2. QUÉ SON LOS DATOS DE CARÁCTER
PERSONAL
Toda información relativa a una persona física: nombre,
fotografía, email, teléfono, nombre y profesión del padre,
estudios, etc.
Algunos datos son considerados especialmente sensibles y
deben protegerse con mayores medidas de seguridad:
Ideología, creencias, religión, afiliación sindical
Raza, salud, vida sexual
Infracciones penales o administrativas
Datos biométricos o genéticos
3. CONSENTIMIENTO PARA EL
TRATAMIENTO DE DATOS
CADA PERSONA ES TITULAR DE SUS DATOS DE CARÁCTER PERSONAL
Cualquier actividad que maneje datos de carácter personal debe contar con
el consentimiento de su titular:
En España, el consentimiento se puede dar a partir de 14 años.
Por debajo de esa edad deben darlo los padres o tutores legales.
No se considera válido un consentimiento con las “casillas pre-marcadas”, o
por silencio o inacción del titular.
No es necesario el consentimiento para el tratamiento cuando:
El tratamiento es necesario para cumplir la relación jurídica o contrato establecida
Una ley autoriza expresamente el tratamiento de los datos, p.e., la LOE
Existe un interés legítimo o vital que prevalece sobre los derechos y libertades del
titular
4. PRINCIPIOS BÁSICOS
Sólo se pueden recoger los datos personales estrictamente necesarios para
cada finalidad
La finalidad debe ser conocida por los titulares
No se pueden recoger de manera fraudulenta
No se pueden usar para una finalidad distinta
Deben tratarse lícita, leal y transparentemente en relación con su titular
Deben estar actualizados
Se conservarán el tiempo estrictamente necesario
Se debe guardar secreto de los mismos
Se deben proteger de accesos no autorizados
5. DEBER DE INFORMAR AL TITULAR
Cuando se recogen datos personales hay que informar a su titular de:
Tratamiento que se realiza
Finalidad o finalidades para las que se recopilan
Destinatarios que usarán esos datos
Obligatoriedad de facilitar los datos y consecuencias de negarse
Derechos de los titulares y dónde ejercitarlos
Responsable del tratamiento y contacto del delegado de protección de
datos
Plazo de conservación de los datos
Se informará en un lenguaje claro y sencillo que entienda el titular
Mejor con acuse de recibo de la información
6. MEDIDAS DE SEGURIDAD
Dada la naturaleza de los datos, se debe valorar el riesgo y
adoptar las medidas necesarias para:
Guardar los consentimientos recabados
Impedir accesos no autorizados o ilícitos
Evitar su pérdida, total o parcial, accidental o deliberada
Documentar las actividades de tratamiento efectuadas
7. PROBLEMÁTICA CONCRETA EN
CENTROS EDUCATIVOS
Los centros educativos manejan gran cantidad de información de
carácter personal de sus alumnos:
Datos personales y de sus padres o tutores legales
Calificaciones, absentismo, expedientes académicos,…
Informes de todo tipo: de salud, psicopedagógicos, discapacidades,
académicos, económicos del entorno familiar,…
Es vital proteger esta información de usos indebidos y accesos no
autorizados.
Los alumnos suelen ser menores de edad:
Sus padres son los responsables
La ley concede una especial protección a los menores
8. RECOGIDA DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
Por aplicación de la LOE, los centros educativos están autorizados
a recabar los datos de carácter personal estrictamente
necesarios para su función docente y orientadora
Así pues ¿hace falta consentimiento expreso y explícito del titular?
No, pues hay una ley que lo autoriza. Además, existe un contrato, la
matrícula, que legitima el tratamiento de los datos personales.
¿Se debe informar al titular (alumno o padres) del tratamiento que se
hace de los datos recogidos? Sí
Los datos recabados, ¿pueden ser especialmente sensibles? Sí, por
ejemplo, informes médicos para el departamento de orientación,
tutores y profesores del alumno.
9. Los alumnos o sus padres están obligados a proporcionar al centro
educativo los datos de carácter personal.
Los profesores y tutores también están legitimados para solicitar los
datos personales estrictamente necesarios a los alumnos, sin
consentimiento, siempre que sea exclusivamente para el
desempeño de la labor docente o tutorial.
Hincapié en:
Deber de guardar secreto de los datos toda persona que tenga acceso
legítimo a ellos y los utilice como parte de su trabajo
No usar los datos personales para fines distintos de la labor docente y
orientadora
En caso de usarlos para otro fin, hay que informar y pedir consentimiento
previo
RECOGIDA DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
10. Ni los centros educativos ni sus profesores están legitimados para
acceder y recabar la información personal y privada que los
alumnos conservan en sus dispositivos electrónicos (móvil,
Tablet,…) o redes sociales, excepto:
El alumno o sus padres han dado consentimiento
Existe un interés legítimo que prevalece sobre los derechos y
libertades del alumno
P.e.: casos de ciberacoso, sexting, grooming, o violencia de género
No se pueden recabar datos biométricos de los alumnos,
excepto la huella digital y con finalidades muy específicas:
P.e.: acceso de un gran número de alumnos al comedor
RECOGIDA DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
11. TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
Publicación de listas de admitidos, beneficiarios de ayudas, becas o
subvenciones:
Se publicará la información mínima necesaria el tiempo imprescindible:
Los detalles, solo se ofrecen al interesado en caso de reclamar
En tablón de anuncios o web con acceso restringido a los solicitantes.
No se permitirá el acceso masivo (web) a la información.
