¡Pide presupuesto en 2 min! ✓
EducacionSectores

LOPD en colegios

9 Mins read

Si gestionas un colegio, guardería, escuela… recomendamos la lectura de un artículo más reciente sobre cómo cumplir la nueva Ley de Protección de Datos en centros educativos.

Un dato de carácter personal es “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a las personas físicas identificadas o identificables.” Las imágenes tomadas en un colegio tendrán carácter personal en el caso de que permitan que permitan identificar a las personas que aparecen en ellas.

Siendo la foto un dato de carácter personal para el colegio supone un tratamiento de datos personales y el colegio en este caso será el responsable, teniendo la obligación de conseguir el consentimiento para el tratamiento o la cesión de los datos y de informar sobre los derechos que asisten así como la identidad del responsable y del uso que se va a hacer de esos datos.

Tratamiento de datos en colegios

Si el afectado es un menor de edad debe tenerse en cuenta lo previsto en el artículo 7 de la LOPDGDD que dice “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.”

La publicación de las fotos en la web del colegio supone una cesión de los datos personales y requiere el consentimiento del afectado o de sus padres si se trata de un menor de 14 años.

Si las imágenes sin la autorización necesaria, ya han sido publicadas, los padres podrán ejercitar el derecho de cancelación en el centro escolar para que las imágenes del menor sean retiradas. El derecho de cancelación deberá ser atendido en el plazo de 10 días.

Pero, además de las fotografías de los alumnos, en los colegios se tratan otros datos personales entre los que se encuentran los relativos a:

  • Admisión de alumnos: publicidad y contacto con personas interesadas en incorporarse al centro, proceso de preinscripción, matriculación
  • Gestión académica
  • Servicios ofrecidos por el centro educativo a los alumnos y que completan la nalidad educativa: comedor, transporte escolar, actividades extraescolares, etc.
  • Gestión del personal docente, administrativo y de servicios
  • Gestión de proveedores
  • Servicios a exalumnosLos colectivos sobre los cuales tratan datos son los alumnos, los padres y madres de alumnos, los profesores, los tutores, los otros trabajadores de los centros, los proveedores, los asistentes a actividades, los exalumnos o las otras personas con las cuales se relacionan.

Tipos de datos personales de los alumnos

En el caso de los datos de los alumnos, el tratamiento de datos en los centros educativos se produce por primera vez cuando los padres o tutor solicitan una plaza en el proceso de preinscripción, y se mantiene hasta que el alumno finaliza los estudios en aquel centro. Eso comporta el tratamiento de mucha información, ya sea facilitada por la familia, por los profesionales que trabajan en el centro (profesores, tutores, psicólogos, etc.) o por los mismos alumnos con motivo del desarrollo de la actividad del centro (pruebas, actitud, aptitudes, preferencias, enfermedades, expediente académico, etc.).

Los centros educativos pueden tener que tratar diferentes categorías de datos:

  • Identificativos
  • Características personales
  • Circunstancias sociales
  • Académicos y profesionales
  • Económico- financieros
  • Ocupación laboral
  • Especialmente protegidos: datos de salud, ideología, afiliación sindical, religión, creencias, vida sexual, origen racial, comisión de infracciones penales o administrativas

La mayor parte de los datos tratados en los centros educativos son de menores de edad. Eso hace que, por la vulnerabilidad de este colectivo y las consecuencias que se pueden derivar de un tratamiento inadecuado, los centros educativos tengan que extremar, todavía más que en otros ámbitos, la diligencia en el tratamiento de esta información.

Datos especialmente protegidos

En el ámbito educativo resulta especialmente relevante el tratamiento de datos relativos a la salud de los alumnos.

Así, por ejemplo, datos referidos a necesidades educativas especiales, como alguna minusvalía, u otros como alergias e intolerancias, así como los datos contenidos en los informes psicopedagógicos de los alumnos, etc., tienen la consideración de datos relativos a la salud de los alumnos.

Los centros educativos y en concreto las personas que tienen que cuidar de los menores, pueden tener que conocer si sufren determinadas enfermedades o alergias, pero hay que adoptar las medidas para que esta información se trate con las máximas garantías posibles.

