Este decálogo está dedicado al profesorado y personal directivo y administrativo de las escuelas e institutos de Barcelona. Su objetivo principal es presentar claramente los requerimientos que el nuevo reglamento de protección de datos impone a las escuelas en cuanto al tratamiento de datos personales del alumnado, así como también proponer medidas y ejemplos específicos para ayudar a garantizar su cumplimiento. Estas propuestas están basadas en el estudio empírico Entorns Segurs (Entornos Seguros) desarrollado por Eticas, y que ha contado con el apoyo del Ayuntamiento de Barcelona.
Responsabilidad proactiva
Es necesario que la escuela tenga una actitud de Responsabilidad Proactiva en la protección de datos, es decir, una actitud consciente, diligente y sistemática ante todos los tratamientos de datos personales que realice. Se debe poder demostrar el cumplimiento ante los interesados y ante la Autoridad de Protección de Datos. Para conseguirlo, hay que seguir los siguientes pasos:
Haz un ejercicio de de autoanálisis (o pide ayuda) de todos los datos personales de los alumnos que recopila y trata el centro, poniendo énfasis en:
En el estudio “Entornos seguros” Eticas identificó diferentes tipos de sistemas de datos en las escuelas:
EdTech, es decir aquellas tecnologías dedicadas a la educación y la pedagogía como, por ejemplo, aplicaciones personalizadas o sistemas de gestión del aprendizaje.
Por ejemplo: Moodle, Google Apps for Education (Google aula, Google Docs)
DISPOSITIVOS PERSONALES de los alumnos, como los teléfonos inteligentes, ordenadores personales o tabletas.
Haz una valoración del riesgo que puede generar el tratamiento de estos datos teniendo en cuenta la implicación que puede tener en los menores a corto, medio y largo plazo.
Tras valorar el riesgo, las medidas concretas a aplicar deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y las libertades de las personas. Se debe poder demostrar el cumplimiento ante los interesados y ante la Autoridad de Protección de Datos.
Un ejemplo de estas medidas es la limitación o eliminación del uso de información personal (imágenes faciales de los estudiantes, nombres, etc.) en las redes sociales de la escuela como Instagram, Twitter o Facebook
Integra la privacidad en los sistemas de administración
El Reglamento introduce los conceptos de privacidad desde el diseño y privacidad por defecto. Esto implica que el responsable ha de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento mismo, medidas técnicas y organizativas adecuadas concebidas para aplicar de manera efectiva los principios de protección de datos (como por ejemplo la pseudo anonimización), e integrar las garantías necesarias en el tratamiento para cumplir los requerimientos del Reglamento.
Asimismo, el responsable debe aplicar las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se tratan los datos personales necesarios para cada finalidad específica del tratamiento.
Ejemplo: Cuando se diseña una aplicación para uso escolar, lo primero que hay que hacer es valorar cómo afecta a la privacidad de los alumnos y diseñarla con el máximo nivel de protección. Es decir, ya desde el diseño y por defecto es necesario que se garantice un nivel alto de protección de la privacidad para los alumnos.
La creación de un entorno seguro para los datos personales de los estudiantes abarca tanto los aspectos técnicos como aquellos relacionados con la administración de datos.
En términos del planificación administrativa, el proyecto Entornos Seguros encontró deficiencias significativas en la definición del período de retención de los datos por parte de los centros educativos y en términos de su correcta eliminación. Aunque la escuela está obligada a mantener algunos datos, a fin de ser capaces de comunicarse con los alumnos en el futuro, las mismas deberían eliminarse una vez no son necesarias. El Departament d’Ensenyament recomienda que han mantenerse siempre y cuando se utilicen para su propósito inicial, lo que significa que una vez que su función se ha llevado a cabo, los datos deben ser eliminados.
Ten especial rigor a la hora de recoger y tratar datos que revelen:
Se debe evaluar la proporcionalidad de recoger ciertos datos, como información biométrica de los alumnos, en relación al riesgo que supone para su seguridad dada su capacidad de singularizar a las personas. Por ejemplo, en caso de recoger huellas digitales, se debería analizar la necesidad funcional de estos identificadores personales y evaluar posibles alternativas que puedan alcanzar la misma operatividad.
Principio de finalidad
Los datos se deben recoger con finalidades determinadas, explícitas y legítimas y posteriormente no se deben tratar de manera incompatible con dichos fines. El tratamiento posterior de los datos personales con fines de archivo en interés público, con fines de investigación científica e histórica o con fines estadísticos no se considera incompatible con los fines iniciales.
En este sentido, la misma ley orgánica 2/2006, de 3 de mayo, de Educación (LOE) establece que la información que recojan las escuelas en ejercicio de su función educativa debe ser la estrictamente necesaria para la función docente y orientadora, y no se puede tratar con finalidades distintas de la educativa sin consentimiento expreso.
Uso / Propósito: Es importante conocer el propósito del procesamiento de la información para poder juzgar la legitimidad de los mismos y la proporcionalidad de las medidas adoptadas. La cuestión del propósito debe ponerse en relación con el Artículo 6 del RGPD. Como criterio fundamental debe tenerse en cuenta el uso estrictamente educativo de los datos a ser recogidos y utilizados.
Principio de minimización de los datos
Los datos deben ser adecuados, pertinentes y limitarse a lo que sea necesario en relación con los fines para los que se tratan. Hay que revisar con cuidado los datos que se pretenden recoger porque sólo se recojan aquellos que, de acuerdo con este principio, sean necesarios para alcanzar la finalidad perseguida.
Los datos deben ser exactos y, si fuera necesario, deben estar actualizados; la falta de actualización de los datos personales puede afectar la misma gestión académica o, incluso puede conllevar la revelación indebida de datos a terceras personas.
