¿Trabajas en una escuela y te haces muchas preguntas sobre protección de datos que no sabes muy bien cómo resolver? Lo cierto es que, cuando hablamos de menores, es muy importante que tengamos presente lo que recalca la normativa de protección de datos en escuelas o centros educativos para no vulnerar los derechos de los menores.
Hoy junto a Qualla, una empresa que ha realizado una app para escuelas y familias que está revolucionando las salidas del colegio de los alumnos, te resolvemos algunas de las dudas más frecuentes que se hace el personal educativo y que la APDCAT (Autoridad Catalana de Protección de Datos) ha detallado en una de sus guías.
Además, antes de resolverte estas dudas queremos informarte de que el próximo 13 de marzo a las 18h realizaremos conjuntamente un webinar para profesionales del sector educativo (directores, profesores, conserjes, etc). Si quieres asistir a este webinar puedes apuntarte AQUÍ.
¿Qué datos personales se tratan en las escuelas?
En las escuelas se tratan datos sobre el alumnado, sus padres y madres, los docentes o del personal del centro, con los que se les identifica directamente (nombre, apellidos, dirección, teléfono o correo electrónico) o indirectamente (DNI, voz, imagen, número de cuenta bancaria, la profesión de los padres y madres o el contenido y resultado de los trabajos o exámenes del alumnado). Otros datos que tienen las escuelas serían los expedientes, la gestión económica del centro, los servicios médicos, las imágenes de videovigilancia, las actividades extraescolares, etc.
¿Qué datos de categoría especial tratan en las escuelas?
Se tratan datos relacionados con las necesidades educativas especiales del alumnado; datos de salud como minusvalía, alergias, enfermedades, intolerancias, lesiones, discapacidades psíquicas, altas capacidades o trastornos que afectan al aprendizaje; datos psicopedagógicos y datos biométricos como huellas dactilares.
Algunas dudas relacionadas con los encargados del tratamiento:
Cuando se establece un acuerdo de encargo del tratamiento, ¿a qué datos puede acceder el personal encargado del servicio?
El personal de la empresa que se encargue del tratamiento podrá acceder a los datos que se especifiquen en el acuerdo, que deben ser los estrictamente necesarios para poder prestar el servicio.
Estos serían algunos ejemplos de encargados del tratamiento de escuelas:
- La empresa que da el servicio del comedor escolar: Serán encargados del tratamiento mientras tengan que acceder a datos personales, como por ejemplo dietas especiales por celiaquía, alergias, etc.
- La empresa que gestiona una plataforma académica utilizada por la escuela: Serán encargados del tratamiento porque para prestar su servicio acceden a datos personales del alumnado, profesorado y familiares.
- Si la escuela utiliza servicios de cloud storage: Se necesitará un acuerdo de encargado del tratamiento si los documentos almacenados por el centro contienen datos de carácter personal, como bases de datos.
En todos estos casos el responsable del tratamiento, que será el centro educativo, deberá firmar un acuerdo con dichas empresas, que serán los encargados del tratamiento, como establece el art. 28 del RGPD.
Si un alumno/a necesita atención médica urgente, ¿se podrán comunicar sus datos al centro hospitalario sin el consentimiento de sus progenitores o tutores legales?
No se necesitará el consentimiento siempre y cuando sea para salvaguardar el interés vital del alumno/a afectado.
¿La escuela puede facilitar datos personales a alguien que los solicite por teléfono?
No es algo que se recomiende, ya que la comunicación por teléfono no permite la comprobación de la identidad de una persona. Pero si fuese necesario se debería acreditar su identidad utilizando algún sistema en el que facilite alguna información privada sobre el alumno/a.
¿Los materiales que elabora el alumnado (dibujos, escritos, trabajos, etc) son datos personales?
Sí, siempre y cuando permitan evaluar la actividad académica o de aprendizaje del alumno/a o cuando puedan representar aspectos de su comportamiento o su personalidad.
¿La escuela puede implantar un sistema de videovigilancia con la finalidad de preservar la seguridad del alumnado y de los bienes e instalaciones del centro?
Sí, podrá poner cámaras de videovigilancia mientras se cumpla con la normativa de protección de datos, informando de la existencia de estas cámaras antes de empezar a captar imágenes y anunciándolo con carteles informativos.
Algunas dudas referentes a los padres y madres de los alumnos:
- La escuela no podrá facilitar los datos de los progenitores de los alumnos al resto de padres y madres.
- El centro educativo no cederá los números de teléfono o datos personales de los progenitores de los alumnos al padre o madre delegado/a de la clase, a menos que tenga el consentimiento de estos. Por más que la finalidad sea informativa o para crear un grupo de WhatsApp.
- La escuela no podrá facilitar los datos de los progenitores al AMPA si no es con el propio consentimiento de estos.
¿Se podrán publicar o difundir en la web de la escuela imágenes de alumnos haciendo actividades en el centro?
La publicación de imágenes no se considera parte de la docencia. Por lo que siempre que se quiera publicar imágenes de alumnos menores de 14 años se deberá disponer del consentimiento previo de los padres, madres o tutores legales. Si los alumnos son mayores de 14 años podrán dar el consentimiento ellos mismos.
De forma excepcional se podrán compartir imágenes de menores captadas en actos públicos, mientras que las imágenes no afecten a la intimidad del menor. Pero recomendamos que antes de hacerlo siempre se pida el consentimiento.
¿Los centros educativos deben tener un delegado de protección de datos?
Sí, en todos los centros educativos el responsable del tratamiento está obligado a designar a un delegado de protección de datos. Este puede formar parte de la plantilla o prestar un servicio externo con un contrato.
¿Si un profesor/a pierde o le roban su ordenador donde contiene información personal de los alumnos, se entiende como una brecha de seguridad?
Sí, nos encontraríamos ante una violación de confidencialidad de los datos, ya que la persona que encontrase o robase ese ordenador tendría acceso no autorizado a datos personales del alumnado.
Es importante que ante una brecha de seguridad como esta se comunique a los afectados lo antes posible, y más si hay un riesgo alto de perjuicio. Ya que estamos hablando de datos sensibles y de un colectivo vulnerable al ser menores.
Si quieres saber más sobre cómo cumplir con la normativa de protección de datos en los centros educativos, súmate al webinar que organizaremos junto a Qualla el próximo 13 de marzo.
Te esperamos para que puedas consultarnos cualquier duda que tengas y puedas interactuar con nuestra abogada experta en protección de datos.
El equipo de PymeLegal