Hoy queremos hacer hincapié en un sector normativo en auge, que es el de la protección de datos de carácter personal. El Reglamento (UE) 2016/679, más conocido como RGPD (Reglamento General de Protección de Datos) recuerda que la protección del tratamiento de datos personales es un derecho fundamental. Así lo reconocen los artículos 8 y 16 de la Carta de los Derechos Fundamentales de la UE y del TFUE.

Dado que estamos ante un derecho fundamental, resulta imprescindible dotarlo de la mayor protección jurídica. En caso contrario podríamos enfrentarnos a sanciones millonarias.

Y esta cuestión es particularmente en el sector educativo. Por un lado necesitamos tratar datos de carácter personal (en ocasiones catalogados como “de especial protección”) para desempeñar nuestro trabajo. Y, por otro lado, cada vez es más frecuente el uso de plataformas de gestión de la información, tanto propias como de terceros. ¿Cómo podemos garantizar la protección de datos en las academias de formación no reglada?

Los protocolos de protección de datos

La operativa corriente de una institución formativa requiere que el centro acceda a la información personal del personal docente, los alumnos y sus familiares. En ocasiones esta información puede ser particularmente sensible (por ejemplo, cuando entran en juego cuestiones sanitarias o jurídicas).

Además, el uso de herramientas digitales añade una capa de complejidad a esta situación. Especialmente cuando no han sido desarrolladas por el propio centro.

Como resultado, nos encontramos con una presencia abrumadora de las nuevas tecnologías en las aulas y en secretaría, que puede dejar a los usuarios en una situación de vulnerabilidad, especialmente cuando trabajamos con alumnos menores de edad.

Por ejemplo, es cada vez más frecuente que, con fines docentes, se empleen herramientas como:

• Correo electrónico.
• Redes sociales.
• Sistemas de almacenamiento en la nube.
• Herramientas de intranet y mensajería.

A las herramientas utilizadas a instancias del equipo docente se añaden aquellas aplicaciones que ya llevan instaladas en sus dispositivos tanto los alumnos como los propios profesores. ¿Cómo podemos garantizar que todas estas aplicaciones son respetuosas con los derechos de protección de datos de la comunidad?

La prevención es la mejor opción en estos casos, y por eso es recomendable que el centro cuente con un protocolo de protección de datos. Este documento indicará el modo en que debe realizarse el tratamiento de la información personal.

Generalmente incluirá cautelas como la minimización de los datos recabados, su anonimización o límites de acceso por parte del personal del centro. También debe incluir formularios que permitan recabar estos datos tras obtener el oportuno consentimiento informado.

Más adelante incluimos un decálogo de la AEPD que puede tomarse como referencia a la hora de crear una política de protección de datos para academias de formación no reglada.

La protección de datos en academias de formación no reglada que emplean medios de terceros

A las cautelas generales, aquellos centros que empleen medios de terceros deberán incluir una capa adicional de protección. La AEPD ha detectado que, además del nombre y apellidos del alumno, las aplicaciones de terceros empleadas en el entorno educativo suelen contener otros tipos de información más sensible:

• Horarios de los alumnos.
• Fotografías, vídeos y grabaciones de voz.
• Trabajos y calificaciones de los estudiantes.

Recomendaciones de la AEPD en materia de uso de nuevas tecnologías en las aulas

La AEPD ha generado un importante volumen de recomendaciones a lo largo del tiempo. Así, la protección de datos en las academias de formación no reglada ha sido una de sus preocupaciones, debido a los riesgos que ya hemos expuesto. Entre sus recomendaciones destaca el siguiente decálogo:

1. El centro debe velar porque las tecnologías utilizadas respeten las garantías en materia de protección de datos.
2. Solo deben utilizarse aplicaciones que ofrezcan información claramente definida sobre:
   1. Tratamientos realizados.
   2. Finalidad de los mismos.
   3. Responsable del tratamiento.
   4. Ciclo de vida de los datos.
3. El centro debe incluir las aplicaciones utilizadas en sus políticas de seguridad. Además, el personal docente debe obtener el consentimiento expreso del centro antes de solicitar a sus alumnos que utilicen cualquier herramienta digital.
4. El centro debe informar a los padres o tutores de la utilización de tecnología en las aulas. Para ello debe emplear una información clara, concisa, transparente e inteligible.
5. Las aplicaciones autorizadas deben facilitar el control por parte de padres, tutores y del personal docente.
6. Se debe analizar la política de tratamiento que hagan los titulares del software, especialmente en materia de transmisión de datos a terceros.
7. El centro debe implementar programas de información y concienciación.
8. Se debe evitar la inclusión de datos personales sensibles (salud, contraseñas, datos bancarios…) a la hora de subir contenidos a aplicaciones cloud.
9. Es recomendable instalar plataformas educativas propias y fomentar su empleo, sin establecer mecanismos de comunicación adicionales.
10. Debe obtenerse el consentimiento expreso de los padres o tutores de los alumnos menores de 14 años, o del propio alumno si es mayor, para realizar tratamientos de riesgo (reconocimiento facial, uso de datos biométricos…).

Este decálogo puede servir de estructura sobre la que desarrollar el programa de protección de datos del centro.

Sanciones por no garantizar la protección de datos en las academias de formación no reglada

Cuando cualquier interesado considere que se han incumplido sus derechos en materia de protección de datos podrá presentar una reclamación a la AEPD. Además, podría presentar otras reclamaciones extrajudiciales o judiciales.

En cualquier caso, la AEPD realizará un estudio de la situación, que podría conducir no solo a la indemnización del perjudicado sino también a la imposición de una sanción. Estas sanciones, dependiendo del tipo de infracción cometida, pueden llegar a multas valoradas en:

• Hasta veinte millones de euros.
• O el 4 % del volumen de negocio total anual global del ejercicio anterior.

Siempre se optará por la sanción de mayor cuantía. De modo que una multa de la AEPD puede poner en aprietos a la organización formativa si no ha velado por la garantía de los derechos de protección de datos de sus alumnos, familiares y personal.

Generalmente, los procedimientos abiertos ante esta autoridad se saldan con una sanción de amonestación. Sin embargo, conviene contar con un abogado especializado en la materia a la hora de enfrentarse a este proceso. Y es que, en general, las sanciones de la AEPD suelen ser ejemplarizantes.

En definitiva, la protección de datos en las academias de formación no reglada debería ser una prioridad para el equipo directivo. Conviene que el centro consulte con un especialista para implementar protocolos que garanticen este derecho a su comunidad. En el caso de recibir un aviso de inspección, la mejor opción del centro será contar con la asesoría de un abogado con experiencia en el sector educativo y en el ámbito de la protección de datos.