protección de datos en educación

Creo que es muy importante visibilizar las propuestas de aula porque empoderamos a nuestro alumnado, mejoramos su autoestima y, al compartir podemos inspirar a otros compañeros y compañeras y contribuir a mejorar la imagen de nuestra escuela. Soy consciente que en en muchos centros educativos se desarrollan actividades y proyectos excelentes y por eso deberíamos fomentar la visibilización de los mismos. Pero es importante conocer la normativa relacionada con la protección de datos para realizar estas publicaciones cumpliendo los requerimientos legislativos vigentes.

Empezamos por recordar que es imprescindible recabar el consentimiento del alumnado mayor de 14 años o de sus representantes legales en el caso de los menores de dicha edad si vamos a publicar sus datos personales (por ejemplo: imagen, voz) en un medio que no permite la discriminación en su difusión, por ejemplo en redes sociales que están abiertas o una web accesible sin necesidad de autentificarse.

¿Cómo debemos recabar el consentimiento para cumplir con la normativa vigente?

Una de las reformas más importantes que incluye la actual normativa es la relativa al consentimiento. El RGPD excluye el consentimiento tácito, exigiendo que sea expreso e informado para que éste despliegue efectos jurídicos. (art. 6.1 RGPD).

El RGPD requiere que las personas interesadas presten el consentimiento mediante una declaración inequívoca o una acción afirmativa clara para cada una de las finalidades para las que se solicita el consentimiento. Así, a efectos del RGPD, las casillas ya marcadas, el consentimiento tácito o la inacción no constituyen un consentimiento válido.

Además, es importante recordar que corresponde al responsable del tratamiento la prueba de la obtención del consentimiento de las personas interesadas para un tratamiento específico, por lo que deberá custodiarse la prueba de que el consentimiento se ofreció siguiendo las indicaciones legales.

El consentimiento debe ser una manifestación de voluntad por la que las personas interesadas aceptan el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Esta manifestación de voluntad debe ser:

- Libre. La persona debe tener la posibilidad de rechazar libremente que se traten sus datos.
- Específica. El consentimiento se refiere a tratamientos concretos y para una finalidad determinada, explícita y legítima del responsable del tratamiento, sin que se puedan establecer habilitaciones genéricas.
- Es necesario informar a los interesados para que, con antelación al tratamiento, puedan conocer la existencia y los fines de este.
- Inequívoca. La solicitud y el otorgamiento del consentimiento deben producirse de forma clara.

En el caso de ser un supuesto en el que se requiere el consentimiento informado y expreso, éste deberá recabarse a través de una solicitud claramente distinguida, de fácil acceso y usando un lenguaje claro y sencillo.

En el momento en el que recabamos el consentimiento hay que recordar que se tiene derecho a retirar el consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada (sin efectos retroactivos). El procedimiento para hacerlo debe ser tan fácil como el de darlo, aunque será lícito el tratamiento previo (Art.7.3 RGPD).

El responsable, antes de obtener el consentimiento, debe proporcionar información básica al menos de su identidad, los fines del tratamiento, los destinatarios de los datos, y del ejercicio de los derechos. Art. 13.1 RGPD.

Para considerar que existe consentimiento informado deberemos informar de los siguientes términos a las personas interesadas:

- La normativa aplicable.
- El archivo de tratamiento al que se incorporan los datos.
- Los derechos que tienen sobre sus datos y si se va a autorizar una transferencia de datos.
- La persona responsable de los datos y la persona delegada de protección de datos, así como el procedimiento para contactar con las mismas.
- Motivo y finalidad por el que se recaban.
- El tiempo por el que se van a mantener los datos.

Es importante recordar que la carga de la prueba sobre la prestación del consentimiento es del responsable del tratamiento. (art. 7.1 RGPD). Por ello es conveniente recabar el consentimiento por un medio que permita la misma.

Los centros educativos y cualesquiera otros que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información. (Art. 92 LOPDGDD).

Los mayores de 14 y menores de 18 años podrán otorgar el consentimiento para la utilización de sus datos personales por sí mismos, salvo que una norma específica exija la asistencia de los padres o tutores. (Art. 7.1 LOPDGDD).

En el caso de menores de 14 años el consentimiento para la utilización de sus datos personales se otorgará por sus padres o tutores legales (Art. 7.1 LOPDGDD). El responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible. (Art. 8.2 RGPD).

Y sabiendo todas estas cuestiones…

¿Cumples con los requisitos legales exigidos? ¿Utilizas un modelo actualizado a la normativa vigente para recabar el consentimiento?

