Centros de enseñanza
Descubre qué tipo de datos personales se pueden tratar en colegios y escuelas, qué obligaciones tienen los centros docentes o la información relativa a menores que se puede publicar.
Obligaciones
En este punto vemos las principales obligaciones en materia de protección de datos en centros educativos. Estas obligaciones tienen que ver con el registro de actividades de tratamiento, la realización de análisis de riesgos y evaluaciones de impacto, la definición de responsabilidad ante el tratamiento, la obtención de consentimiento y la notificación de brechas de seguridad.
Registro de actividades de tratamiento
Los centros deben llevar en el centro un Registro de actividades de tratamiento con la siguiente información:
- Nombre y datos de contacto del responsable y del delegado de protección de datos.
- Los fines del tratamiento.
- Una descripción de las categorías de interesados y de las categorías de datos personales.
- Las categorías de destinatarios a quienes se comuniquen los datos personales.
- Las transferencias de datos personales a un tercer país o una organización internacional.
- Los plazos previstos para la supresión de las diferentes categorías de datos.
- Una descripción general de las medidas técnicas y organizativas de seguridad.
Análisis de riesgos
Deberán realizar una auditoría LOPD para valorar el riesgo que suponga el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.
Deben adoptar las medidas que, por defecto, garanticen que solo se tratarán los datos necesarios para la finalidad para la que se recogieron y que no estén accesibles a un número indeterminado de personas.
Evaluación de Impacto
Según el RGPD, será obligatorio realizar una Evaluación de impacto en Protección de Datos en los siguientes casos:
- Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
- Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados.
Responsable del tratamiento
Los centros tienen la obligación de nombrar un Delegado de Protección de Datos que supervise el cumplimiento de la normativa y sirva de enlace con la Autoridad de Protección de Datos.
Consentimiento
El consentimiento de los alumnos o de sus padres o tutores se deberá obtener de forma expresa. Es necesaria una clara acción afirmativa del interesado.
Cuando se refiera al tratamiento de datos sensibles o para transferencias internacionales de datos, el consentimiento además deberá ser expreso.
Notificación de brechas de seguridad
Si se produce destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una “violación de seguridad”, se habrá de notificar a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, comunicar a los interesados.
Modelos y plantillas de ayuda
A continuación encontraréis varios modelos y plantillas que podéis descargar y editar según tus necesidades.
- Descarga nuestro modelo de cláusula informativa para obtener el consentimiento expreso de los alumnos para el tratamiento de datos personales.
- Aquí puedes descargar una plantilla para el ejercicio de derecho de acceso.
- También puedes descargar un plantilla para el derecho de rectificación.
- También es posible que necesites descargar este modelo para el derecho de cancelación.
- Aquí puedes descargar el modelo para el derecho de oposición.
Sanciones por incumplir
Las infracciones en materia de protección de datos pueden dar lugar a sanciones por parte de la Agencia Española de Protección de Datos (AEPD).
La cuantía de las multas depende de factores como la gravedad de la infracción (leves, graves o muy graves), el perjuicio ocasionado al menor o sus padres o tutores legales, la prolongación en el tiempo de la infracción o la voluntad por parte del centro educativo de erradicar la conducta ilícita.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.