Protección de datos en Centros Educativos - Universidades. Guía 2023
¿Deben cumplir la Ley de
Protección de Datos los centros educativos? ¿Cómo deben adaptarse a la
normativa? ¿Qué tipo de datos personales manejan los centros educativos? ¿Quién
es el responsable del tratamiento? ¿Deben designar un Delegado de Protección de
Datos?
En esta guía de protección de
datos para centros educativos universitarios daremos respuesta a estas y otras
preguntas relacionadas con la materia.
¿Están obligados a cumplir la
Ley de Protección de Datos los centros educativos universitarios?
Normativa de protección de datos
para centros educativos
Guía para la protección de datos
en centros educativos
¿Quién es el responsable de la
protección de datos en centros educativos?
¿Qué tipos de datos tratan los
centros educativos?
Recogida de datos personales:
Legitimación y consentimiento expreso
Deber de informar
Registro de actividades de
tratamiento
Análisis de riesgos y evaluación
de impacto
Cesión de datos a terceros
Deber de confidencialidad
Bloqueo de datos
Designación de Delegado de
Protección de Datos
Notificación de brechas de
seguridad
Otras consideraciones sobre
protección de datos en centros educativos
¿Qué tipo de datos pueden
publicar los centros educativos?
¿Dónde y cómo publicar los datos
personales?
Sanciones por no cumplir la
normativa de protección de datos en centros educativos
¿Necesitas ayuda con la Ley de
Protección de Datos en tu centro educativo?
¿Necesitas un presupuesto? Escríbenos notariadigital@outlook.com
¿Están obligados a cumplir la
Ley de Protección de Datos los centros educativos?
Cumplir con la Ley de Protección
de Datos en centros educativos es una obligación ineludible, dado el volumen de
datos que estos tratan, desde los del alumnado hasta el de sus empleados, estos
centros también pueden llegar a tratar datos de categorías especiales (como los
de la salud).
Así mismo, la normativa de
protección de datos también debe tener en cuenta respecto a la publicación de
notas, el acceso a las calificaciones por parte de los padres de alumnos
mayores edad, el uso de imágenes de alumnos en la página web o redes sociales
del centro, cuándo un profesor puede grabar a sus alumnos durante una
actividad, etc.
La normativa de protección de
datos para centros educativos la tenemos en:
Ley Orgánica de Protección de Datos, que es el marco
regulatorio, vigente, y que introdujo varias novedades respecto a la protección
de datos, entre ellas, el consentimiento expreso, el registro de actividades de
tratamiento o la figura del Delegado de Protección de Datos (DPO).
Ley de Educación.
Guía para la protección de datos
en centros educativos
Para adaptar la Ley de
Protección de Datos en centros educativos, estos deben cumplir con una serie de
obligaciones y requisitos establecidos en la normativa, siempre teniendo en
cuenta el tipo de datos personales que se tratan en los centros y la finalidad
de los tratamientos, que siempre deberá estar relacionada con la función
docente y orientadora.
¿Quién es el responsable de la
protección de datos en centros educativos?
Quién asume el papel del
responsable de la protección de datos en los centros educativos, es decir,
quién es el responsable del tratamiento, depende de si el centro es público o
privado.
Así, cuando el centro educativo
es público, el responsable del tratamiento será la Administración pública
correspondiente.
En el caso de los centros
concertados o privados, el responsable del tratamiento será el propio centro.
¿Qué tipos de datos tratan los
centros educativos?
Como ya dijimos al comienzo de
esta guía de protección de datos en centros educativos, estos tratan un gran
volumen de datos personales, pero ¿cuáles exactamente?
Por un lado, los centros
educativos van a tratar datos identificativos de alumnos, padres o tutores de
alumnos y empleados: nombre, apellidos, domicilio, teléfono, C.I., email, etc.
Por otro lado, la Ley de Educación
también legitima a los centros educativos a recabar datos de carácter personal
para la ayuda a la función docente y orientadora de los alumnos. De manera que
también tratarán los siguientes datos:
Origen y ambiente familiar y
social: Con esto nos referimos a toda la información sobre la situación
familiar de los alumnos. Un centro escolar puede recoger información relativa
tanto a los alumnos como a los padres. El caso de los padres es relevante, ya
que si, por ejemplo, están divorciados, el centro debe saber quién ostenta la
patria potestad para la recogida de los menores.
