2. 1. LEY ORGÁNICA 15/1999 (LOPD)
1.1. Objeto.
1.2. Ámbito de aplicación.
2. ¿Por qué los centros educativos deben cumplir la LOPD?
3. Tipo de datos personales que tratan los colegios.
4. Requisitos para cumplir la LOPD en los colegios.
4.1. Inscribir ficheros con el sistema NOTA.
5. Publicación de fotografías.
5.1. Consentimiento necesario para tratar datos personales de menores.
5.1.1. Artículo 13.1. del Reglamento LOPD.
5.2. Necesidad de consentimiento para menores de 14 años.
5.3. Información sobre el tratamiento de los datos personales.
5.4. Modelo para informar de la recogida de datos y solicitar el consentimiento.
5.5. Prueba del consentimiento.
5.6. Consentimiento prestado por menores de edad.
6. Límites al tratamiento de datos de menores.
7. Tratamiento de datos de menores en el colegio o en actividades extraescolares.
8. Peligros de la publicación de fotos de menores.
9. Auditorías.
3. 1.1. Objeto.
La presente Ley Orgánica tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de
su honor e intimidad personal y familiar.
1.2. Ámbito de aplicación.
La presente Ley Orgánica será de aplicación a
los datos de carácter personal registrados en soporte
físico, que los haga susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores
público y privado.
1. Ley Orgánica 15/1999 (LOPD)
4. 2. ¿Por qué los centros educativos deben cumplir
la LOPD?
Es habitual que los colegios tengan perfiles en las redes sociales en los que
publiquen fotos de sus alumnos en excursiones, competiciones o actos de todo tipo.
También hay profesores que usan aplicaciones educativas en las que hay que aportar
información personal de los alumnos.
En los colegios se dan dos circunstancias básicas que hacen necesario un adecuado
tratamiento de los datos personales:
1) Conviven adultos con menores.
2) Se trata un gran volumen de información personal relativa a los estudiantes, sus
padres, el personal del centro, etc.
La captación de imágenes de los estudiantes no es ilegal en sí. El problema aparece
cuando los cauces a través de los cuales se llevan a cabo estas actuaciones no son
los exigidos legalmente y esto supone un obstáculo para proteger la privacidad y la
intimidad de los menores.
5. 3. Tipo de datos personales que tratan los colegios.
Los ficheros más comunes que deben inscribirse según el tratamiento
habitual de datos del centro educativo son:
- Expediente académico (calificaciones, absentismo, etc.).
- Personal docente (fichero de profesores para gestión interna).
- Personal no docente (mantenimiento, limpieza…).
- Servicios adicionales (comedor, transporte, guardería…).
- Proveedores.
- Admisión de alumnos (matriculaciones, solicitudes…).
El centro educativo ha de intentar que solamente tengan acceso a los datos
personales quienes, en cumplimiento de su función o cargo, estén
autorizadas para ello. Cuando sea necesario publicar una listados que
contengan datos personales, siempre que sea posible se debe intentar que
únicamente los interesados tengan acceso a dicha información, bien
facilitando un usuario y contraseña para consulta online o, si la publicación
ha de hacerse en tablones, que estos estén en una zona con acceso limitado
para los interesados.
6. 4. Requisitos para cumplir la LOPD en los colegios
Según la LOPD, los centros educativos son los Responsables de los ficheros y deben
adoptar medidas de seguridad en relación a los sistemas de información a través
de los que se tratan los datos personales relativos al alumnado, a sus
representantes legales, al profesorado, etc.
En primer lugar, es necesario inscribir los distintos ficheros que contengan datos
personales ante la AEPD. También deben elaborar un Documento de Seguridad, que
contemple los ficheros mediante los cuales se tramita la información, los sistemas
utilizados y las medidas de seguridad implantadas que impone la legislación.
Por otro lado, es imprescindible informar y formar al personal del centro escolar
acerca de cuáles son sus competencias sobre a la información que deben
gestionar y cuáles son las medidas que el centro impone para garantizar la
protección de la privacidad, especialmente de los menores.
7. 4.1. Inscribir ficheros con el sistema NOTA
Dar de alta un fichero en el Registro General de Protección de Datos (RGPD) es el
primer paso exigido por la LOPD para el uso legal de datos personales. Con este
propósito la Agencia Española de Protección de Datos (AEPD) lanzó en su momento el
formulario NOTA, que permite la inscripción telemática de ficheros.
