social: Con esto nos referimos a toda la información sobre la situación familiar de los alumnos. Un centro escolar puede recoger información relativa tanto a los alumnos como a los padres. El caso de los padres es relevante, ya que si, por ejemplo, están divorciados, el centro debe saber quién ostenta la patria potestad para la recogida de los menores.
• Características o condiciones personales del menor: Aquí encontramos los llamados datos sensibles, en cuanto sean necesarios para la función educativa. En este caso hay diferentes momentos en que se pueden recabar datos sensibles del menor, entre los que destacamos:
  • En la matriculación del alumno:
    • Discapacidades
    • Enfermedades crónicas
    • TDAH
    • Intolerancias alimentarias
    • Alergias
  • Durante el curso escolar:
    • Tratamiento médico que reciba un alumno a través del servicio médico o de enfermería del centro
    • Informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro
    • Informes de los equipos de orientación psicopedagógica
• Desarrollo y resultados de su escolarización: Se trata de datos e información relacionada con el rendimiento escolar, como, por ejemplo, las notas de cada uno de los alumnos, así como las asignaturas que ellos mismos hayan podido escoger.
• Circunstancias cuyo conocimiento sea necesario para educar y orientar a los alumnos: Este punto nos enlaza con los dos primeros, ya que será necesario el conocimiento de la situación familiar y personal del alumno para su buen desarrollo educativo. Por ejemplo, conocer la situación socioeconómica de una familia puede ayudar a determinar si un alumno necesita más o menos apoyo en determinadas áreas o acceso a material escolar.
• Datos ajustados a la finalidad: Como ocurre en otros ámbitos, uno de los requisitos de la ley de protección de datos en centros educativos es no recabar datos personales que sean excesivos para la finalidad para la que son recogidos. Por ejemplo, en el caso de las solicitudes de plaza en un centro de enseñanza, no es necesario recabar los datos bancarios para el pago de actividades extraescolares hasta que no se hubiera resuelto el proceso y fuese admitido el alumno.

Recogida de datos personales: Legitimación y consentimiento expreso

De acuerdo a la normativa de protección de datos, los centros educativos están legitimados para el tratamiento de datos personales para dar cumplimiento, como hemos dicho, a la función docente y orientadora. En estos casos, el consentimiento expreso para el tratamiento de datos no será necesario, pero sí deberá informar a los interesados (alumnos, padres o tutores y empleados) de la realización de dicho tratamiento.

Cuando sea necesario llevar un tratamiento de datos que no esté legitimado por esa finalidad, será necesario recabar el consentimiento expreso de los interesados. También deberá recabarse este consentimiento expreso cuando se traten categorías de datos especiales o sensibles (origen racial, relativos a la salud y a la vida sexual, ideología, religión o creencias o afiliación sindical), además, deberá recogerse por escrito.

Los alumnos mayores de 14 años podrán prestar su consentimiento ellos mismos, mientras que para los menores de 14 años deberá recabarse el consentimiento de padres o tutores legales.

Como el consentimiento debe quedar registrado, lo habitual es recurrir a incluir la correspondiente cláusula en el mismo impreso o formulario en el que se van a recabar los datos (por ejemplo, en el formulario de matriculación), usando casillas para marcar el otorgamiento del consentimiento o mediante la firma.

El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia.

En cuanto a los profesores, más allá de cuando los profesores recogen datos personales de los alumnos en el ejercicio de sus funciones administrativas, también estarán legitimados para recoger datos personales de los alumnos directamente en el desempeño de sus labores docentes, por ejemplo, para evaluar ejercicios, dentro de las instrucciones o protocolos internos al respecto del centro.

