Los centros docentes tienen encomendada la función social de enseñar y orientar a sus alumnos y, para ello, necesitan tratar sus datos personales; son responsables del tratamiento de los datos tanto identificativos o académicos como hasta de los datos para los servicios de comedor o transporte, así como para la puesta en marcha y desarrollo de actividades extraescolares. Sin embargo, no debemos olvidar que también son responsables de los datos de los padres o tutores de dichos alumnos, así como del profesorado que imparte la docencia.
Asimismo, y atendiendo el desarrollo creciente de las tecnologías de la información y comunicación, cada vez más los centros usan plataformas de gestión educativa en la nube y crean entornos virtuales de aprendizaje para relacionarse el profesorado con los alumnos y sus padres, con el fin de facilitar la evolución de la educación hacia un entorno digital.
El tratamiento de todo este entramado de datos y la forma en que se realiza dicho tratamiento genera un sinfín de preguntas relacionadas con el cumplimiento de la normativa de protección de datos. Preguntas tales como quiénes son los responsables del tratamiento de estos datos, sobre qué bases se legitima dicho tratamiento o qué medidas de seguridad se deberían implantar intentaremos darles respuesta durante las próximas semanas, a fin de contribuir a un cumplimiento más eficiente de esta normativa. Si bien los centros docentes tratan datos de sus proveedores o empleados, nos centraremos en el tratamiento de los datos de los alumnos y sus familiares, ya que son los colectivos que pueden generar más dudas durante su tratamiento.
Empezaremos esta serie de noticias con un resumen de los conceptos y principios básicos en materia de protección de datos para aclarar cualquier duda acerca de los mismos.
Los centros educativos, en cumplimiento de su tarea de hacer efectivo el derecho fundamental a la educación, también deben observar las directrices del derecho fundamental a la protección de los datos de carácter personal que, al no constituir su actividad principal, en ocasiones genera dudas sobre la interpretación y aplicación de su regulación por parte del profesorado y equipos directos de los centros escolares.
Desde el momento de la solicitud de plaza en un centro, la fase de matrícula, la gestión de expedientes académicos, solicitud de becas o ayudas, servicios de comedor, transporte (inherentes al funcionamiento del sistema educativo) así como para la puesta en marcha y desarrollo de actividades extraescolares los datos son recogidos y tratados por el equipo directivo del centro, así como por los profesores, personal administrativo y auxiliar del mismo, para el ejercicio de sus funciones, con el objetivo de respetar la privacidad e intimidad de los alumnos y sus padres o tutores, teniendo presente el interés y la protección de los menores.
Entonces, ¿quién es el responsable del tratamiento de los datos? El responsable del tratamiento es la persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o bien porque así le viene impuesto por una norma legal. Cuando se trate de centros educativos públicos, el responsable del tratamiento será normalmente la Administración pública correspondiente (la Consejería de la Comunidad Autónoma competente en materia educativa, salvo Ceuta y Melilla o los centros en la exterior titularidad del Estado dependientes del Ministerio de Educación Cultura y Deporte). En los centros concertados y privados los responsables del tratamiento de los datos serán los propios centros.
Y, ¿qué datos se tratan en un centro escolar? A parte de los datos básicos de los alumnos y sus padres o tutores (como nombres y apellidos, dirección, número de teléfono, e-mail o incluso imágenes), también se tratan los datos tanto académicos como otros, por ejemplo, la profesión, los estudios o el lugar donde trabajan los padres, o su número de cuenta bancaria. Asimismo, también puede llegarse a tratar datos especialmente sensibles que revelan información más íntima y personal, como por ejemplo datos relativos a la salud física o mental de los alumnos (desde lesiones o enfermedades que pudieran sufrir los alumnos, discapacidades físicas o psíquicas, por ejemplo, del síndrome TDAH, informes psicopedagógicos o datos de salud que permitan conocer si los alumnos son celiacos, diabéticos o padecen alguna alergia alimentaria). No se consideran como datos sensibles el que un alumno curse la asignatura de religión, ya que el mero hecho de cursar la misma no implica revelación de su confesión religiosa.
¿Puede tener encargados del tratamiento un centro docente? Sí, ya que muchas veces necesitan de empresas externas a su organización para prestar servicios que directamente el centro no ofrece. Estas empresas son contratadas por el centro o la Administración educativa para prestar los servicios de comedor, servicio médico, transporte escolar o el de seguridad y tendrán la consideración de encargados del tratamiento. El equipo directivo del centro, los profesores, o el personal de administración y servicios del centro educativo no son encargados del tratamiento. El Reglamento General de Protección de Datos establece un deber de diligencia en la elección del encargado del tratamiento y un contrato en cuyo contenido se incluyan las garantías adecuadas
Los centros, ¿podrán comunicar datos a otras entidades? La comunicación de datos supone la revelación de éstos a otra persona distinta de su titular. Los destinatarios de los datos serán las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos a los que se les comuniquen.
Cuando se transfieren los datos de los alumnos de un centro a otro con motivo de un cambio de matrícula o se comunican a las asociaciones de madres y padres (AMPA) o a los Servicios Sociales o Sanitarios, Jueces, Tribunales, Cuerpos y Fuerzas de Seguridad se produce una comunicación de datos. En cambio, no son comunicaciones de datos su transmisión a las empresas para que, en nombre y previo contrato con el centro o la Administración educativa, presten servicios, por ejemplo, de comedor, médico o transporte.
La siguiente semana os hablaremos de los principios básicos que rigen el tratamiento de los datos por los centros escolares, y en que pueden ampararse para realizar dicho tratamiento de acorde al RGPD.
Equipo de PymeLegal.