De nuevo, se acerca el momento de volver a ofrecer nuestros datos y los de los menores a los colegios y, por ello, debemos ser conscientes de cómo se tratan los datos y si están protegiendo adecuadamente su privacidad. Por ello, en este blog, os vamos a explicar como deben cumplir los centros escolares la normativa de Protección de Datos.
Guía básica de protección de datos para centros educativos
Los centros educativos, para desarrollar sus funciones encomendadas, deben tratar información personal, esta información puede ser de cualquier persona física, pero, especialmente, de sus alumnos.
Esta información debe ser tratada de forma adecuada ya que el tratamiento de la información relativa a los menores requiere un especial cuidado.
¿Por qué los centros educativos deben cumplir la LOPDGDD?
Una de las razones más importantes es que los colegios habitualmente tienen perfiles en las redes sociales en los que publican fotos en excursiones, charlas, jornadas de puertas abiertas, etc., en las que salen sus alumnos.
De igual manera, muchos profesores utilizan determinadas aplicaciones educativas en las que tienen que insertar información de carácter personal de los alumnos.
¿Qué ficheros tratan los colegios?
Los ficheros más comúnmente tratados en los centros educativos son: expediente académico, personal docente, personal no docente, proveedores, admisión de alumnos, asesoramiento psicopedagógico.
El centro ha de intentar que solo las personas, en cumplimiento de su función, que estén autorizadas tengan acceso a los datos personales.
Obligaciones según el RGPD
El RGPD enumera una serie de obligaciones que tienen que cumplir los centros educativos, dichas obligaciones son: llevar un registro de actividades de tratamiento, realizar un análisis de riesgos, realizar una evaluación de impacto en protección de datos, nombrar un DPO, obtener los consentimientos pertinentes y notificar las violaciones de seguridad.
A continuación, explicaremos cada una de estas obligaciones.
Registro de actividades de tratamiento
Desde el pasado 25 de mayo ya no es necesario inscribir los ficheros en la AEPD, pero se ha de llevar un Registro de actividades de tratamiento en el centro con la siguiente información: nombre y datos de contacto del responsable y delegado de protección de datos, fines del tratamiento, categorías de destinatarios a quienes se comuniquen los datos personales, plazos previstos para la supresión de las diferentes categorías de los datos.
Análisis de riesgos
Los centros deben realizar un análisis del riesgo que supone el tratamiento de datos que realicen con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.
Deberán adoptar medidas que garanticen que solo se trataran los datos necesarios para la finalidad para la cual se recogieron.
Evaluación de impacto
Según el RGPD, los centros educativos tendrán que realizar una Evaluación de impacto en los tratamientos a gran escala de datos sensibles, la observación sistemática de una zona de acceso público y la elaboración de perfiles sobre los cuales se produzcan efectos jurídicos.
Delegado de protección de datos
Los colegios tienen como obligación el nombramiento de un DPO que supervise el cumplimiento de la normativa.
Consentimiento
El consentimiento de los alumnos o de sus padres o tutores legales debe ser una clara acción afirmativa, en ningún caso se podrá obtener de forma tácita y, cuando se trate de datos sensibles el consentimiento deberá ser expreso.
Notificación de brechas de seguridad
Cuando se produzca una violación de seguridad habrá que notificar de manera inmediata a la AEPD y comunicarlo a los interesados.
En conclusión, los colegios deben tener mucho cuidado a la hora de tratar los datos de sus alumnos ya que, la mayoría de las veces, estos son menores de edad y asegurarse de que tienen el consentimiento de todos los padres o tutores legales y, en su caso, de los alumnos que tengan a partir de 13 años si no quieren ser sancionados ante la Autoridad de Control.
Recuerda que si quieres refrescar los términos o conceptos básicos que introduce el Reglamento, puedes visitar el resto de entradas del blog o contactar con nosotros en redes sociales.