Pese al tiempo que lleva en vigor el RGPD, la protección de datos en centros educativos sigue siendo una asignatura pendiente. Se trata de un sector nuevo y relativamente técnico, de modo que la mayoría de plantillas no están familiarizadas con el correcto uso de datos de carácter personal. Pero esto no es excusa para que el centro educativo no cuente con protocolos actualizados y conformes al nuevo marco normativo. Una incorrecta gestión de la información personal conculca los derechos de la comunidad educativa, por lo que puede ser perseguida por la AEPD. Así que hemos decidido preparar una guía son las directrices básicas a tener en cuenta en cuanto a la protección de datos en centros educativos. Aunque aportamos consejos de valor, recordamos que esta guía no sustituye la asesoría jurídica de un especialista en la materia. Todos los centros deberían elaborar protocolos de protección de datos junto a su abogado, así como formar, informar y concienciar a sus profesionales y alumnos.

Aspectos básicos de la protección de datos en los centros educativos

Explicar qué es la protección de datos de carácter personal implicaría resumir el RGPD y la LO 3/2018. Como nuestra intención es ofrecer una información clara, directa y útil, vamos a exponer los aspectos básicos de la protección de datos en centros educativos a modo de preguntas y respuestas.

Sin embargo, el lector debe recordar que el Derecho siempre incluye detalles técnicos que requieren de un estudio sosegado y casuístico. Baste esta advertencia para disculparnos por la falta de rigor de la que necesariamente adolece una exposición divulgativa.

¿Qué es la protección de datos de carácter personal?

La Unión Europea, en sintonía con los ordenamientos jurídicos modernos, ha establecido un marco de protección para los datos de carácter personal. Se entienden como tales todos los elementos informativos que permitan identificar a una persona física.

Ejemplos de datos de carácter personal en centros educativos

Son ejemplos frecuentes de datos de carácter personal en centros educativos:

• Nombre o apellidos de los alumnos o sus familiares.
• Direcciones de residencia o trabajo de unos u otros.
• Números de teléfono y direcciones de correo electrónico
• Fotografías.

¿Todos los datos personales están sometidos a la misma protección?

Aunque todos los datos personales están protegidos, algunos de ellos están sometidos a un régimen de especial protección. El RGPD dedica a ello sus artículos 9 y 10, pero básicamente se trata de aquellos susceptibles de originar un trato discriminatorio.

Ejemplos de datos sometidos a especial protección en centros educativos

• Datos biométricos, en el caso de que se empleen como sistema de identificación.
• Información médica, cuando el alumno padece cualquier enfermedad o condición.
• Datos relativos a infracciones penales o administrativas.
• Información que desvele la ideología, religión o creencias del estudiante. En este sentido resulta indiferente que este curse la asignatura de religión, pues esta acción no determina necesariamente su confesión religiosa.

¿Qué es el tratamiento de datos de carácter personal y quién debe gestionarlo en un centro educativo?

Ya hemos definido qué se entiende por datos de carácter personal y la necesidad de proteger especialmente determinadas categorías de datos. Pero, ¿cómo se gestiona esta información?

En primer lugar, cualquier operación relativa a estos datos (almacenaje, consulta, comunicación…) se considera un tratamiento de datos. El tratamiento que se haga de los datos de carácter personal debe ser registrado.

Los datos de carácter personal pertenecen a la persona física que sea su titular. Por tanto, esta tendrá ciertos derechos, como el acceso, la oposición al tratamiento o la supresión.

Además, antes de poder realizarse cualquier tratamiento de datos se deberá recabar el consentimiento informado del titular. Dicho de otro modo, se le tendrá que informar de la finalidad del tratamiento, de quién va a tener acceso a su información personal, del tiempo que se va a almacenar…

En cualquier centro educativo se gestionan datos de carácter personal de alumnos, docentes y personal de administración y servicios. Y lo más normal es que se gestione información personal de otras personas, como los familiares de los alumnos, los miembros del AMPA, o los proveedores del centro.