Deber de informar

La protección de datos en centros educativos requiere cumplir con el deber de informar a los interesados (alumnos, padres o tutores legales y empleados del centro) de todo lo relativo al tratamiento de sus datos, en concreto se informará sobre:

• El tratamiento de datos
• La identidad del responsable del tratamiento, del Delegado de Protección de Datos (DPO) y del encargado o encargados del tratamiento
• La finalidad del tratamiento
• El plazo de conservación de los datos
• Si los datos serán cedidos a terceros (identificando a los mismos)
• Si se producirán transferencias internacionales de datos y las garantías de las mismas
• La vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición)

Registro de actividades de tratamiento

Dado el volumen y las categorías de datos que manejan los centros educativos, el responsable del tratamiento está obligado a llevar un registro de actividades de tratamiento, de manera que por cada tratamiento de datos personales que se haga en el centro (listado de alumnos, nóminas de profesores, cámaras de seguridad, información referente a la salud, etc.), se deberá realizar el correspondiente registro de actividades de tratamiento, que recogerá la siguiente información:

• Datos identificativos del responsable del tratamiento, del encargado o encargados del tratamiento y del DPO
• La finalidad del tratamiento
• La base legitimadora del tratamiento
• Las categorías de datos e interesados afectados
• Las categorías de destinatarios de los datos existentes o previstos
• Las transferencias internacionales de datos (si procede)
• El plazo de conservación de los datos
• Descripción general de las medidas técnicas y organizativas de seguridad

Análisis de riesgos y evaluación de impacto

Una de las principales obligaciones en materia de protección de datos para centros educativos es llevar a cabo análisis de riesgos y, cuando sea necesario, la evaluación de impacto en protección de datos (EIPD).

Con carácter previo a cualquier tratamiento de datos, el centro realizará un análisis de riesgos, para determinar la posibilidad de que dicho riesgo se materialice y cómo afectaría a los interesados. Este análisis, además, se empleará para diseñar e implementar las medidas de seguridad necesarias para minimizar las probabilidades de materialización del riesgo y para reducir su impacto, si al final ocurre.

Hablamos aquí de riesgos que pongan en peligro la integridad, disponibilidad, fiabilidad y confidencialidad de los datos, tanto físicos como digitales, accidentales o intencionados.

La EIPD se deberá realizar cuando el tratamiento de datos personales afecte a datos sensibles y cuando del análisis de riesgos se determine que un nivel de riesgo alto para los derechos y libertades de los interesados, en caso de materializarse un riesgo o amenaza. La EIPD es un análisis de riesgos más en profundidad y centrado en ese impacto sobre la vida de los interesados.

Las conclusiones del análisis de riesgos y de la EIPD servirán a los centros educativos para diseñar e implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales que manejan. Estas medidas deben impedir el acceso de terceros no autorizados a los datos personales del centro, evitar su pérdida o destrucción o su filtración.

Cesión de datos a terceros

Cuando los centros educativos, para cumplir con algunas de sus funciones, deben contratar los servicios de terceros externos a los mismos (por ejemplo, servicio de comedor, servicio médico, de transporte, etc.) y estos tienen acceso a los datos personales de alumnos, padres o tutores y empleados del centro, se deberá firmar con ellos un contrato de encargo del tratamiento.

Este contrato debe recoger:

• La obligación de tratar solo los datos personales cedidos por el responsable del tratamiento.
• Que los datos no se utilizarán con finalidades diferentes a las previstas en el contrato, ni se comunicarán a otros.
• Las medidas de seguridad implementadas o que debe implementar el encargado del tratamiento.
• Qué se hará con los datos una vez cumplida la finalidad del tratamiento o el plazo de conservación.

Cabe señalar que no se considerarán encargados del tratamiento a las personas físicas que tengan acceso a los datos personales de alumnos, padres o tutores y empleados en su condición de empleados del centro o de la Administración educativa responsables del tratamiento (por ejemplo, los profesores que pueden acceder a los datos de sus alumnos no son encargados del tratamiento).

Deber de confidencialidad

Todo el personal del centro educativo que haya tenido acceso a datos personales tiene el deber de guardar secreto sobre los mismos, no publicarlos, difundirlos o filtrarlos, bien por intereses personales o en beneficio de terceros o bien de manera accidental. Este deber se prolongará una vez finalizada la relación contractual con el centro.

Para asegurar el cumplimiento del deber de confidencialidad, se puede recurrir a la inclusión de una cláusula de confidencialidad en el contrato de los empleados, en la que, además, se explicarán las consecuencias de no cumplir con este deber.

