2. PARA UN CORRECTO USO DE LOS
DATOS DE CARÁCTER PERSONAL
EN LOS CENTROS EDUCATIVOS
ES NECESARIO TENER EN
CUENTA:
• La existencia de un fichero o tratamiento de datos
personales.
• La finalidad para la que se recaban los datos y su licitud.
• La obligatoriedad o no de facilitar los datos.
• Los destinatarios de los datos.
• Los derechos de los interesados y dónde ejercitarlos,
• La identidad del responsable del tratamiento: la
Administración educativa o el centro.
3. cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables. Aunque
no esté asociada a una identidad, es un dato de carácter personal si a través de
dicha información se puede identificar o individualizar dentro de un colectivo a
una persona sin esfuerzos desproporcionados.
¿Qué es un dato de carácter personal?
4. Algunos de los datos personales son especialmente sensibles por revelar circunstancias o
información de las personas sobre su esfera más íntima y personal. Requieren que se les
preste una especial atención y se adopten las medidas técnicas y organizativas
necesarias para evitar que su tratamiento origine lesiones en los derechos y libertades
de los titulares de los datos.
Forman parte de esta categoría de datos personales aquellos que:
*Revelen ideología, afiliación sindical, religión y creencias.
*Hagan referencia al origen racial, a la salud y a la vida sexual,
*Se refieran a la comisión de infracciones penales o administrativas.
En el ámbito educativo es frecuente, sobre todo, el tratamiento de datos relativos a la
salud física o mental de los alumnos, incluida la prestación de servicios de atención
sanitaria que revelan información sobre su estado de salud.
Datos especialmente protegidos
5. De la persona física titular de los
datos, como los alumnos, padres,
tutores, profesores o personal de
administración y servicios. Son los
afectados o interesados.
¿De quién son los datos de carácter
personal?
6. Todo conjunto estructurado de
datos personales, accesibles con
arreglo a criterios determinados,
ya sea centralizado,
descentralizado, repartido de
forma funcional o geográfica o
tratado de forma manual o
automática.
¿Qué es un fichero?
7. En la práctica, cualquier actividad en la que estén
presentes datos de carácter personal constituirá
un tratamiento de datos, ya se realice de manera
manual o automatizada, total o parcialmente,
como la recogida, registro, organización,
estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra
forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción.
¿Qué se entiende por tratamiento de
datos?
8. El responsable del tratamiento es la persona física o jurídica,
pública o privada, que decide sobre la
finalidad, contenido y uso del mismo, bien por decisión
directa o porque así le viene impuesto por
una norma legal.
Cuando se trate de centros educativos públicos, el
responsable del tratamiento será normalmente la
Administración pública correspondiente: la Consejería de la
Comunidad Autónoma competente en materia educativa,
salvo para los centros de Ceuta y Melilla o los centros en el
exterior titularidad del Estado dependientes del Ministerio de
Educación Cultura y Deporte.
Cuando se trata de centros concertados y privados los
responsables del tratamiento de los datos serán
los propios centros.
¿Quién es el responsable del tratamiento
de datos?
9. El encargado del tratamiento es la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
En determinados casos, los centros educativos para cumplir sus funciones
necesitan contar con la colaboración de otras personas o entidades que no
forman parte de su organización, por ejemplo, para
el servicio de comedor, servicio médico, transporte o para la realización de
actividades extraescolares.
Estas personas y entidades para prestar sus servicios también tratan los datos
de carácter personal de los alumnos y de sus padres o tutores, pero lo hacen
por encargo del responsable del tratamiento, es
decir del centro o de la Administración educativa.
Las empresas que realizan este tipo de servicios tienen, en relación con el
tratamiento de datos personales que realizan, la consideración de encargados
de tratamiento.
¿Quién es el encargado del tratamiento de
datos?
10. La obligación del encargado del tratamiento de tratar los
datos únicamente conforme a las instrucciones del centro o
Administración educativa que ostente en cada caso la
condición de responsable del tratamiento.
Que los datos no se utilizarán para finalidades distintas de las
previstas en el contrato, ni se comunicarán a otras personas,
ni siquiera para su conservación.
Las medidas de seguridad a implantar por el encargado del
tratamiento.
La devolución de los datos al centro o a la Administración
educativa que sea responsable o al encargado del tratamiento
que ésta designe o, en su defecto, su destrucción una vez
finalizado el contrato.
Encargado del tratamiento datos
11. La cesión de datos supone su revelación a una persona
distinta de su titular.
Los destinatarios o cesionarios de los datos serán las
personas físicas o jurídicas, autoridades pú-blicas,
servicios u otros organismos a los que se les
comuniquen. Los titulares de los datos no son nunca
los cesionarios de sus propios datos, aunque no se
hayan obtenido de ellos.
