¿Los datos sobre sanciones disciplinarias a alumnos se consideran datos
especialmente protegidos?
No. El artículo 7.5 de la LOPD se refiere sólo a sanciones penales o administrativas.
No obstante, y vista la incidencia que la divulgación de información
asociada a las sanciones disciplinarias puede tener en el desarrollo del menor,
se recomienda mantener una diligencia especial en el tratamiento de esta
información.
¿El seguimiento de una dieta específica se puede considerar un dato
relativo a la salud o a las creencias de una persona?
Sí, si el seguimiento de la dieta puede asociarse a una enfermedad específica.
En otros casos, el seguimiento de determinadas dietas puede asociarse a la religión de una persona. En ambos casos, nos encontraríamos ante datos que
deben ser especialmente protegidos.
¿La elección de la asignatura de religión por parte de un alumno se
puede considerar como un dato personal relativo a la religión o a las
creencias?
No. Este dato, aisladamente considerado, no tiene la consideración de dato
especialmente protegido.
El consentimiento es la pieza angular en la protección de datos. Constituye el principio
sobre el cual se articula el poder de disposición y control de cualquier persona
sobre sus datos. Así, cuando el centro educativo tiene que tratar datos de carácter
personal para ejercer sus funciones, tiene que contar con el consentimiento de la
persona afectada o, si no, con una ley que lo habilite. De acuerdo con la normativa de protección de datos, el consentimiento tiene que ser:
- • Inequívoco: la solicitud y el otorgamiento del consentimiento se tienen que producir de forma clara.
- • Libre: la persona tiene que tener la posibilidad de rechazar libremente que se traten sus datos.
- • Específico: el consentimiento se refiere a tratamientos concretos y para una finalidad determinada, explícita y legítima del responsable del tratamiento, sin que se puedan hacer habilitaciones genéricas.
- • Informado: hay que informar a las personas afectadas de acuerdo con lo que establece el artículo 5 de la LOPD para que, antes de iniciar el tratamiento, puedan conocer su existencia y sus finalidades.
Un centro educativo obtiene el consentimiento para utilizar la
imagen de unos alumnos con finalidades publicitarias del centro.
¿Puede cederlas, sin consentimiento, a una productora de
TV para hacer un documental?
No. La solicitud del consentimiento siempre se tiene que referir a una finalidad
o finalidades determinadas, explícitas y legítimas. Puede referirse además de
un tratamiento a la vez, pero tienen que estar perfectamente determinados.
Cuando se pida en el mismo momento para diferentes finalidades, el consentimiento
tiene que poder ser independiente para cada una. Así, los padres
tienen que poder consentir que el centro difunda la imagen con finalidades
publicitarias y, al mismo tiempo, no consentir otros usos de la imagen del hijo
que vayan más allá de este tratamiento.
¿Cuando sea necesario el consentimiento para tratar los datos,
el centro educativo tiene que contar siempre con la autorización
de los dos padres?
El tratamiento de los datos de un menor de 14 años, lo puede autorizar cualquiera
de los padres, siempre que tenga la patria potestad. Cuando el hijo
tenga más de 14 años su consentimiento es suficiente para tratar sus datos,
salvo los casos en que una ley exija la asistencia de los padres o tutor.
¿Hace falta el consentimiento de los padres para tratar los
datos de salud del alumno, concretamente los datos psicopedagógicos?
No hace falta el consentimiento si el tratamiento es efectivamente necesario
para ejercer las funciones docente y orientadora del centro.
Los centros educativos normalmente tratan datos de menores de edad. Con respecto
al consentimiento para tratarlos, hay que tener en cuenta lo siguiente:
- • Si son mayores de 14 años, es suficiente con su consentimiento, salvo los casos en que la ley exija la asistencia de las personas titulares de la patria potestad.
- • Si son menores de 14 años, siempre hace falta el consentimiento de los padres o tutor.