La Administración y, por ende, los equipos directivos, deben ser plenamente conscientes de que tanto los docentes como el alumnado son titulares de dos derechos fundamentales que hay que respetar: el derecho a su intimidad, recogido en el art. 18 de la Constitución Española, y el derecho a la protección de sus datos de carácter personal, consagrado en la Sentencia del Tribunal Constitucional 292/2000. Ambos derechos están regulados por la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; en lo establecido en los artículos ocho.1 y veintitrés de la Ley 14/1986, de 25 de abril, General de Sanidad y por último en la disposición adicional vigésimotercera de la Ley 2/2006 de 3 de mayo (Ley Orgánica de Educación). Por ello, se deben establecer una serie de cautelas y cumplir con las normas relativas a la protección de datos, así como los criterios de interpretación jurisprudenciales a la hora de tomar decisiones sobre el tratamiento de datos.

Vamos a repasar algunas de las obligaciones y derechos que deben tener presente los equipos directivos relativos a la normativa de protección de datos personales:

El responsable del tratamiento y el centro educativo debe garantizar y poder demostrar, ante la autoridad y las personas interesadas, que el tratamiento es conforme a la normativa de protección de datos y que ha adoptado las medidas más adecuadas para garantizar los derechos y las libertades de las personas de las que se tratan datos. Hablamos del principio de responsabilidad proactiva y de la inversión de la carga de la prueba.

Este nuevo principio requiere que los centros educativos analicen qué datos trata, con qué fines lo hace y qué tipo de operaciones de tratamiento lleva a cabo. A partir de este conocimiento detallado, debe valorar el riesgo que puede generar este tratamiento y, de acuerdo con esta valoración, adoptar las medidas de seguridad pertinentes. Uno de los supuestos que hay que analizar previamente por los riesgos que puede conllevar es el tratamiento de datos de colectivos vulnerables, en el caso de las escuelas, los menores de edad y los menores con necesidades educativas especiales o con discapacidad, entre otros. Los centros educativos deberán crear el protocolo de protección de datos siguiendo el principio de la privacidad desde el diseño y por defecto. Además, deberán designar una persona delegada de protección de datos, como se reafirma la AEPD en sus preguntas frecuentes:

“Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

La Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª “Denominación de las etapas educativas”, establece que “Las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”, que conforme a lo dispuesto en su artículo 3 son los siguientes:

1. 1. Educación infantil.
  2. Educación primaria.
  3. Educación secundaria obligatoria.
  4. Formación profesional.
  5. Enseñanzas de idiomas.
  6. Enseñanzas artísticas.
  7. Enseñanzas deportivas.
  8. Educación de personas adultas.
  9. Enseñanza universitaria.

En consecuencia, los centros docentes que impartan alguna de estas enseñanzas habrán de designar un delegado de protección de datos.” (https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00259)

Además, los centros educativos tienen la obligación de informar en los términos legales del tratamiento que realizan legitimado por una norma por rango legal, así como recabar el consentimiento para los tratamientos que lo requieran utilizando un modelo ajustado a la legalidad vigente y conservando los medios probatorios de la prestación del consentimiento informado.

Se tratarán datos de carácter personal del alumnado y de sus familiares con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores.

Además, siguiendo con el principio de responsabilidad proactiva se deberá implementar un plan de información y formación que permita y promueva el respeto y el cumplimiento de la normativa vigente por parte de las personas encargadas del tratamiento de datos en el desarrollo de sus funciones en la organización.

En este sentido, ya el Grupo de Trabajo del Artículo 29, actualmente integrado en el Comité Europeo de Protección de Datos, indicó en su dictamen 3/2010 sobre el principio de responsabilidad (WP 173, adoptado el 13 de julio de 2010, que, en virtud del principio de responsabilidad proactiva, las “medidas y procesos puede también hacerse de modo eficaz mediante la atribución de competencias y mediante la formación del personal implicado en las operaciones de tratamiento”. Sin formación, que además debe ser periódica para, en su caso, asegurarse de que las personas que tratan datos personales conocen sus obligaciones y mantienen sus conocimientos actualizados; se corre el riesgo de que un programa de cumplimiento o una política de protección de datos no sean efectivos.

Por último tenemos que decir que se hace necesario difundir una cultura de protección de datos entre las personas encargadas del tratamiento con el objetivo de sensibilizar a quienes los manejan y sean responsables del mismo, así como conocer las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en que pudiera incurrir en caso de incumplimiento.

Espero que os haya resultado interesante!

Etiqueta: protección de datos en educación

CONSENTIMIENTO INFORMADO PARA VISIBILIZAR BUENAS PRÁCTICAS

OBLIGACIONES Y DERECHOS DE LOS CENTROS EDUCATIVOS EN MATERIA DE PROTECCIÓN DE DATOS