Algunas características del formulario NOTA son:
- Permite presentar hasta máximo de 10 solicitudes de inscripción (altas y/o
modificaciones y/o supresiones) en una única notificación.
- Tras el primer paso el sistema asigna un código que permite interrumpir y reanudar
más tarde la notificación.
- Opción de anexar documentación cuando la forma de presentación es a través
de certificado digital.
- Posibilidad de adherirse a una Autorización de Transferencia Internacional de Datos
ya existente.
8. 5. Publicación de fotografías
A la hora de publicar fotografías en las redes sociales o captar imágenes de los
menores en determinadas actividades del centro, es necesario solicitar el
consentimiento de los representantes legales de los menores, y el centro debe
aprobar determinadas medidas de seguridad. Cuando captamos una imagen con un
teléfono móvil puede ser que esté conectado a la nube y configurado de tal manera
que al hacer la foto automáticamente una copia se almacena en la aplicación
correspondiente, asociada al usuario que capta la imagen.
5.1. Consentimiento necesario para tratar datos
personales de menores.
La LOPD establece una protección especial para los menores de edad al considerarlos
como el sector más frágil y por su dependencia de los padres o tutores legales. Por
ello se exige más rigor en el cumplimiento de los requisitos de la normativa de
Protección de Datos. Pero: ¿dónde está la frontera de edad respecto a quién se
considera capacitado para proporcionar ese consentimiento?
9. 5.1.1. Artículo 13.1 del Reglamento LOPD
«Podrá procederse al tratamiento de los datos de los mayores de catorce años con su
consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la
asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de
catorce años se requerirá el consentimiento de los padres o tutores».
5.2. Necesidad de consentimiento para menores
de 14 años.
En caso de menores de 14 años o incapaces, se exigirá en todo caso el consentimiento
de sus padres o tutores legales para tratar sus datos personales. Este consentimiento
será igual al exigido en otros casos a los afectados por el tratamiento con la diferencia
de que quien debe otorgarlo es el representante legal del menor. Los requisitos exigidos
por la LOPD para que el consentimiento sea válido son que debe de ser libre,
inequívoco, específico e informado.
Es el responsable del fichero quien debe garantizar que el consentimiento obtenido es
válido y, por ello, debe asegurarse de que la persona que presta ese consentimiento es
quien está capacitada para ello. Lo normal es que el responsable del fichero exija el DNI
u otra forma de identificación a esa persona.
10. 5.3. Información sobre el tratamiento de los
datos personales
Al solicitar el consentimiento, el responsable del fichero debe informar de forma clara y
concisa de una serie de aspectos como:
- De la existencia un fichero de datos de carácter personal.
- De la finalidad para la que se recogen éstos y de los receptores de la información.
- Del carácter forzoso o voluntario de su respuesta a las preguntas que les sean
propuestas.
- De los efectos de la recogida de los datos o de la negativa a facilitarlos.
- De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y
oposición.
- Del nombre y dirección del responsable del tratamiento o, en su caso, de su
representante.
11. 5.4. Modelo para informar de la recogida de
datos y solicitar el consentimiento.
La AEPD establece un modelo de solicitud de consentimiento que reúne los
requisitos establecidos por la ley teniendo en cuenta que, en el caso de
menores entre los 14 y los 18 años, y debido que el consentimiento puede ser
otorgado por los propios menores como afectados por el tratamiento, se establece
la obligación de usar un lenguaje claro y accesible para los menores.
En ese modelo de consentimiento se indicará la finalidad de la recogida y
tratamiento de los datos, los destinatarios de la información, la forma de ejercer los
derechos ARCO* y la identidad y dirección del responsable del fichero.
* Los derechos Arco (acceso, rectificación, cancelación y oposición) son el conjunto de derechos a través de los cuales la Ley
Orgánica 15/1999 de LOPD garantiza a las personas el poder de control sobre sus datos personales.
13. 5.5. Prueba del consentimiento.
En cuanto a la demostración de ese consentimiento, el artículo 12 del Reglamento
señala que es el responsable del fichero quien debe probar la existencia de ese
consentimiento por cualquier medio admisible, y cuando se trata de menores de
edad se establecen en el Reglamento mayores exigencias, así se atribuye al
responsable del fichero el establecer los procedimientos para garantizar que se ha
comprobado válidamente la edad del menor y la legitimidad del consentimiento
otorgado por los padres o tutores legales.
La norma no exige un procedimiento determinado, dejando libertad al responsable
del fichero para establecer el que considere adecuado.
