2. INDICE:
- ¿Qué es la protección de datos?
- Marco normativo.
- Régimen jurídico aplicable.
- Protección de datos para centros
educativos.
- Preguntas frecuentes.
3. ¿QUÉ ES LA PROTECCION DE DATOS?
Es una disciplina jurídica de reciente
creación que tiene por objeto proteger la
intimidad y demás derechos
fundamentales de las personas físicas
frente al riesgo que para supone la
recopilación y uso indiscriminado de sus
datos personales.
4. MARCO NORMATIVO
La Agencia Española de Protección de Datos se regula por su normativa específica.
El marco normativo de la Agencia Española de Protección de Datos está constituido por las
siguientes disposiciones:
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(Título VI con rango de ley ordinaria).
Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia
Española de Protección de Datos.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
5. RÉGIMEN JURÍDICO APLICABLE
La Agencia Española de Protección de Datos está sujeta al Derecho Administrativo tanto en el
ejercicio de sus competencias como en su régimen patrimonial y de contratación.
El Régimen Jurídico aplicable a la Agencia Española de Protección de Datos es:
Ejercicio de competencias: se rige por la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas (BOE 02.10.2015)
Régimen patrimonial: resulta aplicable la Ley 33/2003, de 3 de noviembre, del Patrimonio de las
Administraciones Públicas (Disposición Adicional 5ª).
Contratación: está sujeta al Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se
aprueba el texto refundido de la Ley de Contratos del Sector Público (artículo 3).
Medios personales y materiales con los que cuenta para desarrollar sus funciones:
Personal: Funcionarios de las administraciones públicas y personal laboral contratado al efecto,
según la naturaleza de las funciones asignadas a cada puesto de trabajo.
Presupuesto: Cuenta con un presupuesto integrado, con la debida independencia, en los
Presupuestos Generales del Estado. La Agencia está sometida a los preceptos de la Ley 47/2003,
de 26 de noviembre, General Presupuestaria que le sean de aplicación.
6. Los centros educativos deben adoptar una serie de medidas de
seguridad en relación a los sistemas de información a través de los
que se tratan los datos personales del alumnado y personal del
centro.
PROTECCION DE DATOS PARA CENTROS
EDUCATIVOS
7. TIPOS DE DATOS PERSONALES QUE TRATAN
LOS COLEGIOS
Los ficheros más comunes en un centro educativo que deben
inscribirse según el tratamiento habitual de datos son:
Expediente académico: ficheros sobre calificaciones, absentismo, etc. de
los alumnos.
Personal docente: ficheros de profesores para la gestión interna del centro
escolar.
Personal no docente: personal de mantenimiento, limpieza…
Servicios adicionales: servicios adicionales del centro como pueden ser,
comedor, transporte ó guardería.
Proveedores: sobre los servicios de los proveedores.
Admisión de alumnos: sobre los datos que se incluyen en procesos
de matriculaciones, solicitudes…
Asesoramiento psicopedagógico: con datos sobre dificultades de
aprendizaje de los alumnos.
Otros ficheros: según los servicios y características del centro, como
pueden ser los de videovigilancia o control de accesos mediante huella
dactilar.
8. ¿POR QUÉ LOS CENTROS EDUCATIVOS
DEBEN CUMPLIR LA LOPD?
En los colegios se dan dos circunstancias básicas
que hacen necesario un adecuado tratamiento de
los datos personales:
1. Conviven adultos con menores
2. Se trata un gran volumen de información personal
relativa a los estudiantes, sus padres, el personal
del centro, etc.
10. REGISTRO DE ACTIVIDADES DE TRATAMIENTO
A partir del 25 de mayo ya no será necesario inscribir ficheros en
la AEPD pero deben llevar en el centro un Registro de actividades
de tratamiento con la siguiente información:
A. nombre y datos de contacto del responsable y del delegado de
protección de datos;
B. los fines del tratamiento;
C. una descripción de las categorías de interesados y de las
categorías de datos personales;
D. las categorías de destinatarios a quienes se comuniquen los
datos personales;
E. las transferencias de datos personales a un tercer país o una
organización internacional;
F. los plazos previstos para la supresión de las diferentes
categorías de datos;
G. una descripción general de las medidas técnicas y
organizativas de seguridad.
11. ANÁLISIS DE RIESGOS
Los centros educativos deberán realizar una
valoración del riesgo que suponga el tratamiento
de datos que realicen o vayan a realizar (pérdida,
destrucción o alteración por mero accidente o de
forma ilícita o acceso no autorizado), con la
finalidad de implantar las medidas de
seguridad técnicas y organizativas necesarias.
