¿Cómo debe ser cumplido el RGPD en los colegios?

¿Cómo debe ser cumplido el RGPD en los colegios?

La Constitución Española (CE) garantiza el derecho a la educación en el artículo 27.1. No obstante, el derecho implica que en las escuelas se desarrolle una actividad administrativa que hace que deba aplicarse el RGPD en colegios.

Los datos que protege el RGPD en escuelas

Cuando hablamos del RGPD en escuelas debemos englobar nombres y apellidos, teléfonos, DNI o e-mails, entre otros. La Ley Orgánica de Educación permite que los centros puedan recabar datos personales para la orientación de los alumnos y para su función docente.

El origen familiar y social

Entre los datos que se recogen en las escuelas está la situación familiar de los estudiantes. Por tanto, se tratarán datos tanto de padres como de alumnos. Estos últimos datos son relevantes por ejemplo en caso de divorcios, pues el colegio debe saber quién ostenta la patria potestad.

Las características personales

Aquí podemos englobar los datos sensibles que pueden ser importantes para la educación. Por ejemplo, en la matriculación se incluyen discapacidades, TDAH, enfermedades crónicas, intolerancias y alergias. Asimismo, se incluirán los datos sobre el tratamiento médico del alumno en el centro y los informes psicológicos.

Circunstancias importantes para educar a los alumnos

En este punto se incluyen por ejemplo los resultados académicos. También, otros aspectos importantes como la situación personal del alumno y la familiar, para así alcanzar un buen desarrollo educativo.

Elementos clave del RGPD en colegios

Los datos personales no pueden utilizarse para algo que no sea la función docente y orientadora. Por ello, tanto los profesores como el personal del centro deben guardar secreto.

El consentimiento

El tratamiento de datos se legitima mediante el consentimiento y debe obtenerse previamente a la recogida de datos. Debe ser específico e inequívoco y corresponder al centro la acreditación de su existencia o la Administración educativa. Además, el consentimiento debe ser explícito. Especialmente, deberá serlo en los datos sensibles.

Por otro lado, también es fundamental que el colegio informe al personal, y que lo forme, sobre las competencias que tiene para gestionar la información de la que dispone en el ejercicio de sus funciones. Igualmente, los trabajadores deben saber las medidas que tiene el centro a la hora de garantizar la protección de la privacidad, sobre todo de los menores de edad.

Publicar fotografías en la web del centro

En caso de que el centro quiera publicar fotografías de sus alumnos en Internet, ya sea en la web del centro o en las redes sociales, deberán solicitar el consentimiento de los representantes legales. Asimismo, el centro deberá tener en cuenta las medidas de seguridad que sean pertinentes.

Ten en cuenta que cuando haces una fotografía con el móvil, este podría estar configurado de forma que se suba automáticamente a la nube o de manera que se almacene en una aplicación que esté asociada a quien hace la foto.

Realización de auditorías

La auditoría debe realizarse cada dos años y puede ser tanto interna como externa. Lo importante es que la realice un profesional que esté especializado en materia del Reglamento Europeo de Protección de Datos y que, por tanto, pueda diagnosticar si realmente se están cumpliendo los requisitos mínimos que la normativa establece. También, podrá señalar al centro educativo todos los aspectos que necesitan mejora.

Obligaciones según el Reglamento Europeo de Protección de Datos

La primera obligación que establece el Reglamento Europeo de Protección de Datos para las escuelas es la llevanza de un registro de actividades de tratamiento. También, se imponen muchas otras obligaciones importantes que te detallamos a continuación.

1. Registrar el tratamiento de datos

Desde que entró en vigor el RGPD se hizo obligatorio que se inscribieran ficheros en la AEPD con este fin. El objetivo es llevar un registro de actividades que debe contener, en primer lugar, los nombres y datos de contacto de quien sea el delegado de protección de datos y del responsable del tratamiento de datos.

A su vez, tienes que informar de los fines del tratamiento y debes incluir una descripción de cuáles son las categorías de datos personales y las de los interesados. También, las categorías de las personas destinatarias a las que se les vayan a comunicar los datos personales y si los mismos se van a enviar a una organización internacional o, bien, a un tercer país.

Por último, deberá tener información sobre los plazos previstos para suprimir las categorías de datos y en general, una descripción para las medidas generales técnicas de seguridad, así como las organizativas.

2. Hacer un análisis de riesgos

En los colegios debes realizar una valoración del riesgo que conlleva el tratamiento de datos que se haga ahora o en un futuro.  Así, podrás implantar las medidas de organización y las técnicas que te hemos mencionado en el punto anterior. Debes garantizar que los datos que se traten sean acordes a la finalidad para la que se recogieron y que, además, no van a ser accesibles a todo el mundo.

3. Evaluar el impacto

Según el RGPD, este punto es obligatorio cuando se tratan datos sensibles a gran escala. Este es el caso de los colegios, ya que pueden obtener datos de salud, de origen étnico o racial o de convicciones religiosas, entre otros. También, es necesario si se observa sistemáticamente una zona de acceso público. Como sabes, es igualmente el caso de los colegios, que pueden tener cámaras de seguridad en la entrada.

4. Nombrar un Delegado de Protección de Datos (DPO)

Es obligatorio para los colegios, ya que esta figura es la que se encarga de vigilar el cumplimiento de la normativa y es la que sirve de nexo con la Autoridad de Protección de Datos.

5. Avisar de posibles violaciones de la seguridad

Las brechas de seguridad deben notificarse tanto a los interesados como a la AEPD. Estas consisten en la pérdida, alteración incidental o ilegal, destrucción, comunicación de datos o acceso no autorizado.

El RGPD en los colegios tiene una importante función al estar tratándose datos de menores de edad y datos de carácter sensible. ¿Conocías las obligaciones que deben cumplir los centros educativos?

imagen

Artículos relacionados

¿Por qué tienen los autónomos que cumplir con la protección de datos? La legislación de protección de datos es una obligación para todos los profesionales y personas jurídicas que cuenten con un fichero de datos. En este artículo te explicamos por qué los autónomos deben cumplir con el RGPD que entró en vigor el 25 de ...
Adaptación a la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal)... La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, establece una serie de obligaciones para las empresas, los profesionales autónomos y las administraciones públicas que sean titulares de datos de carácter person...
Los nuevos derechos digitales en la nueva LOPD La nueva LOPD ha supuesto un incremento general de las garantías de protección de los datos personales respecto a las normativas anteriores, como la antigua Ley Orgánica de Protección de Datos Personales (LOPD) y su reglamento de desarrollo.Una d...
Cumplimiento de la LOPD en el acceso a los documentos públicos La transparencia de información que tienen los poderes públicos en el acceso a los documentos públicos no es absoluta. La protección de datos personales tampoco lo es. Te preguntarás entonces en qué punto se encuentra la protección. De acuerdo con el...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *