p general y caracterÍsticas comunes del sector · de las autorizaciones, así como de sus...

1.

Capítulo 10

El DPD en el sector educativo

Víctor ROSELLÓ MALLOLAbogado

CIPP / E y Certificado IRM en Gestión de Riesgos Digitales

PARTE GENERAL Y CARACTERÍSTICAS COMUNES DEL SECTOR

El sector educativo, es sin ninguna duda, y desde mucho antes de la publicación delRGPD y la LOPDGDD, uno de los que implican un mayor riesgo en relación al tra-tamiento de datos de carácter personal y esto debido a una serie de motivos como losque enumeramos a continuación:

- Tratamiento de datos de menores de edad: a pesar que la ya derogada Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no hacíamención expresa al tratamiento de datos personales de menores; si lo hizo su reglamentode desarrollo (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba elReglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de pro-tección de datos de carácter personal). En su artículo 13, recogió la doctrina amplia-mente mayoritaria en ese momento de la AEPD, estableciendo que el consentimientopara el tratamiento de datos personales era únicamente válido si la persona afectada eramayor de 14 años y que en casos que fuera menor de esa edad, se requería el consen-timiento de los «padres o tutores».

El espíritu de esta regulación, ha sido recogido tanto por el vigente art 8.1 del RGPDcomo en el art. 7 de la LOPDGDD. En ambos casos, la regulación sigue el principiobásico de la necesidad del consentimiento del titular de la patria potestad o la tutela parael tratamiento de los datos del menor, con la diferencia que el RGPD fijó la edad a los16 años y la ley orgánica española, utilizando una de las prerrogativas del RGPD, larebajó a los 14, dejando el límite de edad como estaba antes de la aprobación del RGPD.

El tratamiento de datos personales de menores de 14 años, es obviamente uno delos factores propios del sector educativo, con el añadido que habitualmente dentro del

1. Resolución de la Autoridad sueca de Protección de datos, de 20 de agosto de 2019: se imponeuna sanción de 18.630 € a un Centro público por utilizar, en fase de pruebas, un sistema de reconocimiento

ciclo de escolarización, los alumnos suelen cumplir esta edad en el mismo centro edu-cativo, con las dificultades prácticas que esto supone.

Capítulo aparte, merece el uso de imágenes de menores de 14 años (y también demayores), para la promoción de las actividades del Centro: perfiles sociales, publicacio-nes en soporte digital o papel, web, blog, son solo alguna de los espacios que los Centrosutilizan para difundir sus actividades a terceros, con acceso a las imágenes, en muchoscasos, fuera de la comunidad educativa. El grado de sensibilización en relación al usode las imágenes, ha ido en aumento con el paso del tiempo, por lo que la correcta gestiónde las autorizaciones, así como de sus revocaciones, es una cuestión esencial para elCentro y en consecuencia para su DPD.

- Riesgos asociados a una franja de edad con uso masivo de Internet y las redes sociales: anadie se le escapa que el uso de Internet y las redes sociales, es ampliamente mayoritarioentre los alumnos de los Centros educativos. Con todas las ventajas y virtudes de estosmedios, así como por ejemplo del uso de dispositivos electrónicos constantementeconectados, no es menos cierto que debe atenderse a los riesgos intrínsecos de los mis-mos. Graves fenómenos como el ciberacoso, no resultarían posibles, o al menos no seríantan dañinos, sin el amplio uso de las redes sociales por parte de las personas, y los menoresen particular. Este es pues un nuevo reto para los Centros educativos y para sus DPD,lidiando con esta problemática y haciéndolo, en todo caso, respetando el derecho a laprotección de datos de las personas implicadas (alumnos, personal del Centro, familias,etc…).

- Tratamiento de categorías especiales de datos: la recopilación de datos de salud de losalumnos es práctica habitual en los Centros educativos: desde el tratamiento de datoscomo las alergias o intolerancias alimentarias, necesarias para prestación de ciertos ser-vicios (como el comedor), hasta la elaboración de pruebas e informes psicopedagógicos,como el tratamiento de datos de alumnos con necesidades educativas especiales, losCentros educativos tratan datos de salud de los alumnos en todo el ciclo formativo. Enocasiones además, estos datos pueden ser compartidos con terceros, desde administra-ciones públicas a empresas o profesionales prestadores de servicios al Centro. En estacategoría de datos especialmente protegidos, no debemos obviar que en ocasiones losCentros educativos tratan datos relacionados con la confesión religiosa de los alumnos.

A estos tratamientos de datos especialmente sensibles más «habituales» o «tradicio-nales» en el sector, últimamente está siendo habitual en los Centros educativos la imple-mentación de sistemas de lectura de datos biométricos para control de personas, condistintas finalidades: acceso a zonas restringidas, control de asistencia al Centro o a ser-vicios como el de comedor para posterior emisión de recibos; resulta necesario recordaren este sentido que el art. 9.1 del RGPD incluye a los datos biométricos, entre otroscomo las ya citados, en las categorías especiales de datos y algunas Autoridades de Pro-tección de Datos europeas ya han sancionado1 a Centros educativos por el uso de estastecnologías de manera no acorde al RGPD.

242 Víctor ROSELLÓ MALLOL

facial para el control de asistencia. Los tutores legales habían dado su consentimiento pero la autoridadconsidera que éste no es libre al haber una relación de dependencia entre el Centro educativo y los alumnos.Así mismo el Centro no realizó al Evaluación de Impacto (art. 35 RGPD) ni la consulta previa a la Autoridad(art. 36.1 RGPD).

En este sentido destacar también la Decisión de la Oficina de Protección de Datos polaca, de 18 defebrero de 2020, en la que sancionó con 4600 € a un Centro educativo por la implementación de un sistemade biométrico para el control de asistencia al comedor para la posterior emisión de recibos. A pesar que lasfamilias habían autorizado su uso de manera expresa, la Autoridad de Protección de Datos consideró queel Centro disponía de medios menos intrusivos para conseguir el mismo fin.

1)

2)

- Multitud de plataformas para el tratamiento de datos personales: en el proceso de infor-matización, los Centros educativos cada vez utilizan más plataformas para su gestiónadministrativa y académica: desde las plataformas facilitadas por las consejerías de edu-cación de las Comunidades Autónomas, para el proceso de inscripción, hasta plataformasde empresas privadas para la calificación de los alumnos, informar de faltas de asistencia,gestión de recibos, acceso a entornos virtuales de aprendizaje, etc…; asimismo y cadavez con más frecuencia, los Centros educativos utilizan plataformas de terceros para elarchivo y compartir información entre profesores, para disponer de cuentas de correocorporativas o para gestionar actividades lectivas. Si esto no fuera suficiente, en ocasioneslos profesores pueden utilizar programas o aplicaciones, lejos del conocimiento delequipo directivo lo que dificulta la tarea de cumplir con la normativa así como que elo la DPD desarrolle sus funciones de manera correcta y adecuada. En ocasiones además,el uso de aplicaciones de mensajería instantánea (como WhatsApp o similares) es amplia-mente utilizado sin conocimiento de la dirección del Centro ni consentimiento expresode las personas afectadas, sirviendo para que los profesores se comuniquen con familiasde manera habitual o, en el mejor de los casos, en ocasión de actividades organizadaspor el Centro (por ejemplo excursiones, viajes, etc…).

Por los motivos anteriores, nos encontramos pues ante un sector especialmentesensible en materia de protección de datos. Esto tiene su plasmación en dos aspectosesenciales recogidos por el LOPDGDD y por actos propios de la AEPD en su cumpli-miento:

El art. 34.1.b) del LOPDGDD, identifica a los Centros docentes, entre aquellasentidades obligadas al nombramiento de un o una DPD.En cumplimiento de lo establecido con el art. 35.4 del RGPD, la AEPD incluyóen los tratamientos sujetos a la realización de una Evaluación de Impacto, aque-llas actividades que implicaban el tratamiento de datos de menores de 14 años(criterio 9), siempre que dicho tratamiento fuera realizado además, junto conalguno de los otros publicados por la AEPD en su listado.

