RESOLUCIÓN de 28 de junio de 2018, de la Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte, por la que se dictan instrucciones para el cumplimiento de la normativa de protección de datos en los centros educativos públicos de titularidad de la Generalitat. [2018/11040]
(DOGV núm. 8436 de 03.12.2018) Ref. Base Datos 010935/2018
-
Análisis jurídico
Fecha de entrada en vigor: 28.06.2018 Esta disposición afecta a: Afecta a: -
Análisis documental
Origen disposición: Conselleria de Educación, Investigación, Cultura y Deporte Grupo Temático: 000
RESOLUCIÓN de 28 de junio de 2018, de la Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte, por la que se dictan instrucciones para el cumplimiento de la normativa de protección de datos en los centros educativos públicos de titularidad de la Generalitat. [2018/11040]
La Ley orgánica 2/2006, de 3 de mayo, de educación, determina que los responsables de la educación deben proporcionar a los centros los recursos y los medios que necesitan para desarrollar su actividad y alcanzar tal objetivo, mientras que estos deben utilizarlos con rigor y eficiencia para cumplir su cometido del mejor modo posible. Es necesario, por tanto, que la normativa combine ambos aspectos, estableciendo las normas comunes que todos tienen que respetar, así como el espacio de autonomía que se ha de conceder a los centros docentes.
El Reglamento general de protección de datos (RGPD), publicado en mayo de 2016 y aplicable desde 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD ha sustituido, desde mayo de 2018, a la actual Ley orgánica de protección de datos y al reglamento que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos.
El RGPD menciona expresamente el principio de responsabilidad proactiva y lo describe como la necesidad de que se apliquen medidas técnicas y organizativas apropiadas por el responsable del tratamiento, con el fin de garantizar que el tratamiento es conforme a lo dispuesto en le RGPD.
La Subsecretaría de la Conselleria de Educación, Investigación, Cultura y Deporte es el órgano responsable de los ficheros de datos de carácter personal según establece el artículo 9 del Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat, y debe velar, dentro de su ámbito de competencia por el cumplimiento de la legislación en materia de protección de datos. Por tanto, resulta necesario dictar instrucciones respecto a las medidas a llevar a cabo por los centros educativos públicos donde existan tratamientos de datos de carácter personal.
El director o directora del centro educativo deberá dar cumplimiento con los principios y medidas de seguridad recogidas en el anexo I. Dicho anexo será difundido por el director o directora en el propio centro educativo al resto del equipo directivo, al claustro de profesores, al consejo escolar, así como a cualquier otro órgano colegiado del centro que considere oportuno.
Los datos personales que se almacenen (tanto en soporte informático como en papel) que no estén en el sistema informático para la gestión del centro educativo proporcionado por la conselleria competente en materia de educación, serán los estrictamente necesarios para contactar con el alumnado o representante legal del mismo en caso de fallo puntual del sistema de información.
Por todo ello, y en virtud de las competencias establecidas en el Decreto 186/2017, de 24 de noviembre, del Consell, por el que aprueba el Reglamento orgánico y funcional de la Conselleria de Educación, Investigación, Cultura y Deporte, resuelvo:
Primero
Aprobar el manual informativo incluido en el anexo I, al que deberá ajustarse la organización y los tratamientos de información de los centros educativos públicos de la Generalitat.
2. Establecer el marco normativo que figura en el anexo II.
3. Establecer plantillas y modelos de referencia para la aplicación de las materias y procedimientos descritos en el manual informativo en el anexo III.
València, 28 de junio de 2018. El subsecretario: José Vicente Villar Rivera.
ANEXO I
Manual informativo en materia de protección de datos para los centros educativos públicos de titularidad de la Generalitat
1. Conceptos básicos
1.1. Un dato de carácter personal es cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
1.2. Las categorías especiales de datos se refieren a aquellos que revelan circunstancias o información de las personas sobre su esfera más íntima y personal, incluyendo de forma específica en estas categorías los datos biométricos y los datos genéticos. Requieren que se les preste una especial atención y se adopten las medidas técnicas y organizativas necesarias para evitar que su tratamiento origine lesiones en los derechos y libertades de los titulares de los datos.
