Protección de datos en centros educativos

Sí, los centros educativos están obligados a cumplir con la Ley de Protección de Datos, ya que manejan información personal de sus estudiantes, profesores y personal administrativo, entre otros.

Deben adaptarse a la normativa estableciendo medidas de seguridad adecuadas para proteger los datos personales que manejan, además de implementar políticas y procedimientos que garanticen el cumplimiento de la legislación en materia de protección de datos.

Los centros educativos manejan una variedad de datos personales, incluyendo información sobre estudiantes, como nombres, fechas de nacimiento, direcciones, historiales académicos, registros de asistencia, así como información del personal docente y administrativo, como nombres, números de identificación, datos de contacto, entre otros.

El responsable del tratamiento de los datos personales en un centro educativo suele ser la dirección o la administración del centro, ya que son quienes toman las decisiones sobre cómo se recopilan, almacenan y utilizan los datos personales.

Sí, según lo establecido por la legislación de protección de datos, los centros educativos deben designar un Delegado de Protección de Datos (DPD) si realizan un tratamiento de datos que requiera un seguimiento regular y sistemático a gran escala de personas físicas. El DPD se encargará de supervisar el cumplimiento de la normativa de protección de datos dentro del centro educativo.

Entre las funciones más importantes que se le asignan al DPD se encuentran las de informar, asesorar y supervisar el cumplimiento de la normativa sobre protección de datos, así como la de resolver reclamaciones que se puedan plantear, además de ser el interlocutor con la Agencia Española de Protección de Datos y con los interesados.

Las categorías especiales de datos, también conocidas como datos sensibles o datos de carácter personal especialmente protegidos, son aquellos que revelan información sobre aspectos más íntimos o privados de una persona. Estos datos son considerados sensibles debido a su naturaleza y pueden incluir:

- Origen étnico o racial.

- Opiniones políticas.

- Creencias religiosas o filosóficas.

- Afiliación sindical.

- Datos genéticos.

- Datos biométricos (por ejemplo, huellas dactilares, reconocimiento facial).

- Datos relativos a la salud.

- Vida sexual u orientación sexual.

En el sector educativo, se pueden tratar datos sensibles como:

- Información médica o de salud de los estudiantes.

- Necesidades educativas especiales o discapacidades de los alumnos.

- Datos sobre el origen étnico o racial para fines estadísticos o de integración.

- Información religiosa o filosófica en el caso de instituciones educativas afiliadas a ciertas creencias o denominaciones religiosas.

- Cualquier otra información sensible que los estudiantes o sus familias proporcionen a la escuela en el contexto de la educación y el bienestar de los alumnos.

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Los centros educativos para cumplir sus funciones necesitan contar con la colaboración de otras personas o entidades que no forman parte de su organización, por ejemplo, para el servicio de comedor, servicio médico, transporte o para la realización de actividades extraescolares. Estas personas y entidades para prestar sus servicios también tratan los datos de carácter personal de los alumnos y de sus padres o tutores, pero lo hacen por encargo del responsable del tratamiento. Las empresas que realizan este tipo de servicios tienen, en relación con el tratamiento de datos personales que realizan, la consideración de encargados de tratamiento.

Es necesario que el tratamiento de datos que implica la prestación del servicio se rija por un contrato que deberá incluir las garantías adecuadas.

El Reglamento General de Protección de Datos establece un deber de diligencia en la elección del encargado del tratamiento y un contenido más detallado del contrato. La Agencia Española, la Agencia Vasca y la Autoridad Catalana de Protección de Datos han publicado unas Directrices para la elaboración de estos contratos entre responsable y encargado del tratamiento.

Siempre que los datos personales se envían fuera del ámbito del Espacio Económico Europeo (EEE), que comprende todos los Estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein, se produce una transferencia internacional de datos, ya se realice para que el destinatario de los datos preste un servicio al centro educativo o para que los trate para una finalidad propia.