El rol del o la DPD en el sector educativo es en definitiva, de suma importancia ymáxima responsabilidad al encontrarnos, ante uno de los sectores con más riesgo intrín-seco, que a la vez ha quedado plasmado en la normativa vigente de protección de datospersonales. En este sentido resulta clave para entender las obligaciones de los Centroseducativos para el cumplimiento de la normativa de protección de datos vigente; la Guíapara el sector educativo publicada por la AEPD. Para concluir este apartado introduc-

243El DPD en el sector educativo

2.

2.1.

a)

-

torio cabe señalar que en la gran mayoría de ocasiones y atendiendo a las característicasde los Centros educativos, el o la DPD suele prestar sus servicios de manera externa almismo, lo que atendiendo a los riesgos intrínsecos enumerados, recomienda que ésteesté muy pendiente del día a día de los Centros, pues sus realidades son cambiantes ydinámicas.

LA SUPERVISIÓN DEL CUMPLIMIENTO NORMATIVO

El papel del DPD en el Registro de Actividades de Tratamiento

Metodología

El registro de las actividades del tratamiento, obligación establecida por el 30 delRGPD, debe establecerse en base a las finalidades, bases legitimadores o grupos de afec-tados de los distintos tratamientos de datos realizados por los Centros educativos. Resultaimportante resaltar que el responsable del tratamiento, si se trata de Centros educativosprivados o concertados, será el propio Centro y en caso de Centros de titularidadpública, tendrá la figura de responsable del tratamiento la Consejería de Educación dela Comunidad Autónoma que corresponda. En el caso de Centros públicos de Ceuta oMelilla, el responsable del tratamiento será el Ministerio de Educación, al ostentar lascompetencias de educación en dichos territorios.

Para el correcto cumplimiento de la obligación de elaborar y mantener un registrode actividades del tratamiento resulta imprescindible en primer lugar identificar los datospersonales objeto de tratamiento por parte del Centro educativo. A continuación, y aefectos del necesario análisis de riesgos, resulta necesario definir el proceso o ciclo devida de los datos, identificando para cada tratamiento los cinco momentos o instantessiguientes: recogida de los datos, almacenamiento o archivo, uso o tratamiento, cesióna terceros y destrucción.

En este caso y en virtud de este método, a continuación se recogen las actividadesdel tratamiento más habituales en el sector.

a) Alumnos: se considera tratamiento de datos de alumnos, todas las operacionesconsistentes en la recopilación y uso de esos datos. En el caso de los alumnos, sus datosson recopilados durante el proceso de preinscripción (a veces incluso antes en las jornadasde puertas abiertas) y una vez obtenida la plaza, sus datos personales son tratados en elmarco de las actividades docentes y orientadoras propias del Centro. La finalidad prin-cipal del tratamiento no es otra que la del cumplimiento de las funciones docentes yorientadoras del Centro, pero no es la única. En este sentido cabe subrayar que porejemplo, el tratamiento de los datos de imagen de los alumnos, en ocasiones no esnecesario para el cumplimiento de esos fines, por lo que, como se verá luego, debebuscarse una base legitimadora distinta, alejada de aquellos tratamientos necesarios paracumplir las obligaciones propias de los Centros educativos.

La categoría de datos personales de alumnos tratados, es variada y completa puespuede incluirse la siguiente información:

Nombre y apellidos.


------

Dirección postal y electrónica.Teléfono.Imagen.Calificaciones.Datos familiares.Datos especialmente sensibles.

En relación a las categorías de destinatarios de los datos personales de alumnos, debenanalizarse caso por caso, pero con carácter general debemos identificar por su impor-tancia y habitualidad, al menos, los siguientes supuestos: (1) Administraciones públicascompetentes (2) Fuerzas y cuerpos de seguridad y (3) Juzgados y Tribunales.

A veces, las cesiones de datos pueden también darse en el mismo seno familiar, nosreferimos a los supuestos en que los progenitores del alumno o alumna estén separadosy soliciten información del mismo al Centre educativo. Ante este supuesto cuando losdatos del menor a los que se pide el acceso, están directamente relacionadas con laeducación y formación del menor, esta petición hay que entenderla como una facultadinherente a los derechos y deberes de los padres establecidos en el Art. 154 del CódigoCivil (patria potestad), en estos casos será posible la cesión a cualquiera de los progeni-tores mientras ejerzan la patria potestad, no pudiendo en este caso denegarse el accesoa la información por el hecho que exista separación en tanto no se haya adjudicado,mediante una sentencia judicial, la patria potestad en exclusiva a uno de los progenitores.Esta cesión de datos está amparada por lo tanto, en el Art. 6.1 c) del RGPD, ya queexiste una norma con rango de Ley que habilita la cesión o comunicación de datos decarácter personal.

En el supuesto de que los datos solicitados por uno de los progenitores, sin el cono-cimiento ni autorización del otro, vayan más allá de la información que este necesitasaber para cumplir su deber de velar por la educación de su hijo o hija, nos encontra-ríamos ante una cesión de datos, siendo pues necesario el consentimiento del otro y encaso de negativa o de que el conflicto persista, la petición a acceder a estos datos tendríaque pedirla un juez.

En el supuesto que el acceso a datos lo pidiera un familiar que no ostente la patriapotestad, cualquier comunicación de datos al mismo, debería considerarse como unacesión de datos.

b) Familias: el tratamiento de datos personales de los familiares del alumno, es obvia-mente común y necesario para la prestación de los servicios que realizan los Centroseducativos; además de los datos básicos de contacto de las familias (nombre, dirección,datos de contactos, etc.) y aquellos necesarios para la gestión económica y administrativa(datos bancarios), también pueden tratarse datos relacionados con el nivel de renta o dediscapacidad a efectos de realizar el proceso de baremación. Este proceso a su vez, puedeimplicar la comunicación con los sistemas informáticos de administraciones públicascompetentes (por ejemplo Hacienda) a efectos de comprobar la situación económica delos familiares, lo que debe considerarse como una cesión de datos a incluir también eneste registro de actividades del tratamiento.


b)

c) Exalumnos: una vez concluido el ciclo educativo, los Centros educativos suelenarchivar los datos académicos de los exalumnos debiendo eliminar cualquier otro datopersonal que no responda a una finalidad meramente académica (por ejemplo sentenciasde divorcio, informes psicopedagógicos, etc.). Además en ocasiones los Centros edu-cativos ofrecen a sus exalumnos otro tipo de servicios como puede ser la participaciónen Asociaciones de Antiguos Alumnos o Bolsas de trabajo. Con independencia de labase legitimadora para estos tratamientos que veremos después, si estas situaciones seproducen, debemos analizar con atención si estos casos pueden implicar la participaciónde una categoría de destinatarios adicional a las ya contempladas.

d) Puertas abiertas: este suele ser el primer punto de contacto entre las familias y losCentros educativos y donde se inicia el tratamiento de datos por parte de éstos. En lasjornadas de puertas abiertas, los Centros suelen solicitar a las familias los datos básicosde éstas y del alumno o alumna (nombre, teléfono, dirección…) con el fin de controlarquien asiste y, en ocasiones para contactar con ellas en el caso que haya plazas disponiblesy no cubiertas. Debe analizarse pues bien qué uso pretende hacerse de estos datos paraque en los formularios de recogida de datos queden correctamente identificados.

e) Trabajadores: para la realización del registro de actividades del tratamiento de lostrabajadores de los Centros educativos, debemos considerar las pautas básicas para cual-quier relación de tipo laboral. Además de los datos identificativos del trabajador o tra-bajadora, el Centro trata sus datos económicos así como datos especialmente sensibles(salud o eventualmente datos biométricos en caso que el Centro utilice este tipo detecnologías).

f) Candidatos: la recepción de currículums, por distintos medios, es muy habitualpráctica habitual en los Centros educativos; debemos por tanto incluir y elaborar unregistro de actividades del tratamiento que recoja este tratamiento de datos.

g) Video vigilancia: cada vez más habitualmente los Centros educativos optan por lainstalación de cámaras de videoviligancia con distintas finalidades. Con independenciade la base legitimadora, cuestión esencial que trataremos posteriormente, en el caso deinstalación de estos sistemas, el Centro debe elaborar y mantener actualizado un registrode actividades del tratamiento. En esencia la categoría de datos tratada en este caso, esla imagen y pueden ser destinatarios de los mismos, las empresas de seguridad privada olas fuerzas y cuerpos de seguridad.