El responsable del tratamiento de datos en los centros educativos es:

• La respectiva Consejería de la Comunidad Autónoma en los centros públicos.
• O la dirección en los centros privados.

Además, se considerará encargado del tratamiento quien realice las actividades de tratamiento, que puede ser el responsable o no (por ejemplo, cuando haya servicios de actividades extraescolares externalizados, comedor o transporte escolar).

Para cumplir sus obligaciones, el centro educativo debería contar con un Delegado de Protección de Datos, que supervisará el cumplimiento de la normativa sectorial y resolverá las eventuales reclamaciones.

Ejemplos de tratamiento de datos de carácter personal en centros educativos

Algunos ejemplos de tratamiento de datos frecuentes en los centros educativos son:

• Recogida de información para realizar la matrícula, así como el posterior mantenimiento del expediente académico o su eventual traslado a otro centro.
• Advertencia de condiciones sanitarias como alergias o enfermedades crónicas que requieran una especial atención.

Consejos para elaborar una buena política de protección de datos en centros educativos

Evidentemente, cualquier centro educativo necesita realizar actividades de tratamiento de datos. Por tanto, el cumplimiento de la normativa requiere la implantación de una política de protección adecuada.

La protección de la información personal debe tenerse en cuenta desde el propio diseño de los sistemas de recogida, almacenamiento, destrucción y, en general, tratamiento de datos. Así, las prácticas que recogemos a continuación deberían tenerse en cuenta a la hora de elaborar una buena política.

La limitación de los datos a tratar y la obtención del consentimiento informado

En primer lugar, una buena política de protección de datos para el centro educativo debería reducir los datos a recoger o tratar a los estrictamente indispensables para cada finalidad. Por ejemplo, la información recibida para realizar una matrícula no puede emplearse para prestar un servicio de orientación laboral o para asociar al alumno al AMPA.

Esto fuerza a explicar para qué finalidad se van a recoger los datos y, en su caso, quién puede recibirlos. Lo cual, a su vez, implica la información sobre las consecuencias de oponerse al tratamiento y el modo de ejercitar los derechos del interesado.

En definitiva, tanto el diseño de las actividades de tratamiento como la propia solicitud de autorización se enmarcan en un proceso de información bajo el principio de transparencia, que conocemos como consentimiento informado.

¿Qué información puede recoger el centro educativo?

De acuerdo con la LOE, el centro educativo podrá obtener información relativa a:

• Origen y ambiente familiar y social. Especialmente, cuestiones relativas a la situación matrimonial de los progenitores o la guarda y custodia de los menores.
• Características personales. Particularmente, tratamientos médicos, discapacidades, alergias y otras condiciones sanitarias. Recordemos que esta información debe estar especialmente protegida.
• Evolución de la escolarización y otras circunstancias relevantes para la educación y orientación del alumnado.

Siempre que se obtenga información personal de la comunidad educativa se le deberá informar de las acciones y finalidad del tratamiento, aunque no haya que obtener su consentimiento. Este será necesario cuando los datos afecten al origen racial, salud, ideología, religión y otras categorías especialmente protegidas.

Relación con los encargados de tratamiento

Como ya hemos señalado, en ocasiones las figuras del responsable y el encargado del tratamiento difieren. Por ejemplo, si el centro cuenta con una empresa que preste el servicio de atención sanitaria, serán:

• Responsable del tratamiento: el propio centro.
• Encargado del tratamiento: la empresa sanitaria.

Por tanto, el centro debe diseñar un contrato que garantice que el encargado de tratamiento se vaya a someter a sus instrucciones, que vaya a incorporar medidas de protección de la información personal y que vaya a destruir sus registros cuando dejen de ser necesarios.

Comunicación de datos

También puede ocurrir que la entidad a la que se transmitan los datos de los alumnos o el profesorado no dependan del centro educativo. Esto ocurre, por ejemplo, al ofrecer información personal al AMPA o a las autoridades policiales, administrativas o judiciales.