Se realizan transferencias internacionales de datos cuando se contratan servicios de cloud computing en los que, por ejemplo, el alojamiento de datos se realiza en servidores fuera del EEE, o cuando se comunican a centros educativos establecidos en países fuera de este ámbito para realizar intercambios de alumnos o periodos de formación.

Los centros docentes deben establecer una serie de medidas de seguridad para proteger los datos personales que manejan. Algunas de estas medidas incluyen:

1. Políticas y procedimientos: Es fundamental establecer políticas claras y procedimientos internos para el manejo de datos personales, incluyendo la recopilación, almacenamiento, acceso, uso y eliminación de los mismos.

2. Acceso restringido: Limitar el acceso a los datos personales únicamente al personal autorizado que necesite dicha información para llevar a cabo sus funciones.

3. Formación y concienciación: Capacitar al personal sobre la importancia de la protección de datos y proporcionar formación periódica sobre las políticas y procedimientos establecidos.

4. Seguridad física: Proteger los dispositivos de almacenamiento físico de datos, como ordenadores y archivos, mediante medidas de seguridad física, como cerraduras, cámaras de vigilancia y control de acceso.

5. Seguridad informática: Implementar medidas de seguridad informática, como firewalls, antivirus, cifrado de datos, y actualizaciones regulares de software para proteger los sistemas informáticos contra accesos no autorizados, malware y otras amenazas cibernéticas.

6. Respaldo y recuperación de datos: Establecer un plan de respaldo y recuperación de datos para garantizar la disponibilidad y la integridad de la información en caso de incidentes o fallos técnicos.

7. Evaluación de riesgos: Realizar evaluaciones periódicas de riesgos de seguridad de datos para identificar posibles vulnerabilidades y tomar medidas correctivas para mitigar dichos riesgos.

8.Cumplimiento normativo: Asegurarse de que todas las medidas de seguridad implementadas estén en conformidad con la legislación de protección de datos aplicable, el Reglamento General de Protección de Datos (RGPD) y otras normativas sectoriales.

Los centros educativos pueden recabar una amplia variedad de datos personales con el fin de llevar a cabo sus funciones educativas y administrativas. Algunos de los datos que pueden recabar incluyen, pero no se limitan a:

Información de identificación personal: Esto puede incluir nombres, apellidos, fechas de nacimiento, números de identificación, fotografías y firmas.

Información de contacto: Direcciones postales, números de teléfono, direcciones de correo electrónico y cualquier otra información necesaria para comunicarse con los estudiantes, padres de familia o tutores legales.

Información académica: Historiales académicos, calificaciones, asistencia, registros de matrícula, planes de estudio, evaluaciones y cualquier otra información relacionada con el progreso educativo del estudiante.

Información de salud: Datos médicos y de salud, incluyendo alergias, condiciones médicas, medicamentos recetados, registros de vacunación y cualquier otra información relevante para la salud y el bienestar del estudiante durante su estancia en el centro educativo. En la medida en que sean necesarios para el ejercicio de la función educativa. Se pueden distinguir los siguientes momentos:

En la matriculación del alumno: discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias o alergias.

Durante el curso escolar: el tratamiento médico que reciba un alumno a través del servicio médico o de enfermería del centro o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro o los informes de los equipos de orientación psicopedagógica.

Información familiar: Datos sobre los padres de familia o tutores legales, incluyendo nombres, direcciones, números de teléfono, relaciones familiares y cualquier otra información necesaria para establecer comunicación y relaciones con la familia del estudiante.

Información financiera: En algunos casos, los centros educativos pueden recabar información financiera, como datos bancarios o información sobre becas y ayudas económicas.

Por tanto, la LOE legitima a los centros educativos para recabar y tratar los datos de los alumnos y de sus padres o tutores, incluyendo también las categorías especiales de datos, como los de salud o de religión, cuando fuesen necesarios para el desempeño de la función docente y orientadora.

Pero también hay que tener en cuenta una serie de cautelas:

Los datos personales no podrán usarse para fines diferentes al educativo (función docente y orientadora).