A través de un menor no se pueden recoger datos que permitan obtener información
sobre el resto de miembros del grupo familiar o sobre sus características (actividad
profesional de los progenitores, información económica, etc.), sin consentimiento
de las otras personas afectadas, a menos que se trate de los datos referentes a la
identidad y la dirección de los progenitores para poder obtener su consentimiento.
La protección de los menores se concreta, también, en la exigencia que la información
que se les proporciona sea en un lenguaje que les resulte fácilmente
comprensible.
¿Se pueden publicar en el web imagenes o vídeos de los alumnos
haciendo diferentes actividades en el centro?
La publicación en Internet de estas imágenes de los alumnos es una comunicación
de datos y por lo tanto, requiere el consentimiento de los padres o
tutor o del mismo alumno afectado, si es mayor de 14 años. Ahora bien, se
pueden difundir imágenes en que los alumnos no resulten reconocibles sin
esfuerzos desproporcionados o cuando se trate de una imagen captada en
un acto público (p. ej. fiestas del centro abiertas a familiares y amigos) y en la
cual la imagen de la persona aparezca como meramente accesoria.
¿Es suficiente obtener el consentimiento del alumno o de sus
padres o tutor una única vez, o hay que obtenerlo cada vez que
se quiera hacer una fotografía y publicarla?
Con la obtención del consentimiento para una finalidad concreta una sola vez
puede ser suficiente. En cualquier caso, en el momento de pedir el consentimiento
se debe informar a las personas afectadas de manera clara sobre la
finalidad y el periodo de validez de la autorización.
¿Hay que contar con el consentimiento para difundir imágenes
de alumnos en el web del centro si las imágenes están difuminadas
o se trata de una fotografía colectiva en que los alumnos
no son identificables?
No. Al no ser identificable, sin esfuerzos desproporcionados, la persona afectada,
la imagen no tiene la consideración de dato de carácter personal. En
consecuencia, la normativa de protección de datos no es de aplicación.
¿Se pueden recoger datos personales directamente del menor,
sin autorización de sus padres o tutor?
No, en el caso de los menores de 14 años. En este caso hay que contar con
el consentimiento del padre, madre o tutor. Sí, en el caso que sean mayores de 14 años. Los datos se pueden recoger
directamente con el consentimiento del menor, salvo los casos en que la ley
exige para su prestación la asistencia de los titulares de la patria potestad o
tutela.
¿Se pueden pedir al menor datos de sus padres?
A través de un menor no se pueden recoger datos que permitan obtener información
sobre el resto de miembros del grupo familiar o sus características
sin consentimiento de las otras personas afectadas. Sólo se le puede pedir
el nombre y apellidos y la dirección de los padres o tutor, para obtener su
consentimiento.
¿Un centro educativo puede recoger el dato relativo a las direcciones
de los correos electrónicos de los padres a través de los
alumnos menores de edad, con el fin de ponerse en contacto
con ellos?
Como norma general, hay que contar con el consentimiento de los padres
para recoger el dato relativo a su correo electrónico. Excepcionalmente, puede
facilitarlo directamente el menor, en aquellos casos en que sea necesario
completar la capacidad del menor de edad a través de sus progenitores, a fin
de que éstos puedan consentir el tratamiento de los datos del menor.
¿Puede el personal docente de un centro educativo exigir a un
menor de 14 años la clave de acceso a su cuenta de una red
social y consultar su contenido sin el consentimiento de sus
padres o tutor?
No, el acceso y la consulta del contenido de la cuenta, de una red social de un
alumno menor de 14 años en principio no formaría parte de la acción educativa
u orientadora del centro, a menos que se trate de una cuenta facilitada por el
mismo centro con finalidades académicas. Cuando la gravedad de las circunstancias
lo requiera, hay que contar con el consentimiento de los padres o tutor.
