El documento resume la legislación más importante sobre protección de datos, incluyendo el Reglamento General de Protección de Datos. Explica los derechos de los padres sobre los datos de sus hijos menores y la importancia de designar un Delegado de Protección de Datos. Resalta la necesidad de concienciar sobre privacidad e implementar medidas de protección de datos en los centros educativos.

1. Protección de datos
En esta presentación recogeremos la legislación más importante en
donde se hace referencia a la protección de datos, así como algunos
ejemplos de uso en el ámbito educativo.
Miguel Angel Gil Crespo

2. Fuentes
Las fuentes para realizar esta presentación son la guía para centros
educativos sobre el correcto uso de datos personales de la Agencia
Española de Protección de Datos y la propia legislación que más tarde
listaré.

3. Introducción
• Objetivo: garantizar la protección de los datos de los alumnos y cumplir con la normativa vigente.
• Público objetivo: centros educativos y su comunidad educativa.
• Contenido: conceptos y principios básicos en materia de protección de datos.

4. Marco normativo básico
• Constitución Española (artículos 18.4 y 27).
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos, aplicable a partir del 25 de mayo de 2018).
• Ley Orgánica de Protección de Datos 3/2018 LOPDGDD.
• Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter personal y su protocolo
del año 2001.
• Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de diciembre de 1995 relativa a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de esos datos (de aplicación hasta el 24 de mayo de 2018).
• Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el
tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras.
• Ley Orgánica 2/2006, de 3 de mayo, de Educación.
• Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
• Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos
y obligaciones en materia de información y documentación clínica.

5. Utilización de Plataformas
Educativas
En los centros educativos, atendiendo a la Agencia Española de
Protección de Datos (AEPD), hemos de ser especialmente cuidadosos
con el tratamiento de las imágenes de los alumnos, la transparencia e
información en el tratamiento de datos, el uso de servicios de cloud
computing, entre otros.
Además, se destaca la importancia de que los centros educativos se
adapten al Reglamento General de Protección de Datos (RGPD), que
establece nuevas obligaciones y conceptos en relación con la protección
de datos.

6. Publicación de datos en la
web de los centros
Los sitios web de las instituciones educativas suelen contener información personal sobre el personal,
docentes y estudiantes, por lo que es importante considerar deberes y responsabilidades en relación con
la protección de datos.
La directiva de la Agencia Española de Protección de Datos (AEPD) destaca que la publicación de datos
personales en las páginas web de centros educativos requiere el consentimiento de los interesados,
debiendo informarse explícitamente sobre los datos que se publicarán en sus redes sociales, con qué
finalidad, quién puede acceder a los datos y cómo puede ejercer su derecho de acceso, rectificación,
oposición y supresión. Además, se ha de informar del tiempo de retención de las imágenes o, si esto no
es posible, de los criterios de detección.

7. Publicación de datos en redes sociales
Cuando las instituciones educativas publican datos en redes sociales requieren el consentimiento de los
interesados, debiendo notificar claramente los datos que se van a publicar, en qué red social, con qué
finalidad, quién puede acceder a los datos y cómo puede ejercer el derecho de acceso, edición,
oposición y supresión.
La ley establece que el consentimiento debe ser una expresión de voluntad libre, específica, informada e
inequívoca, mediante declaración expresa o acto de aceptación. Además, se destaca la obligación de
informar sobre el plazo de conservación de las imágenes o, en caso de no ser posible, las normas de
presentación.

8. Certificados del Registro Central de
delincuentes
Para el acceso y ejercicio de profesiones, oficios y actividades que impliquen contacto habitual con
menores, es requisito no haber sido condenado por delitos contra la libertad e indemnidad sexual.
Quienes pretendan el acceso a dichas profesiones deben acreditar esta circunstancia mediante la
presentación de una certificación negativa del Registro Central de delincuentes sexuales. Una vez
iniciada la relación laboral, no sería necesaria una nueva aportación o renovación periódica del
certificado, a menos que se tengan conocimiento de nuevas circunstancias que exijan su actualización.

