Tras la entrada en vigor del Reglamento General de Protección de Datos y posteriormente la LOPDGDD, la protección de datos en España ha sufrido importantes modificaciones que se traducen en un notable incremento de la protección de los derechos de las personas interesadas y el modo en que deba realizarse el tratamiento de estos datos personales.
En el caso de los centros educativos, la ley impone una obligación adicional al incluirlos en la categoría de entidades que se encuentran obligadas a designar un Delegado de Protección de Datos, responsable de garantizar que la entidad cumple con la legislación vigente y además adopta una responsabilidad proactiva en relación con el tratamiento de datos.
En relación con el tratamiento de datos que realizan los centros, existen unas pautas básicas que deben tenerse en cuenta en relación con los datos recabados tanto del alumnado como de las familias de estos y que afectan a diferentes momentos temporales del tratamiento:
En el momento de la recogida. La recogida de datos debe incluir información básica sobre el tratamiento, esto es, la finalidad para la que se recaban los datos y su licitud, la obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos, los destinatarios de los datos, los derechos de los interesados y dónde ejercitarlos, la identidad del responsable del tratamiento o los datos del DPO designado.
Además, el principio de minimización exige que sólo sean recabados los datos estrictamente necesarios, obviando todos aquellos que resultan irrelevantes para las finalidades del tratamiento y que, en muchos casos, se solicitan por mera “inercia”. Así, datos como el lugar de nacimiento del padre o madre del alumno o alumna o el número de cuenta corriente para domiciliar servicios complementarios en los que estos no han solicitado plaza o no han sido admitidos no deberían ser recogidos.
Por último, es importante atender a quién debe recoger estos datos, una responsabilidad que recae sobre el centro y las personas designadas por este y en la que no deberían participar entidades o personas ajenas a dicho establecimiento y que no tienen por qué tener acceso a dichos datos.
Durante el tratamiento. Tras la recogida, procede implementar las medidas técnicas y organizativas necesarias para garantizar que sólo acceden a ellos la personas que van a realizar dicho tratamiento y en relación con las finalidades descritas e informadas. En este sentido, resulta imprescindible almacenar y custodiar debidamente los datos para que personas no autorizadas puedan acceder a ellos, modificarlos o suprimirlos. Así, debe evitarse tanto la difusión de los datos abiertamente en lugares como las páginas web de los centros, como la exposición de estos en tablones de anuncios por un tiempo superior al razonable para que los interesados puedan acceder a una información necesaria para ellos. Es el caso, por ejemplo, del alumnado participante en actividades complementarias.
Igualmente, debe evitarse la comunicación o cesión indiscriminada de estos datos a terceros. Es el supuesto de empresas o entidades externas que oferten o presten servicios al alumnado al margen de los servicios educativos del centro. Así, en caso de excursiones o participación en actividades, deberá solicitarse a las personas que ostentan la guarda y custodia de los menores, la autorización necesaria para comunicar dichos datos.
Al finalizar el tratamiento. Una vez que el alumnado abandona el centro educativo, sólo deben conservarse los datos mínimos y estrictamente necesarios, valorando dato por dato el resto de la información recabada. En este sentido, si bien es claro que datos como las calificaciones del alumno o alumna deben custodiarse inalterados, otros datos referidos a la familia, el entorno del alumno, datos de cuentas corrientes para domiciliación de recibos y otros similares, deberían ser eliminados en cuanto sea posible y las obligaciones legales y fiscales de la entidad lo permitan.
En resumen, el tratamiento de datos de menores requiere de una especial diligencia en tanto, siendo titulares de derechos, el Considerando 75 del RGPD los considera interesados “vulnerables”, lo que implica que el tratamiento de sus datos se considere de “especial riesgo”; por lo que no sólo deben adoptarse las medidas adecuadas, sino que debe acreditarse, en virtud del principio de responsabilidad proactiva, que dichas medidas han sido adoptadas por los responsables y encargados del tratamiento.