Es muy probable que los centros educativos, para ejercer sus funciones ya desde el
inicio del ciclo escolar tengan que tratar datos que tienen la consideración de datos
especialmente protegidos. Son datos de salud de los alumnos, discapacidades, exá-
menes psicopedagógicos, enfermedades crónicas, intolerancias alimenticias, datos
de religión y creencias, origen racial de los alumnos, así como infracciones penales
y administrativas o datos de la afiliación sindical de los maestros y trabajadores.
Estos datos especialmente protegidos se pueden tener que tratar, tanto en el momento
de la preinscripción y la matriculación como después, durante el ciclo académico.
Así, en el momento de la preinscripción, con la finalidad de determinar la puntuación
que corresponda para acceder a un determinado centro o de llevar a cabo las
adaptaciones apropiadas, se pueden tener que tratar datos relativos a una discapacidad,
a una enfermedad crónica que afecte al sistema endocrino o metabólico
del alumno y que exija un control alimentario o la existencia de necesidades educativas
especiales derivadas de la pertenencia a una minoría étnica o inmigrante
con déficit social o cultural.
Por otra parte, durante la actividad docente se recogen datos sobre enfermedades
o discapacidades de los alumnos a través de la información que facilitan los padres
y los alumnos o a través del servicio médico o de enfermería del centro, así como
informaciones psicológicas derivadas del seguimiento del alumno, etc.
La LOE habilita los centros educativos para tratar datos especialmente protegidos
de sus alumnos, que pueden incluir datos referentes al origen y al ambiente familiar
y social, a características o condiciones personales y al desarrollo y a los resultados
de su escolarización, así como otras circunstancias cuyo conocimiento sea
necesario para la educación y la orientación de los alumnos.
Más allá de eso, en los casos en que haga falta el consentimiento de las personas
afectadas, hay exigencias especiales con respecto a la forma de recoger el consentimiento:
- a) Datos sobre ideología, afiliación sindical, religión y creencias de una persona física: sólo pueden tratarse con el consentimiento expreso y por escrito del titular de los datos, y advirtiéndole respecto de su derecho a no facilitar estos datos.
- b) Datos sobre origen racial, salud y vida sexual de una persona física: sólo se pueden tratar cuando, por razones de interés general, así lo disponga una ley o la persona afectada consienta expresamente.
La legislación otorga también una protección especial a los datos relativos a infracciones
administrativas y penales, al establecer que sólo se pueden incluir en los
ficheros de las administraciones públicas competentes en los supuestos previstos
en las normas reguladoras respectivas.
Conviene tener en cuenta sin embargo, que los datos especialmente protegidos
se pueden tratar sin consentimiento cuando sea necesario para la prevención o
el diagnóstico médicos, la prestación de asistencia sanitaria o de tratamientos
médicos por parte de profesionales sanitarios u otras personas sujetas al secreto
profesional. También para salvaguardar el interés vital de la persona afectada o de
otra persona, en caso de que esté físicamente o jurídicamente incapacitada para
dar el consentimiento.
¿Hace falta el consentimiento para tratar datos psicológicos
del alumno mediante la realización de pruebas psicotécnicas
al alumno?
No. La LOE excluye la necesidad del consentimiento para tratar los datos
necesarios para ejercer las funciones docentes y orientadores.
¿Hace falta el consentimiento para tratar datos de los alumnos
con necesidades educativas especiales?
No. La LOE habilita el uso de los datos de los alumnos y familiares para darles
la atención que necesitan, siempre que se utilicen únicamente y exclusivamente
con una finalidad docente y orientadora.
¿Hace falta el consentimiento para crear direcciones de correo
electrónico a menores de edad en el marco de un programa que
promueve el uso de las nuevas tecnologías?
Sí, hace falta el consentimiento del titular de los datos, o de sus padres o tutor
si es menor de 14 años, para tratar los datos de los alumnos asociados a la
creación de una cuenta de correo electrónico, si esta cuenta se puede utilizar
para finalidades que vayan más allá de la actividad académica.
Ahora bien, si se trata de una cuenta de correo otorgada por el mismo centro
en el marco de su actividad docente y con un uso limitado a esta finalidad, el
consentimiento no es necesario.