Características o condiciones
personales del menor: Aquí encontramos los llamados datos sensibles, en cuanto
sean necesarios para la función educativa. En este caso hay diferentes momentos
en que se pueden recabar datos sensibles del menor, entre los que destacamos:
En la matriculación del alumno:
Discapacidades
Enfermedades crónicas
TDAH
Intolerancias alimentarias
Alergias
Durante el curso escolar:
Tratamiento médico que reciba un
alumno a través del servicio médico o de enfermería del centro
Informes de centros sanitarios a
los que se le haya trasladado como consecuencia de accidentes o indisposiciones
sufridas en el centro
Informes de los equipos de
orientación psicopedagógica
Desarrollo y resultados de su
escolarización: Se trata de datos e información relacionada con el rendimiento
escolar, como, por ejemplo, las notas de cada uno de los alumnos, así como las
asignaturas que ellos mismos hayan podido escoger.
Circunstancias cuyo conocimiento
sea necesario para educar y orientar a los alumnos: Este punto nos enlaza con
los dos primeros, ya que será necesario el conocimiento de la situación
familiar y personal del alumno para su buen desarrollo educativo. Por ejemplo,
conocer la situación socioeconómica de una familia puede ayudar a determinar si
un alumno necesita más o menos apoyo en determinadas áreas o acceso a material
escolar.
Datos ajustados a la finalidad:
Como ocurre en otros ámbitos, uno de los requisitos de la ley de protección de
datos en centros educativos es no recabar datos personales que sean excesivos
para la finalidad para la que son recogidos. Por ejemplo, en el caso de las
solicitudes de plaza en un centro de enseñanza, no es necesario recabar los
datos bancarios para el pago de actividades extraescolares hasta que no se
hubiera resuelto el proceso y fuese admitido el alumno.
Recogida de datos personales:
Legitimación y consentimiento expreso
De acuerdo a la normativa de
protección de datos, los centros educativos están legitimados para el
tratamiento de datos personales para dar cumplimiento, como hemos dicho, a la
función docente y orientadora. En estos casos, el consentimiento expreso para
el tratamiento de datos no será necesario, pero sí deberá informar a los
interesados (alumnos, padres o tutores y empleados) de la realización de dicho
tratamiento.
Cuando sea necesario llevar un
tratamiento de datos que no esté legitimado por esa finalidad, será necesario
recabar el consentimiento expreso de los interesados. También deberá recabarse
este consentimiento expreso cuando se traten categorías de datos especiales o
sensibles (origen racial, relativos a la salud y a la vida sexual, ideología,
religión o creencias o afiliación sindical), además, deberá recogerse por escrito.
Los alumnos mayores de 14 años
podrán prestar su consentimiento ellos mismos, mientras que para los menores de
14 años deberá recabarse el consentimiento de padres o tutores legales.
Como el consentimiento debe
quedar registrado, lo habitual es recurrir a incluir la correspondiente
cláusula en el mismo impreso o formulario en el que se van a recabar los datos
(por ejemplo, en el formulario de matriculación), usando casillas para marcar
el otorgamiento del consentimiento o mediante la firma.
El consentimiento ha de ser
inequívoco y específico, correspondiendo al centro o a la Administración
educativa acreditar su existencia.
En cuanto a los profesores, más
allá de cuando los profesores recogen datos personales de los alumnos en el
ejercicio de sus funciones administrativas, también estarán legitimados para
recoger datos personales de los alumnos directamente en el desempeño de sus
labores docentes, por ejemplo, para evaluar ejercicios, dentro de las
instrucciones o protocolos internos al respecto del centro.