Forman parte de esta categoría de datos personales aquellos que:
Sean relativos a la salud.
Revelen ideología, afiliación sindical, religión y creencias.
Hagan referencia al origen racial y a la vida sexual.
Se refieran a la comisión de infracciones penales o administrativas.
En el ámbito educativo es frecuente, sobre todo, el tratamiento de datos relativos a la salud física o mental del alumnado, incluida la prestación de servicios de atención sanitaria que revelan información sobre su estado de salud.
1.3. Los datos de carácter personal son de las personas interesadas: alumnado, madres y padres, tutores, profesorado o personal de administración y servicios.
Cada persona es titular de sus respectivos datos de carácter personal.
1.4. Un fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado, repartido de forma funcional o geográfica.
El Reglamento general de protección de datos, desde ahora y en adelante RGPD, suprime la obligación de notificar los ficheros a la Agencia Española de Protección de Datos y a las autonómicas, y se centra en las actividades del tratamiento.
1.5. Cualquier actividad en que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya sea realizada de manera manual o automatizada, totalmente o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
1.6. El responsable del tratamiento es la persona física que decide sobre la finalidad, contenido y uso del mismo, bien por decisión directa o porque así le viene impuesto por una norma legal. Es lo que la responsabilidad del tratamiento de datos es la persona titular de la subsecretaría de la conselleria competente en materia de educación.
1.7. El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En determinados casos, los centros educativos para cumplir sus funciones necesitan contar con la colaboración de otras personas o entidades que no forman parte de su organización, por ejemplo, para el servicio de comedor, servicio médico, transporte o para la realización de actividades extraescolares.
Estas personas y entidades para prestar sus servicios también tratan los datos de carácter personal del alumnado y de sus familiares o tutores, pero lo hacen por encargo del responsable del tratamiento, es decir del centro o de la Administración educativa.
Las empresas que realizan este tipo de servicios tienen, en relación con el tratamiento de datos personales que realizan, la consideración de encargados de tratamiento.
Es necesario que el tratamiento de datos que implica la prestación del servicio se rija por un contrato que deberá incluir las garantías adecuadas.
No se consideran encargados del tratamiento a las personas físicas que tengan acceso a los datos personales en su condición de empleados del centro o de la Administración educativa que son los responsables del tratamiento.
1.8. La cesión de datos supone su revelación a una persona distinta de su titular.
Los destinatarios de los datos serán las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos a los que se les comuniquen.
Sin embargo, no se consideran cesiones de datos las comunicaciones de los datos del alumnado a las empresas que tengan la condición de encargados del tratamiento, conforme a lo que se indica en el apartado anterior.
1.9. Siempre que los datos personales se envían fuera del ámbito de Espacio Económico Europeo (EEE, constituido por todos los estados miembros de la Unión Europea, más Noruega, Islandia y Liechtenstein), se produce una transferencia internacional de datos, ya se realice para que el destinatario de los datos preste un servicio al centro educativo o para que los trate para una finalidad propia.
2. Principios de protección de datos
2.1. Legitimación para el tratamiento de datos
El tratamiento de datos personales necesita estar legitimado. Por tanto, se pueden tratar los datos si sus titulares prestan su consentimiento previo. Cuando el titular de los datos es un menor de edad, o menor de una determinada edad establecida por Ley, el consentimiento deberá prestarse por sus familiares o tutores.
El consentimiento para tratar datos personales se puede revocar en cualquier momento, pero la revocación no surtirá efectos retroactivos y se tiene que informar de ello a los interesados.
Pero además del consentimiento, existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de contar con la autorización de su titular. La principal de ellas es la referida a los supuestos en que una norma con rango de ley autorice el tratamiento o incluso obligue al responsable a llevarlo a cabo.
