La Administración y, por ende, los equipos directivos, deben ser plenamente conscientes de que tanto los docentes como el alumnado son titulares de dos derechos fundamentales que hay que respetar: el derecho a su intimidad, recogido en el art. 18 de la Constitución Española, y el derecho a la protección de sus datos de carácter personal, consagrado en la Sentencia del Tribunal Constitucional 292/2000. Ambos derechos están regulados por la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; en lo establecido en los artículos ocho.1 y veintitrés de la Ley 14/1986, de 25 de abril, General de Sanidad y por último en la disposición adicional vigésimotercera de la Ley 2/2006 de 3 de mayo (Ley Orgánica de Educación). Por ello, se deben establecer una serie de cautelas y cumplir con las normas relativas a la protección de datos, así como los criterios de interpretación jurisprudenciales a la hora de tomar decisiones sobre el tratamiento de datos.
Vamos a repasar algunas de las obligaciones y derechos que deben tener presente los equipos directivos relativos a la normativa de protección de datos personales:
El responsable del tratamiento y el centro educativo debe garantizar y poder demostrar, ante la autoridad y las personas interesadas, que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y las libertades de las personas de las que se tratan datos. Hablamos del principio de responsabilidad proactiva y de la inversión de la carga de la prueba.
Este nuevo principio requiere que los centros educativos analicen qué datos trata, con qué fines lo hace y qué tipo de operaciones de tratamiento lleva a cabo. A partir de este conocimiento detallado, debe valorar el riesgo que puede generar este tratamiento y, de acuerdo con esta valoración, adoptar las medidas de seguridad pertinentes. Uno de los supuestos que hay que analizar previamente por los riesgos que puede conllevar es el tratamiento de datos de colectivos vulnerables, en el caso de las escuelas, los menores de edad y los menores con necesidades educativas especiales o con discapacidad, entre otros. Los centros educativos deberán crear el protocolo de protección de datos siguiendo el principio de la privacidad desde el diseño y por defecto. Además, deberán designar una persona delegada de protección de datos, como se reafirma la AEPD en sus preguntas frecuentes:
“Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
La Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª “Denominación de las etapas educativas”, establece que “Las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”, que conforme a lo dispuesto en su artículo 3 son los siguientes:
-
-
- Educación infantil.
- Educación primaria.
- Educación secundaria obligatoria.
- Formación profesional.
- Enseñanzas de idiomas.
- Enseñanzas artísticas.
- Enseñanzas deportivas.
- Educación de personas adultas.
- Enseñanza universitaria.
-
En consecuencia, los centros docentes que impartan alguna de estas enseñanzas habrán de designar un delegado de protección de datos.” (https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00259)
Además, los centros educativos tienen la obligación de informar en los términos legales del tratamiento que realizan legitimado por una norma por rango legal, así como recabar el consentimiento para los tratamientos que lo requieran utilizando un modelo ajustado a la legalidad vigente y conservando los medios probatorios de la prestación del consentimiento informado.
Se tratarán datos de carácter personal del alumnado y de sus familiares con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores.
Además, siguiendo con el principio de responsabilidad proactiva se deberá implementar un plan de información y formación que permita y promueva el respeto y el cumplimiento de la normativa vigente por parte de las personas encargadas del tratamiento de datos en el desarrollo de sus funciones en la organización.
En este sentido, ya el Grupo de Trabajo del Artículo 29, actualmente integrado en el Comité Europeo de Protección de Datos, indicó en su dictamen 3/2010 sobre el principio de responsabilidad (WP 173, adoptado el 13 de julio de 2010, que, en virtud del principio de responsabilidad proactiva, las “medidas y procesos puede también hacerse de modo eficaz mediante la atribución de competencias y mediante la formación del personal implicado en las operaciones de tratamiento”. Sin formación, que además debe ser periódica para, en su caso, asegurarse de que las personas que tratan datos personales conocen sus obligaciones y mantienen sus conocimientos actualizados; se corre el riesgo de que un programa de cumplimiento o una política de protección de datos no sean efectivos.
Por último tenemos que decir que se hace necesario difundir una cultura de protección de datos entre las personas encargadas del tratamiento con el objetivo de sensibilizar a quienes los manejan y sean responsables del mismo, así como conocer las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en que pudiera incurrir en caso de incumplimiento.
Espero que os haya resultado interesante!