Deber de informar
La protección de datos en
centros educativos requiere cumplir con el deber de informar a los interesados
(alumnos, padres o tutores legales y empleados del centro) de todo lo relativo
al tratamiento de sus datos, en concreto se informará sobre:
El tratamiento de datos
La identidad del responsable del
tratamiento, del Delegado de Protección de Datos (DPO) y del encargado o
encargados del tratamiento
La finalidad del tratamiento
El plazo de conservación de los
datos
Si los datos serán cedidos a
terceros (identificando a los mismos)
Si se producirán transferencias
internacionales de datos y las garantías de las mismas
La vía para ejercer los derechos
ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento,
portabilidad y oposición)
Registro de actividades de
tratamiento
Dado el volumen y las categorías
de datos que manejan los centros educativos, el responsable del tratamiento
está obligado a llevar un registro de actividades de tratamiento, de manera que
por cada tratamiento de datos personales que se haga en el centro (listado de
alumnos, nóminas de profesores, cámaras de seguridad, información referente a
la salud, etc.), se deberá realizar el correspondiente registro de actividades
de tratamiento, que recogerá la siguiente información:
Datos identificativos del
responsable del tratamiento, del encargado o encargados del tratamiento y del
DPO
La finalidad del tratamiento
La base legitimadora del
tratamiento
Las categorías de datos e
interesados afectados
Las categorías de destinatarios
de los datos existentes o previstos
Las transferencias
internacionales de datos (si procede)
El plazo de conservación de los
datos
Descripción general de las
medidas técnicas y organizativas de seguridad
Análisis de riesgos y evaluación
de impacto
Una de las principales
obligaciones en materia de protección de datos para centros educativos es
llevar a cabo análisis de riesgos y, cuando sea necesario, la evaluación de
impacto en protección de datos (EIPD).
Con carácter previo a cualquier
tratamiento de datos, el centro realizará un análisis de riesgos, para
determinar la posibilidad de que dicho riesgo se materialice y cómo afectaría a
los interesados. Este análisis, además, se empleará para diseñar e implementar
las medidas de seguridad necesarias para minimizar las probabilidades de
materialización del riesgo y para reducir su impacto, si al final ocurre.
Hablamos aquí de riesgos que
pongan en peligro la integridad, disponibilidad, fiabilidad y confidencialidad
de los datos, tanto físicos como digitales, accidentales o intencionados.
La EIPD se deberá realizar
cuando el tratamiento de datos personales afecte a datos sensibles y cuando del
análisis de riesgos se determine que un nivel de riesgo alto para los derechos
y libertades de los interesados, en caso de materializarse un riesgo o amenaza.
La EIPD es un análisis de riesgos más en profundidad y centrado en ese impacto
sobre la vida de los interesados.
Las conclusiones del análisis de
riesgos y de la EIPD servirán a los centros educativos para diseñar e
implementar las medidas técnicas y organizativas necesarias para garantizar la
seguridad, integridad, disponibilidad y confidencialidad de los datos
personales que manejan. Estas medidas deben impedir el acceso de terceros no
autorizados a los datos personales del centro, evitar su pérdida o destrucción
o su filtración.
Cesión de datos a terceros
Cuando los centros educativos,
para cumplir con algunas de sus funciones, deben contratar los servicios de
terceros externos a los mismos (por ejemplo, servicio de comedor, servicio
médico, de transporte, etc.) y estos tienen acceso a los datos personales de
alumnos, padres o tutores y empleados del centro, se deberá firmar con ellos un
contrato de encargo del tratamiento.
Este contrato debe recoger:
La obligación de tratar solo los
datos personales cedidos por el responsable del tratamiento.
Que los datos no se utilizarán
con finalidades diferentes a las previstas en el contrato, ni se comunicarán a
otros.
Las medidas de seguridad
implementadas o que debe implementar el encargado del tratamiento.
Qué se hará con los datos una
vez cumplida la finalidad del tratamiento o el plazo de conservación.
Cabe señalar que no se
considerarán encargados del tratamiento a las personas físicas que tengan
acceso a los datos personales de alumnos, padres o tutores y empleados en su
condición de empleados del centro o de la Administración educativa responsables
del tratamiento (por ejemplo, los profesores que pueden acceder a los datos de
sus alumnos no son encargados del tratamiento).
Deber de confidencialidad
Todo el personal del centro
educativo que haya tenido acceso a datos personales tiene el deber de guardar
secreto sobre los mismos, no publicarlos, difundirlos o filtrarlos, bien por
intereses personales o en beneficio de terceros o bien de manera accidental.
Este deber se prolongará una vez finalizada la relación contractual con el
centro.
Para asegurar el cumplimiento
del deber de confidencialidad, se puede recurrir a la inclusión de una cláusula
de confidencialidad en el contrato de los empleados, en la que, además, se
explicarán las consecuencias de no cumplir con este deber.