También será legítimo el tratamiento de datos cuando sea necesario para el desarrollo y ejecución de una relación jurídica entre la persona responsable y la afectada, o para la satisfacción de un interés legítimo del responsable siempre que dicho interés no prevalezca sobre los derechos y libertades de los afectados, en particular cuando estos sean menores.
Los centros docentes están legitimados por la Ley orgánica 2/2006, de educación (LOE), para el tratamiento de los datos en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación jurídica que se produce con la matriculación del alumno en un centro, así como por el consentimiento de los interesados, o de sus familiares o tutores si son menores.
2.2. Principio de calidad de los datos
Los datos han de ser tratados de manera lícita, leal y transparente en relación con su titular. No se pueden recoger ni tratar más datos personales que los estrictamente necesarios para la finalidad perseguida en cada caso (como la educación y orientación de los alumnos o el cumplimiento de relaciones jurídicas o, en su caso, la divulgación y difusión de los centros y de sus actividades). Es decir, deben responder a una finalidad legítima, no se pueden recabar de manera fraudulenta y su utilización debe ser conocida por los titulares.
Los datos deberán ser exactos y estar actualizados. Se deberán suprimir o actualizar los datos que no son correctos.
2.3. Transparencia e información
Cuando se recaban o se obtienen los datos de los interesados, aun cuando no sea necesario su consentimiento, los centros educativos han de facilitarles información de los siguientes extremos:
de la existencia de un fichero o tratamiento de datos personales,
de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
de los destinatarios de los datos,
de los derechos de los interesados y dónde ejercitarlos,
de la identidad del responsable del tratamiento: el centro o la Administración educativa.
de los datos de contacto del delegado de protección de datos.
del plazo de conservación de la información.
2.4. Medidas de seguridad
Tanto la conselleria competente en materia de educación, como responsable de los tratamientos de datos personales, como los centros educativos deben adoptar una serie de medidas de seguridad, de carácter técnico y organizativo, que garanticen la seguridad de los citados datos.
El RGPD parte de las siguientes premisas:
En primer lugar, relacionado con el principio de responsabilidad activa, las personas responsables deben realizar una valoración del riesgo de los tratamientos que realicen, a fin de establecer qué medidas se deben aplicar y cómo hacerlo.
En segundo lugar, y en función de los riesgos detectados en el análisis realizado anteriormente, las personas responsables y encargadas deben adoptar las medidas de seguridad, teniendo en cuenta:
· el coste de la técnica
· los costes de aplicación
· la naturaleza, alcance, contexto y fines del tratamiento
· los riesgos para los derechos y libertades
Los centros y la conselleria competente en materia de educación tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos en el ejercicio de las funciones que tenga asignadas.
Además, la conselleria competente en materia de educación deberá cumplir, en su caso, con los principios básicos y requisitos mínimos que permitan una protección adecuada de la información de conformidad con lo establecido en el Esquema nacional de seguridad (Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema nacional de seguridad en el ámbito de la administración electrónica), así como la normativa autonómica vigente.
2.5. Deber de secreto
Todas las personas del centro que tengan acceso a datos de carácter personal están obligadas a guardar secreto sobre los mismos.
Este deber de secreto es esencial para garantizar el derecho fundamental a la protección de datos y es de obligado cumplimiento para todas las personas que presten sus servicios en los centros y conselleria competente en materia de educación personal docente, personal administrativo o de servicios auxiliares, en relación con los datos de carácter personal a los que accedan.
Además, el deber de secreto subsiste incluso una vez finaliza la relación con el responsable o con el encargado de tratamiento.