9. Videovigilancia
Es importante informar sobre la existencia de un sistema de videovigilancia, colocando un distintivo
visible en las áreas donde se hayan instalado cámaras, así como disponer de una cláusula informativa
que cumpla con los requisitos normativos.
Los sistemas de videovigilancia no pueden instalarse en áreas que supongan una intromisión en la
intimidad de las personas, como aseos, vestuarios o zonas de descanso del personal docente o
trabajadores.

10. Transferencias internacionales de datos
Es importante cumplir con la normativa al realizar transferencias de datos fuera del Espacio Económico
Europeo (EEE). Se destaca que se considera una transferencia internacional de datos cuando se envían
datos a países fuera del EEE, como parte de servicios de alojamiento en la nube o intercambios
educativos.
Estas transferencias deben cumplir con los requisitos establecidos por la ley para garantizar la validez
de las comunicaciones de datos.
Las transferencias a países dentro de la Unión Europea o del EEE no se consideran transferencias
internacionales de datos, pero aún así deben cumplir con los requisitos legales.

11. Tratamiento de datos por
las Asociaciones de
Madres y Padres de
Alumnos (AMPA)
Se destaca el papel significativo de las AMPA en la comunidad educativa y su
responsabilidad en el tratamiento de datos personales.
Se resalta que las AMPA, al ser entidades con personalidad jurídica propia, son
responsables del tratamiento de datos de los padres y alumnos, y deben cumplir
con las obligaciones establecidas en la normativa de protección de datos.
Las AMPA prestan servicios que requieren el tratamiento de datos, como el
servicio de comedor o transporte escolar, actúan como encargados del
tratamiento y deben contar con un contrato que incluya las garantías adecuadas.

12. Derechos en materia de protección de
datos de los padres o tutores legales
Es importante que los padres o tutores legales ejerzan los derechos de protección de datos en nombre
de los menores a su cargo.
Los padres o tutores legales tienen la responsabilidad de garantizar que los menores tengan derechos
de privacidad y protección de datos, pudiendo ejercer los derechos de acceso, edición, cancelación,
oposición, limitación de uso y función de transmisión en nombre de los menores.
Los padres o tutores legales deben ser informados sobre el procesamiento de la información personal
de sus hijos y qué medidas de seguridad existen para proteger su privacidad.

13. Delegado de Protección de Datos
Se destaca la importancia de utilizar la figura del Delegado de Protección de Datos (DPD) para cumplir
con las leyes de protección de datos.
Se resalta que el DPD es una persona designada por la organización responsable del tratamiento de
datos para garantizar el cumplimiento de la normativa de protección de datos.
Además, el DPD tiene diversas funciones, como informar y asesorar a la organización y a los
interesados sobre sus obligaciones en materia de protección de datos, supervisar el cumplimiento de la
normativa de protección de datos, y actuar como punto de contacto con la autoridad de protección de
datos.

14. Principales novedades RGPD que
afectan al sector educativo
Se resalta que el RGPD introduce nuevas obligaciones en relación con el tratamiento de
datos personales, basadas en la necesidad de cumplir y demostrar el cumplimiento de
manera consciente, diligente y proactiva.
Algunas de las novedades que afectan directamente al sector educativo, como la valoración
del riesgo en el tratamiento de datos, la designación obligatoria de un Delegado de
Protección de Datos (DPD) para los centros educativos, y la supresión de la obligación de
inscripción de ficheros en el Registro General de Protección de Datos, en su lugar se debe
llevar un registro de actividades de tratamiento.

15. Registro de actividades de tratamiento
Es importante llevar un registro detallado de las actividades de tratamiento de datos personales
realizadas por una organización.
El registro de actividades de tratamiento es una obligación establecida por el Reglamento General de
Protección de Datos (RGPD) y que su objetivo es garantizar la transparencia y el cumplimiento de la
normativa de protección de datos.
El registro de actividades de tratamiento debe contener información detallada sobre el tratamiento de
datos personales, como el nombre y los datos de contacto del responsable del tratamiento, la finalidad
del tratamiento, las categorías de datos personales tratados, los destinatarios de los datos personales, y
las medidas de seguridad implementadas para proteger los datos.
El registro de actividades de tratamiento debe ser actualizado regularmente y estar disponible para su
consulta por parte de la autoridad de protección de datos.

