Este documento trata sobre la protección de datos personales en el ámbito educativo. Explica la base legal de la protección de datos tanto a nivel internacional como estatal y autonómico. Define conceptos clave como datos personales, ficheros y responsables del tratamiento de datos. Además, describe el tratamiento de datos en centros educativos, la legitimidad de dicho tratamiento y los derechos y obligaciones en materia de protección de datos. Por último, presenta un decálogo para el correcto uso de datos personales en centros educativos.
1. LA PROTECCIÓN
DE DATOS EN
EL ÁMBITO
EDUCATIVO
José Rodrigo Cerrillo Patiño
#edudirección
Actividad 1.4. Curso de Dirección’18. INTEF
2. ÍNDICE:
1. Base legal (internacional/estatal/autonómica)
2. Conceptos
3. Tratamiento de datos en centros educativos
4. Legitimidad del tratamiento
5. Derechos en materia de protección de los datos
6. Obligaciones en el tratamiento de los datos
7. Decálogo para un correcto uso de los datos de carácter personal en los centros educativos
8. Novedades en el Reglamento General de Protección de Datos (que afectan al sector Educativo)
9. Enlaces de consulta
Todas las imágenes se han extraído de búsquedas en Google ‘Imágenes’ y Pixabay de repositorios sin finalidad lucrativa y con un objetivo igual. Si el autor desea que se retire, con
escribir a jrodrigocp@gmail.com en el que se indique el lugar en el que aparece su imagen, se retirará automáticamente.
3. 1. BASE LEGAL:
NORMATIVA ESTATAL
NORMATIVA INTERNACIONAL
Constitución Española. BOE de 29 de diciembre de 1978 (artículos 18.4 y 27).
Ley Orgánica de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil.
BOE de 17 de enero de 1996
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). BOE de 14 de diciembre
de 1999
Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. BOE de 13 de enero de 2000
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia
de información y documentación clínica. BOE de 15 de noviembre de 2002
Ley Orgánica 2/2006, de 3 de mayo, de Educación. BOE de 04 de mayo de 2006
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal. BOE de 19 de enero de 2008
Ley Orgánica 8/2013, de 9 de diciembre, para la mejora de la calidad educativa. BOE de 10 de diciembre de 2013
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. BOE de 10 de mayo de 2014
Ley Orgánica 8/2015, de 22 de julio, de modificación del sistema de protección a la infancia y a la adolescencia. BOE de 23
de julio de 2015
Instrumento de Ratificación de la Convención sobre los derechos de las personas con
discapacidad, hecho en Nueva York el 13 de diciembre de 2006. BOE de 21 de abril de 2008
4. Orden 178/2017, de 16 de octubre, de la
Consejería de Hacienda y Administraciones
Públicas, de creación, modificación y supresión de
ficheros con datos de carácter personal de la
Consejería de Educación, Cultura y Deportes de la
Junta de Comunidades de Castilla-La Mancha.
DOCM de 24 de octubre de 2017
Decreto 104/2008, de 22-07-2008, de protección
de datos de carácter personal en la Junta de
Comunidades de Castilla-La Mancha. DOCM de 25
de julio de 2008
Ley 7/2010, de 20 de julio, de Educación de
Castilla-La Mancha. DOCM de 28 de julio de 2010
NORMATIVA AUTONÓMICA
NORMATIVA SECTORIAL
Plan Sectorial de Oficio a la Enseñanza Reglada no Universitaria. 2006. AEPD
Inspección sectorial de oficio sobre servicios de cloud computing en el sector educativo. 2015. AEPD
Guía para centros educativos 2018. AEPD
Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nubes con
sistemas ajenos a las plataformas educativas. 2018. AEPD
5. 2. CONCEPTOS:
¿Qué es un dato de carácter personal?
Cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas
físicas identificadas o identificables. Aunque no esté asociada a una identidad, es un dato de carácter personal si a
través de dicha información se puede identificar o individualizar dentro de un colectivo a una persona sin esfuerzos
desproporcionados.
El nombre y apellidos de un alumno, de sus padres, su dirección, su número de teléfono o su correo electrónico son datos de carácter personal. También lo son
las imágenes de los alumnos o, por ejemplo, la profesión, los estudios o el lugar donde trabajan los padres, o su número de cuenta bancaria.
Datos especialmente protegidos:
Aquellos que revelen ideología, afiliación sindical, religión y creencias, hagan referencia al origen racial, a la salud y a
la vida sexual, se refieran a la comisión de infracciones penales o administrativas.
¿De quién son los datos de carácter personal?
Cada persona es titular de sus respectivos datos de carácter personal.
¿Qué es un fichero?
Todo conjunto estructurado de datos personales, accesibles con arreglo a
criterios determinados, ya sea centralizado, descentralizado, repartido de
forma funcional o geográfica o tratado de forma manual o automática.