Hay una serie de supuestos regulados en la LOPD en los cuales no es necesario
el consentimiento de la persona afectada para tratar sus datos personales. Concretamente
no hace falta el consentimiento cuando:
- • Así lo establece una norma con rango de ley.
- • Se recogen para ejercer funciones propias de las administraciones públicas en el ámbito de sus competencias.
- • Se refieren a las partes de un contrato o precontrato de una relación laboral, negocial o administrativa y son necesarios para mantenerla o cumplirla.
- • El tratamiento de los datos tiene como finalidad proteger un interés vital del interesado.
- • Los datos figuren en fuentes accesibles al público y haya que tratarlos para satisfacer un interés legítimo perseguido por el responsable del fichero.
Son
fuentes accesibles al público: el censo promocional, las guías de servicios de
comunicaciones electrónicas, las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos del nombre, título, profesión,
actividad, grado académico, dirección profesional e indicación de su pertenencia
al grupo, los diarios y boletines oficiales y los medios de comunicación social El tratamiento tiene por objeto la satisfacción de un interés legítimo del responsable
del tratamiento o del cesionario amparado por estas normas, siempre que
no prevalezcan el interés o los derechos y las libertades fundamentales de los
interesados.
Los datos sobre origen racial, salud y vida sexual sólo se pueden tratar sin consentimiento
expreso de las personas afectadas cuando, por razones de interés general,
así lo dispone una ley.
En el caso de los centros educativos, normalmente los datos de los alumnos se
tratan con el consentimiento de las personas afectadas o porque la ley, como es el
caso de la LOE, habilita el tratamiento.
Así, de acuerdo con la LOE, la incorporación de un alumno a un centro docente
supone el consentimiento para tratar sus datos estrictamente necesarios para la
función docente y orientadora y, si procede, para la cesión de datos procedentes
del centro donde haya sido escolarizado anteriormente.
Los centros docentes, sean de titularidad pública o privada, pueden recoger, sin
consentimiento, los datos personales de su alumnado necesarios para ejercer su
función educativa. Estos datos pueden hacer referencia al origen y ambiente familiar
y social, a características o condiciones personales, al desarrollo y a los resultados
de su escolarización, así como otras circunstancias cuyo conocimiento sea necesario
para la educación y orientación de los alumnos.
Los padres o el tutor y los mismos alumnos tienen que colaborar en la obtención
de la información.
Para otros casos en que hay que tratar los datos con finalidades diferentes a la función
docente y orientadora, como la publicación de fotografías en el web del centro
o la entrega de datos a casas de colonias, museos u otros establecimientos que se
visiten, se necesita el consentimiento del titular de los datos, o de su representante
en el caso de los menores de 14 años.
¿El centro puede recoger cualquier tipo de información sobre
los alumnos?
De acuerdo con el principio de calidad de los datos, el centro sólo puede
recoger y tratar los datos que sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades relacionadas con su actividad.
El principio de calidad no limita el número ni el tipo de datos que pueden
recogerse, sino que sólo exige evaluar su proporcionalidad a la vista de la
finalidad educativa y de orientación para la cual se recogen.
¿Cuáles son los datos necesarios, adecuados y pertinentes que
hay que tratar en un procedimiento de admisión de alumnos?
Aparte de los datos identificativos, especialmente el domicilio, hace falta tratar
sólo los datos necesarios para determinar si se cumplen los requisitos para
adjudicar la plaza y hacer la baremación de las solicitudes según la normativa.
Podría ser desproporcionado, por ejemplo, recoger información sobre ideología,
creencias o relaciones personales que no esté expresamente prevista en
la normativa reguladora del proceso.
¿Un centro educativo puede utilizar el dato del correo electrónico de los padres para enviar información sobre actividades
extraescolares organizadas por el centro o por el AMPA?
Sí, porque se trata de una finalidad compatible con la del fichero de alumnos.
¿Se puede utilizar el fichero de personal docente para enviar
información sobre convocatorias de formación del profesorado?