Por eso, y de acuerdo con los padres de los alumnos afectados, hay que establecer los protocolos necesarios para tratar adecuadamente esta información, tanto durante el funcionamiento normal del centro (estancia en las aulas, horario de ocio, educación física, comedor, enfermería, evaluación psicopedagógica, etc.) como en situaciones extraordinarias (sustituciones de maestros o tutores, celebraciones de aniversarios, salidas, colonias, etc.).

Consentimiento en el ámbito educativo

El consentimiento es la pieza angular en la protección de datos. Constituye el principio sobre el cual se articula el poder de disposición y control de cualquier persona sobre sus datos.

Así, cuando el centro educativo tiene que tratar datos de carácter personal para ejercer sus funciones, tiene que contar con el consentimiento de la persona afectada o, si no, con una ley que lo habilite.

Este consentimiento, según la LOPD, debe ser libre, inequívoco, específico e informado.

Los centros educativos normalmente tratan datos de menores de edad. Con respecto al consentimiento para tratarlos, hay que tener en cuenta lo siguiente:

  • Si son mayores de 14 años, es suficiente con su consentimiento, salvo los casos en que la ley exija la asistencia de las personas titulares de la patria potestad.
  • Si son menores de 14 años, siempre hace falta el consentimiento de los padres o tutor.

¿Cómo obtener el consentimiento para tratar datos sensibles?

La ley establece exigencias específicas a la hora de obtener el consentimiento para el tratamiento de datos especialmente protegidos:

  • Datos sobre ideología, afiliación sindical, religión y creencias de una persona física: sólo pueden tratarse con el consentimiento expreso y por escrito del titular de los datos, y advirtiéndole respecto de su derecho a no facilitar estos datos.
  • Datos sobre origen racial, salud y vida sexual de una persona física: sólo se pueden tratar cuando, por razones de interés general, así lo disponga una ley o la persona afectada consienta expresamente.

La legislación otorga también una protección especial a los datos relativos a infracciones administrativas y penales, al establecer que sólo se pueden incluir en los ficheros de las administraciones públicas competentes en los supuestos previstos en las normas reguladoras respectivas.

Revocación del consentimiento

La persona afectada puede revocar el consentimiento otorgado en cualquier momento, sin efectos retroactivos, siempre que haya una causa justificada:

  • El responsable del fichero tiene que establecer un medio sencillo a través del cual la persona interesada pueda revocar el consentimiento. El responsable del fichero dispone de un plazo de 10 días hábiles, desde que recibe la solicitud, para cesar en el tratamiento y, si procede, para cancelar los datos.
  • La persona interesada puede solicitar al responsable del tratamiento la con información del cese. Esta solicitud se tiene que responder expresamente.
  • Si el responsable del tratamiento, previamente a la revocación del consentimiento, ha cedido los datos a un tercero, tiene que comunicarle la revocación del consentimiento dentro del mismo plazo de 10 días, para que también deje de tratarlos y, si procede, los cancele.

La revocación del consentimiento impide que se continúen tratando los datos personales, pero no puede evitar los efectos ya producidos por los tratamientos anteriores al momento de la revocación.

Casos en los que no se necesita consentimiento

Hay una serie de supuestos regulados en la LOPD en los cuales no es necesario el consentimiento de la persona afectada para tratar sus datos personales. Concretamente no hace falta el consentimiento cuando:

  • Así lo establece una norma con rango de ley.
  • Se recogen para ejercer funciones propias de las administraciones públicas en el ámbito de sus competencias.
  • Se refieren a las partes de un contrato o precontrato de una relación laboral, negocial o administrativa y son necesarios para mantenerla o cumplirla.
  • El tratamiento de los datos tiene como finalidad proteger un interés vital del interesado.
  • Los datos figuren en fuentes accesibles al público y haya que tratarlos para satisfacer un interés legítimo perseguido por el responsable del fichero. Son fuentes accesibles al público: el censo promocional, las guías de servicios de comunicaciones electrónicas, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos del nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo, los diarios y boletines oficiales y los medios de comunicación social.
  • El tratamiento tiene por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por estas normas, siempre que no prevalezcan el interés o los derechos y las libertades fundamentales de los interesados.