La definición de las bases de legitimación

Datos de alumnos y familias:En relación al digamos, principal tratamiento de datos personales llevado a cabo por

los Centros educativos, es decir los datos de alumnos y también de sus familias, es nece-sario indicar que la base legitimadora del tratamiento se encuentra recogida en la Dis-posición adicional vigesimotercera de la Ley Orgánica 2/2006, de 3 de mayo, de Edu-cación:


«1. Los centros docentes podrán recabar los datos personales de su alumnado que sean necesariospara el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente

-

-

-

Esta relevante disposición tiene una importancia nuclear para definir la base legiti-madora del tratamiento de datos de alumnos. En la misma se establecen tres principiosbásicos:

El tipo de datos que los Centros educativos podrán recabar para cumplir consus funciones educativas y orientadoras. Entre estos datos se recoge una habili-tación legal para el tratamiento de datos personales tan sensibles como el origeny ambiente familiar, sus características personales y cualquier otro para atendery cumplir esas funciones básicas. Esta amplia habilitación legal, debe ejercersehaciéndola compatible con el principio de proporcionalidad y limitación deltratamiento, que analizaremos más adelante.El deber de colaboración de los padres y tutores en la recopilación de dichosdatos.Que la inscripción de un alumno o alumna a un Centro, implica el consenti-miento de sus padres o tutores para la recopilación y tratamiento de dichos datos.

En definitiva pues el tratamiento de datos personales de alumnos, siempre que quedeamparado en lo dispuesto en la DA 23ª de la LOE, tiene su base legitimadora en elcumplimiento de una «obligación legal aplicable al responsable del tratamiento» (art.6.1.c) RGPD).

Además del cumplimiento de la obligación legal comentada, el tratamiento de losdatos de los alumnos por parte de un Centro educativo, también puede ser necesariopara el desarrollo y ejecución de una relación jurídica entre el responsable y el afectado(art. 6.1. b) del RGPD); esto es así ya que efectivamente existe esta relación jurídica (laprestación del servicio docente) y el tratamiento de los datos de los afectados (alumnosy familiares también), es necesario para su cumplimiento.

Por último cabe también señalar que la Guía para Centros Educativos antes referida,identifica como base legitimadora del tratamiento el interés legítimo (art. 6.1. f) delRGPD), sin poner ejemplos concretos pero «siempre que dicho interés no prevalezca sobrelos derechos y libertades de los afectados, en particular cuando éstos sean niños». En este sentidoresulta necesario recordar que en la Opinión 6/2014 del Grupo de trabajo del art. 29,sobre el concepto de interés legítimo, y en relación a la necesidad de realización del«test de equilibrio» cuando pretende basarse el tratamiento de datos en el interés legítimo,es necesario tomar en consideración las características del interesado o afectado; la citadaOpinión apunta en este sentido, que los menores deben ser incluidos entre los colectivos


familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización,así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientaciónde los alumnos.

2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de la informacióna la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá elconsentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centroen el que hubiera estado escolarizado con anterioridad, en los términos establecidos en la legislación sobreprotección de datos. En todo caso, la información a la que se refiere este apartado será la estrictamentenecesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativosin consentimiento expreso».

más vulnerables, haciendo por tanto difícil que el tratamiento de sus datos, a la práctica,pueda basarse en el interés legítimo del responsable del tratamiento, esto es el Centroeducativo.

A pesar de la amplia habilitación legal comentada contenida en la Ley Orgánica deEducación vigente, el tratamiento de datos personales de alumnos y sus familias porparte de los Centros educativos, suele superar, de forma muy habitual estos límites. Asíes en los supuestos de tratamiento de imágenes de los alumnos para la promoción de lasactividades del Centro, en distintos medios o soportes (redes sociales, publicaciones,web, blog…). Esta explotación de la imagen de los menores (mayores de edad en casode las familias), no resulta necesaria para el cumplimiento de las funciones docentes yorientadoras del Centro por lo que no puede encontrar su base legitimadora en el cum-plimiento de una obligación legal por parte del responsable del tratamiento. En este casopues, y atendiendo lo establecido en el art. 2.2 de la Ley Orgánica 1/1982, de 5 demayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a lapropia imagen, será necesario el consentimiento expreso para el tratamiento y uso de laimagen de los alumnos y sus familias para los fines anunciados. Así la base legitimadorapara el tratamiento de la imagen del alumno o las familias para fines distintos a los edu-cativos y de orientación, será el consentimiento de los titulares de la patria potestad delalumno (si este es menor de 14 años) o del propio alumno o alumna (en caso que tenga14 años o más).

Datos de exalumnos:Tal y como hemos indicado anteriormente el tratamiento de datos de exalumnos

puede responder a una doble finalidad: en primer lugar, siendo esta la práctica habitual,a la conservación de los datos de los expedientes académicos y en segundo lugar, yocasionalmente, los Centros pueden ofrecer a sus antiguos alumnos opciones comoparticipar en Asociaciones de antiguos alumnos o en bolsas de trabajo.

Atendiendo a los criterios establecidos por la AEPD, los datos del expediente aca-démico, deben ser conservados, ya que pueden ser solicitados por los alumnos conposterioridad a la finalización de sus estudios. En consecuencia la base legitimadora parael tratamiento de datos de exalumnos con este fin, debe encontrarse en el cumplimientode una relación contractual entre el afectado o afectada y el Centro educativo.

Por el contrario si el tratamiento de datos de exalumnos va más allá de la meraconservación de su expediente académico (Asociaciones de Antiguos Alumnos, Bolsasde trabajo o incluso informarle de futuras actividades del Centro), la base legitimadoradel tratamiento no puede ser otra que el consentimiento de los afectados, que como nopuede ser de otra manera, debe ser expreso y explícito para la finalidad descrita.

Datos de participantes en jornadas de puertas abiertas:El tratamiento de los datos personales de los participantes en estas jornadas, habituales

en todos los Centros, puede ser doble: controlar quién asiste y contactar con la familiascon posterioridad a las jornadas de puertas abiertas para confirmar su interés o no en elCentro (en ocasiones también los Centros conservan los datos para contactar a las familiasque no han mostrado interés en un curso, para contactar con ellas en futuras convoca-torias). La base legitimadora del tratamiento cuando el uso de los datos se limita a con-


2.2.

trolar quien accede a las sesiones, no es otro que el cumplimiento de una relación con-tractual (o precontractual) entre el afectado o afectada y el Centro. En el caso que eluso de los datos sin embargo, vaya más allá de dicha finalidad, en la línea de lo comen-tado, deberá contarse con el consentimiento expreso y explícito de las familias, cam-biando por tanto, la base legitimadora del tratamiento.

Datos de trabajadores:Con carácter general la base legitimadora del tratamiento de datos de trabajadores

(personal docente y no docente), es el cumplimiento de una obligación contractual alamparo de la normativa laboral vigente. Además debe analizarse si en el marco de laprestación de servicios, el Centro puede tratar por ejemplo imágenes de los trabajadorespara su publicación en distintos formatos y espacios para la promoción de las actividadesdel Centro. En este caso y siendo que el tratamiento de los datos con este fin, no esnecesario para el cumplimiento de la relación laboral, la base legitimadora sería el con-sentimiento.

Datos de candidatos:Los Centros educativos reciben de manera constante y por distintos medios, currí-

culms de candidatos para ocupar posibles vacantes. En raras ocasiones esta recepción esconsecuencia de una acción proactiva de búsqueda por parte del Centro de manera queson los candidatos que envían su currículum con sus datos personales, de manera espon-tánea sin una solicitud previa del Centro. Como decimos los canales de entrada sonmúltiples: correo electrónico general o específico del Centro, entrega en mano, cartapostal (cada vez menos). En cualquier caso la base legitimadora para el tratamiento delos datos debe hallarse en el cumplimiento de una relación precontractual de la que elinteresado es parte, pues en caso de contratación, este sería un paso previo a su contra-tación laboral.

