La AEPD publica los criterios para el tratamiento de datos personales en centros educativos

La Agencia Española de Protección de Datos (AEPD) tiene entre sus funciones la de promover la sensibilización entre las entidades acerca de sus obligaciones que les incumben en virtud del Reglamento General de Protección de Datos (RGPD).

En este contexto, la AEPD ha publicado recientemente los criterios para un correcto cumplimiento de la normativa en centros educativos, siendo estas las principales claves:

1. Base legitimadora del tratamiento

los centros educativos no necesitan el consentimiento de los titulares de los datos personales para su tratamiento, o de sus progenitores o tutores, ya que estará justificado en el ejercicio de la función educativa. No obstante, si se utilizan los datos de los alumnos para otras finalidades (por ejemplo, para la publicación de imágenes en internet), sí que será necesario recoger el consentimiento.

2. No se recomienda el uso de mensajería instantánea para la comunicación con los padres

Para la comunicación con los padres es recomendable utilizar los medios puestos a disposición por la escuela, generalmente, plataformas educativas o el correo electrónico corporativo del centro). No obstante, en aquellos supuestos en los que el interés superior del menor estuviera comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar y tranquilizar a los progenitores, se podrían enviar mensajes comunicando la situación.

3. Designación de un delegado de protección de datos

La normativa sobre protección de datos establece la designación obligatoria de un Delegado de Protección de Datos (DPD) en los centros educativos que ofrecen enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación. Además, establece que será el interlocutor con los interesados/as para las cuestiones sobre protección de datos personales, lo que incluye dudas, quejas y reclamaciones, tanto de las familias como de los/las profesionales de la educación, su contacto debe estar fácilmente accesible, por ejemplo, en la web del centro.

4. Toma de fotografías en eventos

Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos), a los que asistan las familias del alumnado, constituiría una buena práctica informar, mediante avisos o carteles, de la posibilidad de que las familias puedan grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares, de amistad) y no para su acceso por un número indeterminado de personas. Por ejemplo, los padres pueden enviar una imagen de una obra infantil a los abuelos del alumno, sin embargo, sería contrario a la normativa de protección de datos el hecho de publicar esa misma fotografía en las redes sociales.

5. Formación y concienciación

El profesorado y personal administrativo de los centros educativos, en el ejercicio de sus funciones y tareas, necesitan tratar datos de carácter personal del alumnado y de sus familias, lo que deberán realizar. Este tratamiento deberá realizarse con la debida diligencia en el cumplimiento de la normativa que lo regula y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores. Por ello, el personal deberá conocer sus funciones y obligaciones en materia de protección de datos.

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.