Foto de Kimberly Farmer en Unplash

Los centros educativos, en su labor esencial de formar a las futuras generaciones, deben manejar una gran cantidad de datos personales relativos a todo tipo de sujetos: alumnos, padres, madres, tutores y profesores. Esta gestión será necesaria para múltiples actividades, desde la matriculación de un alumno, hasta la gestión de becas o la puesta a disposición de servicios complementarios como comedor, actividades extraescolares o religiosas. Sin embargo, la convivencia de dos derechos fundamentales como la educación (art. 27 de la Constitución Española) y la protección de datos (art. 18.4 de la Constitución Española) no son incompatibles.

Ante esto, la Agencia Española de Protección de Datos emitió una guía a mediados de septiembre del año en curso, con el objeto de orientar a padres, madres y docentes acerca de los errores y prácticas más comunes de los centros y, en consecuencia, formular una serie de recomendaciones para mejorar la protección de los datos personales en los centros educativos, entre las que destacan:

• El interés superior del menor deberá ser el punto de partida del tratamiento de datos de los equipos directivos, profesores y personal educativo en el ejercicio de sus funciones. A partir de ahí, se irá construyendo un entorno de privacidad, debida diligencia e intimidad que alcanzará progresivamente al resto de sujetos involucrados (padres, madres, tutores y el resto del personal educativo).
• Para las dudas que puedan surgir en materia de protección de datos, apóyese en su Delegado de Protección de Datos (en adelante DPD). Por obligación legal, los centros educativos deben disponer de uno (art. 34.1.b de la LOPDGDD, 3/2018). Esta figura informar, asesora y supervisa el cumplimiento de la normativa sobre protección de datos y es el interlocutor de los interesados con la autoridad de control.
• Las Administraciones Públicas y los centros educativos son los responsables del tratamiento de los datos y deben comprender cómo funciona el deber de informar (arts. 12, 13 y 14 del RGPD UE 2016/679).

En este sentido, el consentimiento de los titulares de los datos no es necesario cuando está justificado en una finalidad educativa y ese tratamiento o actividad cuenta con una mención específica en matrículas de los alumnos, guías didácticas o planes de estudios. En cambio, cuando la finalidad no sea educativa (por ejemplo: publicación de imágenes de menores de edad en redes sociales con motivo de una actividad realizada en el colegio, pero, con fines divulgativos y promocionales), se debe informar con claridad, permitiendo a los interesados a oponerse a ese tratamiento si así lo estiman oportuno.

• Las TIC son herramientas clave para el aprendizaje del alumnado. Para ello, los profesores que requieran de la utilización de estas deberán conocer las aplicaciones, sus políticas de privacidad y sus condiciones de uso, debiendo rechazar aquellas que no ofrezcan información clara. Si se desconoce como identificar tal circunstancia, póngase en contacto con la Dirección, jefes de estudios o con su DPD con el fin de establecer políticas y procedimientos claros para el uso de las TIC, la protección de datos y la privacidad.
• Formación continua. Los profesores deben estar advertidos de la peligrosidad de compartir contenidos a Internet y así evitar cualquier forma de violencia (ciberacoso, bullying, sexting o violencia de género, entre otros). Los teléfonos móviles que lleven los alumnos en el centro, se recomienda que sean depositados en los lugares indicados y les sean devueltos a los alumnos al finalizar la jornada escolar, pues, su utilización sólo será preceptiva en tareas de enseñanza y aprendizaje permitidas por el docente o en situaciones de emergencia para avisar a padres, madres o tutores legales.
• Aplicación de medidas de seguridad. El RGPD introduce nuevas obligaciones basadas no sólo en el cumplimiento de la norma, sino en poder demostrarlo mediante una actitud consciente, diligente y proactiva. Esta premisa afecta especialmente al sector educativo por la recomendación de una serie de prácticas:

1. Los centros y Administraciones educativas deberán realizar una valoración del riesgo (conocer qué consecuencias acarrearía la pérdida, destrucción, alteración por accidente o acceso no autorizado a los datos personales) con la finalidad de implantar medidas técnicas y organizativas de seguridad (encriptación, control de accesos, copias de seguridad, antivirus que protejan los sistemas informáticos, procedimientos de gestión de incidentes, etc.).
2. Tomar conciencia de la necesidad, cuando se precise, de obtener el consentimiento explícito e informado del alumno si es mayor de 14 años, o de sus padres o tutores legales en caso de ser menor.

• En caso de que no se disponga de DPD, notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente en el caso de que el Departamento de IT, profesores formados en la materia o la Dirección del centro se percate de una fuga de datos o brecha de seguridad en sus sistemas.

En definitiva, la protección de los menores en el ámbito educativo es una responsabilidad compartida. Los centros educativos deben adoptar medidas rigurosas para garantizar la seguridad de la información, mientras que los padres y tutores deben participar activamente en la protección de la privacidad de sus hijos. Sólo así, a través de una colaboración estrecha y un compromiso constante, podremos construir un entorno educativo seguro y respetuoso con los derechos de los más pequeños.