2.6. Cancelación de datos
El tiempo que se deben conservar los datos será el que establezcan las disposiciones aplicables o, en su caso, las relaciones contractuales entre las personas interesadas y los centros educativos. Dada la pluralidad de ficheros y finalidades para las que se recaban y tratan los datos, no se puede establecer un determinado plazo, si bien deberán mantenerse en cuanto que puedan ser necesarios para el ejercicio de alguna acción por parte del alumnado, por lo que resultaría preciso definir el alcance de las responsabilidades de los centros educativos en relación con el contenido y custodia de los datos.
3. Tratamiento de datos por los centros educativos
La LOE legitima a los centros a recabar datos de carácter personal para la función docente y orientadora del alumnado en referencia a:
El origen y ambiente familiar y social.
Las características o condiciones personales.
El desarrollo y resultados de su escolarización.
Las circunstancias cuyo conocimiento sea necesario para educar y orientar a los alumnos.
Por tanto, la LOE legitima a los centros educativos para recabar y tratar los datos del alumnado y de sus padres o tutores, incluyendo también las categorías especiales de datos, como los de salud o de religión, cuando fuesen necesarios para el desempeño de la función docente y orientadora.
3.1. Tipología de datos
3.1.1. Tratamiento de datos familiares del alumnado
Los centros educativos pueden recabar la información sobre la situación familiar del alumnado. Esta información debe estar actualizada y los progenitores han de informar a los centros sobre cualquier modificación.
3.1.2. Recogida de datos de salud
La petición de datos de salud del alumnado deben ser solicitados en la medida en que sean necesarios para el ejercicio de la función educativa. Se pueden distinguir los siguientes momentos:
En la matriculación del alumnado: discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias o alergias.
Durante el curso escolar: el tratamiento médico que reciba un alumno o alumna a través del servicio médico o de enfermería que corresponda o los informes de centros sanitarios a los que se le haya trasladado como consecuencia de accidentes o indisposiciones sufridas en el centro o los informes de los equipos de orientación psicopedagógica.
3.1.3. Recogida de datos biométricos
Teniendo en cuenta la intromisión en la intimidad de las personas que el tratamiento de este tipo de datos puede ocasionar, la Agencia Española de Protección de Datos ha admitido la utilización de la huella dactilar para finalidades como el control de acceso al servicio de comedor en centros escolares con un gran número de alumnos, siempre que se adopten medidas que refuercen la confidencialidad de los datos como la conversión de la huella a un algoritmo, el cifrado de la información, la vinculación a un dato distinto de la identificación directa del alumnado o la limitación de los protocolos de acceso a los datos.
Los datos biométricos entrarían dentro de las categorías especiales de datos.
3.1.4. Recogida de datos del alumnado para el expediente académico
Entre los datos que pueden recabar los centros educativos para el ejercicio de la función docente y orientadora sin consentimiento de los alumnos se pueden incluir sus fotografías a los efectos de identificar a cada alumno en relación con su expediente.
3.1.5. Recogida de datos para otras finalidades
Los centros pueden recabar datos para otras finalidades legítimas, como puede ser la gestión de la relación jurídica derivada de la matriculación del alumnado, o dar a conocer la oferta académica, participar con el alumnado en concursos educativos u ofrecer servicios deportivos, de ocio o culturales. En estos casos, se podrán recabar bien como consecuencia de la relación jurídica establecida con la matrícula o si media el consentimiento previo del alumnado o de sus familiares.
Además, con carácter previo a la obtención del consentimiento, se debe cumplir con el derecho de información del alumnado o a sus padres, madres o tutores, cuando corresponda.
3.2. Procedimiento de recogida
3.2.1. Información a las personas interesadas
Siempre es necesario informar a las personas interesados cuando van a recogerse sus datos en formularios de cualquier tipo, tal y como se indica en el apartado 2.3 sobre transparencia e información, mediante una cláusula en el pie del documento o formulario.
3.2.2. Comunicación de datos de los familiares al centro
La LOE establece que el alumnado y sus familiares deberán colaborar en la obtención de la información necesaria sin la cual no sería posible el desarrollo de la función educativa, estando los centros exceptuados de solicitar el consentimiento previo en relación con aquellos datos de carácter personal que sean necesarios para dicha finalidad.