Sin embargo, no se consideran cesiones de datos las
comunicaciones de los datos de los alumnos a las
empresas que tengan la condición de encargados del
tratamiento, conforme a lo que se indica en el
apartado anterior.
¿Qué se entiende por cesión de datos?
12. Siempre que los datos personales se envían fuera del ámbito
de Espacio Económico Europeo (EEE), que comprende todos
los Estados miembros de la Unión Europea, más Noruega,
Islandia y Liechtenstein, se produce una transferencia
internacional de datos, ya se realice para que el destinatario
de los datos preste un servicio al centro educativo o para que
los trate para una finalidad propia.
¿Cuándo se produce una transferencia
internacional de datos?
13. El tratamiento de datos personales necesita estar
legitimado. Por ejemplo, se pueden tratar los datos si
sus titulares prestan su consentimiento previo. Cuando
el titular de los datos es un menor de 14 años, o en los
supuestos en que así se exigiera por la Ley si fuera
mayor de esa edad, el consentimiento deberá prestarse
por sus padres o tutores.
Legitimación para el tratamiento de datos
14. Los datos han de ser tratados de manera lícita, leal y
transparente en relación con su titular. No se pueden recoger
ni tratar más datos personales que los estrictamente
necesarios para la finalidad perseguida en cada caso (como la
educación y orientación de los alumnos o el cumplimiento de
relaciones jurídicas o, en su caso, la divulgación y difusión de
los centros y de sus actividades). Es decir,
deben responder a una finalidad legítima, no se pueden
recabar de manera fraudulenta y su utilización
debe ser conocida por los titulares.
Principio de calidad de datos
¿Qué datos se pueden tratar y cómo?
15. Cuando se recaban o se obtienen los datos de los interesados, aun cuando no
sea necesario su consentimiento, los centros educativos han de facilitarles
información de los siguientes extremos:
* de la existencia de un fichero o tratamiento de datos personales,
* de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para
el ejercicio de la función educativa, o para difundir y dar a conocer las
actividades del centro.
* de la obligatoriedad o no de facilitar los datos y de las consecuencias de
negarse,
* de los destinatarios de los datos.
* de los derechos de los interesados y dónde ejercitarlos.
* de la identidad del responsable del tratamiento: el centro o la Administración
educativa.
Transparencia e información
16. 1 En primer lugar, relacionado con el principio de responsabilidad
activa, los responsables deben realizar una valoración del riesgo de
los tratamientos que realicen, a fin de establecer qué medidas se
deben aplicar y cómo hacerlo.
2 En segundo lugar, y en función de los riesgos detectados en el
análisis realizado anteriormente citado, los responsables y
encargados deben adoptar las medidas de seguridad, teniendo en
cuenta:
• el coste de la técnica
• los costes de aplicación
• la naturaleza, alcance, contexto y fines del tratamiento
• los riesgos para los derechos y libertades
Medidas de seguridad
17. Todas las personas que tengan
acceso a datos de carácter
personal están obligadas a
guardar secreto sobre los mismos.
Deber de secreto
18. Como regla general, se conservarán por el tiempo
estrictamente necesario para las finalidades para las
que se recabaron y para hacer frente a las responsabilidades
que se pudieran derivar de su tratamiento,
de manera que cuando hayan dejado de ser necesarios o
pertinentes para dicha finalidad deberá producirse la
cancelación de los mismos.
Cancelación de los datos
19. *El origen y ambiente familiar y social.
*Las características o condiciones personales.
*El desarrollo y resultados de su escolarización.
*Las circunstancias cuyo conocimiento sea necesario
para educar y orientar a los alumnos.
TRATAMIENTO DE DATOS POR LOS
CENTROS EDUCATIVOS
¿Qué datos pueden recabar los centros
educativos?
20. ¿Se pueden recabar datos sobre la situación familiar de los
padres de los alumnos?
¿Se pueden recabar datos de salud?
¿Se pueden recabar datos biométricos?
¿Se pueden recabar imágenes de los alumnos para el
expediente académico?
¿Se pueden recabar datos para finalidades distintas de la
función propiamente educativa?
Cuando se recaban datos personales, ¿es necesario
informar a los interesados?
¿Deben los padres facilitar los datos al centro educativo?
En los casos en los que es necesario el consentimiento de
los alumnos o de sus padres o tutores, ¿cuándo y cómo
hay que recabarlo?
Bibliografía:Guías Sectoriales AEPD. I Guía para centros
educativos. Consejería de Educación de la Junta de Andalucía.