Me he apuntado a una academia para aprender inglés.

Ya era hora.

Y resulta que en la matrícula me piden permiso para publicar mis fotografías en Internet.

Bien hecho, se preocupan por la protección de los datos.

Y tú, ¿tienes un centro de enseñanza?

¿Te preocupa estar al día con la normativa de protección de datos?

Pues tranquilo.

Aquí tienes las principales actuaciones a realizar para adaptar tu centro de enseñanza al RGPD.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en los centros educativos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)
  • Ley Orgánica 8/2013, de 9 de diciembre, para la mejora de la calidad educativa.

¿Cómo deben cumplir los centros de enseñanza el RGPD?

Los principales colectivos de personas de los que se tratan datos personales en los centros de enseñanza son los alumnos. Se considera como colectivo de especial protección tanto por la cantidad de datos que se tratan, como la sensibilidad de los mismos, pues el centro de enseñanza trata todo tipo de datos, como situación socio económica del menor o datos de salud, por citar dos ejemplos.

Para asegurar un debido cumplimiento de la ley de Protección de Datos, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un usuario te deja sus datos para matricularse en el centro o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en el centro educativo para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los alumnos
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Elaborar una Evaluación de impacto
  8. Notificar brechas de seguridad
  9. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en los centros de enseñanza

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en los centros educativos son:

  • Alumnos
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

Los centros de enseñanza se relacionan constantemente con terceros que también disponen de algunos de los datos de los usuarios.

No me digas que tú no cedes datos a terceros porque no me lo creo.

¿Tienes una empresa informática que realiza el mantenimiento de los equipos o la página web?

¿Y una gestoría que lleva los temas fiscales y laborales de la entidad?

Entonces sí cedes datos a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

¿Qué debe incluir?

Como mínimo debe establecerse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento,
  • tipo de datos personales,
  • categorías de interesados, y
  • obligaciones y derechos del responsable.

3. Acuerdo de confidencialidad con empleados

Los empleados tienen acceso a toda la información que maneja el centro educativo y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En los centros de enseñanza los empleados disponen de un correo electrónico para comunicarse entre ellos y con alumnos y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de alumnos

Atención!

Esto es importante.

Además de actualizar la política de privacidad, en el centro educativo debes tener el consentimiento expreso de todos tus alumnos para poder tratar sus datos.

Los centros educativos deben contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • datos del responsable del tratamiento,
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • derechos de los afectados y cómo se pueden exigir estos y
  • datos del Delegado de Protección de datos.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del centro de enseñanza y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

En el centro educativo debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

¿Eso es todo?

No, no tan rápido.

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

7. Evaluación de impacto

Agárrate a la silla!

Aquí viene lo complicado.

Además, al ser el riesgo especialmente alto por tratar normalmente datos sensibles de los menores, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

En tu centro de enseñanza debes realizar esa Evaluación de impacto al tratar categorías especiales de datos. Es decir, porque recoges datos de salud de tus alumnos menores.

8. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en el centro educativo, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos

Los centros de enseñanza se encuentran dentro de las entidades en las que es obligatorio nombrar un Delegado de Protección de datos, ya que así lo exige el RGPD.

Puede ser, o bien una persona física contratada por el propio centro, o una figura externalizada en otra entidad con experiencia en la materia, siendo en todo caso su finalidad principal la de velar por el cumplimiento de la legislación en todo tratamiento de Datos de Carácter Personal llevados a cabo tanto por la propia entidad, como del resto de usuarios y/o afectados.

Preguntas frecuentes

¿Para qué tratan datos de salud los centros de enseñanza?

Los datos de salud se tratan de forma justificada datos para distintas finalidades, por ejemplo:

  • Servicios médicos relacionados con partes de lesiones o enfermedades de los alumnos durante su estancia en el colegio;
  • Discapacidades físicas o psíquicas, por ejemplo del síndrome TDAH.
  • Informes psicopedagógicos.
  • Servicio de comedor, se tratan datos de salud con el objetivo de saber que alumnos padecen algún tipo de alergia alimenticia.

