1. Apuntes
Protección de datos en centros educativos
La gran cantidad de datos de carácter personal que tratan los
centros de educación es algo que preocupa especialmente a la
Agencia Española de Protección de Datos. Este organismo vela
por el cumplimiento de la normativa aplicable en esta materia.
Desde Cohaerentis
Preocupa especialmente el tratamiento de los datos de
salud y la implantación de las medidas de seguridad en C o n s u l t o re s p re s t a m o s
los centros, debido al gran número de ficheros con datos servicios integrales a
de carácter personal, teniendo en cuenta las distintas
centros de educación y
finalidades con la que se tratan dichos datos.
c e n t ro s f o r m a t i v o s q u e
incluyen la implantación y
¿Que me aporta este documento? adecuación a la normativa
sobre protección de datos
Hemos querido aprovechar nuestra experiencia de carácter personal, así
implantado la normativa de protección de datos de
como otros servicios
carácter personal en centros educativos y de formación,
para realizar una serie de preguntas y respuestas legales y de seguridad.
prácticas sobre la aplicación de la normativa, para que
puedan ser de utilidad en los centros.
Para más información
También identificamos, los errores comunes cometidos.
póngase en contacto con
Si detecta su caso en el cuadro azul de la derecha, en las nosotros a través de
siguientes páginas, puede preguntarnos, a través del los
datos de contacto que tiene en esta página. i n f o @ c o h a e re n t i s . c o m , o
visite nuestros canales web
en:
www.cohaerentis.com
blogs.cohaerentis.com
www.twitter.com/cohaerentis
2. El principio de calidad de los datos
¿Los profesores y trabajadores del centro
educativo saben que tienen que cancelar
En la práctica, muchos
datos y cómo hacerlo?
t r a b a j a d o re s d e s c o n o c e n
El centro educativo debe dar instrucciones a sus
cuáles son los
trabajadores (profesores, personal administrativo,
etc), especificando cómo cancelar los datos de procedimientos que deben
carácter personal una vez que ha terminado la llevar a cabo para cancelar
finalidad de tratamiento.
datos porque, además, es
Los datos de carácter personal que se tratan en el propio centro el que debe
los centros están en diferentes soportes y
instrumentalizar y facilitar
ubicaciones, por ejemplo:
dichos procesos.
• Formulario de admisión Muchos no lo hacen.
• Expediente académico
• Sistema informático de gestión de alumnos
• Departamento de orientación
¿Se ha transmitido alguna premisa a los En ocasiones se tiende a
trabajadores desde la dirección del centro
recabar más datos de los
para que no se recojan más datos de los
necesarios para la prestación del servicio? que son estrictamente
necesarios.
Los datos que se recaben de los titulares deben
ser adecuados pertinentes y no excesivos. Por ejemplo, profesión de
los padres a través de
Es decir, se recabarán únicamente aquellos datos
que sean necesarios de acuerdo a la finalidad para formularios web para
la que se están recogiendo. apuntarse a actividades
A veces, los servicios extraescolares que extraescolares, para lo cual,
organizan sus propias actividades tienden a hacer no es necesario saber dicha
su propia recogida de datos: profesión.
- AMPA
- Página web
3. El principio de información
Los formularios utilizados por el centro para
recabar datos, ¿tienen cláusulas de
información sobre el tratamiento de los
datos, la finalidad para la que se recaban,
con todos los requisitos que existe la Ley?
La realidad es que, en
En los formularios desde los que se recaben muchas ocasiones, la
datos de carácter personal, debe aparecer de
información que se facilita a
manera clara y legible, la información requerida
por la ley: existencia de fichero o ficheros en los los titulares de los datos en
que se incorporan los datos, carácter obligatorio los formularios es
o facultativo de la respuesta, consecuencias de la
incompleta y no cumple con
negativa a suministrarlos, ejercicio de derechos
de acceso, rectificación, cancelación y oposición, todos los requisitos
identidad y dirección del responsable del fichero. establecidos por el principio
Los posibles formularios desde los que se de información de la Ley.
recaban datos son:
• Hojas de matriculación
• Hojas de gestión de becas
• Hojas de actividades extraescolares
• AMPA, etc...
El principio de consentimiento
¿Se ha solicitado el consentimiento de los Puesto que la información
titulares de los datos para tratar sus datos
que se facilita en muchas
con todas las finalidades para las que se van
a utilizar? ocasiones es incompleta, el
consentimiento para tratar
La respuesta a esta pregunta está relacionada con
la anterior. los datos también lo es.
Muchas veces ni se informa
Se dispondrá del consentimiento para todos los
tratamientos en función de la información que se a los titulares de los datos
haya facilitado. de sus derechos de acceso,
Evidentemente, no se puede contar con el rectificación, cancelación y
consentimiento para tratar los datos con una oposición
determinada finalidad si no se ha informado al
titular de dicha finalidad.
4. Derechos de los titulares de los datos
¿Se ha incorporado en los formularios de
recogida de datos los derechos de los
titulares de dichos datos?
