La ClickDatos es aplicable a todos los ámbitos. Además, afecta a todo tipo de instituciones u organizaciones que tratan con información personal. Los centros educativos, por tanto, están incluidos en la nueva LOPD. Hay muchos aspectos a tener en cuenta para su implantación.
La nueva LOPD en los centros educativos
El primer paso a tener en cuenta si tienes un centro educativo es la necesidad del análisis de qué tipo de datos tratas. Además, para ello debes tener en cuenta la finalidad para la cual los utilizas y qué clase de tratamiento realizas. De este modo, podrás establecer las medidas adecuadas que impone la nueva LOPD. Es importante saber qué tipo de centro educativo tienes: si es una academia, si es un colegio privado, un centro de formación profesional, etc. Vamos a verlo más detalladamente a continuación.
La responsabilidad proactiva
Con la responsabilidad proactiva se introduce en los centros educativos una nueva modalidad de cumplimiento que implica que como responsable del tratamiento de los datos de los alumnos, tu centro, academia o institución educativa, adopte las medidas necesarias y además puedas demostrarlo. Así lo exige la Agencia Española de Protección de Datos, señalando la especial relevancia si se trata de datos de menores de edad.
¿Qué implica esto? Algunos ejemplos prácticos son, por ejemplo, que ahora no podrás colgar notas de tus alumnos de forma pública en un tablón, o en Internet, ni mucho menos lo que se solía hacer de poner cualquier información del alumno junto al DNI de forma pública. ¿Por qué? Por la privacidad por defecto, que es una consecuencia necesaria de lo que te acabamos de explicar sobre la responsabilidad proactiva.
Es decir, las instituciones educativas están ahora obligadas a adoptar las medidas que reguló el Reglamento General de Protección de Datos (RGPD), y que ahora recoge la nueva LOPD: la LOPDGDD 3/2018. Los centros deben adaptar los principios por los que se rigen para que la responsabilidad proactiva sea efectiva.
¿Sabes qué implicaciones tiene entonces la responsabilidad proactiva? Dicho de manera práctica, cuando sea necesario, tienes que estar preparado para solicitar los datos personales a alumnos o a sus representantes en su caso. No obstante, no debes olvidar establecer las medidas pertinentes para la protección de sus datos. Es decir, tienes que considerar siempre la privacidad por defecto.
La privacidad por defecto significa que, en los centros educativos, incluyendo las academias, los sistemas de tratamiento de datos tienen que configurarse de manera restrictiva. Tan solo las personas implicadas, que son los alumnos o si son menores, sus representantes legales, podrán decidir qué aspectos hacen públicos con respecto a su información.
¿Necesitas un Delegado de Protección de Datos?
En la nueva LOPD aparece la figura del Delegado de Protección de Datos (DPO). Una de las preguntas más frecuentes en toda clase de empresas, no solo los centros educativos, es si el DPO es siempre necesario. No siempre lo es, depende de si tratas datos a gran escala y de los tipos de datos que trates. Por ejemplo, si tratas datos especialmente sensibles (como la salud de tus alumnos), sí es necesario.
La figura del DPO se encarga de que se prevengan situaciones de incumplimiento de protección de datos, lo que da lugar a graves sanciones. Además, el DPO supervisa el tratamiento de datos en las instituciones educativas, así como informa y asesora al responsable del tratamiento y a los trabajadores.
Los propios centros son los que deben encargarse de la designación de un DPO. Asimismo, dicha figura tiene otras finalidades. Hemos visto a nivel general que podrá garantizar que cumples en tu centro la legislación sobre protección de la información personal de tus alumnos. Igualmente, podrá realizar auditorías o formar al personal.
Hay un aspecto muy importante en las instituciones educativas, que es el factor de si tus alumnos son o no menores. Pero no solo menores de edad, en realidad el límite más importante está en si son o no menores de catorce años. De acuerdo con la AEPD, la información en materia de protección de datos que se ofrezca a los interesados deberá estar adecuada.
Si los alumnos tienen más de catorce años, además de informar a sus representantes legales, deberá aportarse a los mismos una información suficiente que, por su parte, tendrá que ser entendible para ellos. Asimismo, se les deberán comunicar los derechos que tienen y cómo ejercerlos, y articular el proceso por el que notificarás a las autoridades las posibles brechas de seguridad.
El registro de actividades
Con la nueva LOPD se han mejorado indudablemente los derechos referentes a la privacidad. No solo de cara a los alumnos, también se tiene en cuenta la privacidad del personal que trabaje en el centro educativo, así como de los docentes. A todos ellos se les garantizará el acceso a su propia información, y esta no se trasladará a terceros sino con previa autorización.
Ahora, cobra más importancia no solo la obligación de protección de la información, también la necesidad de documentar los procedimientos. A este efecto, cobran fuerza los registros de actividades. Es decir, si tienes un centro educativo, una de tus obligaciones es inscribir en la AEPD los distintos ficheros. Deberás describir detalladamente los datos que vas a recoger, el objetivo del tratamiento, a quién se comunicarán, cómo se van a proteger y cómo podrán acceder a sus derechos ARCO (acceso, rectificación, cancelación y oposición).
En definitiva, los nuevos derechos que aporta la LOPDGDD darán luz verde a los derechos que van a reforzar la capacidad de control que tienen los alumnos sobre su información, sobre a quién se le da, cómo se trata y los otros aspectos que te hemos descrito. Por tanto, tendrás que determinar qué obligaciones cumplirás o cumplirá el responsable del tratamiento de datos en tu centro.
La protección de datos ha implantado un nuevo escenario que afecta de forma directa a los centros educativos. Estos tienen información sobre sus trabajadores y sobre sus alumnos: documentos, expedientes, fotografías, evaluaciones, informes médicos, etc. En ocasiones, incluso información sensible como datos de salud o sobre etnia o raza.