Videovigilancia:Por último, como se ha dicho, el incremento de sistemas de videovigilancia en los

Centros educativos es una realidad que va en aumento en los últimos años. Con inde-pendencia del debido cumplimiento de los deberos propios del RGPD, analizadosluego, la base legitimadora del tratamiento es el interés legítimo de los Centros a efectosde mantener la seguridad e integridad de personas y las instalaciones.

El rol del DPD en las evaluaciones de riesgo: de la identificación a lamonitorización

El o la DPD tiene un papel esencial en las fases de análisis de riesgo y de las eva-luaciones de impacto, en los Centros educativos. De acuerdo a los criterios de la AEPD,cualquier procedimiento de análisis de riesgos, se divide en tres fases: la identificación,la evaluación y el tratamiento del riesgo. Veamos el papel del o de la DPD en cada unade estas fases o etapas:

- Identificación del riesgo: la fórmula más habitual para identificar los riesgos en unCentro educativo consiste en la realización de entrevistas individuales a personal dediferente rango y responsabilidades a efectos de conocer, en esencia, qué datos se tratan,


con qué finalidades y con quién los comparten. Estas entrevistas deberían incluir almenos: personal de administración del Centro, personal docente (a nivel de jefes deestudios), personal de orientación y el o la responsable TIC. Es importante destacar quea pesar que el tipo de datos tratados y las finalidades para lo que se tratan, suelen sercomunes, debemos utilizar las entrevistas previas, para precisamente identificar aquellassituaciones que sean particulares de un Centro educativo determinado y que lo hagandistinto, respecto a cualquier otro.

En este punto resulta también necesario identificar aquellas amenazas que puedenponer en riesgo los datos personales tratados por los Centros educativos. Estas amenazasno suelen distar mucho de las propias de cualquier empresa u organización, con la par-ticularidad que en este caso los titulares de los datos suelen ser menores, lo que tieneconsecuencias agravadas si esa amenaza se materializa. Entre las amenazas más comunesen los Centros educativos podemos citar a modo de ejemplo: uso de dispositivos per-sonales de profesores con fines profesionales (BYOD) fuera del control del responsable;uso de aplicaciones o herramientas informáticas por parte de profesores sin el conoci-miento del Centro o en general utilización de medios de tratamiento de datos, noautorizados o lejos del conocimiento del Centro. En el marco de las entrevistas previas,deben ser identificados y documentados todos estos riesgos y amenazas.

- Evaluación del riesgo: en esta fase es necesario determinar la probabilidad que laamenaza identificada se materialice y además, el impacto que tendría en el afectado oafectada, dicha materialización. Huelga decir en este punto que al tratarse en muchasocasiones, de datos de menores, dicho impacto, intrínsecamente, es superior que si dedatos de mayores de edad se tratara, aun tratándose del mismo tipo de informaciónpersonal. La exposición de datos de menores puede tener un impacto superior en sudesarrollo personal justamente por qué la persona se encuentra en la fase inicial de dichodesarrollo y las consecuencias que puede tener para el mismo, pueden arrastrarse duranteuna larga etapa de su vida.

- Tratar el riesgo: en este punto, y siguiendo la terminología inglesa, al riesgo iden-tificado se lo trata aplicando alguna de las cuatro «Ts»: Tolerándolo, Tratándolo, Trans-firiéndolo o Eliminándolo (Terminate). De nuevo en esta fase resultará esencial contarcon el respaldo del equipo directivo del Centro educativo, sobre todo en aquellos riesgosque por su naturaleza e impacto, deban ser eliminados. Esto puede implicar a la prácticadecidir finalizar con ciertos tratamientos de datos o a tecnologías o herramientas imple-mentadas para llevar a cabo dichos tratamientos.

Todas las comprobaciones y conclusiones del análisis de riesgo, deben ser docu-mentadas de manera suficiente, danto traslado de las mismas al equipo directivo delCentro educativo, al que se le deberá informar también de las conclusiones principalesdel mismo subrayando aquellos riesgos y amenazas que se consideren más significativosy que requieran un actuación inmediata. Por último deben establecerse controles paraidentificar nuevos riesgos o por si los ya identificados pudieran verse modificados poralguna circunstancia. En este sentido resulta recomendable establecer calendarios dereuniones periódicas con las personas inicialmente entrevistadas a efectos de identificarcualquier cambio.


--

2.3.

a)

Realizado el Análisis de riesgo, necesario en cualquier caso, en ocasiones puede sernecesario elaborar una Evaluación de Impacto para tratamientos que supongan un riesgopara los derechos y las libertades de las personas. En este sentido y en el sector educativo,no suele darse ninguno de los criterios del art. 35.3 que exigen una Evaluación deimpacto, estos son:

«a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamientoautomatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectosjurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o delos datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público».

Mención aparte, sin embargo merece el listado de tratamientos sujetos a una Eva-luación de Impacto publicada por la AEPD, en septiembre de 2019, donde según sujuicio, ésta será necesaria, si en un tratamiento se cumplen dos o más de los criterios queenumera. En este sentido y en el ámbito de los Centros educativos hay uno de esoscriterios que con toda seguridad cumplirán los tratamientos que lleve o que pretendallevar a cabo el Centro educativo: el tratamiento de datos personales de menores de 14años (criterio 9). A este podrían añadirse otros tratamientos que podrían implicar larealización de una Evaluación de impacto:

Criterio 4: tratamiento de categorías especiales de datos.Criterio 5: tratamiento de datos biométricos para identificar de manera única auna persona.

En estos supuestos será recomendable proceder con la Evaluación de impactosiguiendo las pautas publicadas por la AEPD y determinando entre otras cosas, la nece-sidad y proporcionalidad de la medida. En este sentido y para concluir, si el objetivoque pretende alcanzarse con el tratamiento de datos, puede ser colmado con una medidamenos intrusiva, la Evaluación de impacto debería ser no favorable, siendo necesarioincluir medidas de control que permitan reducir el riesgo hasta un nivel aceptable y siesto no fuera posible, sería necesario al final proceder con la consulta a la AEPD, previstoen el artículo 36 del RGPD.

Riesgos y gestión de los destinatarios

Peculiaridades en los contratos con encargados propias del sector

La fuerte irrupción de las tecnologías de la información en el sector educativo, haimplicado que en los últimos años hayan aumentado de manera exponencial la cantidady tipología de terceros que pueden tratar datos por cuenta de los Centros. Tal y comorecoge el art. 4.8) del RGPD define encargado del tratamiento como «la persona física ojurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del


responsable del tratamiento». Recordemos además que de acuerdo a lo estipulado en el art.28 del RGPD la relación entre el responsable del tratamiento, el Centro, y el encargado,el tercero que trata los datos por su cuenta, debe estar regulada por «por un contrato u otroacto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargadorespecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del trata-miento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos delresponsable».

Veamos a continuación los encargados del tratamiento más «habituales» en el sectorde la educación y en qué forma se debe dar cumplimiento a las obligaciones del RGPD.En este punto nos centraremos exclusivamente en aquellos encargados más propios delsector educativo, obviando aquellos que son comunes a otros sectores (por ejemplogestoría laboral, prevención de riesgos laborales, etc…). Además resulta importanterecomendar que cuando se analice cada servicio, se determine con claridad quién locontrata ya que en ocasiones alguno de los servicios, suelen contratarse directamentepor las Asociaciones de Madres y Padres de Alumnos del Centro (suele pasar en lasactividades extraescolares, acogida o comedor). En este caso cabe subrayar que el controldel cumplimiento de la normativa vigente en relación a dichos proveedores correspon-derá a dichas Asociaciones.