Se echa de menos en
Se debe informar a los titulares de los datos de los muchos formularios de
derechos que les asisten como garantía del
ejercicio del derecho fundamental a controlar qué recogida, no sólo el
se hace con sus datos de carácter personal informar a los titulares de
Dichos derechos son: los datos de la posibilidad
de ejercitar sus derechos,
• Acceso
sino ante quién pueden
• Rectificación ejercerlos.
• Cancelación
• Oposición
La concienciación del
¿Ha definido la dirección del centro algún
procedimiento para que las personas personal que trabaja en los
encargadas de hacerlo, sepan cómo atender centros educativos no
al ejercicio de los derechos por parte de los cumple los requisitos
titulares de los datos?
mínimos para atender el
Desde la dirección del centro debe partir la ejercicio de este tipo de
iniciativa de una labor de concienciación y
derechos.
divulgación para que el personal del centro sepa
cómo atender el ejercicio de los derechos por La no contestación ante el
parte de los titulares de los datos. ejercicio de dichos derechos
Asimismo, el centro debe definir un procedimiento puede implicar la exigencia
en el que se describa cómo debe atenderse el de la atención de los
ejercicio de dichos derechos.
mismos, directamente ante
la Agencia Española de
P ro t e c c i ó n d e d a t o s p o r
parte del titular de los datos.
5. Inscripción de ficheros
¿El centro ha declarado ante la Agencia Muchos centros no han
Española de Protección de Datos los ficheros n o t i f i c a d o f i c h e ro s o n o
desde los que se tratan datos de carácter
todos los ficheros desde los
personal?
que se tratan datos de
El centro debe declarar ante el organismo carácter personal en el
competente, en este caso, el Registro de la
Agencia Española de Protección de Datos, cuando centro.
se trata de centros privados (también concertados) O bien, las medidas de
o, la Agencia de Protección de Datos de la seguridad notificadas
Comunidad correspondiente (si existe dicho
organismo en la Comunidad) cuando se trata de respecto del fichero, no se
centros públicos, todos los ficheros con los que corresponden con las
gestionan los datos de los alumnos y de sus medidas de seguridad que,
familias.
en la práctica, se debieran
La finalidad de tratamiento de los datos, aplicar a los datos que
Y, el nivel de seguridad aplicable a los ficheros que contiene el fichero.
están declarando.
Datos especialmente protegidos
¿Se ha solicitado por parte del centro el
consentimiento expreso de los alumnos o de
No todos los centros tienen
los padres o tutores de los alumnos para el
tratamiento de sus datos de salud? en cuenta la circunstancia
de que el tratamiento de
Es necesario contar con el consentimiento expreso
(y el mejor modo de probar que se dispone del los datos de salud requiere
consentimiento expreso es, tenerlo por escrito) de el consentimiento expreso
los alumnos (cuando son mayores de 14 años) o
o no pueden probar que
de sus padres o tutores (cuando son menores de
14 años) para tratar los datos de salud de estos. disponen de dicho
consentimiento porque no
Son casos típicos en los que se tratan datos de
salud: lo tienen por escrito o
medio equivalente de
• Revisiones médicas realizadas a los alumnos
desde el centro prueba.
• Realización de test psicotécnicos.
6. Medidas de seguridad
¿Sabe si las aplicaciones informáticas que se Muchas veces ni los propios
utilizan en el centro para el tratamiento de proveedores de las
datos de carácter personal permiten aplicar aplicaciones que tratan los
medidas de seguridad adecuadas en función
del tipo de datos que se tratan en dichas datos facilitan la información
aplicaciones? necesaria sobre las medidas
Los sistemas de información y las aplicaciones de seguridad que permite
desde las que se tratan los datos de carácter aplicar dicho programa
personal en los centros, deben permitir aplicar informático.
medidas de seguridad adecuadas en función de la
naturaleza de los datos que tratan respetando las Las medidas de seguridad
medidas de seguridad que se exigen en el de control de redes y
reglamento de desarrollo de la Ley. comunicaciones, son,
Si se dispone de conexión a Internet, se deben muchas veces, escasas en
establecer medidas para evitar el acceso no los centros.
autorizado a los datos contenidos en los sistemas
de información.
¿Ha definido el centro un documento de La realidad generalizada es
seguridad en el que se especifiquen las que, si los centros
medidas de seguridad aplicables a los disponen de documento de
ficheros?
seguridad, dicho
La tenencia del documento de seguridad es una documento es un modelo
obligación legal que exige documentar las
medidas de seguridad que se deben aplicar a los no adaptado a la realidad
ficheros que contienen datos en función del tipo del centro en cuestión y, en
de datos que contienen (nivel básico, medio o
alto) cualquier caso, las medidas
de seguridad que establece
Las medidas de seguridad deben aplicarse de
manera efectiva, no sólo definirse en dicho el documento o son
documento. insuficientes o, en cualquier
caso, no se aplican.