También deben facilitar los datos necesarios para el cumplimiento de la relación jurídica que se establece con la matrícula.
3.2.3 Consentimiento en la recogida de datos
El consentimiento se puede incluir en el mismo impreso o formulario en el que se recaban los datos.
Para los datos que hagan referencia al origen racial, a la salud y a la vida sexual, el consentimiento ha de ser expreso. Por ejemplo, si es un formulario en formato PDF, mediante un campo check que marque la persona solicitante, interesada o representante legal. I si los datos revelan ideología, afiliación sindical, religión o creencias el consentimiento ha de prestarse por escrito.
3.2.4. Recogida de datos del alumnado por parte del profesorado
Sin perjuicio de los datos personales recabados por los centros o la conselleria competente en materia de educación al matricularse el alumnado, y que son facilitados al profesorado para el ejercicio de la función docente, cuando estos recaben otros datos de carácter personal, como grabaciones de imágenes o sonido con la finalidad de evaluar sus conocimientos u otros datos relacionados con la realización de dichos ejercicios, o los resultados de su evaluación, podrían hacerlo legalmente, en el marco de las instrucciones, protocolos o régimen interno que el centro o la conselleria competente en materia de educación haya adoptado.
3.2.5. Recogida de datos familiares del alumnado por parte del profesorado
Los datos de los familiares del alumnado se recaban por los centros al estar legitimados para ello por la LOE, a cuya información podrá tener acceso el profesorado si la necesita para el ejercicio de la docencia.
No obstante, si se diera alguna circunstancia en la que el profesorado necesitara conocer los datos de los familiares del alumnado, como podría ser ante situaciones de riesgo, y no dispusieran de ellos, estarían igualmente habilitados para recabarlos del alumnado.
3.2.6. Acceso al contenido de dispositivos electrónicos
Dada la información que se contiene en los dispositivos con acceso a internet, así como la trazabilidad que se puede realizar de la navegación efectuada por los usuarios, el acceso al contenido de estos dispositivos del alumnado, incluyendo su clave, supone un acceso a datos de carácter personal que requiere el consentimiento de los interesados o de sus familiares si se trata de menores.
No obstante, en situaciones en las que pudiera estar presente el interés público, como cuando se ponga en riesgo la integridad de alguna alumna o alumno (situaciones de ciberacoso, sexting, grooming o de violencia de género) el centro educativo podría, previa ponderación del caso y conforme al protocolo que tenga establecido, acceder a dichos contenidos sin el consentimiento de las personas implicadas.
3.2.7. Utilización de aplicaciones de mensajería por parte del profesorado para comunicación con el alumnado
Con carácter general, las comunicaciones entre el profesorado y el alumnado deben tener lugar dentro del ámbito de la función educativa y no llevarse a cabo a través de aplicaciones de mensajería instantánea.
Si fuera preciso establecer canales específicos de comunicación, deberán emplearse los medios y herramientas establecidos por la conselleria competente en materia de educación y puestas a disposición de alumnado y profesorado o por medio del correo electrónico.
3.2.8. Utilización de aplicaciones de mensajería por parte del profesorado para comunicación con familiares del alumnado
Las comunicaciones entre el profesorado y los familiares del alumnado deben llevarse a cabo a través de los medios puestos a disposición de ambos por el centro educativo o la conselleria competente en materia de educación.
3.2.9. Grabación de imágenes de alumnado y difusión a través de aplicaciones de mensajería instantánea a los familiares
No se permite la grabación de imágenes como parte del ejercicio de la función educativa de la que es responsable el centro docente. No obstante, en aquellos casos en los que el interés superior del menor estuviera comprometido, como en caso de accidentes o indisposiciones en una excursión escolar, y con la finalidad de informar y tranquilizar a las madres y los padres, titulares de la patria potestad, se podrían captar las imágenes y enviárselas.