Obligaciones de los colegios en relación a la Protección de Datos

Las obligaciones exigidas a los centros educativos en materia de Protección de Datos son:

Registro de actividades de tratamiento

Antes de emprender cualquier actuación que implique el tratamiento de datos de carácter personal, el responsable del tratamiento tiene que hacer una serie de actuaciones:

  • Hacer un análisis del “ciclo de vida” o recorrido de los datos a lo largo de su tratamiento, con el fin de identificar: Qué datos personales se tienen que recoger y para qué finalidad, cómo se recogerán (formularios en papel, electrónicamente, telefónicamente…), qué ficheros hay que crear y, si procede, qué ficheros hace falta modificar o suprimir, quién los tratará (áreas, departamentos, personas usuarias …). Cómo circularán dentro de la entidad (en soporte papel, telemáticamente…), a quién se cederán o qué transferencias internacionales se harán, cómo se conservarán y, si procede, cómo y cuándo se destruirán.
  • Elaborar el registro de acuerdo con el procedimiento establecido.

Elaborar el Documento de Seguridad

Los responsables y los encargados del tratamiento tienen que implementar una serie de medidas de seguridad, de índole técnica y organizativa, adecuadas a las diferentes tipologías de datos que se tratan, con la finalidad de evitar la alteración, la pérdida o que terceros no autorizados accedan o los traten.

Los niveles de seguridad se determinan atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad, la integridad y la disponibilidad de la información: nivel básico, medio o alto.

El cumplimiento de las medidas previstas en este documento es obligatorio para todo el personal que tiene acceso a datos personales y a las aplicaciones informáticas y sistemas de información donde se tratan.

El documento de seguridad tiene que mantenerse actualizado en todo momento y revisarse siempre que se producen cambios relevantes que pueden repercutir en el cumplimiento de las medidas de seguridad implementadas o, si procede, como consecuencia de los controles periódicos realizados.

Este Documento de Seguridad debe tener un contenido mínimo.

Obtener el consentimiento necesario

Como indicamos anteriormente, es necesario solicitar el consentimiento de padres o tutores o de los propios menores, si tienen más de 14 años, para tratar sus datos personales, publicar fotografías en Internet o redes sociales y para la cesión a terceros de esos datos.

La ley establece una serie de exigencias sobre cómo obtener el consentimiento del afectado y la validez del mismo.

Firmar los contratos con trabajadores

Para desarrollar sus funciones, los centros educativos necesitan la colaboración no sólo de los profesores, sino también de diferentes profesionales, psicólogos, pedagogos, logopedas, maestros de educación especial, educadores sociales y personal sanitario que presta sus servicios en el centro.

Los centros también cuentan con personal administrativo y otros servicios auxiliares, como el mantenimiento o el comedor. Todos ellos acceden o pueden acceder en algún momento a los sistemas de información o documentación que contienen datos de carácter personal de los alumnos.

Los trabajadores de los centros educativos deben firmar el contrato de cesión de datos , el contrato de confidencialidad y la Circular informativa.

Firmar contrato con terceros

Los centros educativos, como responsables de los ficheros, pueden encargar a terceras personas o entidades un tratamiento de datos personales o una actividad que comporte el tratamiento de datos de carácter personal, como la organización de actividades extraescolares, el servicio de autocar, el servicio de comedor u otros servicios externalizados (natación, asesoría contable y laboral, destrucción de papel, plataforma o software de gestión del centro educativo, etc.). En este caso, hay que tener presente la figura del encargado del tratamiento.

Este tercero debe firmar un contrato de cesión en el que se compromete a seguir la normativa de Protección de Datos en ese tratamiento.

Ejercicio de Derechos ARCO

Las personas titulares de los datos, como parte de su derecho a la autodeterminación informativa, disponen de los derechos de acceso, rectificación, cancelación y oposición.

Los centros educativos tienen que adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento que tiene que seguir el afectado para ejercer sus derechos.

Si tienes cualquier duda puedes contactar con Grupo Ático34, tlfno. 91 489 64 19, y te ayudaremos.

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.