1. Protección de datos personales en
Centros Educativos.
“El desarrollo de la función directiva” – María Fuertes - marzo 2018.
2. CONTENIDOS
CONCEPTOS BÁSICOS.
PRINCIPIOS DE
PROTECCIÓN DE DATOS.
TRATAMIENTO DE DATOS
POR LOS CENTROS
EDUCATIVOS.
TRATAMIENTO DE DATOS
POR LAS AMPAS.
DERECHOS EN MATERIA
DE PROTECCIÓN DE
DATOS.
MARCO NORMATIVO
BÁSICO Y FUENTES.
2
3. CONCEPTOS BÁSICOS
DATOS DE
CARÁCTER
PERSONAL
Información
(alfanuméric
a, gráfica,
fotográfica,
acústica o de
cualquier
otro tipo )
concerniente
a personas
físicas
identificadas
o
identificables
.
DATOS
ESPECIALME
NTE
PROTEGIDOS
datos que
revelan
circunstancia
s o
información
de las
personas
sobre su
esfera más
íntima y
personal. Los
datos
biométricos
y los
genéticos se
incluyen en
este grupo.
Cada
persona
es
TITULAR
y
DUEÑO
de sus
respecti
vos
datos
de
carácter
personal
Un
FICHERO es
un
conjunto
estructurad
o de datos
personales
que
responde a
operacione
s de
tratamiento
para una
finalidad
concreta.
Cualquier
actividad en la
que estén
presentes datos
de carácter
personal
constituye un
TRATAMIENTO
DE DATOS.
El RESPONSABLE
DEL
TRATAMIENTO DE
DATOS en el caso
de centros
públicos, es el
órgano
competente en
materia educativa.
En el caso de los
centros
concertados y
privados los
responsables del
tratamiento de los
datos serán los
propios centros.
El
ENCARGADO
DEL
TRATAMIENTO
de datos es la
persona física o
jurídica,
autoridad
pública, servicio u
otro organismo
que trate datos
personales por
cuenta del
responsable del
tratamiento.
La
CESIÓN
DE
DATOS
supone
su
revelaci
ón a
una
persona
distinta
de su
titular.
Cuando
los datos se
envían
fuera del
ámbito de
Espacio
Económico
Europeo
(EEE), se
produce
una
TRANSFERE
NCIA
INTERNACI
ONAL DE
DATOS.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 3
4. PRINCIPIOS DE
PROTECCIÓN DE
DATOS
LEGITIMACIÓN PARA EL
TRATAMIENTO DE
DATOS
PRINCIPIO DE CALIDAD
DE DATOS
TRANSPARENCIA E
INFORMACIÓN
MEDIDAS DE
SEGURIDAD
DEBER DE SECRETO
CANCELACIÓN DE LOS
DATOS
4
5. PRINCIPIOS DE PROTECCIÓN DE DATOS
LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
El tratamiento de datos
personales queda legitimado si sus
titulares prestan su
CONSENTIMIENTO PREVIO.
Cuando el titular de los datos es
un menor de 14 años, o en los
supuestos en que así se exigiera
por la Ley si fuera mayor de esa
edad, el consentimiento deberá
prestarse por sus padres o tutores.
El tratamiento de datos
personales queda también
legitimado cuando una NORMA
CON RANGO DE LEY (LOE)
autorice el tratamiento o incluso
obligue al responsable a llevarlo a
cabo.
También será legítimo el
tratamiento de datos cuando sea
necesario para el desarrollo y
ejecución de una relación jurídica
entre el responsable y el afectado,
o para la satisfacción de un interés
legítimo del responsable siempre
que dicho interés no prevalezca
sobre los derechos y libertades de
los afectados, en particular cuando
éstos sean niños.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 5
6. PRINCIPIOS DE PROTECCIÓN DE DATOS
PRINCIPIO DE CALIDAD DE DATOS
No se pueden recoger ni tratar más datos personales que los estrictamente necesarios para la finalidad
perseguida en cada caso (como la educación y orientación de los alumnos o el cumplimiento de relaciones
jurídicas o, en su caso, la divulgación y difusión de los centros y de sus actividades). Los datos deberán ser
exactos y estar actualizados.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 6
Cuando se recaban los datos de los interesados, aun cuando no sea necesario su consentimiento, los
centros educativos han de facilitarles información sobre tratamiento de datos personales, la finalidad para
la que se recaban los datos y su licitud, los destinatarios de los datos, los derechos de los interesados y
dónde ejercitarlos y de la identidad del responsable del tratamiento.