6. ¿Quién es el responsable del tratamiento de
datos?
Cuando se trate de centros educativos públicos, el
responsable del tratamiento será normalmente la
Administración pública correspondiente: la Consejería de
la Comunidad Autónoma competente en materia
educativa, salvo para los centros de Ceuta y Melilla o los
centros en el exterior titularidad del Estado
dependientes del Ministerio de Educación Cultura y
Deporte. Cuando se trata de centros concertados y
privados los responsables del tratamiento de los datos
serán los propios centros.
¿Qué se entiende por cesión de datos?
La cesión de datos supone su revelación a una persona distinta de su titular.
Persona identificable Cualquier persona cuya identidad puede determinarse, directa o indirectamente, mediante
cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física
no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.
7. 3. TRATAMIENTO DE LOS DATOS EN CENTROS EDUCATIVOS
El derecho a la protección de datos de carácter personal es un derecho fundamental reconocido
jurisprudencialmente a partir de lo que establece el artículo 18.4 CE y desarrollado por la LOPD. Este derecho
quiere garantizar que las personas físicas tengan conocimiento sobre quién dispone de sus datos y con qué
finalidad, para poder tener capacidad de decisión sobre el tratamiento de esta información.
Los colectivos sobre los cuales tratan datos son los alumnos, los padres y madres de alumnos, los profesores, los
tutores, los otros trabajadores de los centros, los proveedores, los asistentes a actividades, los exalumnos o las
otras personas con las cuales se relacionan.
En el caso de los datos de los alumnos, el tratamiento de datos en los centros educativos se produce por primera
vez cuando los padres o tutor solicitan una plaza en el proceso de preinscripción, y se mantiene hasta que el
alumno finaliza los estudios en aquel centro.
8. 4. Legitimidad del tratamiento
• Se pueden tratar los datos si sus titulares prestan su consentimiento previo.
• Cuando el titular de los datos es un menor de 14 años, o en los supuestos en que así se exigiera por la Ley si fuera
mayor de esa edad, el consentimiento deberá prestarse por sus padres o tutores.
• El consentimiento para tratar datos personales se puede revocar en cualquier momento, pero la revocación no surtirá
efectos retroactivos y se tiene que informar de ello a los interesados.
• Cuando el tratamiento se base en el consentimiento, corresponde al responsable del tratamiento la prueba de su
existencia.
• También será legítimo el tratamiento de datos cuando sea necesario para el desarrollo y ejecución de una relación
jurídica entre el responsable y el afectado, o para la satisfacción de un interés legítimo del responsable siempre que
dicho interés no prevalezca sobre los derechos y libertades de los afectados, en particular cuando éstos sean niños.
• Los centros docentes están legitimados por la Ley Orgánica de Educación de 2006 (LOE) para el tratamiento de los
datos en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación
jurídica que se produce con la matriculación del alumno en un centro, así como por el consentimiento de los
interesados, o de sus padres o tutores si son menores de 14 años, o por la existencia en los centros privados de
intereses legítimos que, previa ponderación con los derechos y libertades de los afectados, se considere que
prevalecen sobre éstos.
Consentimiento de la persona afectada: Cualquier manifestación de la voluntad, libre, inequívoca, específica e informada,
mediante la que la persona interesada consienta el tratamiento de datos personales que le conciernen.
9. 5. Derechos en materia de protección de los datos
ARCO, se pueden describir del siguiente modo:
• El derecho de ACCESO permite a los titulares de los datos personales conocer y obtener
gratuitamente información sobre si sus datos de carácter personal están siendo objeto de
tratamiento, con qué finalidad, qué tipo de datos tiene el responsable del tratamiento, su origen,
si no proceden de los interesados, y los destinatarios de los datos.
• El derecho de RECTIFICACIÓN permite corregir errores, modificar los datos que resulten ser
inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
• El derecho de CANCELACIÓN permite que se supriman los datos que resulten ser inadecuados o
excesivos. La revocación del consentimiento da lugar a la cancelación de los datos cuando su
tratamiento esté basado en él.
• El derecho de OPOSICIÓN es el derecho del interesado a que, por motivos relacionados con su
situación personal, no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese
en el mismo.
sólo pueden ser ejercidos por sus titulares o sus representantes legales
10. 6. Obligaciones en el tratamiento de los datos
Antes de emprender cualquier actuación que implique el tratamiento de datos de carácter personal, el responsable del
tratamiento tiene que hacer una serie de actuaciones:
1. Hacer un análisis del “ciclo de vida” o recorrido de los datos a lo largo de su tratamiento, con el fin de identificar:
• Qué datos personales se tienen que recoger y para qué finalidad.
• Cómo se recogerán (formularios en papel, electrónicamente, telefónicamente...).