Bloqueo de datos
Puesto que hay determinados
casos en que los datos personales de alumnos y exalumnos, así como de empleados
y exempleados del centro educativo deben conservarse, incluso cuando se haya
cumplido la finalidad para la que fueron recabados, se deberá proceder al
bloqueo de dichos datos, de manera que no serán eliminados, pero no podrán
usarse o accederse a ellos, salvo que así lo requiera una administración
pública o las autoridades judiciales en el ejercicio de sus funciones.
Designación de Delegado de
Protección de Datos
Con independencia de si son
centros educativos públicos o privados, estos están obligados a designar o
contratar un DPO, que se ocupará, entre otras funciones, de supervisar el
cumplimiento de la normativa, asesorar al responsable del tratamiento y actuar
como enlace entre la AEPD y el propio centro.
Esta obligatoriedad del delegado
de protección de datos puede cumplirse designando un empleado del centro como
tal o contratando los servicios de un DPO externo, por ejemplo, a través de una
consultoría externa especializada en protección de datos.
Notificación de brechas de
seguridad
En el caso de que se produzca un
incidente de seguridad que dejé al descubierto o provoque la filtración de los
datos personales de alumnos, padres o tutores o personal del centro educativo y
pueda suponer un riesgo para sus derechos y libertades, este deberá informar,
en un plazo no superior a 72 horas, a la AEPD y a los propios interesados cuyos
datos se hayan visto afectados.
Otras consideraciones sobre
protección de datos en centros educativos
Esta guía de protección de datos
en centros educativos no estaría completa si, aparte de las obligaciones y
requisitos que hemos visto que deben cumplir en materia de protección de datos
los centros educativos, no mencionáramos las siguientes consideraciones,
relacionadas con cómo y dónde pueden los centros educativos o su personal
publicar datos personales.
¿Qué tipo de datos pueden
publicar los centros educativos?
De acuerdo a la Ley de
Protección de Datos, los centros educativos pueden publicar los siguientes
datos personales:
– Listas de admitidos:
Se puede publicar la lista de
alumnos admitidos siempre y cuando se haga de una manera que no suponga un
acceso indiscriminado la información:
Publicación en tablones dentro
del centro.
A través de una página web de
acceso restringido.
Esta publicación deberá recoger
solo el resultado final del baremo, no resultados parciales que puedan
responder a datos o información sensible o poner de manifiesto la capacidad
económica de la familia.
Esta información, no obstante,
estará disponible para los interesados que ejerzan su derecho a reclamar.
– Notas de alumnos:
A diferencia de lo que ocurre en
la educación universitaria, la publicación de notas en los centros educativos
no está regulada y, por lo tanto, es un tema en el que es habitual que surjan
dudas.
Para resolver estas dudas, la
guía de protección de datos en centros educativos de la AEPD nos da algunas
directrices, que resumimos a continuación:
Como norma general, las notas de
los alumnos solo se deben facilitar a los propios alumnos y sus padres,
evitando su exposición pública en tablones de anuncios o comunicándolas de
forma oral en la clase.
Si las notas se comunican a
través de una plataforma digital, estas solo deberían ser accesibles para los
propios alumnos, sus padres o tutores.
En el caso de que el alumno
fuese mayor de edad, los padres podrán solicitar el acceso a las notas cuando
estos corran con los gastos educativos o de alimentos (en el caso de padres
separados), ya que se considera que existe un interés legítimo de los padres
derivado del mantenimiento de sus hijos mayores de edad.
– Beneficiarios de becas:
En estos casos hay que poner en
valor dos situaciones:
Si la beca está fundada en una
situación de discapacidad de los beneficiarios.
Si la beca puede afectar a la
esfera íntima del afectado.
En estos casos, se podrá
publicar solamente mediante el número identificador de la solicitud que solo el
afectado conoce.
– Imágenes y videos:
Es habitual que los centros
docentes, con motivo de eventos o celebraciones, recojan imágenes de alumnos,
profesores y familiares. Pero ¿qué dice la ley de protección de datos en
centros educativos respecto a la captación y publicación de imágenes en estas
situaciones? Hay diferentes casuísticas que debemos tener en cuenta.
Primero, señalar que cuando el
consentimiento para la captación y publicación de imágenes sea necesario, los
alumnos mayores de 14 años podrán darlo ellos mismos, mientras que para los
menores de 14 años, será necesario que el consentimiento lo den sus padres o
tutores legales.