TRANSPARENCIA E INFORMACIÓN
7. PRINCIPIOS DE PROTECCIÓN DE DATOS
MEDIDAS DE SEGURIDAD
Los centros y las Administraciones
educativas, como responsables de
los tratamientos de datos
personales que realizan, deben
adoptar una serie de medidas de
seguridad, de carácter técnico y
organizativo, que garanticen la
seguridad de los citados datos, es
decir, su integridad y
confidencialidad y la protección
frente al tratamiento no autorizado
o ilícito y contra su pérdida,
destrucción o daño accidental.
Las Administraciones educativas
deberán cumplir, en su caso, con
los principios básicos y requisitos
mínimos que permitan una
protección adecuada de la
información de conformidad con
lo establecido en el Esquema
Nacional de Seguridad (Real
Decreto 3/2010, de 8 de enero, por
el que se regula el Esquema
Nacional de Seguridad en el
ámbito de la Administración
Electrónica).
Cada responsable, centro o
Administración educativa deberá
mantener documentación relativa
a las actividades de tratamiento
efectuadas bajo su responsabilidad
que incluya, cuando sea posible,
una descripción general de las
medidas de seguridad adoptadas.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 7
8. PRINCIPIOS DE PROTECCIÓN DE DATOS
DEBER DE SECRETO
Todas las personas que tengan acceso a datos de carácter personal (docentes, personal administrativo o
de servicios auxiliares) están obligadas a guardar secreto sobre los mismos.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 8
CANCELACIÓN DE LOS DATOS
Los datos se conservarán por el tiempo estrictamente necesario para las finalidades para las que se
recabaron y para hacer frente a las responsabilidades que se pudieran derivar de su tratamiento, de
manera que cuando hayan dejado de ser necesarios o pertinentes para dicha finalidad deberá producirse
la cancelación de los mismos. Para la destrucción se deberán utilizar medios que aseguren que no puedan
acceder a los datos terceros no autorizados. Por ejemplo, los exámenes de los alumnos no deberían
mantenerse más allá de la finalización del periodo de reclamaciones.
9. TRATAMIENTO DE
DATOS POR LOS
CENTROS
EDUCATIVOS
RECOGIDA DE
DATOS POR LOS
CENTROS
EDUCATIVOS
TRATAMIENTO
DE DATOS EN
INTERNET
VIDEOVIGILANCA
¿QUÉ DATOS
PUEDEN
RECABAR LOS
CENTROS
EDUCATIVOS?
¿CUÁNDO Y
CÓMO SE
RECABAN LOS
DATOS
PERSONALES?
¿QUÉ DATOS SE
PUEDEN
PUBLICAR,
CÓMO Y
DONDE?
ACCESO A LA
INFORMACIÓN
DE LOS
ALUMNOS
COMUNICACIO
NES DE DATOS
DE LOS
ALUMNOS
TRATAMIENTO
DE LAS
IMÁGENES DE
LOS ALUMNOS
9
10. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
RECOGIDA DE DATOS POR LOS CENTROS EDUCATIVOS
Al margen de la función
educativa, los centros pueden
recabar datos para otras
finalidades legítimas, como
puede ser dar a conocer la
oferta académica, participar
con los alumnos en
concursos educativos u
ofrecer servicios deportivos,
de ocio o culturales. En estos
casos, se podrán recabar si
media el consentimiento
previo de los alumnos o de
sus padres o tutores.
Habiendo cumplido
previamente con el derecho
de información de los
titulares o tutores legales.
Entre los datos que
pueden recabar los
centros educativos para
el ejercicio de la función
docente y orientadora, se
pueden incluir sus
fotografías a los efectos
de identificar a cada
alumno en relación con
su expediente.
Si los padres del alumno
están separados o
divorciados, debe
recabarse información
sobre quién ostenta la
patria potestad, si ambos
o uno sólo, y quién
ostenta la guarda y
custodia. También de
quiénes son las personas
autorizadas a recoger al
alumno.
La LOE legitima a los centros
educativos para recabar y
tratar los datos de los
alumnos y de sus padres o
tutores, incluyendo también
las categorías especiales de
datos, como los de salud o
de religión, cuando fuesen
necesarios para el
desempeño de la función
docente y orientadora. El
profesorado y resto del
personal que acceda a los
datos personales de los
alumnos o de sus familias
está sometido al deber de
guardar secreto.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 10
11. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
¿QUÉ DATOS PUEDEN RECABAR LOS CENTROS EDUCATIVOS?
