Los centros educativos tales como escuelas, colegios, academias, y universidades, como parte de su actividad principal, tratan datos de alumnos, profesores, padres y personal del centro entre otros. En consecuencia, los centros educativos están obligados a confeccionar e implantar un plan de cumplimiento en materia de protección de datos de acuerdo con el Reglamento General de Protección de Datos.
Como parte del cumplimiento de la protección de datos de los centros educativos, los Responsables deberán diseñar e implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre del centro. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los padres y alumnos que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.
A continuación, explicamos cuales son las obligaciones fundamentales en materia de protección de datos que deben cumplir los centros educativos, también podrá ver nuestro vídeo sobre protección de datos en centros educativos.
1. Designar a un Delegado de Protección de Datos (DPD).
De acuerdo con el Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), los centros educativos están legalmente obligados a designar a un Delegado de Protección de Datos (DPD).
El DPD deberá cumplir los requisitos de cualificación profesional y, en particular, acreditar conocimientos especializados del derecho y la práctica jurídica en protección de datos. Debido a esta exigencia profesional, y a los costes que podría suponer la contratación interna de una persona para esta función, la mayoría de los centros educativos opta por externalizar esta figura con despachos de abogados especializados en protección de datos. Al momento de externalizar esta figura, es conveniente recurrir a profesionales o despachos que cuenten con la certificación de DPD expedida de acuerdo con el esquema nacional de la AEPD, como garantía y seguridad.
2. Elaborar un Registro de Actividades de Tratamiento (RAT).
Los centros educativos deben elaborar el denominado “registro de actividades de tratamiento”. En él se deben describir fundamentalmente los datos que se recogen, la finalidad, la legitimación, las medidas de seguridad que se aplican, si el tratamiento es manual, mixto o automatizado, si se prevén cesiones de estos datos a terceros y los plazos de conservación de la información.
Los centros educativos tratan un gran volumen de datos, de alumnos, padres, profesores. Además, incluyen datos de colectivos vulnerables, como es el caso de los menores, así como datos de especial sensibilidad como los relativos a la salud.
3. Realizar el análisis de riesgos.
Los centros educativos deben realizar un análisis de riesgos de las actividades de tratamiento. Se trata de un informe que identifica las amenazas, así como la probabilidad y el impacto que podría suponer que estas amenazas se materialicen. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas y efectivas para mitigarlo.
El riesgo podría resultar elevado para el tratamiento de datos sensibles, mucho más cuando van referidos a menores de edad. El constante uso de las redes sociales, la publicidad, la realización de actividades extraescolares, la subcontratación de empresas externas, así como las relaciones que mantienen con las AMPAS y otras organizaciones, pueden generar riesgos cuando no existe un plan de protección de datos efectivos y actualizado.
4. Informar a los interesados.
Las personas afectadas por el tratamiento deben recibir información al respecto en el momento en el que se produzca la recogida de datos. Para informar a los interesados, por ejemplo, se pueden colocar carteles informativos en la entrada del centro, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos, tales como el de matrícula.
Cuando se trate de alumnos menores de 14 años, el tratamiento de datos personales debe ser autorizado por sus padres o tutores. La información y el consentimiento pueden ser verbales, pero difícilmente serán acreditables si no se ha dejado constancia escrita.
Si el centro educativo tiene página web, debe incluir cláusulas informativas y de consentimiento según proceda en su web, tales como la política de privacidad, la política de cookies y el aviso legal general, como mínimo.
5. Recabar el consentimiento para el tratamiento de datos.
Como norma general los centros educativos tratan los datos de los interesados basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. Como norma general no se requiere el consentimiento para tratar datos de los alumnos y sus familias siempre que sean los datos estrictamente necesarios para la función educativa. No obstante, existen determinados tratamientos de datos que sí requieren el consentimiento, como pueden ser, por ejemplo, la captación de videos o fotos de los alumnos para promocionar la actividad del centro en la red o realización de actividades extraescolares entre otras. Resulta imprescindible en los centros educativos evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que les permitan cumplir con esta obligación.
6. Permitir el ejercicio de derechos del interesado.
Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los interesados tengan en todo momento el control sobre su información. Para ello los centros educativos deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.
Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción de acuerdo con lo establecido en el RGPD. Las bajas en el envío de publicidad suelen ser las que mayor número de conflictos generan.
7. Firmar los compromisos de confidencialidad con los empleados.
Los empleados van a tener acceso a la información de alumnos y usuarios del centro, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en el centro y se comprometan a cumplirlas.
Resulta clave que todos los profesionales del centro reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas a la empresa.
8. Firmar los contratos con los encargados de tratamiento.
Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, y las empresas subcontratadas para gestión de actividades escolares o extraescolares que puedan tratar datos personales. Se deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.
9. Realizar las auditorías periódicas.
Tal y como establece la normativa, y debido al volumen de datos tratados por el centro y el carácter especial o sensible de los mismos, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.
En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica. Somos Delegados de Protección de Datos Certificados.
Solicítanos un presupuesto ajustado en email info@umbraconsulting.es
Lilliam Valenzuela