Así, cuando las imágenes o
vídeos se capten con fines educativos, como pueden ser trabajos o evaluaciones,
no será necesario recabar el consentimiento. Sí lo será cuando esas imágenes
vayan a ser publicadas en la web del centro.
Los profesores podrán grabar a
sus alumnos siempre y cuando la finalidad esté relacionada con la actividad
docente y dichas imágenes solo estén accesibles para los propios alumnos, sus
padres o tutores legales, aparte del propio profesor.
Si las imágenes las captan
padres o tutores legales u otros familiares en el desarrollo de un evento
escolar, al tratarse de un uso doméstico, la normativa de protección de datos
no es de aplicación.
¿Dónde y cómo publicar los datos
personales?
¿Dónde se pueden publicar datos
personales y cómo hacerlo de acuerdo a la normativa de protección de datos para
centros educativos?
– Tablón de anuncios:
Se pueden publicar listas de
admitidos, notas y cualquier otra información similar en los tablones de
anuncios de centro, cuando esta información deba estar disponible de forma
pública. Si bien, esta publicación debe realizarse de manera proporcionada, es
decir, sin que suponga un acceso indiscriminado a la misma (los tablones deben
estar en el interior del centro o una web de acceso restringido) y solo deberá
recoger el resultado final del baremo o contener ningún dato relativo a la
situación particular de cada familia.
Una vez que ya no sean
necesarios, estos listados se deberán retirar de los tablones.
– Página web y redes sociales:
Es habitual que la web de un
centro educativo cuente con información referida a las actividades que
desarrolla y los servicios que ofrece.
Debido a esto, en algunas
ocasiones incluyen información que contiene datos de carácter personal de
empleados del centro y los alumnos, por lo que se deben considerar y aplicar
las obligaciones de la ley de protección de datos en centros educativos, en
especial en lo que se refiere al consentimiento de los interesados.
Así mismo, si se van a subir
fotografías o vídeos a la web del centro o las redes sociales, será necesario
recabar el consentimiento expreso de los interesados (alumnos, padres o tutores
legales, profesores y cualquier otro personal del centro). Además, se les
proveerá de la siguiente información:
Datos que se van a publicar.
Redes sociales en las que se van
a utilizar.
Finalidad de uso.
Quién puede acceder a los datos.
Plazo durante el que se van a
conservar las imágenes, así como los criterios para su eliminación.
En el caso de que un profesor
quiera usar las imágenes en su blog personal, al margen de la función de
docencia, deberán siempre solicitar el consentimiento expreso de alumnos o
padres o tutores legales, siendo el profesor el responsable del tratamiento.
– Otros medios:
Si en el centro se han instalado
cámaras de videovigilancia, esta instalación debe responder a un interés
legítimo del centro en mantener la seguridad e integridad de las personas e
instalación. Y deberá tener en cuenta lo siguiente:
Su colocación debe ser
proporcional, es decir, que la finalidad perseguida no se pueda conseguir por
otros medios menos intrusivos y que la instalación de cámaras de seguridad
ofrezca más beneficios que perjuicios (por ejemplo, velar por la seguridad
física o psicológica de los menores).
Informar de su existencia
mediante el distintivo correspondiente, donde debe figurar la información que
exige la normativa de protección de datos.
No podrán colocarse nunca en
zonas íntimas o donde se espere privacidad, como aseos o vestuarios.
Sanciones por no cumplir la
normativa de protección de datos en centros educativos
No cumplir con la normativa de
protección de datos en centros educativos es motivo de sanción. La cuantía de
estas sanciones se determina con relación a la gravedad de las mismas, de
acuerdo con las infracciones recogidas en la LOPD, de manera que:
Las infracciones leves.
Las infracciones graves.
Las infracciones muy graves (volumen
de facturación, la cuantía que resulte superior).
¿Necesitas ayuda con la Ley de
Protección de Datos en tu centro educativo?
Si después de leer esta guía de
protección de datos en centros educativos aún tienes dudas o necesitas ayuda
para su correcta aplicación, no dudes en ponerte en contacto con notariadigital@outlook.com ,
nuestro equipo de profesionales expertos en protección de datos te ayudarán y
asesorarán en todo cuanto necesites.