En un centro educativo se realizan diversos trámites, como la matriculación, en los que se manejan datos personales. El incumplimiento de la normativa sobre protección de datos personales puede suponer la imposición de una sanción cuya cuantía dependerá de la gravedad de la infracción y puede variar entre 40.000 euros y 20 millones de euros.

En general, en los centros educativos se tratan datos personales como la identificación de los alumnos, la información sobre su situación familiar, la discapacidad del menor o la existencia de alguna enfermedad y los resultados de su escolarización, entre otros.

¿Es necesario el consentimiento expreso para recabar datos personales en centros educativos?

En todos los casos en los que el centro educativo recabe datos personales de los alumnos para cumplir la finalidad docente y orientadora, no será necesario el consentimiento expreso para el tratamiento de los datos, pero sí será necesario informar a los interesados sobre dicho tratamiento. Sin embargo, cuando los datos se recaben con otra finalidad o se trate de datos especialmente sensibles (por ejemplo, datos relativos a la salud o la discapacidad del alumno) sí será necesario el consentimiento expreso de las personas interesadas.

Lo más habitual, para los casos en los que sea necesario obtener el consentimiento, es que se incluya una cláusula de protección de datos en el formulario de matrícula o contrato educativo .

Deberes del centro educativo en relación con los datos personales

Los centros educativos tienen una serie de deberes en relación con los datos personales:

• Deber de información. El centro educativo tendrá que informar a las personas interesadas sobre todo lo relativo a la protección de datos: qué tratamiento se va a realizar, la identidad del responsable del tratamiento, la finalidad del tratamiento, el plazo de conservación de los datos o las vías para ejercer los derechos reconocidos en la normativa sobre protección de datos (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).
• Deber de registrar las actividades de tratamiento. En el centro tendrá que haber un responsable de tratamiento de datos personales que se ocupará de realizar un registro de actividades de tratamiento.
• Deber de analizar riesgos. El centro educativo debe estudiar la posibilidad de que se produzca un riesgo que afecte a los datos personales. En base al análisis de riesgos se podrá elaborar un plan con medidas para evitar ese riesgo.
• Deber de confidencialidad. Todos los empleados del centro deben respetar la confidencialidad de los datos personales que manejen incluso después de que se termine la relación laboral con el centro. Para que se cumpla con esta obligación se podrá incluir una cláusula de confidencialidad en el contrato de trabajo.
• Deber de designar a un Delegado de Protección de Datos. Es la persona que se encargará de que el centro cumpla con la normativa de protección de datos.
• Deber de comunicar una brecha de seguridad. Si se produce una brecha de seguridad en los datos personales el centro deberá avisar a los perjudicados y a la Agencia Española de Protección de Datos.

Preguntas frecuentes (y respuestas) sobre protección de datos en centros educativos

Para resolver las principales dudas sobre protección de datos en centros educativos, a continuación, respondemos a las preguntas más frecuentes:

¿Se pueden subir fotografías o vídeos de alumnos a la web del centro?

Para poder utilizar fotos o vídeos en los que aparezcan alumnos es necesario el consentimiento expreso de los interesados.

¿Es posible colocar cámaras de vigilancia en el centro?

Sí es posible, pero debe de ser una medida proporcional a la finalidad que se persigue (mantener la seguridad), es necesario avisar sobre la existencia de las cámaras con un distintivo y no se pueden colocar en aseos y vestuarios.

¿Se pueden publicar las notas de los alumnos en los exámenes?

En general, se debe evitar publicar las notas ya que solo es una información que interesa a los alumnos y a sus padres. Se puede utilizar una web de acceso restringido para padres o tutores, por ejemplo.

¿El Delegado de Protección de Datos debe de ser un empleado del centro?

Puede ser un empleado del centro o no, recomendamos externalizar el servicio con empresas de confianza.

En definitiva, es fundamental conocer a fondo la normativa aplicable y cumplirla para proteger a los alumnos y evitar sanciones. Si necesitas ayuda con tu centro educativo: contacta con nuestro equipo de abogados expertos en derecho educativo y te asesorarán.