Protecció de dades als centres educatius


Treballes a una escola i et fas moltes preguntes sobre protecció de dades que no saps molt bé com resoldre? La veritat és que, quan parlem de menors, és molt important que tinguem present el que recalca la normativa de protecció de dades en les escoles o centres educatius per no vulnerar els drets dels menors.

Avui conjuntament amb Qualla, una empresa que ha realitzat una app per escoles i famílies que està revolucionant les sortides de l’escola dels alumnes, et resolem alguns dubtes més freqüents que es fa el personal educatiu i que l’APDCAT (Autoritat Catalana de Protecció de Dades) ha detallat en una de les seves guies.

A més, abans de resoldre aquests dubtes volem informar-te que el pròxim 13 de març a les 18h realitzarem conjuntament un webinar per professionals del sector educatiu (directors, professors, conserges, etc). Si vols assistir a aquest webinar pots apuntar-te AQUÍ.

Quines dades personals es tracten a les escoles?

A les escoles es tracten dades sobre l’alumnat, els seus pares i mares, els docents o del personal del centre, amb els que se’ls identifica directament (nom, cognoms, domicili, telèfon o correu electrònic) o indirectament (DNI, veu, imatge, número de compte bancari, la professió dels pares i mares o el contingut i resultat dels treballs o exàmens de l’alumnat). Altres dades que tenen les escoles serien els expedients, la gestió econòmica del centre, els serveis mèdics, les imatges de videovigilància, les activitats extraescolars, etc.

Quines dades de categoria especial tracten les escoles?

Es tracten dades relacionades amb les necessitats educatives especials de l’alumnat; dades de salut amb minusvàlua, al·lèrgies, malalties, intoleràncies, lesions, discapacitats psíquiques, altes capacitats o trastorns que afecten a l’aprenentatge; dades psicopedagògiques i dades biomètriques com empremtes dactilars.

Alguns dubtes relacionats amb els encarregats de tractament:

Quan s’estableix un acord d’encarregat de tractament, a quines dades pot accedir el personal encarregat del servei?

El personal de l’empresa que s’encarrega del tractament podrà accedir a les dades que s’especifiquen en l’acord, que han de ser els estrictament necessaris per poder prestar el servei.

Aquests serien alguns exemples d’encarregats de tractament de les escoles:

  • L’empresa que dona el servei del menjador escolar: Seran encarregats de tractament mentre hagin d’accedir a dades personals, com per exemple dietes especials per celiaquia, al·lèrgies, etc.
  • L’empresa que gestiona una plataforma acadèmica utilitzada per l’escola: Seran encarregats de tractament perquè per prestar el seu servei accedeixen a dades personals de l’alumnat, professorat i familiars.
  • Si l’escola utilitza serveis de cloud storage: Es necessitarà un acord d’encarregat de tractament si els documents emmagatzemats pel centre contenen dades de caràcter personal, com bases de dades.

En tots aquests casos el responsable de tractament, que serà el centre educatiu, haurà signat un acord amb aquestes empreses, que seran les encarregades de tractament, com estableix a l’art. 28 del RGPD.

Si un alumne necessita atenció mèdica urgent, es podrà comunicar les seves dades al centre hospitalari sense el consentiment dels seus progenitors o tutors legals?

No es necessitarà el consentiment sempre que sigui per salvaguardar l’interès vital de l’alumne afectat.

L’escola pot facilitar dades personals a algú que ho sol·liciti per telèfon?

No és recomanable, ja que la comunicació per telèfon no permet la comprovació de la identitat d’una persona. Però si fos necessari s’hauria d’acreditar la seva identitat utilitzant algun sistema en el qual faciliti alguna informació privada sobre l’alumne.

Els materials que elabora l’alumnat (dibuixos, escrits, treballs, etc) són dades personals?

Sí, sempre que permetin avaluar l’activitat acadèmica o d’aprenentatge de l’alumne o quan puguin representar aspectes del seu comportament o la seva personalitat.

L’escola pot implantar un sistema de videovigilància amb la finalitat de preservar la seguretat de l’alumnat i dels béns i les instal·lacions del centre?

Sí, podrà posar càmeres de videovigilància mentre es compleixi amb la normativa de protecció de dades, informant de l’existència d’aquestes càmeres abans de començar a captar imatges i anunciant-lo amb cartells informatius.

Alguns dubtes referents als pares i mares dels alumnes:

  • L’escola no podrà facilitar les dades dels progenitors dels alumnes a la resta de pares i mares.
  • El centre educatiu no cedirà els números de telèfon o dades personals dels progenitors dels alumnes al pare o mare delegat o delegada de la classe, a menys que tingui el consentiment d’aquests. Per més que la finalitat sigui informativa o per crear un grup de WhatsApp.
  • L’escola no podrà facilitar les dades dels progenitors a l’AMPA si no és amb el consentiment d’aquests.

Es podran publicar o difondre imatges d’alumnes fent activitats al centre a la web de l’escola?

La publicació d’imatges no es considera part de la docència. Pel que sempre que es vulgui publicar imatges d’alumnes menors de 14 anys s’haurà de tenir el consentiment previ dels seus pares, mares o tutors/es legals. Si els alumnes són majors de 14 anys podran donar el consentiment ells mateixos.

De forma excepcional es podran compartir imatges de menors captades en actes públics, mentre que les imatges no afectin a la intimitat del menor. Però recomanem que abans de fer-ho sempre es demani el consentiment.

Els centres educatius han de tenir un delegat de protecció de dades?

Sí, a tots els centres educatius el responsable de tractament està obligat a designar un delegat de protecció de dades. Aquest pot formar part de la plantilla o prestar un servei extern amb un contracte.

Si un professor/a perd o li roben el seu ordinador que conté informació personal dels alumnes, s’entén com una bretxa de seguretat?

Sí, ens trobaríem davant d’una violació de confidencialitat de les dades, ja que la persona que trobés o robés aquest ordinador tindria accés no autoritzat a dades personals de l’alumnat.

És important que davant d’una bretxa de seguretat com aquesta es comuniqui als afectats amb la major brevetat possible, i més si hi ha risc alt de perjudici. Ja que estem parlant de dades sensibles i d’un col·lectiu vulnerable al ser menors d’edat.

Si vols saber més sobre com complir amb la normativa de protecció de dades en els centres educatius, suma’t al webinar que organitzarem conjuntament amb Qualla el pròxim 13 de març.

T’esperem perquè puguis consultar-nos qualsevol dubte que tinguis i puguis interactuar amb la nostra advocada experta en protecció de dades.

L’equip de PymeLegal