El profesorado y resto del personal que acceda a los datos personales de los alumnos o de sus familias está sometido al deber de guardar secreto artículo 5 LOPDGDD. Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación. Si los padres del alumno están separados o divorciados, debe recabarse información sobre quién ostenta la patria potestad, si ambos o uno sólo, y quién ostenta la guarda y custodia. También de quiénes son las personas autorizadas a recoger al alumno. 

Los centros docentes están legitimados por la Ley Orgánica de Educación  la (LOE) para el tratamiento de los datos en el ejercicio de la función educativa.

También pueden basarse en varias bases legales, dependiendo del contexto y la finalidad del tratamiento. Algunas de las bases legales comunes incluyen:

Consentimiento: Cuando los datos personales son recabados con el consentimiento explícito de los interesados, como estudiantes o padres de familia, para una finalidad específica y claramente definida. Es importante que el consentimiento sea libre, informado, específico e inequívoco.

Cumplimiento de obligaciones legales: Los centros educativos pueden tratar datos personales cuando sea necesario para cumplir con obligaciones legales o reglamentarias, como la gestión académica, la elaboración de informes oficiales o la cumplimentación de requisitos administrativos.

Ejecución de la relación jurídica: Cuando el tratamiento de datos es necesario para la ejecución de un contrato en el que el interesado es parte o para la adopción de medidas precontractuales a solicitud del interesado. Por ejemplo, el tratamiento de datos de estudiantes para gestionar su matriculación y participación en actividades educativas.

O por la existencia en los centros privados de intereses legítimos que, previa ponderación con los derechos y libertades de los afectados, se considere que prevalecen sobre éstos.

El deber de información en los centros educativos con respecto a la protección de datos implica informar de manera clara y transparente a los estudiantes, padres de familia y demás interesados sobre cómo se recopilan, utilizan y protegen sus datos personales. Algunos aspectos importantes del deber de información incluyen:

Identificación del responsable del tratamiento: Los centros educativos deben proporcionar información sobre quién es el responsable del tratamiento de datos personales en la institución, incluyendo sus datos de contacto.

Finalidades del tratamiento: Deben explicar claramente las finalidades para las cuales se recaban los datos personales, como la gestión académica, la comunicación con los estudiantes y padres de familia, la seguridad y el bienestar de los estudiantes, entre otros.

Base legal del tratamiento: Es importante informar sobre la base legal que legitima el tratamiento de datos personales, ya sea el consentimiento del interesado, el cumplimiento de obligaciones legales, la ejecución de un contrato o el interés público.

Derechos de los interesados: Los centros educativos deben informar a los estudiantes y padres de familia sobre sus derechos en materia de protección de datos, como el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición al tratamiento de sus datos personales.

Transferencias internacionales de datos: En caso de que se realicen transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE), se debe informar sobre dichas transferencias y las medidas de seguridad que se han implementado para garantizar la protección de los datos personales.

Contacto del delegado de Protección de Datos: Si se ha designado un Delegado de Protección de Datos (DPD) en el centro educativo, se debe proporcionar información de contacto para que los interesados puedan comunicarse con el DPD en caso de dudas o preocupaciones sobre la protección de datos.

Es fundamental que esta información se proporcione de manera clara, accesible y en un lenguaje sencillo para que los interesados puedan comprender fácilmente cómo se manejan sus datos personales en el centro educativo y ejercer sus derechos de protección de datos de manera efectiva.

Sí. El centro necesita informar sobre los alumnos que han sido admitidos en la medida en que la admisión se realiza mediante un procedimiento de concurrencia competitiva en el que se valoran y puntúan determinadas circunstancias.

No obstante, la publicidad deberá realizarse de manera que no suponga un acceso indiscriminado a la información, por ejemplo, publicando la relación de alumnos admitidos en los tablones de anuncios en el interior del centro o en una página web de acceso restringido a quienes hayan solicitado la admisión.

Esta publicación deberá recoger sólo el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.

