Schools

The 10 things you need to know to adapt to the new gdpr data protection regulations

This decalogue is dedicated to the teaching staff and management and administrative staff of the schools and institutes of Barcelona. Its main objective is to clearly present the requirements that the new data protection regulations impose on schools with regard to the processing of students’ personal data, as well as to propose specific measures and examples to help guarantee their protection and compliance. These proposals are based on the empirical study Entorns Segurs (Safe Environments) developed by Eticas, and which has had the support of Barcelona City Council.

1. Crea una cultura de protección de datos

Responsabilidad proactiva

Es necesario que la escuela tenga una actitud de Responsabilidad Proactiva en la protección de datos, es decir, una actitud consciente, diligente y sistemática ante todos los tratamientos de datos personales que realice. Se debe poder demostrar el cumplimiento ante los interesados y ante la Autoridad de Protección de Datos. Para conseguirlo, hay que seguir los siguientes pasos:

Mapea los datos

Haz un ejercicio de de autoanálisis (o pide ayuda) de todos los datos personales de los alumnos que recopila y trata el centro, poniendo énfasis en:

  • Origen de los datos (padres, alumnos, Departamento o generadas por la escuela)
  • Gestiones u operaciones en que se utilizan los datos
  • Interesados (alumnos, padres, docentes, comunidad educativa)
  • Tipología (académicos, familiares, imagen, etc.).

En el estudio “Entornos seguros” Eticas identificó cuatro tipos de sistemas de datos en las escuelas:

  1. Las TECNOLOGÍAS ADMINISTRATIVAS, como por ejemplo el software para la gestión de datos o los servicios de correo electrónico administrados por los consejos escolares y la administración pública.
    Por ejemplo: Clickedu, Esemtia
  2. Las TECNOLOGÍAS FÍSICAS de monitorización, que son los sistemas utilizados para la seguridad y control en las escuelas, tales como sistemas de identificación biométrica o CCTV (circuito cerrado de televisión).
  3. Las EdTech, es decir aquellas tecnologías dedicadas a la educación y la pedagogía, como, por ejemplo, aplicaciones personalizadas o sistemas de gestión del aprendizaje.

    Por ejemplo: Moodle, Google Apps for Education (Google aula, Google Docs)

  4. Los DISPOSITIVOS PERSONALES de los alumnos, como los teléfonos inteligentes, ordenadores personales o tabletas.

  5. Las REDES SOCIALES: Twitter, Instagram, Facebook y YouTube para comunicar la actividad escolar, y aplicaciones de mensajería, particularmente WhatsApp

Valora el riesgo

Haz una valoración del riesgo que puede generar el tratamiento de estos datos teniendo en cuenta la implicación que puede tener en los menores a corto, medio y largo plazo.

  • ¿Qué pasaría si estos datos se filtraran?
  • ¿Pueden los datos que tenemos impactar negativamente en la vida de nuestros alumnos y alumnas en el futuro?
  • ¿Tenemos todos los contratos en regla en relación a la protección de datos?

Adopta las medidas pertinentes

Tras valorar el riesgo, las medidas concretas a aplicar deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y las libertades de las personas. Se debe poder demostrar el cumplimiento ante los interesados y ante la Autoridad de Protección de Datos.

Un ejemplo de estas medidas es la limitación o eliminación del uso de información personal (imágenes faciales de los estudiantes, nombres, etc.) en las redes sociales de la escuela como Instagram, Twitter o Facebook

 

2. Protege los datos desde el diseño

Integra la privacidad en los sistemas de administración

El Reglamento introduce los conceptos de privacidad desde el diseño y privacidad por defecto. Esto implica que el responsable ha de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento mismo, las medidas técnicas y organizativas adecuadas concebidas para aplicar de manera efectiva los principios de protección de datos (como por ejemplo la pseudo anonimización), e integrar las garantías necesarias en el tratamiento para cumplir los requerimientos del Reglamento.

Asimismo, el responsable debe aplicar las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se tratan los datos personales necesarios para cada finalidad específica del tratamiento.

Ejemplo: Cuando se diseña una aplicación para uso escolar, lo primero que hay que hacer es valorar cómo afecta a la privacidad de los alumnos y diseñarla con el máximo nivel de protección. Es decir, ya desde el diseño y por defecto es necesario que se garantice un nivel alto de protección de la privacidad para los alumnos.

 

La creación de un entorno seguro para los datos personales de los estudiantes abarca tanto los aspectos técnicos como aquellos relacionados con la administración de datos.

