Los centros educativos desempeñan un papel clave en el desarrollo y progreso de la sociedad. Tienen encomendada la función docente y orientadora de los alumnos, lo que exige el tratamiento de sus datos personales junto a los de otros colectivos como padres, tutores o profesores. Desde el momento de la solicitud de plaza en un centro, la fase de matrícula, la gestión de expedientes académicos, de becas o de ayudas, hasta los servicios de comedor, transporte, etc. inherentes al funcionamiento del sistema educativo; así como para la puesta en marcha y desarrollo de actividades extraescolares. Los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación que constituye su razón de ser, también han de observar el derecho fundamental a la protección de los datos de carácter personal que, al no constituir su actividad principal, en ocasiones genera dudas sobre la interpretación y aplicación de su regulación.
La Agencia Española de Protección de Datos lleva más de diez trabajando en el sector de la enseñanza no universitaria para verificar el grado de conocimiento y cumplimiento de la normativa de protección de datos, facilitar la evolución de la educación hacia un entorno digital y contribuir a que el desarrollo de nuevos modelos respete los derechos de los afectados, sobre todo de los menores.
Con ocasión de la entrada en vigor el día 25 de mayo de 2018 del Reglamento General de Protección de Datos de la Unión Europea, que armoniza y regula el tratamiento de datos de carácter personal en la Unión Europea, se hace necesario incorporar a este Proyecto Educativo la normativa sobre protección de
datos que afecta a nuestra comunidad educativa. Además, otras razones presentes en nuestra sociedad refuerzan esa necesidad:
- El vertiginoso desarrollo de las tecnologías de la información y la comunicación de uso habitual por los centros docentes;
- la consecuente evolución de ciertos criterios en la interpretación de la normativa de protecciónde datos que afectan a la actividad de los centros educativos;
- y la evidencia de que aún persisten dudas en los centros educativos, en sus equipos directivos y en el profesorado sobre cómo proceder ante determinadas situaciones en las que están presentes datos de carácter personal.
La normativa, guías e informes de referencia en protección de datos serán los siguientes (se recomienda
su lectura detallada):
- Decreto 55/2023, de 6 de junio, por el que se establece la política de protección de datos en la Administración de la Junta de Comunidades de Castilla-La Mancha. El decreto pretende definir marco de referencia que permita adaptar a nuestra administración a las nuevas exigencias, garantizando el adecuado tratamiento de datos personales en la prestación de los servicios públicos y pasando de un modelo de cumplimiento a un modelo de responsabilidad proactiva, teniendo en cuenta en todo momento el riesgo que los tratamientos tienen para los derechos y libertades de las personas interesadas.
El decreto define también las funciones atribuidas a cada órgano competente en materia de protección de datos. Además, se redefinen las funciones del Comité Regional de Protección de Datos, de sus vocales y se incorpora a la estructura organizativa la figura del Delegado de Protección de Datos, del que se detalla su designación, posición en la Administración y las funciones que tiene encomendadas.
- Reglamento General de Protección de Datos de la Unión Europea (Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE). En algunos aspectos, como los conceptos, principios o derechos de los interesados, conserva los de la regulación actualmente aplicable, pero modifica algunos otros y contiene nuevas obligaciones que habrán de ser cumplidas por los sujetos obligados según sus circunstancias.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que tiene por objeto adaptar el Derecho interno español al Reglamento General de Protección de Datos. Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (aunque se mantiene vigente para la regulación de ciertas actividades).
- Guía para centros educativos de la Agencia Española de Protección de Datos (17 de octubre de 2017). Es una guía sobre las principales novedades del Reglamento que afectan directamente al sector educativos. Se pretende facilitar el conocimiento y cumplimiento de la normativa en protección de datos de alumnos y sus familiares. Incluye conceptos y principios básicos para comprender más fácilmente su aplicación en las situaciones concretas que se plantean en la práctica docente, dando respuesta a las preguntas más habituales desde la perspectiva del nuevo Reglamento.
- Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenen datos en la nube con sistemas ajenos a las plataformas educativas, de la Agencia Española de Protección de Datos (5 de abril de 2018). Se refiere al uso de apps, almacenamiento en la nube, correo electrónico o redes sociales ajenas a las plataformas de los centros educativos y en los que puede existir riesgo de perder el control de los datos personales.
- Escrito de la Secretaria General de la Consejería de Educación, Cultura y Deportes (2 de julio de 2018) informando sobre algunos aspectos regulados en la legislación europea y nacional sobre protección de datos que más dudas han suscitado entre los centros docentes o que pueden ser especialmente de interés.