• Qué ficheros hay que crear y, si procede, qué ficheros hace falta modificar o suprimir.
• Quién los tratará (áreas, departamentos, personas usuarias ...).
• Cómo circularán dentro de la entidad (en soporte papel, telemáticamente...).
• A quién se cederán o qué transferencias internacionales se harán.
• Cómo se conservarán y, si procede, cómo y cuando se destruirán.
2. Crear el fichero de acuerdo con el procedimiento establecido según sea un fichero de titularidad pública o titularidad
privada.
3. Notificarlo al Registro de Protección de Datos.
4. Informar a las personas afectadas.
Las personas afectadas (alumnos, familiares, personal del centro, etc.) disponen de
una serie de garantías encaminadas a asegurar la adecuación del tratamiento de
sus datos personales a la normativa vigente, que se tienen que aplicar durante la
recogida, el almacenaje, la utilización o la comunicación de los datos de carácter
personal e, incluso, después de que finalice la relación jurídica.
11. 7. Decálogo para un correcto uso de los datos de carácter personal en
los centros educativos
Los equipos directivos, profesores, personal administrativo y auxiliar de los centros educativos en el ejercicio de sus
funciones y tareas necesitan tratar datos de carácter personal de los alumnos y de sus familiares, lo que deberán realizar
con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los
menores.
Las Administraciones y los centros educativos son los responsables del tratamiento de los datos y deben formar sobre
sus principios básicos y cómo hacerlo correctamente.
Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos para su
tratamiento, que estará justificado en el ejercicio de la función educativa y en la relación ocasionada con las matrículas
de los alumnos. No obstante, se les debe informar en un lenguaje claro y sencillo, que se puede realizar en el mismo
impreso en el que se recojan los datos de:
El Reglamento europeo amplía, a partir del 25 de mayo de 2018, la información que debe facilitarse a los titulares de los datos cuando
se recaben de ellos mismos, añadiendo los datos de contacto del delegado de protección de datos y el plazo de conservación o los
criterios para determinarlo.
I
II
III
12. Cuando sea preciso obtener el consentimiento de los alumnos o de sus padres o tutores para la utilización de sus datos
personales por tratarse de finalidades distintas a la función educativa, se debe informar con claridad de cada una de
ellas, permitiendo a los interesados oponerse a aquellas que así lo consideren.
Las TIC son herramientas fundamentales para la gestión y el aprendizaje de los alumnos. Las Administraciones
educativas y los centros deben conocer las aplicaciones que vayan a utilizar, su política de privacidad y sus condiciones
de uso de éstas antes de utilizarlas, debiendo rechazarse las que no ofrezcan información sobre el tratamiento de los
datos personales que realicen.
IV
V
VI Las Administraciones educativas y los centros deben disponer de
protocolos, instrucciones, guías, directrices o recomendaciones
para el uso de las TIC por los profesores, que deberán utilizar las
que la Administración educativa y/o el centro hayan dispuesto.
Su enseñanza y uso deberán adaptarse al grado de desarrollo del
niño.
13. Las comunicaciones entre profesores y padres de alumnos deben
llevarse a cabo, preferentemente, a través de los medios puestos a
disposición de ambos por el centro educativo (plataformas
educativas, correo electrónico del centro).
El uso de aplicaciones de mensajería instantánea (como WhatsApp) entre profesores y padres o entre profesores y
alumnos no se recomienda. No obstante, en aquellos casos en los que el interés superior del menor estuviera
comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar
y tranquilizar a los padres, titulares de la patria potestad, se podrían captar imágenes y enviárselas.
Los profesores deben tener cuidado con los contenidos del
trabajo de clase que suben a Internet. Deben enseñar a valorar
la privacidad de uno mismo y la de los demás, así como
enseñar a los alumnos que no pueden sacar fotos ni videos de
otros alumnos ni de personal del centro escolar sin su
consentimiento y hacerlos circular por las redes sociales, para
evitar cualquier forma de violencia (ciberacoso, grooming,
sexting o de violencia de género).
VII
VIII
IX
14. Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos
deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por
ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar
imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares y de amistad).
X
15. 8. Novedades en el Reglamento General de Protección de Datos
(que afectan al sector Educativo) aplicable a partir del 25 de mayo de 2018
Los responsables del tratamiento, centros y Administraciones educativas, deberán realizar una valoración del
riesgo que implique el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración
por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de
seguridad técnicas y organizativas necesarias.
Los centros y las Administraciones educativas, cuando planifiquen
servicios o productos que impliquen tratamiento de datos
personales, desde su inicio deberán tener en cuenta los riesgos que
pueda entrañar para la protección de datos y aplicar las medidas de
seguridad necesarias para proteger de forma efectiva los derechos
de los alumnos y de los demás colectivos de quienes traten sus
datos. Igualmente, adoptarán las medidas que, por defecto,
garanticen que sólo se tratarán los datos necesarios para la finalidad
para la que se recabaron y que no estén accesibles a un número
indeterminado de personas.