Para el desempeño de la función
docente y orientadora.
-Datos de los alumnos y de sus
padres o tutores.
-Datos especiales (salud, religión,
biométricos, etc.) cuando fuesen
necesarios.
-Fotografías a los efectos de
identificar a cada alumno en
relación con su expediente.
Con el consentimiento previo de
los alumnos o de sus padres o
tutores y habiendo cumplido
previamente con el derecho de
información, lo centros pueden
recabar datos para:
- Dar a conocer la oferta
académica
- Participar con los alumnos en
concursos educativos
- Ofrecer servicios deportivos, de
ocio o culturales
Si los padres del alumno están
separados o divorciados:
- Quién ostenta la patria
potestad, si ambos o uno sólo.
- Quién ostenta la guarda y
custodia.
- Quiénes son las personas
autorizadas a recoger al alumno.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 11
12. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
¿CUÁNDO Y CÓMO SE RECABAN LOS DATOS PERSONALES?
Informando previamente.
Para datos especiales el
consentimiento expreso.
Para datos que requieren el
consentimiento, este se ha de
obtener con carácter previo a
su recogida. Sin que sea
necesario recabarlo
nuevamente en cada actividad
de tratamiento siempre que
responda a la misma finalidad.
Se puede incluir en el mismo
impreso o formulario en el que
se recaban los datos.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 12
13. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
¿QUÉ DATOS SE PUEDEN PUBLICAR, CÓMO Y DÓNDE?
Listas de alumnos admitidos
La publicación deberá realizarse de
manera que no suponga un
acceso indiscriminado a la
información, por ejemplo,
publicando la relación de alumnos
admitidos en los tablones de
anuncios en el interior del centro o
en una página web de acceso
restringido a quienes hayan
solicitado la admisión. Se debe
incluir solo el resultado final del
baremo y proteger la intimidad de
victimas de violencia de género.
Relaciones de alumnos por clases
y/o actividades.
Para dar a conocer a los alumnos y
a sus padres o tutores la
distribución por aulas, materias,
etc, se pueden colocar dichas
relaciones en los tablones de
anuncios o en las entradas de las
aulas, durante un tiempo
razonable para permitir el
conocimiento por todos los
interesados. Protegiendo la
intimidad de victimas de violencia
de género.
Relaciones de los beneficiarios de
becas, subvenciones y otras
ayudas públicas.
Pueden y deben publicarse, pero
teniendo en cuenta cómputos
globales y nunca datos especiales,
protegiendo la intimidad de
victimas de violencia de género.
Relaciones de calificaciones
Las calificaciones de los alumnos
se han de facilitar a los propios
alumnos y a sus padres, nunca
deben ser publicitadas.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 13
14. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
ACCESO A LA INFORMACIÓN DE LOS ALUMNOS
PROFESORADO
- Expediente académico de los alumnos a
los que imparte la docencia.
- Información de salud de sus alumnos
que sea necesaria para la impartición de la
docencia, o para garantizar el adecuado
cuidado del alumno.
- Toda aquella información legítima
necesaria para la práctica docente.
PADRES CON PATRIA POTESTAD O FAMILIAR
AUTORIZADO
- Informes del departamento de orientación.
- Notas y expediente académico.
- Informes de asistencia.
- Exámenes, etc.
* Si los alumnos fueran mayores de sus padres podrán solicitar el acceso a las
calificaciones y datos de asistencia a clase cuando éstos fueran los que corrieran con los
gastos educativos o de alimentos.
* En caso de conflicto entre los progenitores sobre el acceso a la información académica
de sus hijos, deberá plantearse ante el juez competente en materia de familia.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 14
15. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
COMUNICACIONES DE DATOS DE LOS ALUMNOS
SERVICIOS SOCIALES
Se pueden comunicar datos, sin
consentimiento, siempre que sea para la
determinación o tratamiento de
situaciones de riesgo o desamparo,
amparadas en el interés superior del
menor.
CENTROS DE SALUD
Se pueden facilitar los datos sin
consentimiento de los interesados a los
centros sanitarios cuando el motivo sea
la prevención o el diagnóstico médico, la
prestación de asistencia sanitaria o
tratamientos médicos. Nunca, sin
consentimiento, para campañas de
vacunación, bucodentales, etc..
