Con el inicio del curso escolar, una de las cuestiones que se plantea con mayor frecuencia en los centros escolares es si pueden o no hacer públicos listados con datos de carácter personal relativos a los miembros de la comunidad educativa, como, por ejemplo:
- Listado de admitidos
- Listado de concesión de becas
- Censos electorales
Para proceder a resolver esta frecuente cuestión, hemos considerado oportuno acudir a una resolución de la Agencia Española de Protección de Datos (AEPD). En concreto al PS/00024/2019.
En el procedimiento sancionador indicado nos encontramos con un centro escolar dependiente de la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, que expuso un listado definitivo de alumnos admitidos, tanto en la fachada principal y acristalada del centro, como en su página web.
¿Creéis que el centro ha cumplido con la normativa en materia de protección de datos a la hora de realizar esa publicación?
Pues bien, la AEPD considera, en el mencionado procedimiento sancionador, que no se ha respetado la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos 2016/679 (RGPD) y la ), en base a lo que se le ha interpuesto una sanción de apercibimiento por los siguientes motivos:
- En primer lugar, partimos de la base de que el centro escolar se encuentra legitimado para proceder a la publicación de los listados en base al artículo 45 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), que indica que: Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente. La AEPD no cuestiona la legitimación del centro en la publicación de los listados, si no que considera que a pesar de contar con una legitimación para la publicación, debería de haberlo realizado respetando en todo momento los derechos inherentes a los afectados en materia de protección de datos, cuestión que no aconteció.
- Además, se considera infringido por parte del centro el , que regula el principio de integridad y confidencialidad y que indica que: los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Considera, así, la AEPD que no se ha garantizado la seguridad adecuada de los datos personales al proceder a su publicación tanto en el tablón como en la página web, lo que supone, a ojos de la AEPD una exposición indiscriminada de la información de carácter personal publicada (datos identificativos) a terceros no interesados.
- Finalmente, la AEPD considera que también se ha infringido el artículo 5 LOPDGDD por parte del centro, es decir el deber de confidencialidad, legalmente exigible a su persona. Entiende, la AEPD que consta probado que el centro incumplió este deber al no haber tomado medidas técnicas u organizativas previas tendentes a garantizar un nivel adecuado de seguridad que impidiera la comunicación y/o acceso indiscriminado de esa información de carácter personal por parte de terceros no interesados en el procedimiento de concurrencia competitiva de admisión de alumnos o en el proceso de elección de representantes de los padres en el Consejo Escolar.
Este incumplimiento se encuentra, íntimamente ligado con una infracción del artículo 24.2 del RGPD que recoge la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Recordemos que esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad y que las medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
En consecuencia, y en función de los fundamentos esgrimidos por la AEPD, se impone a la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, entidad de la que depende el centro, una sanción de apercibimiento
Como podemos ver en los fundamentos anteriormente analizados, , el hecho de publicar listados, en espacios y canales de comunicación en abierto, con datos de carácter personal de los miembros de la comunidad educativa puede acarrear graves consecuencias para el centro si no se hace cumpliendo con los principios en materia de protección de datos.
Entonces, ¿Hay alguna forma de realizar estas publicaciones y no ser sancionado?
Atendiendo a lo indicado en la resolución y a la normativa vigente no queremos continuar nuestro artículo sin dar unos consejos para que podáis utilizar a la hora de llevar a cabo publicaciones de listados y no ser objeto de investigación por parte de la AEPD:
- Siempre que vayamos a realizar un tratamiento de datos de carácter personal, hemos de contar con una legitimación de entre las recogidas en el Art. 6 RGPD, en aras de dar cumplimiento al principio de licitud. Para ello consultaremos este artículo antes de proceder a la publicación de ningún listado, en aras de asegurarnos de que podemos hacerlo.
- Hemos de intentar utilizar la menor cantidad de datos posibles a la hora de elaborar los listados para cumplir con el principio de minimización de datos (artículo 5.1.c RGPD). Siempre seguiremos las pautas marcadas por la propia AEPD en su informe titulado: “ORIENTACIÓN PARA LA APLICACIÓN PROVISIONAL DE LA DISPOSICIÓN ADICIONAL SÉPTIMA DE LA LOPDGDD”, en el cual nos indica como proceder a la publicación de listados de una forma coherente y con el menor impacto posible en materia de protección de datos.
- Publicar los listados siempre en zonas privadas, a las que solamente puedan acceder los miembros de la comunidad educativa. Entendemos que con la situación sanitaria en la que nos encontramos actualmente esto es más complicado, dado que antes se colgaban en los tablones de anuncios de los centros. Por lo anterior es por lo que recomendamos que estos listados se cuelguen, por ejemplo:
- Plataforma Escolar del centro.
- Página Web del centro (zona privada).
La recomendación de estas vías para la publicación es para que no se produzca el acceso de terceros no autorizados a los datos que se recojan en los listados, de esta manera cumpliremos con los artículos 5.1. f) RGPD y 5 LOPDGDD, por lo cuales hemos visto que se puede llegar a sancionar a un centro.
- No conservar los listados publicados más tiempo del necesario. Es decir, cuando la lista ya no sea de utilidad hemos de eliminarla de la plataforma escolar o zona privada de la web, o lugar donde se haya publicado. De esta manera estaremos cumpliendo con el principio de limitación del plazo de conservación, el cual también se recoge en el mencionado artículo 5 LOPDGDD, así como en el artículo 5.1.e RGPD.
En conclusión, si llevamos a cabo la publicación de los listados cumpliendo con las medidas de seguridad indicadas no vulneraríamos en ningún momento la confidencialidad e integridad de los miembros de nuestra comunidad educativa, por lo que no seriamos objeto de investigación por parte de la AEPD. Eso sí, es importante que estemos muy seguros de cumplir con la normativa en materia de protección de datos a la hora de publicar listados, dado que como habéis podido comprobar a lo largo de nuestro artículo, sino podremos tener serias repercusiones en nuestro centro.