Sí. Si se trata de un fichero creado para la gestión de personal, eso incluye
también la formación del personal.
¿Los maestros en prácticas, pueden utilizar datos personales
que obtengan en su tarea de prácticas para hacer trabajos para
la Universidad?
No. Necesitan el consentimiento de los titulares de los datos. Si no lo tienen,
los pueden utilizar si están disociados y no permiten la identificación de las
personas titulares de los datos.
¿Se pueden utilizar los datos de los alumnos para hacer un
estudio sobre el fracaso escolar?
Sí, si bien hay que elaborarlo con datos anonimizados.
¿Y para que otro centro educativo que ofrece estudios de formación
profesional haga una campaña publicitaria entre estos
alumnos?
No, dado que se trataría de una finalidad incompatible, a menos que se obtenga
su consentimiento.
¿Hay que incluir la cláusula informativa en todos los correos
electrónicos que envía el centro a los alumnos o a sus padres
o tutor?
No, no es obligatorio si ya se informó en el momento de la recogida de los
datos. Pero sí que puede ser recomendable incluirla en los correos en que se
solicita la actualización o complementación de los datos, así como tenerla a
disposición de los interesados a través del web. Así, las personas que se relacionan
con el centro educativo saben dónde están sus datos, el tratamiento
que se hace, quién es el responsable y cómo pueden ejercer sus derechos.
¿Quién tiene que informar cuando se ha producido una cesión
de datos personales?
La obligación de informar de la cesión es del cesionario sin perjuicio que si
para hacer la cesión hace falta el consentimiento de las personas afectadas,
corresponde al cedente informar antes de obtener el consentimiento.
¿Si un centro educativo concertado contrata una empresa para
hacer estudios psicopedagógicos quien tiene que cumplir con
el deber de información?
En principio, la obligación de informar a las personas afectadas corresponde al
responsable del tratamiento. Si el responsable del tratamiento no lo ha hecho,
la empresa encargada del tratamiento tiene que informar antes de iniciar el
estudio.
¿Hay que informar a los padres de un menor si se comunican
datos relativos a una situación de riesgo a los servicios sociales?
No. Dado que la Ley, prevé la obligación de hacer esta
comunicación, no es necesario que el centro informe a los padres
del menor.
¿La información sobre los alumnos de que dispone el centro
tiene que estar disponible para todos los maestros y personal
del centro en carpetas de uso compartido?
Los maestros están legitimados para acceder a los expedientes académicos
de sus alumnos con finalidades académicas. Ahora bien, este acceso no puede
ser indiscriminado, es decir, no puede ser abierto a todo el profesorado del
centro. Cada profesor tiene que tener acceso sólo a los datos de los alumnos
respecto de los cuales tiene que intervenir y no está justificado el acceso a
los datos del resto de alumnos.
¿Hay que establecer alguna previsión específica respecto de los
estudiantes universitarios en prácticas en el centro educativo?
Se recomienda firmar un acuerdo de confidencialidad entre el estudiante en
prácticas y el centro educativo, con respecto a la información de terceras personas
a la cual puedan tener acceso con motivo de las prácticas.
¿Los maestros pueden llevarse información personal de los
alumnos a casa (fichas de los alumnos, informes de seguimiento,
etc.)?
La normativa de protección de datos establece que, con carácter general, la
salida de soportes y documentos que contienen datos personales fuera de los
locales del responsable la tiene que autorizar el mismo responsable o estar
autorizada en el documento de seguridad.
En cualquier caso, la autorización implica necesariamente que los maestros
deben conocer las medidas de seguridad que es necesario aplicar durante el
traslado de la documentación y durante la custodia de la información a su casa.
Es necesario evitar que los documentos se pierdan o que terceras personas
no autorizadas accedan a la información. El mantenimiento de los datos fuera
del centro sólo debe prolongarse el tiempo mínimo imprescindible.
