¿Cómo se deben tratar los datos personales del alumnado y sus familias en los centros educativos?
En la infografía de la AEPD sobre criterios para el tratamiento de datos personales en centros educativos, que a continuación resumimos, están los criterios fundamentales a tener en cuenta en este tipo de tratamientos:
- El centro educativo
- Deberá formar a su personal sobre los principios básicos de la protección de datos y cómo realizar los tratamientos de dichos datos correctamente.
- Deberá disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC (tecnologías de la información y la comunicación) por el profesorado.
- Cuando organice eventos, podrá admitir la grabación de imágenes a las familias, pero advirtiendo que son exclusivamente para su uso personal y doméstico.
- Cuando trate datos de menores de edad, deberá disponer de un Coordinador o una Coordinadora de bienestar y protección del alumnado, que, bajo la supervisión de la dirección del centro, promueva la comunicación de situaciones que impliquen un tratamiento ilícito de datos a las Autoridades de Protección de Datos.
- El profesorado
- Deberá utilizar únicamente las aplicaciones/plataformas/servicios que el centro haya dispuesto y su enseñanza y uso deberán adaptarse al grado de desarrollo del alumnado.
- En las comunicaciones con los progenitores del alumnado utilizará únicamente los medios puestos a disposición por el centro.
- No utilizará aplicaciones de mensajería instantánea (WhatsApp, Telegram, etc.) para comunicarse con los progenitores o el alumnado, salvo en aquellos casos en los que el interés superior del menor estuviera comprometido (accidente, indisposición, etc.).
- Deberá cuidar los contenidos de los trabajos de clase que suben a Internet y utilizar para ello solo los medios validados por el centro.
- En lo que al cumplimiento del RGPD y LOPDGDD se refiere
- Los datos se deben tratar con la debida diligencia en el cumplimiento de la normativa de protección de datos y respeto a su privacidad e intimidad, teniendo presente siempre el interés y la protección de los menores, y atendiendo al protocolo de actuación establecido por el Centro.
- Por regla general, los centros educativos no precisan el consentimiento para el tratamiento de estos datos, ya que estará basado en:
- El desempeño de la función educativa y orientadora encomendada al centro, incluyendo también categorías especiales de datos, como los relativos a la salud o de religión, e incluso los datos personales de sus padres o tutores, cuando fuesen necesarios para el desempeño de dichas funciones (art. 6.1.c RGPD).
- El correcto desarrollo y ejecución de la relación contractual o precontractual que implica la matriculación o preinscripción en el centro y el resto de servicios necesarios para la correcta gestión escolar (art. 6.1.b RGPD)
- Aunque no se precise consentimiento, se debe informar del tratamiento conforme al art. 13 RGPD (responsable, DPO, fines, legitimación, conservación, derechos).
- Para fines distintos a la función educativa, además de informar, se debe solicitar el consentimiento expreso (publicación de imágenes en web, blogs, RRSS y servicios equivalentes)
- Es obligatoria la designación de un DPO