Por último resulta también importante recordar que el art. 33.2 de la LOPDGDDestablece que «Tendrá la consideración de responsable del tratamiento y no la de encargado quienen su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con losafectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3del Reglamento (UE) 2016/679». Esta situación puede darse en alguno de los casos querecogemos a continuación:

Actividades extraescolares: Los Centros educativos, en la gran mayoría de casos suelenbuscar en empresas o entidades especializadas, la realización de las actividades extraes-colares. Esto es así ya que en las mismas suelen ofrecerse servicios o actividades que noson propias de la actividad esencial de un Centro educativo. En estos casos, dichasempresas o entidades que gestionan estas actividades, suelen tener acceso a los datospersonales de los alumnos participantes. Si no se establece una relación directa entre elafectado o afectada y dicha empresa, nos encontramos ante un tratamiento de datos porcuenta de terceros, siendo necesaria la firma de un contrato en los términos establecidosen el art. 28 del RGPD.

Servicio de acogida: Del mismo modo que el caso anterior, los Centros educativossuelen buscar empresas o profesionales autónomos, para la gestión del servicio de aco-gida. Igualmente quienes prestan este servicio suelen tener acceso a los nombres de losalumnos, ya sea para la facturación del servicio o para la propia prestación del mismo.

Servicio de comedor: Este es sin duda uno de los casos más habituales de acceso a datospor cuenta de terceros del sector educativo. Raramente los Centros educativos tienenpersonal propio para la prestación de este servicio; así lo subcontratan a empresas espe-cializadas, dándose, dentro de este supuesto, casos diferentes. En ocasiones, el personalde la empresa subcontratada presta sus servicios físicamente en las dependencias delCentro y en otras ocasiones la comida es elaborada por la empresa fuera del Centro


siendo transportada al mismo antes de cada comida. El matiz es importante ya que laprestación de este servicio implica el acceso a datos por cuenta del Centro y cada vezmás, a datos especialmente sensibles (alergias, intolerancias alimenticias, etc. …). Puesbien, en ocasiones cuando la empresa presta el servicio fuera de las dependencias delCentro, aunque puede saber el número total de menús especiales, raramente tiene accesoa los datos de los alumnos que han solicitado ese menú, sino que simplemente saben lacantidad de menús especiales a elaborar. Es necesario comprobar esto para asegurar querealmente hay un acceso a datos. Por el contrario cuando la empresa presta el servicioen la cocina del Centro, lo habitual es que conozca o acabe conociendo, a quién corres-ponde cada menú con características especiales por lo que el acceso a datos por cuentade terceros está, en este caso, fuera de duda.

Servicio de monitores: los Centros educativos pueden completar su plantilla, conmonitores para la prestación de ciertos servicios (servir los menús, vigilancia del recreo,etc. …). Estos monitores que obviamente se desplazan físicamente al Centro, puedentener acceso a datos de alumnos y en ocasiones a datos especialmente sensibles, por loque es necesario asegurarse que el contrato con la empresa prestadora del servicio, cum-pla con las exigencias del art. 28 del RGPD.

Servicio médico o de enfermería: algunos Centros suelen tener un servicio de enfermeríapara primeros auxilios y en algunas ocasiones incluso servicio médico. En caso que asísea, debe prestarse especial atención en la prestación de este servicio al llevar intrínsecoel tratamiento de datos especialmente sensibles de los alumnos (salud). La empresaempleadora de los profesionales médicos o de enfermería o los propios profesionales sison autónomos, tendrán la consideración de encargados del tratamiento.

Fotografías: la toma de fotografías de los alumnos, suele ser una práctica habitual enlos Centros educativos que cuando precisan de servicios más profesionales (por ejemplopara la realización de orlas, anuarios, revistas, etc. …), habitualmente contratan a terceros(empresas o autónomos), para la realización de dichas fotografías. En ocasiones además,junto con las fotografías se entrega a los prestadores del servicio, el nombre de los alum-nos y el curso (por ejemplo para realizar las orlas). En cualquier caso si este servicio esprestado por terceros, debe quedar regulado en un contrato con el contenido del art.28 del RGPD.

Transporte escolar: de igual modo que en el caso del servicio de comedor, resulta enprimer lugar necesario asegurarse si la empresa que eventualmente pueda prestar el ser-vicio de transporte, tiene acceso o no a datos personales de los alumnos. En caso desalidas eventuales, dichas empresas pueden tener acceso únicamente al número de alum-nos que solicitan el servicio pero no a sus nombres. Si, por el contrario, el servicio detransporte implica la recogida y vuelta del alumno o alumna de su domicilio particular,sí que suele haber acceso a datos de carácter personal de los mismos por lo que la relaciónentre el Centro y la empresa de transporte tendrá la consideración de acceso a datos porcuenta de terceros debiendo cumplir los requerimientos de la legislación vigente, yaapuntados.

Plataforma de gestión educativa o Entornos Virtuales de Aprendizaje: sin lugar a dudasestos son alguno de los servicios en que mayor cantidad y tipología de datos personales


son tratados por terceras empresas o entidades, por cuenta del Centro educativo. Lasplataformas de gestión administrativa y docente, mayoritariamente en un entornocloud, almacenan todos los datos personales tanto de los alumnos, como de las familias,como del propio personal del Centro. Las funcionalidades son variadas pero dichas pla-taformas pueden utilizarse para la gestión administrativa (facturación, control de moro-sidad, gestión de recibos); pasando por la gestión académica (calificaciones, evaluaciones,etc. …) y acabando por el control de asistencia. Los Entornos Virtuales de Aprendizaje,a su vez, son espacios virtuales a través de los cuales los alumnos pueden realizar yentregar actividades, trabajos, exámenes, controles, etc. … En ambos casos casi la tota-lidad de estos servicios son prestados en la actualidad en modalidad de cloud computing ocomputación en la nube, lo que a la práctica puede implicar riesgos adicionales así comoposibles subcontrataciones del servicio a terceras empresas que alojan en sus data center,las plataformas.

Por la cantidad y tipología de datos nos encontramos pues ante una tipología deencargados del tratamiento más sensible del sector. No resulta extraño como decimos,que la empresa titular de la plataforma, la aloje en servidores de terceros, por lo queademás de asegurarnos del cumplimiento de las exigencias propias del encargo del tra-tamiento, deberemos comprobar el cumplimiento del RGPD (art. 28.2 y 28.4) en rela-ción a la subcontratación de los servicios de alojamiento de la plataforma. En ocasionesademás estas plataformas integran servicios de terceros que también pueden tener accesoa los datos y que deberemos comprobar caso por caso (por ejemplo envío de SMS a lasfamilias con anuncios, sistemas de firma electrónica de autorizaciones, etc. …). Resultapues importante comprobar que en el contrato de servicios ofrecido por las empresastitulares de las plataformas, se prevea la subcontratación de los servicios (en caso que asífuera), así como el nombre las empresas subcontratadas.

Editoriales: las editoriales facilitan a los alumnos y profesores de los Centros edu-cativos licencias para la consulta y acceso online de sus fondos y materiales; en esteproceso los Centros suelen facilitar a las editoriales los nombres y correos de alumnos yprofesores para tramitar el alta en las plataformas respectivas. En este caso resulta esencialcomprobar si se establece un vínculo independiente entre el afectado o afectada y laEditorial pues muchas veces el uso de dichas plataformas está sujeta a Políticas de Pri-vacidad propias y autónomas, definiendo finalidades propias de las Editoriales en cuyocaso no estaremos ante un tratamiento de datos por cuenta de terceros y sí ante unacesión de datos personales, que deberá quedar amparada en alguno de los supuestoslegitimadores del art. 6 del RGPD.