  • En términos técnicos es importante que asegures la restricción del acceso a los ordenadores y los dispositivos de la escuela mediante contraseñas robustas (y su actualización), como cerrando los ordenadores y otros dispositivos cada vez que se utilizan.
  • En términos del planificación administrativa, el proyecto Entornos Seguros encontró deficiencias significativas en la definición del período de retención de los datos por parte de los centros educativos y en términos de su correcta eliminación. Aunque la escuela está obligada a mantener algunos datos, a fin de ser capaces de comunicarse con los alumnos en el futuro, las mismas deberían eliminarse una vez no son necesarias. El Departament d’Ensenyament recomienda que han mantenerse siempre y cuando se utilicen para su propósito inicial, lo que significa que una vez que su función se ha llevado a cabo, los datos deben ser eliminados.

3. Vela por los datos sensibles

Ten especial rigor a la hora de recoger y tratar datos que revelen:

Origen étnico o racial

Opiniones políticas

Convicciones religiosas o filosóficas

Datos genéticos

Afiliación sindical

Vida o orientación sexual

Datos de salud

Datos biométricos

Se debe evaluar la proporcionalidad de recoger ciertos datos, como información biométrica de los alumnos, en relación al riesgo que supone para su seguridad dada su capacidad de singularizar a las personas. Por ejemplo, en caso de recoger huellas digitales, se debería analizar la necesidad funcional de estos identificadores personales y evaluar posibles alternativas que puedan alcanzar la misma operatividad.

4. Pregúntate para qué recopilamos los datos

Principio de finalidad

Los datos se deben recoger con finalidades determinadas, explícitas y legítimas y posteriormente no se deben tratar de manera incompatible con dichos fines. El tratamiento posterior de los datos personales con fines de archivo en interés público, con fines de investigación científica e histórica o con fines estadísticos no se considera incompatible con los fines iniciales.

En este sentido, la misma ley orgánica 2/2006, de 3 de mayo, de Educación (LOE) establece que la información que recojan las escuelas en ejercicio de su función educativa debe ser la estrictamente necesaria para la función docente y orientadora, y no se puede tratar con finalidades distintas de la educativa sin consentimiento expreso. 

Uso / Propósito: Es importante conocer el propósito del procesamiento de la información para poder juzgar la legitimidad de los mismos y la proporcionalidad de las medidas adoptadas. La cuestión del propósito debe ponerse en relación con el Artículo 6 del RGPD. Como criterio fundamental debe tenerse en cuenta el uso estrictamente educativo de los datos a ser recogidos y utilizados.

5. Recoge los datos mínimos y exactos

Principio de minimización de los datos

Los datos deben ser adecuados, pertinentes y deben limitarse a lo que sea necesario en relación con los fines para los que se tratan. Hay que revisar con cuidado los datos que se pretenden recoger porque sólo se recojan aquellos que, de acuerdo con este principio, sean necesarios para alcanzar la finalidad perseguida.

Los datos deben ser exactos y, si fuera necesario, deben estar actualizados; la falta de actualización de los datos personales puede afectar la misma gestión académica o, incluso puede conllevar la revelación indebida de datos a terceras personas.

6. Pide siempre consentimiento

Para casos en que se necesite tratar los datos con fines distintos a la función docente y orientadora, como la publicación de fotografías en la web de la escuela, o la entrega de datos a casas de colonias, museos u otros establecimientos que se visiten, se necesita el consentimiento del titular de los datos, o de su representante en el caso de los menores. Esta manifestación de voluntad debe ser:

  • Libre: la persona debe tener la posibilidad de rechazar libremente que se traten sus datos.
  • Específica: el consentimiento se refiere a tratamientos concretos y para una finalidad determinada, explícita y legítima del responsable del tratamiento, sin que se puedan hacer habilitaciones genéricas.
  • Informada: hay que informar a los interesados para que con antelación al tratamiento, puedan conocer la existencia y los fines.
  • Inequívoca: la solicitud y el otorgamiento del consentimiento deben producirse de forma clara.

MENORES DE 14 AÑOS: Es necesario el consentimiento de los padres o tutores 

MAYORES DE 14 AÑOS: Podrán consentir por ellos mismos

Teniendo en cuenta que la escuela utiliza cada vez más herramientas tecnológicas para recopilar, tratar y difundir datos, hay que tener cuidado de las condiciones de privacidad que ofrece cada una de ellas. Hay, pues, que proporcionar una hoja de consentimiento específico y completo para cada herramienta utilizada que trate datos de menores.

7. Nombra un delegado o delegada de protección de datos

Las escuelas públicas, privadas y concertadas están obligadas a designar un delegado de protección de datos (DPD). Este podrá formar parte de la plantilla o bien actuar en el marco de un contrato. El delegado de protección de datos de una escuela también lo puede ser de otras escuelas, o bien diferentes escuelas pueden tener un mismo delegado para todas ellas.