Esta información, no obstante, estará disponible para los interesados que ejerciten su derecho a reclamar. Cuando ya no sean necesarios estos listados, hay que retirarlos, sin perjuicio de su conservación por el centro a fin de atender las reclamaciones que pudieran plantearse.

En estos casos, la norma específica sobre medidas de protección integral de violencia de género establece que en actuaciones y procedimientos relacionados con la violencia de género se protegerá la intimidad de las víctimas; en especial, sus datos personales, los de sus descendientes y los de cualquier otra persona que esté bajo su guarda o custodia. En consecuencia, los centros educativos deberán proceder con especial cautela a tratar los datos de los menores que se vean afectados por estas situaciones.

De conformidad con el artículo 18.1.d) del RGPD el alumno se puede oponer a la publicación de su admisión en un centro educativo si se alegan motivos fundamentados y legítimos relativos a su concreta situación personal, como, por ejemplo, razones de seguridad por ser víctima de violencia de género o sufrir algún tipo de amenaza, etc. Si es un menor de 14 años, el derecho lo tiene que ejercer su tutor legal. El centro educativo lo tiene que excluir del listado de admitidos que se publique.

La Ley de Transparencia y Acceso a la Información Pública y Buen Gobierno determina la obligación de hacer pública, como mínimo, la información relativa a las subvenciones y ayudas públicas concedidas por las Administraciones públicas con indicación de su importe, objetivo o finalidad y los beneficiarios.

Sin perjuicio de la publicación por parte de la Administración convocante, los centros escolares también podrán publicar esta información a efectos informativos de los afectados.

A título general, en ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente, como mucho, se publicará el nombre, apellidos y 4 cifras de DNI de manera aleatoria.

Así mismo, si fueran varios los requisitos a valorar, se podría dar el resultado total y no el parcial de cada uno de los requisitos.

Si los criterios de las ayudas no se basan en circunstancias que impliquen el conocimiento de categorías especiales de datos hay que valorar si, no obstante, podrían afectar a la esfera íntima de la persona, por ejemplo, al ponerse de manifiesto su capacidad económica o su situación de riesgo de exclusión social. En estos casos habría que analizar en cada caso si resulta necesario hacer pública dicha información para garantizar la transparencia de la actividad relacionada con el funcionamiento y control de la actuación pública. Igualmente, cuando ya no sean necesarios estos listados, habrá que retirarlos.

Para la organización de la actividad docente los centros distribuyen al inicio de cada curso a los alumnos por clases, materias, actividades y servicios.

Para dar a conocer a los alumnos y a sus padres o tutores esta distribución, se pueden colocar dichas relaciones en los tablones de anuncios o en las entradas de las aulas, durante un tiempo razonable para permitir el conocimiento por todos los interesados.

Si el centro educativo utiliza una plataforma para la gestión educativa, se recomienda que cada alumno, sus padres o tutores accedan a dicha información mediante el uso de una identificación de usuario y su correspondiente contraseña.

En el comedor de los centros educativos se pueden publicar los diferentes menús, ya que pueden existir alumnos con necesidades alimentarias especiales, ya sea por razones de salud o religión, pero sin necesidad de que exista un listado con nombre y apellidos de los alumnos en relación al menú que le corresponde a cada uno de ellos. Lógicamente, el centro sí podrá disponer de esos listados para el uso de los mismos por su servicio de comedor, pero sin darles publicidad. 

Las calificaciones de los alumnos se han de facilitar a los propios alumnos y a sus padres.

En el caso de comunicar las calificaciones a través de plataformas educativas, éstas sólo deberán estar accesibles para los propios alumnos, sus padres o tutores, sin que puedan tener acceso a las mismas personas distintas.

No obstante, sí sería posible comunicar la situación del alumno en el entorno de su clase, por ejemplo, mostrando su calificación frente a la media de sus compañeros.

Desde Datusmas te ofrecemos servicios personalizados para la protección de datos en centros educativos. Desde auditorías y evaluaciones de cumplimiento hasta la implementación de políticas y sistemas de seguridad, ajustando el tratamiento de dalos a la legislación vigente.