Bloqueo de datos

Puesto que hay determinados casos en que los datos personales de alumnos y exalumnos, así como de empleados y exempleados del centro educativo deben conservarse, incluso cuando se haya cumplido la finalidad para la que fueron recabados, se deberá proceder al bloqueo de dichos datos, de manera que no serán eliminados, pero no podrán usarse o accederse a ellos, salvo que así lo requiera una administración pública o las autoridades judiciales en el ejercicio de sus funciones.

Designación de Delegado de Protección de Datos

Con independencia de si son centros educativos públicos o privados, estos están obligados a designar o contratar un DPO, que se ocupará, entre otras funciones, de supervisar el cumplimiento de la normativa, asesorar al responsable del tratamiento y actuar como enlace entre la AEPD y el propio centro.

Esta obligatoriedad del delegado de protección de datos puede cumplirse designando un empleado del centro como tal o contratando los servicios de un DPO externo, por ejemplo, a través de una consultoría externa especializada en protección de datos.

Notificación de brechas de seguridad

En el caso de que se produzca un incidente de seguridad que dejé al descubierto o provoque la filtración de los datos personales de alumnos, padres o tutores o personal del centro educativo y pueda suponer un riesgo para sus derechos y libertades, este deberá informar, en un plazo no superior a 72 horas, a la AEPD y a los propios interesados cuyos datos se hayan visto afectados.

Otras consideraciones sobre protección de datos en centros educativos

Esta guía de protección de datos en centros educativos no estaría completa si, aparte de las obligaciones y requisitos que hemos visto que deben cumplir en materia de protección de datos los centros educativos, no mencionáramos las siguientes consideraciones, relacionadas con cómo y dónde pueden los centros educativos o su personal publicar datos personales.

¿Qué tipo de datos pueden publicar los centros educativos?

De acuerdo a la Ley de Protección de Datos, los centros educativos pueden publicar los siguientes datos personales:

– Listas de admitidos:

Se puede publicar la lista de alumnos admitidos siempre y cuando se haga de una manera que no suponga un acceso indiscriminado la información:

• Publicación en tablones dentro del centro.
• A través de una página web de acceso restringido.

Esta publicación deberá recoger solo el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.

Esta información, no obstante, estará disponible para los interesados que ejerzan su derecho a reclamar.

– Notas de alumnos:

A diferencia de lo que ocurre en la educación universitaria, la publicación de notas en los centros educativos no está regulada y, por lo tanto, es un tema en el que es habitual que surjan dudas.

Para resolver estas dudas, la guía de protección de datos en centros educativos de la AEPD nos da algunas directrices, que resumimos a continuación:

• Como norma general, las notas de los alumnos solo se deben facilitar a los propios alumnos y sus padres, evitando su exposición pública en tablones de anuncios o comunicándolas de forma oral en la clase.
• Si las notas se comunican a través de una plataforma digital, estas solo deberían ser accesibles para los propios alumnos, sus padres o tutores.
• En el caso de que el alumno fuese mayor de edad, los padres podrán solicitar el acceso a las notas cuando estos corran con los gastos educativos o de alimentos (en el caso de padres separados), ya que se considera que existe un interés legítimo de los padres derivado del mantenimiento de sus hijos mayores de edad.

– Beneficiarios de becas:

En estos casos hay que poner en valor dos situaciones:

• Si la beca está fundada en una situación de discapacidad de los beneficiarios.
• Si la beca puede afectar a la esfera íntima del afectado.

En estos casos, se podrá publicar solamente mediante el número identificador de la solicitud que solo el afectado conoce.

– Imágenes y videos:

Es habitual que los centros docentes, con motivo de eventos o celebraciones, recojan imágenes de alumnos, profesores y familiares. Pero ¿qué dice la ley de protección de datos en centros educativos respecto a la captación y publicación de imágenes en estas situaciones? Hay diferentes casuísticas que debemos tener en cuenta.

Primero, señalar que cuando el consentimiento para la captación y publicación de imágenes sea necesario, los alumnos mayores de 14 años podrán darlo ellos mismos, mientras que para los menores de 14 años, será necesario que el consentimiento lo den sus padres o tutores legales.

Así, cuando las imágenes o vídeos se capten con fines educativos, como pueden ser trabajos o evaluaciones, no será necesario recabar el consentimiento. Sí lo será cuando esas imágenes vayan a ser publicadas en la web del centro.