Servicio de correo electrónico, almacenaje, calendario o aulas virtuales en la nube: en losúltimos años, se ha extendido enormemente, el uso, por parte de los Centros educativos,de servicios de grandes empresas tecnológicas para facilitar a sus usuarios (trabajadoresy/o alumnos), el acceso a cuentas de correo, almacenamiento en la nube y otros serviciosconexos. El servicio más extendido es, sin duda, Google for Education de la empresanorteamericana. El gigante tecnológico ofrece a los Centros educativos de todo elmundo, todas las funciones disponibles en GSuite (todos los servicios de Google per-


2. A pesar que en las condiciones del servicio Google asume el rol de encargado del tratamiento,no son pocas las acusaciones de hacer un uso con fines propios de los datos de los usuarios de su servicioGoogle for Education. En febrero de 2020, el Fiscal General de Nuevo México presentó una demanda contrala compañía norteamericana en relación a su servicio para Centros educativos, acusándola de controlar laactividad online de los alumnos, con fines publicitarios.

b)

a)

b)

sonalizados para el cliente) de manera gratuita, no sin polémica2, ofreciendo usuarios yespacio ilimitado a los Centros para que puedan configurar cuentas de correo electró-nico, bajo su dominio, crear, administrar y compartir carpetas alojadas en la nube, usarel calendario para eventos o una plataforma para realizar clases y actividades online. Nocabe duda que la cantidad de datos personales que pueden tratar las empresas tecnoló-gicas, ofreciendo este servicio, es ingente por lo que éstas son, a fecha de hoy, uno delos grandes prestadores de servicios para los Centros educativos y, por qué no decirlo,unos con mayor riesgo. Algunos hechos así lo demuestran: en primer lugar la necesidadde controlar las posibles transferencias internacionales de datos, que abordaremos luego.A todo esto se añade la imposibilidad de negociar los términos del servicio, ni el contratocon estos proveedores, por lo que deberá revisarse bien las condiciones generales y enocasiones, aceptar (online), cláusulas específicas para el cumplimiento del RGPD. Porsi esto no fuera poco estas empresas suelen ser bastante opacas en relación a la subcon-tratación de los servicios contratados dificultando así el cumplimiento del art. 28 delRGPD. En este sentido resulta necesario recordar que la AEPD ha recordado en suGuía de para clientes que contraten servicios de Cloud computing, que el hecho de quese trate de contratos de adhesión, esto no eximirá a las partes (también al responsabledel tratamiento, los Centros educativos) del deber de cumplir el RGPD.

Transferencias Internacionales

Servicio de correo electrónico, almacenaje, calendario o aulas virtuales en la nube: tal y comoha quedado expuesto, el uso por parte de los Centros educativos de este tipo de servicios,está cada vez más extendido. Al igual que el servicio de Google ya mencionado, Micro-soft ofrece un servicio similar pero con una implantación menor, al menos, en España.En ambos casos pueden producirse transferencia de datos personales a países con unnivel de seguridad no adecuado, debiendo aplicarse en ese caso las normas para lastransferencias internacionales de datos previstas en los arts. 44 y ss del RGPD. En laactualidad la transferencia de datos personales a estos dos grandes proveedores, tiene unadoble base:

Sendas resoluciones de adecuación de la AEPD: TI/00032/2014 (Microsoft) yTI/00153/2017 (Google). Resulta necesario recordar que aunque previas alRGPD, este propio texto las considera válidas hasta que no hayan sido modi-ficadas, sustituidas o derogadas (art. 46.5 RGPD).Adhesión en ambos casos, a los principios del Privacy Shield. De acuerdo al art.1 de la Decisión (UE) 2016, 1250 de la Comisión, de 12 de julio de 2016, todas


2.4.

a)

las entidades norteamericanas que se adhieran al mismo, se considerará quegarantizan un nivel de protección adecuado.

En este sentido y para concluir en este punto, conviene mantenerse atento a losdistintos escenarios relacionados con las transferencias internacionales de datos ya quepueden cambiar y pueden afectar al cumplimiento del RGPD de los Centros educativos.

Viajes, intercambios o estancias en el extranjero: en ocasiones los Centros educativos, enmotivo de viajes, intercambios o estancias de los alumnos en el extranjero, puedenremitir o transferir sus datos fuera de la Unión Europea, dándose pues una transferenciainternacional de datos. Las categorías de destinatarios pueden variar por lo que resultanecesario encontrar una solución específica para cada supuesto atendiendo a la ubicaciónde cada destinatario. Entre dichos destinatarios podemos encontrar, por ejemplo: otrosCentros educativos de destino de los alumnos en caso de intercambios, compañías aéreas,autoridades públicas de terceros países, etc..

Aplicaciones de terceros: por último, pero no menos importante, es muy común quelos Centros educativos utilicen distintas aplicaciones para llevar a cabo distintas finali-dades comunicativas o docentes. Entre ellas podemos destacar plataformas para la emi-sión de videos el streaming o grabados, aplicaciones para la realización de ejercicios opara la calificación de los mismos. Resulta necesario identificarlas todas y comprobar suubicación, ya que en muchos casos son plataformas ubicadas fuera de la Unión Europea.En cada supuesto deberá encontrarse una base que permita la justificación de la trans-ferencia internacional.

Con carácter general debe evitarse como base a la transferencia internacional laexcepción del consentimiento del art. 49.1. a) del RGPD, ya que nos encontramos anteuna situación de dependencia y además podemos dudar que el consentimiento así otor-gado sea libre, ya que su no otorgamiento podría llevar en algunas circunstancias, a queel alumno o alumna no tenga acceso a un derecho tan básico como la educación. Portanto es recomendable evitar el consentimiento como justificación para la transferenciainternacional de datos, buscando alguna de las otras prerrogativas otorgadas por elRGPD.

La gestión de los principios de la protección de datos

Transparencia, lealtad, licitud

Los canales y medios de recopilación de datos personales en los Centros educativos,al menos en relación a datos de alumnos y de familias, son múltiples y cambiantes segúncada necesidad. Algunos de los ejemplos más comunes son: el formulario de inscripcióna puertas abiertas, la hoja de pre-inscripción (normalmente facilitada por la Consejeríade Educación que corresponda); el formulario de matrícula, la hoja de domiciliaciónSEPA, la autorización de imagen, para salidas, para dar medicamentos en casos de nece-sidad. Además de la variedad de finalidades también los formatos pueden variar, ya quea pesar de la imparable implementación los sistemas de información en los Centroseducativos, el uso de los formularios en papel sigue estando ampliamente presente. En


a)

el caso de formularios online, está cada vez más extendido el uso de formularios queofrecen terceros, para la realización de encuestas, cuestionarios, etc.

Ante esta situación y para dar el debido cumplimiento a la exigencia del art. 13 delRGPD relativo al deber de informar y atendiendo a las recomendaciones de la AEPD,es recomendable habilitar un sistema de información en doble capa, de la manerasiguiente:

- En cada formulario, en papel o en soporte informático, incluir un breve cuadroinformativo (primera capa de información) con la siguiente información básica: nombredel Centro, finalidad del tratamiento de los datos solicitados, base legitimadora, desti-natarios de los datos, derechos básicos y un enlace o referencia a la Política de Privacidaddel Centro, que debería estar en un lugar accesible para todos, habitualmente su páginaweb.

En relación a la base legitimadora, resulta importante analizarla para cada caso con-creto, teniendo en cuenta que en relación a los datos de los alumnos y si la finalidad esdocente u orientadora, dicha base será el cumplimiento de una exigencia legal y que enotros casos que hemos visto (por ejemplo uso de fotografías con fines promocionales),la base legitimadora será el consentimiento.

Una cuestión no menor es la gestión de dichos formularios y, cuando sea necesarioel consentimiento para el tratamiento de los datos, en qué forma el Centro da cumpli-miento a la exigencia del art. 7.1 del RGPD donde se establece que «Cuando el tratamientose base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquelconsintió el tratamiento de sus datos personales». Pues bien en este sentido debe tenerse encuenta que la cantidad de formularios que un Centro puede enviar a las familias a lolargo de un curso puede ser muy elevado y en muchas ocasiones, las familias no facilitanal Centro el formulario con su firma manuscrita. En este ámbito recordar que la cargade la prueba del consentimiento otorgado corresponde al Centro, por lo que cada vezes más común que se habiliten sistemas de firma digital o electrónica. En todo casocuando el tratamiento de datos que esté basado en el consentimiento, el Centro deberáabstenerse de realizarlo, cuando no pueda demostrar que éste se ha otorgado por elinteresado o sus representantes legales.

Finalmente debemos señalar que todos los datos tratados por el Centro no se recogenen formularios; en el caso de instalación de cámaras de seguridad dicha captación seproduce a través de grabaciones de las imágenes registradas. En este caso resulta necesariola instalación del cartel informativo suficientemente visible en aquellos lugares donde sehayan instalado las cámaras.

