Protección de datos y centros educativos (II) – Principios y Legitimación.


Tal y como os avanzábamos en el anterior post, esta semana hablaremos de los principios básicos que rigen el tratamiento de los datos por los centros escolares, y en que pueden ampararse para realizar dicho tratamiento de forma acorde al RGPD.

Con base en el artículo 5 del Reglamento europeo, los principios básicos y fundamentales que en los que se basa un tratamiento de datos correcto serían los siguientes:

A) PRINCIPIO DE LICITUD, LEALTAD Y TRANSPARENCIA: ¿CÓMO Y QUÉ DATOS SE PUEDEN TRATAR?

Basándonos en el RGPD, los datos personales serán tratados de forma lícita, leal y transparente en relación con el interesado (principio de «licitud, lealtad y transparencia») y recogidos con fines determinados, explícitos y legítimos (principio de «limitación de la finalidad»). No se deben recoger ni tratar más datos de los estrictamente necesarios para las finalidades perseguidas (como por ejemplo, la educación, la orientación de los alumnos o la divulgación y difusión de los centros y de sus actividades).
Los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de «minimización de datos») y serán exactos teniendo que estar actualizados lo máximo posible (principio de «exactitud»).
Cuando se recogen los datos para realizar la reserva de plaza o la matrícula, por ejemplo, no pueden utilizarse para finalidades diferentes del ejercicio de la función educativa, como la publicación de fotografías de los alumnos en la web del centro o la comunicación de sus datos a museos o empresas para organizar visitas, salvo que se haya recabado el consentimientoexpreso de los alumnos (si son mayores de 13 años en España) o de sus padres o tutores tras haberles informado de ello.

B) TRANSPARENCIA E INFORMACIÓN

Cuando se obtienen los datos directamente de los interesados (o mediante sus representantes legales), aun cuando no sea necesario su consentimiento, los centros educativos han de facilitarles la información que marca el RGPD en el art. 13:

  • de la existencia del tratamiento de los datos,
  • de la finalidad por la que se recogen y su licitud,
  • de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
  • de los destinatarios de los datos,
  • de los derechos de los interesados y dónde ejercitarlos,
  • de la identidad del responsable del tratamiento: el centro o la Administración educativa.
  • Datos del delegado de protección de datos
  • Plazo de conservación (o criterios para determinarlo)

Esta información puede facilitarse cuando se cumplimentan los formularios de admisión de los alumnos, al matricularse o a través de su propia web, por ejemplo, y deberá ser expresada de forma concisa, transparente, inteligible y de fácil acceso, en lenguajeclaro y sencillo, especialmente cuando se dirija a los niños.

C) DEBER DE SECRETO

Para salvaguardar el derecho a la protección de datos en los centros escolares, es esencial que todas las personas que presten sus servicios en los centros y Administraciones educativas (tanto docentes, personal administrativo o servicios auxiliares) garanticen guardar secreto sobre los mismos y este deber de secreto subsiste incluso una vez finalizada la relación con el responsable o con el encargado de tratamiento.

D) CANCELACIÓN DE LOS DATOS

Un principio básico es el de la conservación de los datos por parte de los responsables del tratamiento. En principio se deben conservar los datos durante el tiempo necesario para cumplir con las finalidades especificadas en el momento de recabarlos y para hacer frente a las responsabilidades que se pudieran derivar de su tratamiento, y una vez ya no sean necesarios o pertinentes para dicha finalidad deberán cancelarse. Serán mantenidos de forma que se permita la identificación de los interesados el tiempo que sean necesarios para los fines del tratamiento y sólo podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, investigación científica o histórica o fines estadísticos (principio de «limitación del plazo de conservación»).
La cancelación no implica su borrado material si no que se deben mantener debidamente bloqueados, con un procedimiento suficiente que impida un tratamiento, con la única excepción de ponerlos a disposición de las Administraciones públicas o jueces y Tribunales (para subsanar posibles responsabilidades que pudieran surgir), y siempre con el límite de mantenerlos durante el tiempo legalmente establecido por la normativa correspondiente.  Cumplido dicho plazo debe procederse a su destrucción, para lo que se deberán utilizar medios que aseguren que no puedan acceder a los datos terceros no autorizados.
Dada la pluralidad y finalidades para las que se recaban y tratan los datos, no se puede establecer un determinado plazo, sino que variará en función de lo que establezca la normativa aplicable en cada caso: por ejemplo, los datos de los procedimientos de reserva de plaza en un centro deberán cancelarse una vez finalizado el procedimiento de admisión; los exámenes de los alumnos no deberían mantenerse más allá de la finalización del periodo de reclamaciones; y los datos de los expedientes académicos deberían ser conservados de forma indefinida ya que pueden ser solicitados por los alumnos con posterioridad a la finalización de sus estudios.

E) LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

La edad para poder otorgar el consentimiento en la utilización de los datos personales en los casos en que el tratamiento de los datos esté legitimado por el consentimiento, el RGPD (art. 8.1 RGPD y el considerando 41) establece en 16 años la edad límite para prestarlo, aunque permite a los Estados miembros de la Unión Europea que puedan rebajarlo hasta un mínimo de 13 años, edad que se establece en la nueva Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD). Para los menores de esa edad el otorgamiento lo deberán dar sus padres o tutores
El consentimiento para tratar datos personales es revocable en cualquier momento, pero la revocación no surtirá efectos retroactivos y se tiene que informar de ello a los interesados. Cuando el tratamiento se base en el consentimiento, corresponde al responsable del tratamiento la prueba de su existencia.
Pero además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titula: la principal, la legitimación basada en una norma con rango de Ley que autorice el tratamiento o incluso obligue al responsable a llevarlo a cabo: los centros docentes están legitimados por la Ley Orgánica de Educación de 2006 (LOE) para el tratamiento de los datos en el ejercicio de la función educativa.
También es legítimo el tratamiento de datos cuando sea necesario para el desarrollo y ejecución de una relación jurídica entre el responsable y el afectado, con la matriculación del alumno en un centro.
Y también cabe el interés legítimo del responsable siempre que dicho interés no prevalezca sobre los derechos y libertades de los afectados, en particular cuando éstos sean niños.

La semana que viene os hablaremos de las posibles medidas de seguridad que podrían implantarse en los centros escolares.