El pasado 19 de marzo la Autoritat Catalana de Protecció de Dades presentó la «Guia bàsica de protecció de dades per als centres educatius» con el objetivo de facilitar el cumplimiento de la LOPD en colegios públicos, privados o concertados, así como en las AMPAS.
La guía hace un repaso a la aplicación de los principios de protección de datos, recogiendo las principales conclusiones alcanzadas por la APDCAT en sus dictámenes elaborados a partir de las consultas recibidas en los últimos años. Asimismo, se presenta acompañada de una serie de modelos de cláusulas y procedimientos que en todo caso recomendamos que los centros aborden con el soporte de sus asesores en materia de protección de datos, dada la complejidad de un entorno sensible y complejo donde confluyen multitud de actores incluyendo los menores, sus familias, el profesorado, las entidades de la órbita escolar, servicios sociales, etc.
A continuación, creyendo que la guía puede ser de interés también fuera del ámbito de Catalunya, repasamos los principales puntos.
1. Al tratarse de menores, la vulnerabilidad del colectivo exige extremar la diligencia en el tratamiento de los datos personales. A título de ejemplo, la APDCAT habla de los datos de dieta alimentaria que son datos relativos a la salud y que en determinadas dietas pueden asociarse a la religión de la persona. No es así con la elección de la asignatura de religión que no supone, según la APDCAT, un dato especialmente protegido de religión o creencias.
2. Es importante señalar que la APDCAT establece que la inscripción y modificación de ficheros de alumnos, tanto para centros públicos como concertados que ejercen su labor exclusivamente en Cataluña, se realizará a la APDCAT, que una vez registradas trasladará a la AEPD. Es decir, que la modificación o supresión del fichero de titularidad privada, relativo a los alumnos de un colegio concertado catalán, según la APDCAT, debe realizarse ante el Registre de Protecció de Dades de Catalunya.
También deberá realizarse la inscripción o modificación de ficheros de titularidad privada en el Registre de Protecció de Dades de Catalunya para las AMPAS de colegios concertados o públicos.
3. En lo relativo al consentimiento para el tratamiento de la imagen, la APDCAT establece la necesidad de determinar de forma explícita el uso de datos de imagen, no siendo válido por ejemplo el consentimiento otorgado relativo a publicidad del centro posteriormente para utilizar las imágenes en un documental de TV.
4. Resulta algo vaga la guía en lo relativo a tratamientos para los que un menor de 14 a 17 necesitaría consentimiento parental o los casos para los que sería necesario el consentimiento de ambos progenitores/tutores. Se habría agradecido que se recogieran de forma sistemática las casuísticas habituales.
5. Donde sí es muy clara la APDCAT es en lo relativo la creación de direcciones de correo en el marco de programas de promoción de uso de nuevas tecnologías. Se trata de una práctica generalizada que requiere el consentimiento del titular de los datos (si ya ha cumplido los 14 años) o el de los padres o tutores.
6. En lo relativo al uso de datos biométricos la APDCAT también es muy concreta: no para control de los alumnos, donde el profesorado podría realizarlo con medios menos invasivos, y sí para control horario del personal.
7. En cuanto al acceso que realizan los docentes a los datos de los alumnos, la APDCAT indica que este acceso no puede ser indiscriminado y cada profesor ha de acceder a los datos de los alumnos respecto a los que interviene.
8. El apartado de la guía relativo a cesiones de datos recoge varios ejemplos habituales pero no por ello poco interesantes: la cesión de datos sobre situaciones de riesgo a servicios sociales sin información y sin consentimiento al amparo a lo establecido en la ley; la necesidad de establecer filtros de identificación antes de proporcionar información telefónicamente; la imposibilidad de comunicar datos del menor a otros familiares que no sean los padre; la imposibilidad de proporcionar a los padres las calificaciones de menores emancipados; la limitación en la difusión de datos sobre incidentes con medidas disciplinarias, así como la posibilidad de publicar fotos captadas en actos públicos incluso de menores siempre que aparezcan como meramente accesorios.
9. El envío e-mails sobre actividades extraescolares organizadas por el AMPA, por parte del centro, es compatible con la finalidad del fichero de alumnos. Sin embargo, no existe habilitación para la comunicación de las direcciones electrónicas de los padres de los alumnos al AMPA, por lo que será necesario obtener el consentimiento.
10. Similarmente, la comunicación de datos para actividades extraacadémicas, quedaría fuera de las funciones del centro y por tanto requeriría un consentimiento específico, para datos de los alumnos y datos de los los padres.
11. La guía dedica todo un apartado dedicado a tablones, estableciendo que no existe habilitación para colgar calificaciones en los tablones de anuncios del colegio, siendo más adecuado hacerlo en una intranet.
12. La APDCAT ha emitido dictámenes sobre el acceso a datos de las personas admitidas en un procedimiento selectivo concurrencial, por parte de los preinscritos no admitidos, al tener la consideración de personas interesadas, que podrán acceder a los datos de las personas admitidas, incluyendo sus domicilios, para poder comprobar si ha habido fraude y ejercer el derecho de defensa.
13. En lo relativo al uso de plataformas en la nube la APDCAT recuerda la necesidad de firmar un contrato de encargo de tratamiento conforme a lo establecido en el artículo 12 de la LOPD así como tener en cuenta a transferencias internacionales si se trata de proveedores fuera de la UE.
Relacionado con el punto anterior está el de la utilización de dispositivos inteligentes y tabletas de los profesores para almacenar datos de sus alumnos, aspecto que requerirá un análisis de la seguridad de cada dispositivo concreto y la autorización del centro.
14. Otro de los apartados donde la APDCAT ha proporcionado algo de concreción es en el relativo a plazos de conservación: 5 años para preinscritos no admitidos, 3 años para la documentación de trámites de becas (salvo recurso interpuesto)
Autor: Raúl Álvarez | Barcelona