¿Y si el acceso a dicha información personal se produce a través
de una aplicación instalada en el Smartphone o la tableta
del maestro?
Si el centro educativo lo autoriza, los maestros podrán acceder, des de fuera
del centro educativo, a los datos de los alumnos a través de sus dispositivos
móviles.
En estos casos es importante cumplir la política de seguridad del centro educativo
relativa al uso de usuarios y contraseñas, evitar el uso de redes WI-FI
que no ofrezcan confianza, no almacenar información sensible en local en
estos dispositivos, así como, en caso de robo o pérdida del dispositivo, avisar
inmediatamente al responsable de seguridad o a la persona que corresponda.
Resultarían aplicables a estos supuestos las recomendaciones hechas en
la cuestión anterior en relación con la necesidad de conocer las normas de
seguridad y evitar el acceso de terceros no autorizados. Dichos consejos
también deben tenerse en cuenta cuando el acceso se produzca desde dentro
del centro utilizando este tipo de dispositivos móviles.
¿Se tienen que cancelar los datos de un alumno cuando deja
de estudiar en un centro educativo?
Está justificado conservar de forma permanente los datos relativos al expediente
académico. Con respecto al resto de información, cuando el centro no
la necesite se tiene que bloquear y, superados los plazos de prescripción de
eventuales responsabilidades, se tiene que suprimir.
¿Hay que conservar los datos de las personas que han hecho
la preinscripción en un centro educativo y que no han sido
admitidas?
La Tabla de evaluación documental con Código 133 establece
que se pueden destruir en el plazo de cinco años.
¿Hay que conservar los datos del alumno recogidos en el trámite de petición de una beca?
La Tabla de evaluación documental con Código 93, establece
que se pueden destruir en el plazo de tres años, a menos que se haya interpuesto
recurso. En este caso, se tienen que conservar hasta que la resolución
sea firme.
¿El servicio médico del centro educativo puede conservar los
datos de salud del menor recogidos por los servicios sanitarios
del centro, una vez ha finalizado su periodo de escolarización
en el centro?
No. El centro ya no tiene que seguir tratando estos datos. Por lo tanto, hay
que poner esta información a disposición de los padres o tutor del alumno o,
si procede, del mismo alumno. Caso que no la recuperen, la información se
tiene que cancelar.
¿Se pueden instalar cámaras en las aulas o en las zonas de
esparcimiento del centro educativo, para controlar a los alumnos?
La instalación de las cámaras tiene que cumplir con el principio de proporcionalidad.
Instalarlas en estos espacios, sin un bien jurídico superior que lo
justifique o si se puede disponer de medios alternativos menos intrusivos para
la privacidad de los alumnos y profesores, puede resultar desproporcionado.
¿Se pueden utilizar las cámaras de videovigilancia instaladas
para la seguridad en los accesos del centro educativo, para el
control laboral de los trabajadores del centro?
Si las cámaras se colocan por motivos de seguridad, la instalación está legitimada
de acuerdo con el artículo 6.2 LOPD, pero no se pueden utilizar las
imágenes para otras finalidades diferentes de las que se hayan establecido
en el momento de la aprobación del fichero, como para controlar a los trabajadores
del centro.
¿Qué medidas de seguridad hay que aplicar a los ficheros de
videovigilancia?
Los ficheros de videovigilancia
requieren, con carácter general, el nivel de seguridad básico, sin
perjuicio que en determinados supuestos, si es previsible captar datos especialmente
protegidos, se tienen que aplicar medidas de seguridad de nivel
medio o alto.
¿En qué casos se tienen que hacer copias de seguridad en los
ficheros de videovigilancia?
Si los datos se guardan por un periodo superior a una semana, hay que hacer
copias de seguridad semanalmente.
¿Durante cuánto de tiempo se pueden conservar las imágenes
obtenidas a través de un sistema de videovigilancia?
Con carácter general, se recomienda que no se exceda el plazo máximo de
un mes para cancelar las imágenes.
No hay comentarios:
Publicar un comentario