FUERZAS Y CUERPOS DE
SEGURIDAD
Las comunicaciones de datos a
las Fuerzas y Cuerpos de
Seguridad son obligatorias
siempre que sean necesarios
para la prevención de un peligro
real para la seguridad pública o
para la represión de infracciones
penales. La petición debe ser
concreta, específica y motivada,
para evitar comunicación de
datos indiscriminada.
Es aconsejable que el centro
documente la comunicación de
los datos.
ADMINISTRACCIÓN
EDUCATIVA
Los centros
educativos
comunicarán los
datos personales de
los alumnos
necesarios para el
ejercicio de las
competencias que
tienen atribuidas
estas. Por ejemplo,
la expedición de
títulos.
CENTROS
EDUCATIVOS EN
EL EEE
En caso de
traslado, la LOE
ampara la
comunicación de
datos al nuevo
centro educativo
en el que se
matricule el
alumno sin
necesidad de
recabar su
consentimiento o
el de sus padres o
tutores.
CENTROS EDUCATIVOS
FUERA DEL EEE
Es posible la
comunicación de datos
para que el centro en el
que se vaya a
desarrollar el
intercambio pueda
realizar adecuadamente
su función educativa,
teniendo en cuenta que
la participación del
alumno en el programa
deberá haber contado
con la solicitud o
autorización de los
titulares de la patria
potestad.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 15
16. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
TRATAMIENTO DE LAS IMÁGENES DE LOS ALUMNOS
GRABACIÓN DE IMÁGENES DE
ACTIVIDADES DESARROLLADAS FUERA
DEL CENTRO ESCOLAR
La grabación de imágenes fuera del
recinto escolar por los centros requiere
el consentimiento de los interesados, o
de sus padres o tutores, siempre que no
se realice en ejercicio de la función
educativa.
Si la grabación se realiza por terceros
el consentimiento es imprescindible.
GRABACIÓN Y DIFUSIÓN DE IMÁGENES
EN EVENTOS ORGANIZADOS Y
CELEBRADOS EN LOS CENTROS
EDUCATIVOS
Los asistentes a los eventos pueden
grabar imágenes de los alumnos para
su utilización exclusivamente personal,
familiar y de amistad.
No se deben publicar este tipo de
grabaciones en Internet en abierto, a no
ser que se cuente con el consentimiento
de todas las personas que aparecen en
las imágenes.
GRABACIÓN DE IMÁGENES DE
ACTIVIDADES DOCENTES
El profesorado puede grabar imágenes
de los alumnos para una actividad
escolar, pero nunca difundirlas de forma
abierta, ni utilizarlas como promoción o
difusión del centro.
También es posible tomar imágenes de
los alumnos en determinados eventos
desarrollados en el entorno escolar con
la única finalidad de que los padres
pudieran tener acceso a ellas, pero sin
su divulgación de forma abierta.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 16
17. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
TRATAMIENTOS DE DATOS EN INTERNET
UTILIZACIÓN DE HERRAMIENTAS DE
ALMACENAMIENTO EN NUBE
DISTINTAS DE LAS PLATAFORMAS
EDUCATIVAS
-Se debe garantizar la política de
privacidad definida por el centro o la
Administración educativa con las
garantías establecidas en la normativa
de protección de datos.
- Es preciso conocer la ubicación de los
datos. Si se ubican fuera de la EEE, se
deberá solicitar a la AEPD la
transferencia internacional de datos que
supone.
USO DE PLATAFORMAS EDUCATIVAS
- Las empresas titulares de las
plataformas educativas son las
encargadas del tratamiento de los
datos.
- Si los centros educativos prestan el
servicio de adquisición de libros
digitales de forma centralizada se
deberá informar de dicha comunicación
y la finalidad a los interesados.
PUBLICACIÓN DE DATOS EN REDES
SOCIALES, BLOGS y WEBS.
Requiere contar con el consentimiento
de todos los interesados (incluidos
profesores), previa información de los
datos que se van a publicar, donde, con
qué finalidad, quién puede acceder a los
mismos, así como de la posibilidad de
ejercitar sus derechos de acceso,
rectificación, cancelación, etc.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 17
18. TRATAMIENTO DE DATOS POR LOS CENTROS EDUCATIVOS
VIDEOVIGILANCIA
Es preciso colocar
un DISTINTIVO en
lugar
suficientemente
visible en aquellos
espacios donde se
hayan instalado las
cámaras.