En estos casos no estamos ante un encargado de tratamiento, sino ante una comunicación de datos. La diferencia radica en que en el primer caso, el encargado se somete a la autoridad del responsable. Pero en el segundo caso, concurren dos responsables diferentes.

El uso de soluciones digitales

Recordemos que el uso de software en la nube supone una cesión de datos, que puede llegar a considerarse como transferencia internacional de datos cuando el data center del proveedor esté fuera de los Estados miembros de la Unión Europea o el Espacio Económico Europeo.

La comunicación mediante redes sociales o plataformas de mensajería instantánea: especial referencia a WhatsApp

La propia AEPD ha insistido en que debe evitarse el uso de redes sociales o aplicaciones de mensajería instantánea de terceros para la comunicación con los alumnos y sus familiares. La mayoría de centros crean grupos de WhatsApp para facilitar la relación con los padres e incluso para realizar actividades de clase.

Pero ya hemos explicado que el uso de soluciones digitales supone una cesión de datos, cuando no una transferencia internacional. Por tanto, el uso de las soluciones de terceros debería ser extraordinario.

Esto no impide que el propio centro elabore una plataforma propia (intranet, redes sociales, chats…), cuyo funcionamiento se someta a su propio protocolo de protección de datos.

Además, los padres siempre pueden solicitar la creación de grupos, aunque para ello se recomienda:

• Que exista una causa relevante. Por ejemplo, tratar cuestiones extraordinarias o urgentes, como el estado de salud de los menores.
• Que lo gestionen los propios padres, y no el profesorado.
• Y, por supuesto, que los integrantes hayan concedido su consentimiento.

Sin embargo, incluso en estos casos resulta aconsejable que el centro ponga a disposición de la comunidad educativa las herramientas de comunicación necesarias.

Por supuesto, incluso en los casos en que resulte admisible la utilización de redes sociales y aplicaciones de mensajería instantánea, queda prohibido:

• Acceder al contenido de los dispositivos electrónicos de los alumnos, salvo casos extraordinarios como ciberacoso, sexting y otros.
• Difundir imágenes de los alumnos, salvo casos extraordinarios como accidentes o similares.

Medidas de seguridad en materia de protección de datos

Como se verá, el marco que configura el RGPD es considerablemente complejo y técnico. Será cuestión de tiempo que todas las instituciones educativas se acostumbren a funcionar conforme a las nuevas reglas de juego.

Lo que implica que las medidas de seguridad tienen un peso determinante, especialmente considerando la falta de cultura de protección de datos de la que todavía adolecemos.

Tales medidas de seguridad pueden ser tanto técnicas como organizativas, y pretenden garantizar la integridad, confidencialidad y accesibilidad de la información personal tratada.

Dado que la Unión Europea opera bajo el principio de responsabilidad proactiva, será el propio centro el encargado de evaluar los riesgos que entraña cada tratamiento de datos y las medidas de seguridad apropiadas.

Asesoría especializada en protección de datos para centros educativos

Con estos consejos cerramos nuestra guía. Nos han quedado relevantes cuestiones técnicas que tratar, como:

• Publicidad de listas de alumnos admitidos, de sus calificaciones, de la concesión de becas… Recordemos que pueden existir supuestos límite. Por ejemplo, la solicitud de exclusión por parte de una víctima de violencia de género.
• El uso de tablones informativos, tanto en formato físico como a través de la página web del centro.
• La solicitud de información por parte de padres de alumnos mayores de edad o emancipados (calificaciones, ausencias injustificadas, evolución escolar…).
• El adecuado modo de comunicar datos a otras entidades, como otros centros, la Policía, las autoridades sanitarias…
• El tratamiento de imágenes, sea en actividades de videovigilancia o durante la celebración de eventos.

En definitiva, detallar todos los elementos a considerar en la política de protección de datos de un centro educativo es una tarea ardua y casuística. Por eso conviene solicitar asesoramiento jurídico especializado a la hora de abordar esta tarea que, desde la entrada en vigor del RGPD, es obligatoria para todas las instituciones.