Skip to content

Decálogo de obligaciones en los colegios para cumplir con la normativa legal en protección de datos.

Nuestros amigos de PRODAT nos dan unas pautas clave para los colegios:

 

Todos los colegios deben confeccionar y mantener un “registro de actividades de
tratamiento[i] (RAT) bajo su responsabilidad (con inclusión, si es posible, de una descripción general de las medidas de seguridad adoptadas) y, si fuera solicitado, ponerlo a disposición de la autoridad de control (Agencia Española de Protección de DatosAEPD) para que ésta supervise las operaciones de tratamiento.

Todos los colegios deben tomar las medidas oportunas para facilitar a las familias, a los alumnos y a los empleados la información[ii] que exige la normativa de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, y que puede ser facilitada por escrito o por otros medios como, por ejemplo, electrónicos (página web) o iconografía normalizada.

Los colegios, así como todos los empleados que traten datos personales, están sujetos al deber de confidencialidad, que será complementario de los deberes de secreto profesional de conformidad con su normativa aplicable; estas obligaciones se mantendrán incluso después de haber finalizado la relación de los empleados con los colegios.
Los colegios tomarán las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos en el ejercicio de las funciones que tenga asignadas.

Cuando los colegios precisen la contratación de un tercero que no forme parte de su
organización para realizar un tratamiento de datos personales[iii] (servicio de comedor, servicio médico, transporte o para la realización de actividades extraescolares) deben elegir únicamente a aquellos encargados de tratamiento que ofrezcan garantías suficientes (conocimientos especializados, fiabilidad y recursos) de cara a la aplicación de medidas técnicas y organizativas apropiadas, de manera que su tratamiento sea conforme a la normativa y garantice la protección de los derechos del interesado.
El encargado del tratamiento debe tratar los datos únicamente conforme a las instrucciones del colegio, no pudiendo ser utilizados para finalidades distintas de las previstas en el contrato, ni comunicados a otras personas, ni siquiera para su conservación, y con la obligación de, una vez finalizado el contrato, devolver o destruir los datos tratados (se considera una buena práctica que se asegure la destrucción o devolución de los datos con un certificado de destrucción o con un acuse de recibo).
No se consideran encargados del tratamiento a las personas físicas que tengan acceso a los datos personales en su condición de empleados del colegio, como el equipo directivo, los profesores, o el personal de administración y servicios.

Los colegios deben obligatoriamente designar un “delegado de protección de datos” (DPD) atendiendo a sus cualidades profesionales (conocimientos especializados del derecho y la práctica en materia de protección de datos) y a su capacidad para informar y asesorar al colegio y a los empleados, supervisar el cumplimiento normativo (asignación de responsabilidades, concienciación y formación del personal), resolver reclamaciones que se puedan plantear, además de ser el interlocutor y cooperar con la autoridad de control (AEPD) y con los interesados.

Los colegios deben tratar los datos de manera lícita, leal y transparente en relación con las familias, alumnos y empleados; recogerlos para fines determinados, explícitos y legítimos; los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; deben ser exactos y actualizados; deben adoptarse todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos; deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Los colegios son responsables del cumplimiento normativo y deben ser capaces de demostrarlo («responsabilidad proactiva»).

Los colegios deben realizar una valoración del riesgo que implique el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas teniendo en cuenta el coste de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, y los riesgos para los derechos y libertades.

Todos los colegios deben tener la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia [iv] permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; así como establecer un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Los colegios deben conocer las aplicaciones que vayan a utilizar, su política de privacidad y sus condiciones de uso antes de utilizarlas, debiendo rechazar las que no ofrezcan información sobre el tratamiento de los datos personales que realicen (algunas aplicaciones utilizadas no ofrecen suficiente información para valorar su adecuación a la normativa); es recomendable que los colegios documenten las evaluaciones realizadas dejando constancia de los aspectos que han sido analizados y de los resultados obtenidos.
Es importante que el uso de las aplicaciones no implique una transmisión de los datos de los alumnos al prestador del servicio contratado para que los utilice para sus propios fines o los almacene de forma permanente, incluso con posterioridad a la terminación del contrato, tampoco debería implicar la renuncia del colegio al acceso a los datos o a su supresión.

Los colegios deben arbitrar fórmulas para facilitar a las familias, alumnos y empleados el ejercicio de sus derechos, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición.
Los colegios deben proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos y responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes.


Por último, cuando acontezca una brecha de seguridad de los datos personales, los colegios la notificarán a la autoridad de control (AEPD) sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

[i] El RAT debe contener el nombre y los datos de contacto del colegio y del DPD; las finalidades de los tratamientos; una descripción de las categorías de interesados (alumnos, empleados, etc.) y de las categorías de datos personales (nombres, apellidos, sobre la salud, etc.); las categorías de destinatarios a quienes se pueden comunicar los datos personales (seguro escolar, etc.), incluidos los destinatarios en terceros países (caso de G-Suite for Education, Office 365, etc.); y cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos y una descripción general de las medidas técnicas y organizativas de seguridad.

[ii] Contenido mínimo de la información: a) la identidad y los datos de contacto del colegio; b) los datos de contacto del DPD; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; d) cuando el tratamiento se base en el interés legítimo, informarlo; e) los destinatarios de los datos personales; f) en su caso, la intención del responsable de transferir datos personales a un tercer país.

[iii] El tratamiento debe regirse por un contrato que vincule al encargado respecto del colegio y que establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del colegio.

[iv] Capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había estado sometido.

 

 

Manuel Gil lidera el departamento jurídico de PRODAT en Valencia. Asesoran a un gran número de centros educativos para su adecuación y cumplimiento de la cambiante normativa legal relativa a protección de datos (LOPD, RGPD, etc.) Si tienes alguna duda sobre este decálogo puedes contactar con ellos en mgil@prodatvalencia.es