Tiene, entre otras, las funciones de informar y asesorar el centro o el encargado y los trabajadores, supervisar el cumplimiento de la normativa o ser el interlocutor del centro escolar con la Autoridad de Protección de Datos. El DPD se nombrará teniendo en cuenta sus calificaciones profesionales y, en particular, su conocimiento de la legislación y la práctica de la protección de datos. Esto no significa que el DPD deba tener una titulación específica.

  • RECOMENDACIÓN: Define y actualiza la estrategia y los roles de responsabilidad de datos dentro de un Plan TAC de centro, en el que se nombre un Coordinador TAC.

 

8. Comparte responsabilidades

Implicación de terceros en el tratamiento de datos

Aparte de las tareas de recogida y tratamiento de datos dentro del contexto escolar, los centros pueden encargar a terceras personas o entidades un tratamiento de datos personales o una actividad que comporte el tratamiento de datos, tales como el servicio de comedor o las actividades extraescolares.

En este sentido, en el proyecto Entornos Seguros hemos encontrado inconvenientes para la privacidad del alumnado con la externalización / contratación de servicios. Es muy importante que las autoritarios escolares definan los requerimientos y los objetivos claros en los contratos que puedan acordar con terceras partes, como editoriales u otras empresas / asociaciones que estén trabajando para la escuela. Estas organizaciones, que actúan usualmente como procesadores de la información, deben tener competencias limitadas a la hora de administrar los datos personales del alumnado y establecerán medidas de seguridad para garantizar un uso seguro de estos datos. Se recomienda asimismo que las condiciones de estos servicios en lo que respecta a la administración de datos personales (tipo de datos a ser tratados y objetivos específicos) formen parte de las hojas de consentimiento a ser firmadas por los padres y madres del alumnado.

Es necesario que el responsable del tratamiento (la escuela) garantice que el encargado de un tratamiento implemente las medidas de protección necesarias.

Responsable del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que solo o con otros, determine los fines y medios del tratamiento. En escuelas públicas, el Departament d’Ensenyament será el que establecerá quién es el responsable del tratamiento. En escuelas privadas, la misma escuela es la responsable del tratamiento.

Encargado del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto de la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Por lo tanto, hay un deber de diligencia a la hora de escoger la persona encargada, que se gestiona a través de un contrato.


Consulta las directrices para la elaboración de contratos entre responsables y encargados del tratamiento elaboradas por la Agencia Española de Protección de Datos.

9. Analiza los riesgos antes de recoger datos

Ejercicio de práctica reflexiva

Antes de recoger y tratar datos, hay que hacer un ejercicio de práctica reflexiva y evaluar los riesgos que conlleva cada tratamiento para determinar si las medidas implementadas son correctas o hay que implementar otras nuevas. Pasos a seguir:

  • Identificar las amenazas (por ejemplo, acceso no autorizado a los datos personales)
  • Valorar cuál es la probabilidad de que se produzca el riesgo
  • Valorar el impacto que tendría en las personas afectadas

Si se produce una violación de la seguridad de los datos, el responsable del tratamiento debe notificar a la autoridad de control sin dilación indebida y, si es posible, en un plazo máximo de 72 horas. En caso de tener problemas con datos sensibles, las autoridades escolares deberían notificar también a los padres de los alumnos.

10. Garantiza los derechos de los alumnos

La escuela debe informar de los derechos que tienen los alumnos sobre sus datos personales, así como garantizar su ejercicio:

Derecho de Acceso

El interesado tiene derecho a saber si el responsable del tratamiento trata datos personales suyos y, si es así, tiene derecho a acceder y obtener dicha información.

Derecho de Rectificación

El interesado tiene derecho a rectificar sus datos personales inexactos y que se completen sus datos personales incompletos

Derecho de Supresión o Derecho al Olvido

Los interesados tienen derecho a obtener la supresión de los datos ( «derecho al olvido»), cuando los datos ya no son necesarios para la finalidad para la que se recogieron; se revoca el consentimiento en el que se basaba el tratamiento; el interesado se opone al tratamiento; los datos se han tratado ilícitamente, entre otros.

Derecho a la Limitación del Tratamiento

Los interesados tienen derecho a obtener la supresión de los datos ( «derecho al olvido»), cuando los datos ya no son necesarios para la finalidad para la que se recogieron; se revoca el consentimiento en el que se basaba el tratamiento; el interesado se opone al tratamiento; los datos se han tratado ilícitamente, entre otros.

Para más información sobre los derechos de los ciudadanos, consulta la siguiente infografía de la Agencia Española de Protección de Datos

Lecturas de interés

Sigue informándote

Elaborada por la Agencia Española de Protección de Datos

Elaborades per l’Agència Catalana de Protecció de Dades

Manuales, vídeos y guías especialmente para menores de la Agencia Española de Protección de Datos

Federación de Asociaciones de Madres y Padres de Alumn@s de Catalunya. Novedades sobre protección de datos y cómo afectan a las AFA