- La página web del Centro suele ser el lugar idóneo para publicar la Política deProtección de Datos completa del Centro (Segunda capa de información). Para elaboraresta Política de Privacidad resulta esencial antes haber dado cumplimiento al registro deactividades del tratamiento, pues en dicha Política debe hacerse referencia a todos lostratamientos de datos realizados por el Centro, a menos que a algún colectivo de afec-tados, la información completa, se le hubiera facilitado por otros medios. En todo casoel contenido mínimo de la Política de Privacidad incluye:

Datos completos del responsable del tratamiento.


b)

c)

d)e)

f)

g)

h)

b)

-

Datos de contacto del o la DPD del Centro (la inclusión de un correo electró-nico, sería suficiente).Definir la finalidad de cada tratamiento; los fines del tratamiento deben serdeterminados, explícitos y legítimos.Definir el plazo de conservación de los datos.Establecer la base legitimadora de cada tratamiento. En el caso de los datos delos alumnos, si en la primera capa informativa podemos hacer referencia, demanera genérica, al cumplimiento de una obligación legal, en la segunda capa,seremos explícitos en relación a la norma legal concreta que permite dicho tra-tamiento.Informar sobre los destinatarios: se informará de la identidad de los destinatarios,en caso que estos estén predeterminados, y si no lo estuvieran de las categoríasde los mismos. En este mismo punto se deberá informar si se prevén transfe-rencias internacionales de datos.A pesar que no es una obligación legal, como ejercicio de transparencia, se puedeincluir en este apartado un listado de encargados del tratamiento.Informar a los interesados de los derechos que tiene y la forma en que puedeejercerlos. En el caso que la base legitimadora fuera el consentimiento, en estepunto se informará sobre la forma de revocarlo.Por último, y como un ejemplo más del ejercicio de transparencia exigido porel RGPD, se recomienda que en la Política de Privacidad del Centro se incluyaun apartado con la misión y visión del Centro en materia de privacidad. Unafrase o párrafo sencillo y rápido de leer que transmita a las familias, alumnos yotros colectivos de afectados, que el Centro valora el derecho a la protecciónde datos y que toma medidas para que sea eficaz y efectivo.

Minimización de datos, exactitud y limitación de la finalidad

A continuación se recogen algunos de los errores más comunes, detectados en losCentros educativos, en relación al cumplimiento de los principios de minimización,exactitud y limitación de la finalidad:

Minimización: de acuerdo a este principio, los datos recabados deben ser «ade-cuados, pertinentes y limitados a lo necesario en relación con los fines para los que sontratados» (art. 5.1.c) RGPD); pues bien en ocasiones algunos de los formulariosde los Centros (por ejemplo el de puertas abiertas o matrícula), solicitan datosde los padres que no se consideran adecuados a la finalidad, estos serían datoscomo su profesión o lugar de nacimiento. Como ya hemos indicado, la Ley deEducación prevé que se puedan solicitar datos que hacen referencia «al origen yambiente familiar y social, a características o condiciones personales, al desarrollo y resul-tados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento seanecesario para la educación y orientación de los alumnos»; a pesar de esto la AEPD hadeterminado en varias ocasiones que datos como los indicados (profesión o lugarde nacimiento de los padres), no son adecuados a pesar de esta habilitación legal,


-

-

a)

b)

siendo necesario que los Centros atiendan a la misma sin recopilar informaciónque se considera excesiva.Exactitud: de acuerdo al art. 5.1.d) del RGPD «se adoptarán todas las medidasrazonables para que se supriman o rectifiquen sin dilación los datos personales que seaninexactos con respecto a los fines para los que se tratan». En este sentido suele sercomún que cuando el alumno o alumna acaba su ciclo educativo en un Centro,estos almacenen y mantengan en sus archivos, en papel e informáticos, todos losdatos que incluidos en el expediente del estudiante mientras era alumno oalumna del Centro. La AEPD de nuevo ha establecido que los datos que puedeny deben mantenerse en el archivo de exalumnos son aquellos relacionados consu expediente académico, ya que cualquier otro tipo de dato o informaciónpersonal, no quedaría justificado por la finalidad para la que fueron recogidosque no es otra que la prestación de la docencia; en este ámbito entrarían datoscomo las sentencias de divorcio (si las hubiera), autorizaciones para salidas ycualquier otro que no sea el propio del expediente académico.La Orden ECI/1845/2007, de 19 de junio, por la que se establecen los ele-mentos de los documentos básicos de evaluación de la educación básica reguladapor la Ley Orgánica 2/2006, de 3 de mayo, de Educación, así como los requi-sitos formales derivados del proceso de evaluación que son precisos para garan-tizar la movilidad del alumnado, en su artículo 4 recoge el contenido del expe-diente académico limitándolo a «los resultados de la evaluación, de las propuestas depromoción y titulación y, en su caso, de las medidas de atención a la diversidad adoptadas,de las adaptaciones curriculares significativas, de la entrega del certificado oficial sobre suescolaridad y el nivel de adquisición de las competencias básicas y un informe orientadorsobre sus opciones académicas y profesionales, a los que se refiere el artículo 15.6 del RealDecreto 1631/2006, de 29 de diciembre, y del certificado académico, expedido por lasAdministraciones educativas, de los módulos obligatorios superados en un Programa decualificación profesional inicial al que se refiere el artículo 30.4 de la Ley Orgánica2/2006, de Educación». Cualquier información no considerada expediente aca-démico, debe ser suprimida, una vez el alumno o alumna ha finalizado su cicloformativo en el Centro.Limitación de la finalidad: por último el art. 5.1.b) del RGPD establece que losdatos personales serán «recogidos con fines determinados, explícitos y legítimos, y noserán tratados ulteriormente de manera incompatible con dichos fines». Entre los erroreso situaciones de riesgo más comunes en este ámbito podemos citar dos:

El uso de imágenes obtenidas para ser incluidas en el expediente acadé-mico, para ser publicadas con fines promocionales, en web, redes socialeso publicaciones del Centro.El uso de datos de exalumnos para fines distintos de los permitidos (archivodel expediente académico); entre los que podemos destacar por ejemploel contacto con exalumnos para actividades del Centro como celebracio-nes o eventos públicos en motivo de aniversarios o situaciones análogas.


c)

c)

Instalación de sistemas de videovigilancia. La AEPD considera que su usoes por definición intrusivo y un riesgo para la privacidad, por lo que conanterioridad a su instalación, debe valorarse que no existan medidas dis-ponibles menos perjudiciales para la privacidad. En este sentido la propiaAEPD recomienda que cuando su uso sea por ejemplo evitar daños mate-riales o robos, debería limitarse su funcionamiento a horas no lectivas. Enesta misma línea la AEPD prohíbe la instalación de sistemas de videovi-gilancia en aseos, vestuarios o zonas de descanso, así como en aulas ale-gando motivos de conflictividad.

Privacidad en el diseño y por defecto

Tal y como hemos ido recordando a lo largo de este capítulo, el proceso de digi-talización de los Centros educativos, es imparable. La realidad es que en el mercadoexisten multitud de aplicaciones y herramientas para que éstos puedan llevar a cabo susfunciones. Este hecho captó la atención de nuevo de la AEPD que en marzo de 2018,emitió un «Informe sobre la utilización por parte de profesores y alumnos de aplicacionesque almacenan datos en nube con sistemas ajenos a las Plataformas educativas». En esteinforme la AEPD menciona solo algunas de las aplicaciones detectadas en ese momento:

A todas ellas podemos añadir la popularización de herramientas para la realizaciónde clases o formación en streaming en tiempo real (como por ejemplo ZOOM, Hangoutsde Google o Teams de Microsoft).

Pues bien todas estas aplicaciones recopilan y tratan datos de las personas (alumnosy alumnas en muchos casos) que se loguean en ellas, de manera que resulta imprescin-


«1. Aplicaciones que implementan cuadernos de notas, agendas y organizador de clases para losdocentes (IDOCEO, ADDITIO, TEACHER AIDE).

2. Aplicaciones puramente destinadas a ofrecer materiales didácticos atrayentes para los alumnos yde utilidad para los profesores, de diferentes materias como matemáticas, ciencias (DIDAKIDS), inclu-yendo gamificación (CLASSCRAFT, KAHOOT), etc.