7. Medidas de seguridad
¿Se llevan los necesarios registros e Pocos registros de
inventarios exigidos por la normativa?
incidencias se llevan en la
El centro debe disponer de un registro de práctica.
incidencias, un procedimiento de notificación de
El inventario de soportes
las mismas y de resolución.
suele estar incompleto o no
Asimismo debe disponer de un inventario de los existe.
soportes que contienen datos de carácter
personal. E s d i f í c i l e n c o n t r a r,
t a m b i é n , u n re g i s t ro d e
Para el control efectivo de dichos soportes, debe
llevar un registro de entrada y salida de soportes entrada y salida de
de las dependencias del centro. soportes.
Y, en demasiadas
Se deben realizar copias de seguridad, como
mínimo, semanalmente, de los datos personales ocasiones, nos
contenidos en los sistemas. encontramos que se
Debe llevarse un control, mediante mecanismos de comparten contraseñas
identificación y autenticación del acceso a los para acceder a los
sistemas de información.
equipos.
¿Se ha nombrado un responsable de En muchas ocasiones la
seguridad?
designación del
¿Se realizan las auditorías bienales de responsable de seguridad
carácter técnico y organizativo que exige la es ficticia y meramente
normativa?
nominal porque, en la
Es necesario nombrar una o varias personas que práctica, la persona
serán definidas como responsables de seguridad y
cuya función principal consiste en garantizar que designada no lleva un
se cumplen las medidas de seguridad exigidas control efectivo de que las
sobre los ficheros con datos de carácter personal medidas de seguridad que
del centro.
debería aplicarse.
Además, debe auditarse, cada dos años, por M u c h o s c e n t ro s n o h a n
auditores internos o contratados externamente, el realizado nunca una
cumplimiento de las medidas técnicas y
auditoría de protección de
organizativas exigidas por la normativa.
datos.
8. Deber de secreto
¿Se firman desde el centro, con los Lamentablemente, y pese a
trabajadores del mismo, documentos, su importancia, la
contratos en los que se haga especial énfasis
en el deber de confidencialidad sobre lo datos protección de datos suele
de carácter personal que tratan los sonar más como un
trabajadores? embrollo legal para el
Es necesario que se haga especial hincapié entre centro que como una
todos los trabajadores del centro, la especial necesidad que requiera una
importancia que implica el tratamiento de datos de
carácter personal y las obligaciones de secreto labor de concienciación por
derivadas del tratamiento de dichos datos. parte de la dirección.
Los problemas por fugas
Para lo cual, además, de firmar los
correspondientes contratos de confidencialidad, es de información, aunque sea
necesario, impartir cursos de formación y transmitida verbalmente,
concienciación sobre la importancia de este
que son escuchados por
extremo, debido a las responsabilidades que
pueden derivar para el centro de su terceros ajenos, están a la
incumplimiento. orden del día.
Comunicaciones de datos
¿Cuenta con autorización legal o dispone del
consentimiento para realizar comunicaciones
de datos a terceros desde el centro?
Muchos centros no tienen
Si la comunicación (cesión) de datos no está
autorizada por ley, es necesario solicitar el identificados todos los
consentimiento para realizar comunicaciones de supuestos en los que se
datos a terceros desde los ficheros del centro. llevan a cabo
Ejemplos típicos de habilitación legal (dependiendo comunicaciones de datos a
del tipo de datos que se comuniquen): terceros por lo que,
• Administración (Comisión de Escolarización, tampoco solicitan el
Consejería de Educación, Consejería de consentimiento a los
Sanidad, Seguridad Social, Servicios Sociales
titulares de los datos para
del Ayuntamiento)
llevar a cabo dichas
• Otros centros (expediente académico); etc. comunicaciones cuando no
Ejemplos típicos en los que hace falta existe una habilitación legal
consentimiento: que permita la realización
• AMPA de dichas cesiones.
• Asociación de antiguos alumnos
• Clubes deportivos, etc
9. Prestaciones de servicios por terceros
¿El centro ha firmado contratos de acceso a
datos con aquellos terceros que prestan
servicios al centro que impliquen el acceso a Una vez más, los centros
datos de carácter personal? no suelen tener
Es necesario formalizar un contrato por escrito con identificados todos los
los terceros que prestan servicios al centro, supuestos en los que se
cuando para la prestación de los servicios, tengan
prestan servicios al centro
que acceder a datos de los que es responsable
del centro. que implican el acceso a
datos de carácter personal.
Casos típicos de prestaciones de servicios por
terceros: O bien, los contratos
firmados con los
• Empresas de mantenimiento de los sistemas de
información proveedores que prestan
dichos servicios no
• Empresas de alojamiento de páginas web
cumplen los requisitos
• Empresas que elaboran revistas y anuarios del mínimos exigidos por la
colegio
normativa.
• Gestorías y asesorías externas
• Empresas que confeccionan y corrigen pruebas
psicológicas
• Etc.