Protecció de dades i Centres Educatius (II) – Principis i Legitimació.


Tal com us avançàvem en l’anterior post, aquesta setmana parlarem dels principis bàsics que regeixen el tractament de les dades pels centres escolars, i en què poden emparar-se per realitzar aquest tractament d’acord a l’RGPD.

En base en l’article 5 del Reglament europeu, els principis bàsics i fonamentals en els que es basa un tractament de dades correcte serien els següents:

A) PRINCIPI DE LICITUD, LLEIALTAT I TRANSPARÈNCIA: COM I QUINES DADES ES PODEN TRACTAR?

Basant-nos en el RGPD, les dades personals seran tractades de forma lícita, lleial i transparent en relació amb l’interessat (principi de «licitud, lleialtat i transparència») i recollits amb fins determinats, explícits i legítims (principi de «limitació de la finalitat»). No s’han de recollir ni tractar més dades de les estrictament necessàries per a les finalitats perseguides (com per exemple, l’educació, l’orientació dels alumnes o la divulgació i difusió dels centres i de les seves activitats).
Les dades seran adequades, pertinents i limitades al que és necessari en relació amb els fins per als quals son tractades (principi de «minimització de dades») i han de ser exactes havent d’estar actualitzades el màxim possible (principi de «exactitud»).
Quan es recullen les dades per fer la reserva de plaça o la matrícula, per exemple, no es poden utilitzar per a finalitats diferents de l’exercici de la funció educativa, com la publicació de fotografies dels alumnes al web del centre o la comunicació de les seves dades a museus o empreses per organitzar visites, llevat que s’hagi recaptat el consentiment exprés dels alumnes (si son majors de 13 anys a Espanya) o dels seus pares o tutors després d’haver-los informat d’això.

B) TRANSPARÈNCIA I INFORMACIÓ
Quan s’obtenen les dades directament dels interessats (o mitjançant els seus representants legals), tot i que no sigui necessari el seu consentiment, els centres educatius han de facilitar-los la informació que marca el RGPD a l’art. 13:

  • de l’existència del tractament de les dades,
  • de la finalitat per la qual es recullen i la seva licitud,
  • de l’obligatorietat o no de facilitar les dades i de les conseqüències de negar-se,
  • dels destinataris de les dades,
  • dels drets dels interessats i on exercitar-los,
  • de la identitat del responsable del tractament: el centre o l’Administració educativa.
  • Dades del delegat de protecció de dades
  • Termini de conservació (o criteris per determinar-lo)

Aquesta informació es pot facilitar quan s’emplenen els formularis d’admissió dels alumnes, quan es matriculen o través del seu propi web, per exemple, i haurà d’expressar-se de forma concisa, transparent, intel·ligible i de fàcil accés, en un llenguatge clar i senzill, especialment quan es dirigeixi als nens

C) DEURE DE SECRET
Per salvaguardar el dret a la protecció de dades en els centres escolars, és essencial que totes les persones que prestin els seus serveis en els centres i Administracions educatives (tant docents, personal administratiu o serveis auxiliars) garanteixin guardar secret i aquest deure de secret subsisteixi, fins i tot, un cop finalitzada la relació amb el responsable o amb l’encarregat de tractament.

D) CANCEL·LACIÓ DE DADES
Un principi bàsic és el de la conservació de les dades per part dels responsables del tractament. S’han de conservar les dades durant el temps necessari per complir amb les finalitats específiques al moment de demanar-los i per fer front a les responsabilitats que es puguin derivar del seu tractament i, un cop ja no siguin necessàries o pertinents per a aquesta finalitat hauran cancel·lar-se. Seran mantingudes de manera que es permeti la identificació dels interessats durant el temps necessari per als fins del tractament i només es poden conservar durant períodes més llargs sempre que es tractin exclusivament amb fins d’arxiu en interès públic, investigació científica o històrica o fins estadístiques (principi de «limitació del termini de conservació»).
La cancel·lació no implica l’esborrada material sinó que s’han de mantenir degudament bloquejades, amb un procediment suficient que impedeixi un tractament, amb l’única excepció de posar-les a disposició de les administracions públiques o jutges i tribunals (per esmenar possibles responsabilitats que puguin sorgir), i sempre amb el límit de mantenir-les durant el temps legalment establert per la normativa corresponent. Complert el termini s’ha de procedir a la seva destrucció utilitzant mitjans que assegurin que no puguin accedir a les dades de tercers no autoritzats.
Donada la pluralitat i finalitats per les quals es recullen i tracten les dades, no es pot establir un determinat termini, sinó que aquest variarà en funció del que estableixi la normativa aplicable en cada cas: per exemple, les dades dels procediments de reserva de plaça en un centre hauran de cancel·lar-se un cop finalitzat el procediment d’admissió; els exàmens dels alumnes no haurien de mantenir-se més enllà de la finalització del període de reclamacions; i les dades dels expedients acadèmics haurien de ser conservades de manera indefinida ja que poden ser sol·licitats pels alumnes amb posterioritat a la finalització dels seus estudis.

E) LEGITIMACIÓ PEL TRACTAMENT DE DADES  
L’edat per a poder atorgar el consentiment a la utilització de les dades personals en els casos en què el tractament de les dades estigui legitimat pel consentiment s’estableix als 16 anys (art. 8.1 RGPD i el considerant 41) tot i que permet als estats membres de la Unió Europea que puguin rebaixar-fins a un mínim de 13 anys, edat que s’estableix a la nova Llei Orgànica de Protecció de Dades i garantia de drets digitals (LOPDGDD). Per als menors d’aquesta edat l’atorgament ho hauran de donar els seus pares o tutors.
El consentiment per tractar dades personals és revocable en qualsevol moment, però la revocació no tindrà efectes retroactius i s’ha d’informar d’això als interessats. Quan el tractament es basi en el consentiment, correspon al responsable del tractament la prova de la seva existència.
Però a més del consentiment, hi ha altres possibles bases que legitimen el tractament de dades sense necessitat de comptar amb l’autorització del seu titular: la principal, la legitimació basada en una norma amb rang de llei que autoritzi el tractament o fins i tot obligui el responsable a portar- a terme: els centres docents estan legitimats per la Llei Orgànica d’Educació de 2006 (LOE) pel tractament de les dades en l’exercici de la funció educativa.
També és legítim el tractament de dades quan sigui necessari pel desenvolupament i execució d’una relació jurídica entre el responsable i l’afectat, amb la matriculació de l’alumne en un centre.
I també cal l’interès legítim del responsable sempre que aquest interès no prevalgui sobre els drets i llibertats dels afectats, en particular quan aquests siguin nens.

La setmana vinent us parlarem de les possibles mesures de seguretat que podrien implantar-se als centres escolars.