16. Tratamiento de datos de salud
Se ha de proteger la privacidad y la confidencialidad de los datos de salud de
las personas. Los datos de salud son considerados datos sensibles y su
tratamiento está sujeto a una regulación especial en materia de protección de
datos.
El tratamiento de datos de salud debe ser realizado por profesionales
sanitarios y que debe estar basado en el consentimiento informado de la
persona afectada.
El tratamiento de datos de salud debe ser realizado con medidas de seguridad
adecuadas para garantizar la confidencialidad y la integridad de los datos.
El tratamiento de datos de salud está sujeto a una regulación especial en el
Reglamento General de Protección de Datos (RGPD) y que su incumplimiento
puede conllevar sanciones económicas y daños a la reputación de la
organización.

17. Evaluación de impacto en la protección
de datos
Es importante realizar una evaluación de impacto en la protección de datos antes de llevar a cabo un
tratamiento de datos que pueda suponer un alto riesgo para los derechos y libertades de las personas.
La evaluación de impacto en la protección de datos es una herramienta que permite identificar y evaluar
los riesgos asociados al tratamiento de datos personales, y que su objetivo es garantizar la protección
de los derechos y libertades de las personas afectadas. La evaluación de impacto en la protección de
datos debe ser realizada por el responsable del tratamiento de datos y que debe incluir una descripción
detallada del tratamiento de datos, una evaluación de la necesidad y proporcionalidad del tratamiento,
una evaluación de los riesgos para los derechos y libertades de las personas, y una descripción de las
medidas de seguridad y protección implementadas para mitigar los riesgos identificados. La evaluación
de impacto en la protección de datos es una obligación establecida por el Reglamento General de
Protección de Datos (RGPD) y que su incumplimiento puede conllevar sanciones económicas y daños a
la reputación de la organización.

18. Incumplimiento de la normativa
El incumplimiento de la normativa puede conllevar sanciones económicas y daños a la
reputación de la organización.
Además, puede afectar negativamente a la confianza de los clientes y usuarios en la
organización, y que puede generar pérdidas económicas y de negocio.
El Reglamento General de Protección de Datos (RGPD) establece sanciones económicas
significativas para las organizaciones que incumplen la normativa, que pueden llegar hasta
el 4% de la facturación anual global de la organización o hasta 20 millones de euros, lo que
sea mayor.

19. Recursos y materiales
Es recomendable contar con herramientas y materiales educativos para promover la protección de datos
y la privacidad en el entorno educativo.
Estos recursos están destinados a proporcionar orientación tanto a los estudiantes como a los
profesores y padres.
Los materiales educativos incluyen guías sobre el uso responsable de internet dirigidas a padres y
profesores, así como recursos para los propios estudiantes.
Estos materiales buscan promover la comprensión de conceptos clave, como la importancia de los datos
personales y las buenas prácticas en línea.
La disponibilidad de estos recursos y materiales educativos es fundamental para fomentar la conciencia
sobre la protección de datos desde una edad temprana, y para proporcionar a los educadores las
herramientas necesarias para abordar este tema de manera efectiva en el entorno escolar.

20. Conclusiones y recomendaciones
Se resalta la importancia de la concienciación sobre la privacidad y la seguridad en línea, tanto para
estudiantes como para educadores y padres.
Se enfatiza la necesidad de implementar medidas de protección de datos en los centros educativos, así
como la importancia de proporcionar recursos y materiales educativos para promover la comprensión de
estos conceptos desde una edad temprana.
La protección de datos en el entorno educativo es un tema en constante evolución, y que es
fundamental estar al tanto de las regulaciones y mejores prácticas en este ámbito.