¿Puedo utilizar Whatsapp para comunicarme con mis alumnos?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento expreso de tus alumnos o de los padres, en caso de que sean menores, para ello.

Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Es posible recoger datos biométricos?

¿Deben los centros educativos cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

¿Se pueden instalar cámaras de videovigilancia en las aulas alegando motivos de conflictividad?

Esto sería desproporcionado, pues durante las clases ya está presente un profesor. Sería una intromisión en la privacidad de los alumnos y podría suponer un control laboral desproporcionado de los profesores.

Cabría la posibilidad de que, fuera del horario lectivo y en los supuestos de desocupación de las aulas, se pudieran activar mecanismos de videovigilancia con la finalidad de protección a los alumnos y de evitar daños en las instalaciones y materiales.

¿Puedo publicar la lista de alumnos admitidos?

, se puede publicar la lista de alumnos admitidos siempre y cuando se haga de una manera que no suponga un acceso indiscriminado la información en:

  • tablones dentro del centro o
  • pagina web de acceso restringido

Esta publicación deberá recoger sólo el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.

Esta información, no obstante, estará disponible para los interesados que ejerciten su derecho a reclamar.

¿Puede un centro educativo publicar imágenes de los alumnos durante sus actividades?

, además si se realiza con fines educativos, como trabajos o evaluaciones, no sería necesario recabar el consentimiento.

En cambio si el motivo de la toma de imágenes es para la difusión del centro, por ejemplo, publicándolas en la web es necesario:

  • Contar con el consentimiento del afectado
  • Si el afectado es menor de 14 años habrá que solicitar ese consentimiento al que ostente su patria potestad
  • Informar con anterioridad de la finalidad de la grabación
  • Informar el nivel de accesibilidad de las imágenes

¿Se pueden recabar datos sobre la situación familiar de los padres de los alumnos?

, los centros educativos pueden recabar la información sobre la situación familiar de los alumnos. Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación.

Si los padres del alumno están separados o divorciados, debe recabarse información sobre:

  • quién ostenta la patria potestad, si ambos o uno sólo,
  • quién ostenta la guarda y custodia y
  • quiénes son las personas autorizadas a recoger al alumno.

¿Se puede facilitar la información escolar de los alumnos a sus familiares?

Sólo a los padres que ostenten la patria potestad o a los tutores, nunca a otros familiares, salvo que estuvieren autorizados por aquellos y constase claramente esa autorización.

¿Pueden las Asociaciones de padres tratar los datos de los alumnos por cuenta del centro educativo?

Sólo en aquellos casos en los que las AMPA prestasen un servicio al centro que requiera el tratamiento de dichos datos, por ejemplo, que se hicieran cargo del servicio de comedor o de transporte escolar por cuenta del centro.

En estos casos el AMPA actúa como un encargado del tratamiento y requiere la existencia de un contrato que incluya las garantías adecuadas.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro educativo a la normativa de Protección de Datos.

Sanciones

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí.

Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Es decir, no hay excusa que valga.

Las sanciones se interpondrán teniendo en cuenta:

  • naturaleza, gravedad y duración de la infracción,
  • número de interesados afectados,
  • nivel de los daños y perjuicios que hayan sufrido,
  • intencionalidad o negligencia en la infracción, y
  • medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a centros educativos.

Publicar fotografías de alumnos sin consentimiento

La imagen de una persona (en este caso su fotografía) ha de ser considerada como dato de carácter personal y su tratamiento sometido a la ley de Protección de Datos, por lo que, con carácter general, no será posible su utilización o cesión si el interesado (en este caso sus padres al tratarse de una menor) no ha dado su consentimiento para ello. Expediente AEPD  E/01670/2018

No atender debidamente el derecho de acceso

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. Resolución AEPD R/00709/2018

¿Te ha quedado claro todo lo que debes hacer para cumplir el RGPD en tu centro de enseñanza? ¿Ya cumples todos los requisitos exigidos? Espero tus comentarios.

¿Necesitas cumplir el RGPD?

Guía de protección de datos para centros de enseñanza
4.6 (91.67%) 12 votos