- Escrito de la Secretaria General de la Consejería de Educación, Cultura y Deportes (9 de agosto de 2019) informando sobre la protección de datos de carácter personal, en especial, relativa al tratamiento de imágenes de la comunidad educativa y al procedimiento para que los centros puedan proponer la creación de algunos ficheros de protección de datos cuya responsabilidad compete a los propios centros educativos.
De la Guía para centros educativos extraemos su Decálogo de protección de datos para la comunidad
educativa. Incluye los conceptos y principios básicos en materia de protección de datos con el objeti
de comprender más fácilmente su aplicación en las concretas situaciones que se presentan en la práctica
educativa teniendo presente la perspectiva del nuevo Reglamento General de Protección de Datos.
DECÁLOGO DE PROTECCIÓN DE DATOS PARA LA COMUNIDAD EDUCATIVA
| 1 | Los equipos directivos, profesorado, personal administrativo y auxiliar de los centros educativos en el ejercicio de sus funciones y tareas necesitan tratar datos de carácter personal de los alumnos y de sus familiares, lo que deberán realizar con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores, el deber de guardar secreto sobre dichos datos y su uso exclusivo para las finalidades legalmente previstas. |
| 2 | La Consejería de Educación, Las Direcciones Provinciales y los Centros Educativos son los responsables de los tratamientos de los datos y deben informar a los usuarios sobre los principios básicos en la Protección de Datos y cómo tratarlos correctamente. |
| 3 | Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos para su tratamiento, que estará justificado en el ejercicio de la función educativa y orientadora, así como en la relación con los alumnos derivada de dicha función. No obstante, si un centro tiene que recoger datos, debe proporcionar la información necesaria al alumnado y/o las familias titulares de los datos. |
| 4 | Se debe Informar de manera inmediata de cualquier incidencia relacionada con la seguridad de los datos de carácter personal. |
| 5 | Las Tecnologías de la Información y la Comunicación (TIC) son herramientas fundamentales para la gestión y el aprendizaje de los alumnos. Los Centros deben conocer las aplicaciones que vayan a utilizar con los alumnos, su política de privacidad y sus condiciones de uso antes de utilizarlas, debiendo rechazarse las que no ofrezcan información sobre el tratamiento de los datos personales que realicen. |
| 6 | La Administración educativa y los centros educativos deben disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC por el profesorado, que deberá utilizar las que la Administración educativa y/o el centro hayan dispuesto. Su enseñanza y uso deberán adaptarse al grado de desarrollo del niño. |
| 7 | Las comunicaciones entre el profesorado y los padres del alumnado deben llevarse a cabo, preferentemente, a través de los medios puestos a disposición de ambos por la Consejería de Educación, Cultura y Deportes y por el centro educativo (plataformas educativas como EducamosCLM, correo electrónico de la Junta). Siempre se debe utilizar el correo dominio de la Junta “@jccm.es” o «@educastillalamancha.es» para temas profesionales y, especialmente, cuando se incluyen datos personales en los mismos. |
| 8 | El uso de aplicaciones de mensajería instantánea (como WhatsApp o Messenger) entre profesorado y padres o entre profesorado y alumnado, con carácter general, no se recomienda. No obstante, pueden utilizarse estas aplicaciones, con el consentimiento expreso de las personas titulares de los datos, para la organización de actividades concretas, para supuestos de necesidades especiales del alumnado o para realizar comunicaciones generales, siendo aconsejable, en todos estos casos, que la administración del grupo creado se realice por los propios padres y no por el profesorado. En aquellos casos en los que el interés superior del menor estuviera comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar y tranquilizar a los padres, titulares de la patria potestad, se podrían captar imágenes y enviárselas únicamente a los interesados a través de esas aplicaciones. |
| 9 | El profesorado debe tener cuidado con los contenidos del trabajo de clase que suben a Internet y procurar que no contengan datos personales. Deben enseñar a valorar la privacidad de uno mismo y la de los demás, así como informar al alumnado de que no pueden hacer fotos ni vídeos de otros compañeros ni del personal del centro escolar ni difundirlos por las redes sociales sin su consentimiento, para evitar cualquier forma de violencia (ciberacoso, grooming, sexting o de violencia de género). |
| 10 | Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares y de amistad), sin que puedan difundirse estas imágenes en entornos abiertos (como internet), sin el consentimiento de los interesados. |