14. 5.6. Consentimiento prestado por menores
de edad.
Los menores entre 14 y 18 años pueden prestar ellos mismos el consentimiento para
tratar sus datos personales ya que se considera que tienen condiciones suficientes de
madurez para ello. En este caso sólo se exige que el lenguaje utilizado sea comprensible
para ellos y que el consentimiento reúna los requisitos de libertad, información, certeza
y concreción.
Debe tenerse en cuenta, además que el artículo 18 del Reglamento impone
al responsable del fichero o tratamiento la obligación de conservar los documentos o
cualquier otro soporte empleado que garantice el cumplimiento del deber de
información. Para el depósito de los soportes, el responsable del fichero o tratamiento
podrá utilizar medios informáticos o telemáticos. En particular podrá escanear la
documentación en soporte papel, siempre y cuando se garantice que en dicha
automatización no se ha producido alteración alguna de los soportes originales.
15. 6. Límites al tratamiento de datos de menores.
No se puede recabar ni tratar cualquier dato de los menores, la ley establece límites
como:
• No se pueden solicitar datos que permitan obtener información relativa a otros
componentes de la familia o sobre sus características como pueden ser los datos
referidos a la profesión de los padres, situación económica, datos sociológicos o
cualesquiera otros, sin el debido consentimiento de los titulares de tales datos.
• Sólo pueden solicitarse los datos de identidad y dirección de los padres o tutores con la
finalidad de obtener el consentimiento necesario.
Conclusión: los datos personales de menores de 14 años sólo pueden ser recogidos y
tratados con el consentimiento expreso de sus progenitores o tutores legales y que para
obtener ese consentimiento es necesario informarles previa y claramente sobre las
finalidades de ese tratamiento y la posibilidad de ejercer los derechos de acceso,
rectificación, cancelación y oposición así como la dirección del responsable de ese fichero.
16. 7. Tratamiento de datos de menores en el
colegio o en actividades extraescolares.
En estos lugares se tratan múltiples datos de menores y, por tanto, es necesario
cumplir la LOPD.
En caso de actividades extraescolares realizadas en lugares ajenos al centro escolar
se debe respetar también el derecho fundamental a la Protección de Datos y así, la
captación de fotos de los niños y su uso posterior en alojamientos, actividades
deportivas etc. debería realizarse con el conocimiento y el consentimiento de los
padres o con el del niño, si fuera mayor de catorce años.
En los colegios que tienen perfiles en las redes sociales donde se publican imágenes
de los estudiantes o aquellos profesores que hacen fotos a los alumnos en el recreo
o en otros momentos, para después publicarlas en revistas o periódicos escolares,
etc. también deben realizarse con el conocimiento y el consentimiento de los
padres.
17. 8. Peligros de la publicación de fotos de
menores.
Es conveniente educar al menor informándole sobre su privacidad y, sobre todo, en
las redes sociales, tan habituales hoy en día para los menores.
Los menores no son conscientes normalmente de la importancia que tiene la
publicación de fotos u otros datos personales en las redes sociales. Deben aprender
la importancia que tiene preservar su intimidad y no exponer públicamente su
imagen.
Los principales peligros a los que están expuestos los menores en las redes
sociales son: acceso a contenidos inapropiados para su edad, probabilidad de
comunicarse online con usuarios malintencionados y la información personal
publicada por ellos mismos o por terceros.
18. Los niños son especialmente vulnerables en el entorno de Internet. Las
ofertas que reciben en páginas web, foros o chats les atraen fácilmente.
Debe acompañarse a los menores en la navegación, especialmente al
principio, ayudarles a diferenciar los peligros existentes, asegurarse de que
los niños no accedan a Internet a través de entornos no confiables o de
que no intercambien datos personales ni fotografías con desconocidos.
Si un menor, por ejemplo, va a participar durante el verano en un
campamento o competición en el cual se les hagan fotos que luego van a
aparecer en las redes sociales, hay que asegurarse de que ha
proporcionado el oportuno consentimiento para ello. Y, sobre todo, tener
en cuenta que estos datos subidos a la red ya no pueden borrarse.
19. 9. Auditorías.
Por último, la ley exige cada dos años una Auditoría de cumplimiento que
puede ser interna o externa, siempre que se desarrolle por un profesional
experto en la materia, que diagnostique si se está cumpliendo con los
requisitos mínimos establecidos por la normativa o bien indique los
aspectos que necesiten de adaptación.