El alumno se puede oponer a la publicación si se alegan motivos
fundamentados y legítimos relativos a su situación personal
IMPORTANTE: Nunca publicar juntos nombre y apellidos con DNI, NIF, NIE,
Pasaporte o documento similar, a lo sumo, 4 cifras del documento
12. Publicación de calificaciones:
No hay regulación en niveles inferiores al universitario
Se han de comunicar a los alumnos y a sus padres, exclusivamente
Y a terceros con la pertinente autorización por escrito.
Los padres de alumnos mayores de edad tienen derecho a conocerlas
si existe interés legítimo (los padres cubren los gastos educativos y de
alimentación)
Se pueden comunicar viva voz en clase, sin comentarios que
pudiesen afectar psicológicamente al alumno
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
13. Acceso a los datos personales de los alumnos:
Cada persona del centro, con independencia de su puesto,
accederá a la información estrictamente necesaria para
desempeñar su trabajo
Los padres tienen derecho a conocer toda la información relativa a
sus hijos menores de edad (o mayores “mantenidos”):
Evolución académica, incluidas calificaciones
Faltas de asistencia
Informes de orientación académica
Si los padres son separados, esta información se dará a ambos, salvo
resolución judicial en contrario.
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
14. Los datos personales de los alumnos se pueden comunicar a otras
organizaciones y servicios si:
Se da el consentimiento de los alumnos o sus padres
Existe un interés legítimo y vital superior al del alumno, p.e., Atención
médica en centros sanitarios
Una ley lo autoriza, p.e., la LOE legitima un traslado a otro centro, y la Ley
Orgánica de Protección Jurídica del Menor permite la comunicación de
circunstancias especiales a Servicios Sociales
Se trata de las Fuerzas y Cuerpos de Seguridad, motivadamente
El centro está obligado a comunicar, sin necesidad de la solicitud de
un tercero, situaciones de desprotección del menor y de absentismo
continuado
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
15. Consideraciones sobre las imágenes de los alumnos
El centro y su personal está legitimado para su uso exclusivo en la
función educativa
El personal del centro no puede fotografiar al alumno, salvo un interés
legítimo superior a los derechos y libertades del alumno (p.e., comunicar
un accidente a los padres)
En la web del centro se pueden publicar, bajo un acceso restringido
Las fotografías que capten los padres o terceros, en eventos del
centro (dentro o fuera del mismo) o actividades extraescolares
corresponden a su ámbito privado y es su responsabilidad
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
16. Consideraciones sobre las imágenes de los alumnos. Matices de la
Fiscalía del Estado en la instrucción 2/2006, de 15 de marzo:
No se perseguirá la difusión de imágenes en información relacionada con
los menores, siempre que la aparición del menor sea superflua a la
información que se está reflejando.
Si el menor aparece en la imagen de manera casual, accesoria a la
información principal, y sin connotaciones negativas, no hay
impedimento para publicarla en internet
Si la imagen es de interés público, pero tiene connotaciones negativas
para el menor, no se puede publicar, o hay que evitar su identificación
(p.e. pixelando su imagen)
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
17. Tratamiento de datos personales en plataformas educativas y apps:
Se deberían usar solamente las ofrecidas por los centros o administraciones
educativas
Si se utilizan otras, hay que revisar el tratamiento que hacen de los datos
subidos a las mismas y su legalidad
Videovigilancia en los centros
Se puede instalar, minimizando el impacto en la privacidad de las personas,
bajo principios de:
Necesidad
Idoneidad
Proporcionalidad
Se debe informar de su existencia con carteles
TRATAMIENTO DE DATOS PERSONALES
POR LOS CENTROS EDUCATIVOS
18. DERECHOS DE LOS TITULARES
Derechos existentes antes de aparecer el RGPD(1) - ARCO(2) :
ACCESO. Derecho a saber qué datos de carácter personal se están
tratando y su origen, su finalidad, responsable y destinatarios
RECTIFICACIÓN. Derecho a corregir errores e inexactitudes en los datos
CANCELACIÓN. Derecho a suprimir datos inadecuados o excesivos
para la finalidad en cuestión
OPOSICIÓN. Derecho a solicitar que se cese en el tratamiento de sus
datos dada su situación particular
Se puede anular el consentimiento, pero sin efectos retroactivos
(1) Reglamento General de Protección de Datos
(2) ARCO: Acrónimo de Acceso, Rectificación, Cancelación, Oposición
19. DERECHOS DE LOS TITULARES
Derechos introducidos por el RGPD(1):
LIMITACIÓN. Si el titular quiere que se supriman sus datos personales, pero
algún motivo legal lo impide, tiene derecho a limitar el uso de sus datos, de
manera que serán conservados (marcados) pero no utilizados.
PORTABILIDAD. Derecho a solicitar la entrega de sus datos personales a
otra empresa.
SUPRESIÓN. También conocido como DERECHO AL OLVIDO. Derecho a que
se eliminen físicamente sus datos personales
LOS DERECHOS SE EJERCEN ANTE EL RESPONSABLE DEL TRATAMIENTO DE
LOS DATOS DE CARÁCTER PERSONAL
(1) Reglamento General de Protección de Datos
(2) ARCO: Acceso, Rectificación, Cancelación, Oposición
20. BIBLIOGRAFÍA
https://www.aepd.es Agencia Española de Protección de Datos
Guías Sectoriales AEPD: Guía para centros educativos
Reglamento General de Protección de Datos, o Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE
En vigor desde 25 Mayo 2018
Ley Orgánica 3/2018, de 5 de diciembre de protección de datos personales
y garantía de los derechos digitales
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-
citizens/my-rights_es
https://www.itgovernance.eu/