EN EL PATIO Y EL
COMEDOR
Sí , cuando la
instalación responda
a la protección del
interés superior del
alumnado.
EN LAS AULAS
Solo fuera del horario
lectivo y en los
supuestos de
desocupación de las
aulas, con la finalidad
de protección a los
alumnos y de evitar
daños en las
instalaciones y
materiales.
NO SE PUEDEN
COLOCAR EN TODAS LAS
INSTALACIONES, dada la
intromisión que supone en la
intimidad de las personas. Los
sistemas de videovigilancia no
podrán instalarse en aseos,
vestuarios o zonas de descanso
de personal docente o de otros
trabajadores.
Fuente: GUíAS SECTORiALES AEPD para centros educativos. 18
19. TRATAMIENTO DE
DATOS POR LAS
AMPAS
AMPAS
CONSENTIMIENTO
PARA RECABAR Y
TRATAR LOS DATOS
Solo en caso de no
asociados.
PUEDEN LOS
CENTROS
PASARLES DATOS
Solo con
consentimiento
previo e
información de la
comunicación de
datos.
PUBLICAR EN SU
WEB O EN
INTERNET DATOS
O IMÁGENES DE
LOS ALUMNOS O
DE SUS FAMILAS
Solo con
consentimiento
previo e
información de la
comunicación de
datos.
Fuente: GUíAS SECTORiALES AEPD para centros
educativos. 19
20. DERECHOS EN
MATERIA DE
PROTECCIÓN DE
DATOS
ARCO
El derecho de
ACCESO permite
a los titulares de
los datos
conocer y
obtener
gratuitamente
información
tratamiento,
finalidad, tipos
de datos origen,
si no proceden
de los
interesados, y los
destinatarios de
los datos.
El derecho de
RECTIFICACIÓN
permite corregir
errores,
modificar datos
inexactos o
incompletos y
garantizar la
certeza de la
información.
El derecho de
CANCELACIÓN
permite que se
supriman los
datos que
resulten ser
inadecuados o
excesivos. La
revocación del
consentimiento
da lugar a la
cancelación de
los datos cuando
su tratamiento
esté basado en
él.
El derecho de
OPOSICIÓN es
el derecho del
interesado a
que, por motivos
relacionados con
su situación
personal, no se
lleve a cabo el
tratamiento de
sus datos de
carácter personal
o se cese en el
mismo.
Fuente: GUíAS SECTORiALES AEPD para centros
educativos. 20
21. MARCO
NORMATIVO
BÁSICO
Constitución Española (artículos
18.4 y 27).
Ley Orgánica 15/1999, de 15 de
diciembre, de Protección de
Datos de Carácter Personal (de
aplicación hasta el 24 de mayo
de 2018).
Reglamento de la Ley Orgánica
15/1999, de 15 de diciembre, de
Protección de Datos de
Carácter Personal, aprobado
por el real decreto 1270/2007,
de 23 de diciembre (aplicable
hasta el 24 de mayo de 2018).
Convenio 108 del Consejo de
Europa, de 28 de enero de
1981, para la protección de las
personas con respecto al
tratamiento automatizado de
datos de carácter personal y su
protocolo del año 2001.
Directiva 95/46/CE del Parlamento
Europeo y del Consejo de 24 de
diciembre de 1995 relativa a la
protección de las personas físicas en lo
que respecta al tratamiento de datos
personales y a la libre circulación de
esos datos (de aplicación hasta el 24
de mayo de 2018).
Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de
2016 relativo a la protección de las personas
físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de
estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de
protección de datos, aplicable a partir del 25
de mayo de 2018).
Instrucción 1/2006, de 8 de
noviembre, de la Agencia
Española de Protección de
Datos, sobre el tratamiento de
datos personales con fines de
vigilancia a través de sistemas
de cámaras o videocámaras.
Ley Orgánica 2/2006, de 3 de
mayo, de Educación.
Ley Orgánica 1/1996, de 15 de
enero, de Protección Jurídica
del Menor.
Ley 41/2002, de 14 de
noviembre, básica reguladora
de la autonomía del paciente y
de derechos y obligaciones en
materia de información y
documentación clínica.
Nueva Ley Orgánica de
Protección de Datos (en
tramitación).
Fuente: GUíAS SECTORiALES AEPD para centros
educativos. 21