16. La necesidad de realizar evaluaciones de impacto del tratamiento de los datos, en los siguientes supuestos,
que se completarán con los que decidan la Agencia Española de Protección de Datos o las autoridades
autonómicas correspondientes:
• Tratamiento a gran escala de datos sensibles (origen étnico o
racial, opiniones políticas, convicciones religiosas o filosóficas,
afiliación sindical, datos genéticos, biométricos, de salud y los
relativos a la vida u orientación sexual).
• Observación sistemática a gran escala de una zona de acceso
público (videovigilancia).
• Elaboración de perfiles sobre
cuya base se tomen decisiones que
produzcan efectos jurídicos sobre
los interesados o les afecte de
modo similar.
17. La designación de un Delegado de Protección de Datos, obligatoria en las administraciones y centros
educativos, en los términos que disponga la futura Ley de Protección de Datos.
Se suprime la obligación de inscripción de los ficheros de datos de carácter personal en el Registro General de
Protección de Datos, pero a cambio se deberá llevar un registro de actividades de tratamiento que contenga la
siguiente información:
• el nombre y los datos de contacto del responsable y, en su caso, del representante del responsable y del
delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales;
• las categorías de destinatarios a quienes se comuniquen los datos personales, incluidos los destinatarios en
terceros países u organizaciones internacionales;
• en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la
identificación de dicho tercer país u organización internacional;
• cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
18. El consentimiento de los alumnos o de sus padres o tutores, cuando se precise,
no se podrá obtener de forma tácita, se necesita al menos una clara acción
afirmativa del interesado. Cuando se refiera al tratamiento de datos sensibles o
para transferencias internacionales de datos, el consentimiento además deberá
ser expreso.
Cuando se produzca la destrucción, pérdida,
alteración accidental o ilícita, comunicación
o acceso no autorizado, lo que se denomina
una “violación de seguridad”, se habrá de
notificar a la Agencia Española de Protección
de Datos o a la Autoridad autonómica
correspondiente y, en su caso, comunicar a
los interesados.
19. 9. Enlaces de consulta
Correo electrónico: canaljoven@agpd.es Teléfono: 901 233 144 WhatsApp: 616 172 204
Web ‘Tú decides’ http://www.tudecideseninternet.es/agpd1/
‘Guíales en internet’ http://www.tudecideseninternet.es/agpd1/images/guias/guia-formadores.compressed.pdf
‘Enséñales a ser legales en internet’: http://www.tudecideseninternet.es/agpd1/images/guias/guia-formadores.compressed.pdf
‘Sé legal en internet’: http://www.tudecideseninternet.es/agpd1/images/guias/Guia_menores2016.pdf
‘Privacidad y Seguridad en internet’:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2016/Privacidad_y_Seguridad_en_Internet.pdf
Configuración de seguridad en Redes Sociales:
http://www.tudecideseninternet.es/agpd1/videos/configuracion-de-la-privacidad-en-las-rrss-y-mensajeria-instantanea.html
Configuración de privacidad en navegadores:
http://www.tudecideseninternet.es/agpd1/videos/configuracion-de-la-privacidad-en-los-navegadores.htm
www.agpd.es/
EVALUA ‘Evaluación de medidas de seguridad’: http://www.servicios.agpd.es/Evalua/home.seam
20. PARA REFLEXIONAR:
Orden de 11/07/2012, de la Consejería de Presidencia y Administraciones Públicas y de la Consejería de Fomento,
por la que se aprueba la instrucción sobre el uso aceptable de medios tecnológicos en la Administración de la
Junta de Comunidades de Castilla-La Mancha. DOCM de 30 de agosto de 2012
Inspección sectorial de oficio sobre servicios de cloud computing en el sector educativo
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Inspeccion_cloud_educacion.pdf
Tomando como referencia la Orden anterior, en su apartado undécimo indica:
Undécimo. Uso del correo electrónico.
1. El servicio de correo electrónico proporcionado por la Administración permite facilitar la comunicación y colaboración en el ámbito laboral.
2. La Administración dotará a cada usuario de una dirección individual de correo electrónico para su uso en el desempeño de sus funciones.
9. Se considerarán prácticas no aceptables relacionadas con el uso del correo electrónico:
g) La definición y uso en el puesto de trabajo de una cuenta de correo adicional de uso no corporativo, tipo pop3/ imap.
REFLEXIONAMOS: ¿qué direcciones de correo electrónico utilizamos para relacionarnos con alumnos/padres/compañeros de trabajo? ¿Qué datos
transmitimos por mensajería?