3. Aplicaciones para la creación de hilos de discusión y debate, compartición de mapas mentales,conceptuales y esquemas (MINDOMO).

4. Aplicaciones para la elaboración de presentaciones (PREZI, TED).5. Aplicaciones que facilitan la comunicación entre profesores, alumnos y familias. Si bien esta

funcionalidad se suele incorporar en las plataformas educativas, existen apps con esta finalidad exclusiva.También, dentro de este tipo de aplicaciones, señalar que se ha detectado la utilización de mensajeríaWHATSAPP en los entornos educativos.

6. Creación y compartición de vídeos. (ANIMOTO, MOVIE MAKER). Edición y compar-tición de fotografías y vídeos (PicCOLLAGE).

7. Aplicaciones que convierten tabletas en pizarras digitales para compartir información en tiemporeal (ACTIVEINSPIRE).

8. Apps para el acceso desde el terminal móvil a plataformas de aprendizaje (MOODLE, LMSWORDPRESS, SCHOOLOGY), para la compartición de recursos de estudio, realización de tra-bajos en grupo, etc. También existen redes sociales educativas con funciones de plataformas de apren-dizaje (CLASSROOM, EDMODO)».

3.

dible revisar a fondo sus Políticas de Privacidad entre otros motivos porque en ocasiones,trasladan al Centro la obligación de pedir en nombre de la aplicación, el consentimientode las familias para su uso. Adicionalmente todas estas plataformas permiten la configu-ración de ciertos parámetros de seguridad y privacidad, siendo por tanto necesario queel Centro, en aplicación del art. 25 del RGPD, active la máxima privacidad por defectoen su uso. Entre las recomendaciones básicas de la AEPD para el uso de estas aplica-ciones, se incluyen el deber de que el Centro las autorice expresamente, que seanincorporadas en el protocolo de protección de datos del Centro y que las familiasconozcan su uso y funcionalidades.

En el ámbito de aquellos recursos que controla el Centro y de los que puede decidirde manera más directa los parámetros de seguridad, resulta recomendable en aras decumplir lo establecido en el art. 25, que las fotografías de actividades de los alumnospublicadas, solo sean accesibles por la comunidad educativa, estableciendo sistemas deregistro e identificación previa, para su acceso (por ejemplo configurando áreas privadasde la web, blog, etc.).

PARTICULARIDADES EN EL DESARROLLO DE LAS FUNCIONES DE INFORMACIÓN YREPORTE AL RESPONSABLE

El sector de la educación, además de los riesgos que hemos venido identificando ytratando, es un sector dinámico y en plena evolución. Cualquier persona que ejerza lalabor de DPD, debe ser consciente de ello y especialmente aquellos que lo hagan comoexternos (que son la gran mayoría). Como en muchos sectores, la necesaria pausa ydeber de análisis ante los retos y demandas planteadas, suele ser contraria a la necesidadde respuestas rápidas que requiere un sector tan dinámico como el educativo. Por ello,en ocasiones, las decisiones o recomendaciones del o la DPD tienen un punto de«impopulares». A todo ello debe añadirse, como también hemos comentado, que elpropio personal del Centro educativo (sobretodo profesores), en ocasiones, hacen usode plataformas o herramientas, sin el conocimiento del equipo directivo, al que reportael o la DPD, y por tanto lejos de su control.

Por todo lo anterior resulta imprescindible que cualquier persona del Centro edu-cativo que tenga acceso a datos (incluyendo personal docente y no docente), conozcade manera formal cuáles son sus obligaciones en la materia y qué situaciones, de manerainexcusable, deben ser reportadas al DPD sin dilación, entre las que destacamos: recla-maciones o quejas de los interesados, habilitación de nuevos sistemas de recogida oactualización de datos o el uso de aplicaciones o herramientas docentes o no docentesdiferentes de las facilitadas por el Centro para llevar a cabo su cometido. Solo de estaforma, el o la DPD podrá dar cumplimiento a las funciones que le otorga el art. 39.1del RGPD, sin dejar de atender situaciones o riesgos de los que debe ser informadodebidamente.

Habiendo implementado estos controles, es siempre recomendable constituir for-malmente un Comité de Privacidad del Centro, donde tomen parte, el propio DPD,personas del equipo directivo, jefes o jefas de estudios de los diferentes ciclos y el o laresponsable TIC del Centro. Debe establecerse un calendario para que se reúna con una


4.

periodicidad determinada (al menos con carácter trimestral) y ahí debe ser donde el ola DPD conozca las iniciativas del Centro que puedan implicar tratamiento de datos ydonde reporte, también de manera formal, sus recomendaciones. La rapidez en quemuchas veces se buscan respuestas en el sector educativo no debe quedar reñida por elnecesario reporte formal de las recomendaciones del o la DPD pues la inmediatez deldía a día puede hacer que algunas de esas medidas, puedan no implementarse con losriesgos que ello supone. En dichos casos, como digo, es necesario que la recomendacióndel o la DPD haya sido formal y dada a conocer a todo el Comité de Privacidad.

En conclusión, deben establecerse de manera clara los controles adecuados paraconocer el día a día del Centro, especialmente si el o la DPD es externo y una vezrealizada esta labor, establecer un sistema formal y predeterminado para reportar lasrecomendaciones del o la DPD al seno de la organización. Ello debería evitar que serealicen tratamientos de datos sin el conocimiento del o la DPD y que en caso de sernotificados y evaluados por éste, sus recomendaciones no sean conocidas por el res-ponsable del tratamiento.

EL DPD Y SU ROL DE MEDIADOR EN EL SECTOR EDUCATIVO

De nuevo el dinamismo del sector educativo juntamente con una comunidad deinteresados y afectados amplia y heterogenia, hacen que el grado de conflictividad suelaser elevado y que se haya visto incrementando en los últimos tiempos. Un o una DPDcon los controles y sistemas de reporte interno debidamente implementados, debe serel primer escudo del Centro ante quejas o reclamaciones de los afectados, por eso esimprescindible de nuevo, y siempre que el o la DPD sea externo, que disponga decanales fluidos para recopilar información y, en caso de reclamaciones, para conocer loshechos de manera directa y de primera mano.

El rol mediador del o la DPD ha quedado recogido en el art. 37 de la LOPDGDDcomo una fórmula para evitar la presentación de reclamaciones ante la AEPD o losorganismos competentes. En este punto resulta necesario recomendar que, a pesar delos dos meses para responder que otorga el mencionado artículo, en el caso de recla-maciones en Centros educativos, es pertinente que este plazo de tiempo se reduzca enla medida de lo posible. En muchas ocasiones las reclamaciones versan sobre el uso noautorizado de fotografías de menores en redes sociales o en Internet, y si la respuesta sedemora dos meses, siendo perfectamente legal, el daño que puede haberse ocasionadoal menor, puede tener un carácter irreparable debido a la facilidad de que una imagenen Internet pueda ser replicada de manera automática e incontrolada. Por ello cuando,habiendo realizado las comprobaciones oportunas, se atienda a la solicitud del afectado,es recomendable que la actuación del Centro sea lo más ágil posible dando una respuesta,si fuera posible, antes de los dos meses previstos en la normativa vigente.

No queremos concluir este apartado y capítulo, sin recordar que el papel del o laDPD en un Centro educativo es un reto exigente a la par que apasionante. El dinamismointrínseco del sector, juntamente con el tratamiento de datos altamente sensibles depersonas especialmente vulnerables, hace que así lo sea. La necesidad de ser didácticoen las recomendaciones y actuaciones es también altamente deseable, ya que nos encon-


tramos en un sector donde podemos hallar colectivos o núcleos resistentes al cambio.No debemos olvidar para concluir, y para subrayar el papel esencial del o la DPD enlos Centros, que sus recomendaciones pueden tener un impacto directo en algo tanesencial como el derecho a la educación y que por tanto, de ellas dependen que estederecho fundamental se lleve a cabo dando cumplimiento a la normativa de protecciónde datos, derecho, igualmente fundamental.


p general y caracterÍsticas comunes del sector · de las autorizaciones, así como de sus...

Documents