Protección de DatosRGPD

La gestión de los datos personales en los centros educativos

🕑 5 minutos de lectura

Novedades legislativas en materia de protección de datos

Introducción. Cambios regulatorios

Como es bien conocido, la entrada en vigor tanto del Reglamento General de Protección de Datos (RGPD), como de la Ley Orgánica de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), ha supuesto un cambio importante en la regulación de la protección de datos personales de las personas físicas por parte de las empresas. Este cambio, como no puede ser de otra manera, también ha afectado a los centros docentes ubicados dentro de la Unión Europea

Los principales cambios, que se desarrollan a lo largo del artículo, son los siguientes:

    • Obligación de nombramiento de un Delegado de Protección de Datos.
    • Redacción e implantación de cláusulas informativas adecuadas para los interesados, así como de contratos para regular el acceso a datos por parte de proveedores.
    • Registro de actividades de tratamiento.
    • Análisis de riesgos y evaluación de impacto.
    • Seguridad de los datos personales.

Tareas a llevar a cabo: Aspectos técnicos

En primer lugar, hay que señalar que la LOPDGDD, en su Art. 34., amplía los supuestos en los que es obligatoria la designación de un Delegado de Protección de Datos (DPD). En este sentido, el Art. 34. 1. B), establece que deberán designar un DPD:

Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas

En consecuencia, tanto los centros docentes reglados como las universidades deberán proceder con la designación de un DPD y con la respectiva notificación de su nombramiento a la Agencia Española de Protección de Datos (AEPD).

Por otra parte, los centros docentes deberán realizar un análisis de los riesgos de los tratamientos de datos personales que llevan a cabo. Para ello, se debe haber realizado previamente la identificación de dichos tratamientos, proceso para el cual se debe elaborar el Registro de Actividades de Tratamiento del centro educativo, que contenga la información requerida por el art. 30 del RGPD, que debe incluir, entre otras, las siguientes cuestiones:

    • Las finalidades del tratamiento. 
    • Descripción de las categorías de interesados y de las categorías de datos personales que se tratan.
    • Cesionarios.
    • Existencia de transferencias internacionales.
    • Plazos de conservación previstos.

En la realización del análisis de riesgos, nos encontraremos con que en alguno de los tratamientos identificados, como es el de alumnos, se incluyen tanto categorías de interesados (menores de edad y padre/madre/tutor legal a cargo), como tipos de datos (datos sensibles como alergias, intolerancias o evaluaciones psicológicas, o datos académicos que incluyen calificaciones obtenidas o desempeño escolar) que se deben tener especialmente en cuenta, ya que su tratamiento implicara una mayor criticidad. 

Adicionalmente en el análisis de riesgos se deberán valorar, entre otros, aspectos como la cantidad de datos tratados, la finalidad del tratamiento, así como las medidas de seguridad aplicadas respecto de la información que contenga datos personales responsabilidad del centro docente, ya sea en formato digital o en formato papel.

En cualquier caso, estas medidas técnicas y organizativas deberán ser las adecuadas de manera que el tratamiento sea conforme con los requisitos normativos existentes. Para ello, será necesario realizar una evaluación de impacto sobre aquellos tratamientos de datos personales que arrojen un riesgo alto en el análisis de riesgos realizado previamente, en función de la metodología de análisis de riesgos definida.

Entre las medidas técnicas y organizativas del centro docente, será fundamental hacer especial hincapié en cuestiones como la formación a los profesionales que gestionan el tratamiento de datos personales de alumnos, la gestión de los accesos y privilegios a la información, o las medidas relativas a la protección de los dispositivos electrónicos, como podría ser la realización de copias de seguridad o contar un antivirus adecuado.

Tareas a llevar a cabo: Aspectos legales

En lo relativo a la base legitimadora del tratamiento de alumnos, se deberá definir una base legitimadora por cada finalidad de tratamiento que se desee llevar a cabo. Cabe precisar que por regla general, los centros docentes no necesitan el consentimiento de los titulares de los datos para el tratamiento relativo a la gestión educativa/escolar, ya que salvo excepciones concretas, éste, estará legitimado en el ejercicio de la función educativa y en la relación contractual generada con las matrículas de los alumnos. Por otro lado, el consentimiento expreso de los padres/madres/tutores legales o mayores de 14 años cuando proceda, operará para otro tipo de situaciones como, por ejemplo, la captación y publicación de imágenes, o la inscripción a determinadas actividades extraescolares.

Se debe resaltar que es fundamental cumplir con el deber de información a los interesados, establecido en el Art. 13 del RGPD, de forma fácilmente entendible y accesible, transparente y utilizando un lenguaje claro y sencillo. La redacción e implantación de las cláusulas informativas pertinentes para los interesados objeto de tratamiento por el centro educativo, será un aspecto clave, por lo tanto.

Por último, y entre otras cuestiones necesarias, se debe regular la relación con proveedores que tengan acceso a datos en virtud de un contrato de prestación de servicios, en el que el centro educativo nombre formalmente a su proveedor como encargado de tratamiento. Dicho contrato incluirá aspectos como las instrucciones del centro educativo respecto del tratamiento a realizar, las medidas de seguridad exigibles, o el destino de los datos tras la finalización de la prestación del servicio. 

Conclusiones

Un proyecto de adecuación a la normativa vigente en materia de protección de datos para un centro educativo supondrá, como mínimo, la gestión de todas las cuestiones relatadas anteriormente, sin perjuicio del resto de actuaciones que se deben llevar a cabo para un adecuado cumplimiento legal.

Los centros educativos deben llevar a cabo una gestión adecuada de la protección de datos personales de los interesados, garantizando una transparencia total con éstos, que repercutirá positivamente en el funcionamiento y reputación del centro educativo. En este sentido, conviene señalar que un incumplimiento en materia de protección de datos puede suponer, además de daños reputacionales considerando la tipología de datos que se verían afectados, una cuantiosa sanción económica.

En consecuencia, resulta fundamental la contratación del servicio de consultoría para asegurar el cumplimiento con lo relatado anteriormente, así como la gestión del sistema de protección de datos de forma centralizada a través de una herramienta software GDPR como es GlobalSuite®