Deben adoptar las medidas que, por defecto,
garanticen que sólo se tratarán los datos
necesarios para la finalidad para la que se
recogieron y que no estén accesibles a un
número indeterminado de personas.
12. EVALUACIÓN DE IMPACTO
Según el RGPD, será obligatorio realizar una Evaluación de
impacto en Protección de Datos en los siguientes casos:
1. Tratamiento a gran escala de datos sensibles (origen
étnico o racial, opiniones políticas, convicciones religiosas
o filosóficas, afiliación sindical, datos genéticos,
biométricos, de salud y los relativos a la vida u
orientación sexual).
2. Observación sistemática a gran escala de una zona de
acceso público (videovigilancia).
3. Elaboración de perfiles sobre cuya base se tomen
decisiones que produzcan efectos jurídicos sobre los
interesados.
13. Los centros educativos
tienen la obligación
de nombrar un Delegado
de Protección de
Datos que supervise el
cumplimiento de la
normativa y sirva de
enlace con la Autoridad
de Protección de Datos.
DELEGADO DE PROTECCIÓN
DE DATOS
14. Sí, siempre que sean necesarios para el ejercicio de la
función educativa. Se pueden distinguir los siguientes
momentos:
En la matriculación: discapacidades, enfermedades
crónicas, intolerancias alimentarias o alergias.
Durante el curso escolar: tratamiento médico facilitado
a un alumno a través del servicio médico o de
enfermería del centro o los informes de centros
sanitarios a los que se le haya trasladado como
consecuencia de accidentes o indisposiciones sufridas
en el centro o los informes de los equipos de
orientación psicopedagógica.
PREGUNTAS FRECUENTES 1
¿puedo recoger datos de salud de l@s
alumn@s?
15. La normativa de protección de datos exige que los datos que se
recaben sean adecuados, pertinentes y no excesivos. Han de
responder al principio de proporcionalidad, es decir, deben ser
idóneos para la finalidad que se pretende conseguir con su recogida,
no deben existir otros medios menos intrusivos para ello y de su
tratamiento deben derivarse más beneficios para el interés general
que perjuicios sobre otros bienes y valores.
La AEPD ha admitido el uso de la huella dactilar para fines como el
control de acceso al servicio de comedor en centros escolares con un
gran número de alumnos, siempre que se establezcan medidas que
refuercen la confidencialidad de los datos como la conversión de la
huella a un algoritmo, el cifrado de la información, la vinculación a un
dato distinto de la identificación directa del alumno o la limitación de
los protocolos de acceso a los datos.
El RGPD incluye a los datos biométricos dentro de las categorías
especiales de datos.
PREGUNTAS FRECUENTES 2
¿Es posible recoger datos biométricos?
16. Sí, los centros educativos pueden recabar la
información sobre la situación familiar de los alumnos.
Esta información debe estar actualizada y los
progenitores han de informar a los centros sobre
cualquier
modificación. En caso de que los padres estén
separados, debe solicitarse información sobre quién
tiene la patria potestad y sobre los autorizados para
recoger al alumno.
PREGUNTAS FRECUENTES 3
¿Es posible recoger datos sobre la
situación familiar de los padres de l@s
alumn@s?
17. Los centros educativos pueden recabar datos
para otras finalidades legítimas, como puede ser la
gestión de la relación jurídica derivada de la
matriculación de los alumnos, o dar a conocer la oferta
académica, participar con los alumnos en concursos
educativos u ofrecer servicios deportivos, de ocio o
culturales.En estos casos, se podrán solicitar bien como
consecuencia de la relación jurídica establecida con la
matrícula o si media el consentimiento previo de los
alumnos o de sus padres o tutores
PREGUNTAS FRECUENTES 4
¿Pueden recogerse datos para fines
distintos de los propios de la función
educativa?
.
18. Sí, cuando la instalación responda a la
protección del interés superior del menor,
toda vez que, sin perjuicio de otras
actuaciones como el control presencial por
adultos, se trata de espacios en los que se
pueden producir acciones que pongan en
riesgo su integridad física, psicológica y
emocional
PREGUNTAS FRECUENTES 5
¿Se pueden instalar cámaras de
videovigilancia en los patios de recreo y
comedores?
19. RECUERDA
Consentimiento
El consentimiento de los
alumnos o de sus padres o
tutores no se podrá obtener de
forma tácita. Es necesaria una
clara acción afirmativa del
interesado.
Cuando se refiera al
tratamiento de datos sensibles
o para transferencias
internacionales de datos, el
consentimiento además deberá
ser expreso.