Para casos en que se necesite tratar los datos con fines distintos a la función docente y orientadora, como la publicación de fotografías en la web de la escuela, o la entrega de datos a casas de colonias, museos u otros establecimientos que se visiten, se necesita el consentimiento del titular de los datos, o de su representante en el caso de los menores. Esta manifestación de voluntad debe ser:
MENORES DE 14 AÑOS: Es necesario el consentimiento de los padres o tutores.
MAYORES DE 14 AÑOS: Podrán consentir por ellos mismos.
Teniendo en cuenta que la escuela utiliza cada vez más herramientas tecnológicas para recopilar, tratar y difundir datos, hay que tener cuidado de las condiciones de privacidad que ofrece cada una de ellas. Hay, pues, que proporcionar una hoja de consentimiento específico y completo para cada herramienta utilizada que trate datos de menores.
Las escuelas públicas, privadas y concertadas están obligadas a designar un delegado de protección de datos (DPD). Este podrá formar parte de la plantilla o bien actuar en el marco de un contrato. El delegado de protección de datos de una escuela también lo puede ser de otras escuelas, o bien diferentes escuelas pueden tener un mismo delegado para todas ellas.
Tiene, entre otras, las funciones de informar y asesorar el centro o el encargado y los trabajadores, supervisar el cumplimiento de la normativa o ser el interlocutor del centro escolar con la Autoridad de Protección de Datos. El DPD se nombrará teniendo en cuenta sus calificaciones profesionales y, en particular, su conocimiento de la legislación y la práctica de la protección de datos. Esto no significa que el DPD deba tener una titulación específica.
RECOMENDACIÓN: Define y actualiza la estrategia y los roles de responsabilidad de datos dentro de un Plan TAC, de centro, en el que se nombre un Coordinador TAC.
Implicación de terceros en el tratamiento de datos
Aparte de las tareas de recogida y tratamiento de datos dentro del contexto escolar, los centros pueden encargar a terceras personas o entidades un tratamiento de datos personales o una actividad que comporte el tratamiento de datos, tales como el servicio de comedor o las actividades extraescolares.
En este sentido, en el proyecto Entornos Seguros hemos encontrado inconvenientes para la privacidad del alumnado con la externalización / contratación de servicios. Es muy importante que las autoritarios escolares definan los requerimientos y los objetivos claros en los contratos que puedan acordar con terceras partes, como editoriales u otras empresas / asociaciones que estén trabajando para la escuela. Estas organizaciones, que actúan usualmente como procesadores de la información, deben tener competencias limitadas a la hora de administrar los datos personales del alumnado y establecerán medidas de seguridad para garantizar un uso seguro de estos datos. Se recomienda asimismo que las condiciones de estos servicios en lo que respecta a la administración de datos personales (tipo de datos a ser tratados y objetivos específicos) formen parte de las hojas de consentimiento a ser firmadas por los padres y madres del alumnado.
Es necesario que el responsable del tratamiento (la escuela) garantice que el encargado de un tratamiento implemente las medidas de protección necesarias.
Persona física o jurídica, autoridad pública, servicio u otro organismo que solo o con otros, determine los fines y medios del tratamiento. En escuelas públicas, el Departament d’Ensenyament será el que establecerá quién es el responsable del tratamiento. En escuelas privadas, la misma escuela es la responsable del tratamiento.
Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto de la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Por lo tanto, hay un deber de diligencia a la hora de escoger la persona encargada, que se gestiona a través de un contrato.
Consulta las directrices para la elaboración de contratos entre responsables y encargados del tratamiento elaboradas por la Agencia Española de Protección de Datos.
Ejercicio de práctica reflexiva
Antes de recoger y tratar datos, hay que hacer un ejercicio de práctica reflexiva y evaluar los riesgos que conlleva cada tratamiento para determinar si las medidas implementadas son correctas o hay que implementar otras nuevas. Pasos a seguir:
Si se produce una violación de la seguridad de los datos, el responsable del tratamiento debe notificar a la autoridad de control sin dilación indebida y, si es posible, en un plazo máximo de 72 horas. En caso de tener problemas con datos sensibles, las autoridades escolares deberían notificar también a los padres de los alumnos.
La escuela debe informar de los derechos que tienen los alumnos sobre sus datos personales, así como garantizar su ejercicio:
El interesado tiene derecho a saber si el responsable del tratamiento trata datos personales suyos y, si es así, tiene derecho a acceder y obtener dicha información.
El interesado tiene derecho a rectificar sus datos personales inexactos y que se completen sus datos personales incompletos.
Los interesados tienen derecho a obtener la supresión de los datos ( «derecho al olvido»), cuando los datos ya no son necesarios para la finalidad para la que se recogieron; se revoca el consentimiento en el que se basaba el tratamiento; el interesado se opone al tratamiento; los datos se han tratado ilícitamente, entre otros.
Los interesados pueden limitar la forma en que una organización utiliza sus datos. Esta es una alternativa a solicitar el borrado de sus datos. Las personas tienen derecho a restringir el procesamiento si tienen una razón particular para ello y si ese tratamiento no es esencial para la prestación del servicio o la actividad vinculada.
Para más información sobre los derechos de los ciudadanos, consulta la siguiente infografía de la Agencia Española de Protección de Datos
Sigue informándote
Elaborades per l’Agència Catalana de Protecció de Dades
Manuales, vídeos y guías especialmente para menores de la Agencia Española de Protección de Datos
Federación de Asociaciones de Madres y Padres de Alumn@s de Catalunya. Novedades sobre protección de datos y cómo afectan a las AFA
A menos que se indique lo contrario, el contenido de este sitio está bajo una licencia de Creative Commons Reconocimiento 4.0 Internacional.