Los profesores podrán grabar a sus alumnos siempre y cuando la finalidad esté relacionada con la actividad docente y dichas imágenes solo estén accesibles para los propios alumnos, sus padres o tutores legales, aparte del propio profesor.

Si las imágenes las captan padres o tutores legales u otros familiares en el desarrollo de un evento escolar, al tratarse de un uso doméstico, la normativa de protección de datos no es de aplicación.

¿Dónde y cómo publicar los datos personales?

¿Dónde se pueden publicar datos personales y cómo hacerlo de acuerdo a la normativa de protección de datos para centros educativos?

– Tablón de anuncios:

Se pueden publicar listas de admitidos, notas y cualquier otra información similar en los tablones de anuncios de centro, cuando esta información deba estar disponible de forma pública. Si bien, esta publicación debe realizarse de manera proporcionada, es decir, sin que suponga un acceso indiscriminado a la misma (los tablones deben estar en el interior del centro o una web de acceso restringido) y solo deberá recoger el resultado final del baremo o contener ningún dato relativo a la situación particular de cada familia.

Una vez que ya no sean necesarios, estos listados se deberán retirar de los tablones.

– Página web y redes sociales:

Es habitual que la web de un centro educativo cuente con información referida a las actividades que desarrolla y los servicios que ofrece.

Debido a esto, en algunas ocasiones incluyen información que contiene datos de carácter personal de empleados del centro y los alumnos, por lo que se deben considerar y aplicar las obligaciones de la ley de protección de datos en centros educativos, en especial en lo que se refiere al consentimiento de los interesados.

Así mismo, si se van a subir fotografías o vídeos a la web del centro o las redes sociales, será necesario recabar el consentimiento expreso de los interesados (alumnos, padres o tutores legales, profesores y cualquier otro personal del centro). Además, se les proveerá de la siguiente información:

• Datos que se van a publicar.
• Redes sociales en las que se van a utilizar.
• Finalidad de uso.
• Quién puede acceder a los datos.
• Plazo durante el que se van a conservar las imágenes, así como los criterios para su eliminación.

En el caso de que un profesor quiera usar las imágenes en su blog personal, al margen de la función de docencia, deberán siempre solicitar el consentimiento expreso de alumnos o padres o tutores legales, siendo el profesor el responsable del tratamiento.

– Otros medios:

Si en el centro se han instalado cámaras de videovigilancia, esta instalación debe responder a un interés legítimo del centro en mantener la seguridad e integridad de las personas e instalación. Y deberá tener en cuenta lo siguiente:

• Su colocación debe ser proporcional, es decir, que la finalidad perseguida no se pueda conseguir por otros medios menos intrusivos y que la instalación de cámaras de seguridad ofrezca más beneficios que perjuicios (por ejemplo, velar por la seguridad física o psicológica de los menores).
• Informar de su existencia mediante el distintivo correspondiente, donde debe figurar la información que exige la normativa de protección de datos.
• No podrán colocarse nunca en zonas íntimas o donde se espere privacidad, como aseos o vestuarios.

Sanciones por no cumplir la normativa de protección de datos en centros educativos

No cumplir con la normativa de protección de datos en centros educativos es motivo de sanción. La cuantía de estas sanciones se determina con relación a la gravedad de las mismas, de acuerdo con las infracciones recogidas en la LOPDGDD y en el RGPD, de manera que:

• Las infracciones leves (art. 74 de la LOPDGDD) están sancionadas con hasta 40.000 euros.
• Las infracciones graves (art. 73 de la LOPDGDD) están sancionadas desde 40.001 a 300.00 euros.
• Las infracciones muy graves (art. 72 de la LOPDGDD) están sancionadas desde 300.001 a 20 millones de euros (o el 4% del volumen de facturación, la cuantía que resulte superior).

¿Necesitas ayuda con la Ley de Protección de Datos en tu centro educativo?

Si después de leer esta guía de protección de datos en centros educativos aún tienes dudas o necesitas ayuda para su correcta aplicación, no dudes en ponerte en contacto con Grupo Atico34, nuestro equipo de profesionales expertos en protección de datos te ayudarán y asesorarán en todo cuanto necesites.