3.3. Publicación de datos
3.3.1. Listados de admitidos
El centro necesita informar sobre el alumnado que ha sido admitido en la medida en que la admisión se realiza mediante un procedimiento de concurrencia competitiva en el que se valoran y puntúan determinadas circunstancias.
No obstante, la publicidad deberá realizarse de manera que no suponga un acceso indiscriminado a la información, por ejemplo, publicando la relación de alumnos admitidos en los tablones de anuncios en el interior del centro o en una página web de acceso restringido a quienes hayan solicitado la admisión.
Esta publicación deberá recoger solamente el resultado final del baremo, no resultados parciales que puedan responder a datos o información sensible o poner de manifiesto la capacidad económica de la familia.
Esta información, no obstante, estará disponible para los interesados que ejerciten su derecho a reclamar.
Cuando ya no sean necesarios estos listados, hay que retirarlos, sin perjuicio de su conservación por el centro a fin de atender las reclamaciones que pudieran plantearse.
3.3.2. Oposición para aparecer publicado en un listado de admisión
La norma específica sobre medidas de protección integral de violencia de género establece que en actuaciones y procedimientos relacionados con la violencia de género se protegerá la intimidad de las víctimas; en especial, sus datos personales, los de sus descendientes y los de cualquier otra persona que esté bajo su guarda o custodia. En consecuencia, los centros educativos deberán proceder con especial cautela a tratar los datos de los menores que se vean afectados por estas situaciones.
De conformidad con el artículo 6.4 de la LOPD, el alumnado o sus familiares se pueden oponer a la publicación de su admisión en un centro educativo si se alegan motivos fundamentados y legítimos relativos a su concreta situación personal, como, por ejemplo, razones de seguridad por ser víctima de violencia de género o sufrir algún tipo de amenaza, etc. Si es un menor, el derecho lo tiene que ejercer su tutor legal. El centro educativo lo tiene que excluir del listado de admitidos que se publique.
3.3.3. Publicación de beneficiarios de becas, subvenciones y ayudas
La Ley de transparencia y acceso a la información pública y buen gobierno determina la obligación de hacer pública, como mínimo, la información relativa a las subvenciones y ayudas públicas concedidas por las administraciones públicas con indicación de su importe, objetivo o finalidad y los beneficiarios.
Sin perjuicio de la publicación por parte de la administración convocante, los centros escolares también podrán publicar esta información a efectos informativos de las personas afectadas.
Cuando se trate de becas y ayudas fundadas en la situación de discapacidad de los beneficiarios será suficiente con publicar un listado con un número de identificación de los beneficiarios, como el del DNI o un número identificador que se hubiera facilitado a los interesados con la solicitud.
Asimismo, si fueran varios los requisitos a valorar, se podría dar el resultado total y no el parcial de cada uno de los requisitos.
Si los criterios de las ayudas no se basan en circunstancias que impliquen el conocimiento de categorías especiales de datos hay que valorar si, no obstante, podrían afectar a la esfera íntima de la persona, por ejemplo al ponerse de manifiesto su capacidad económica o su situación de riesgo de exclusión social.
En estos casos habría que analizar en cada caso si resulta necesario hacer pública dicha información para garantizar la transparencia de la actividad relacionada con el funcionamiento y control de la actuación pública.
Igualmente, cuando ya no sean necesarios estos listados, habrá que retirarlos.
3.3.4. Publicación en tablones del alumnado por clases y/o actividades
Para la organización de la actividad docente los centros distribuyen al inicio de cada curso al alumnado por clases, materias, actividades y servicios.
Para dar a conocer al alumnado y sus familiares esta distribución, se pueden colocar dichas relaciones en los tablones de anuncios o en las entradas de las aulas, durante un tiempo razonable para permitir el conocimiento por todas las personas interesadas, o bien, a través del sistema ITACA.
3.3.5. Publicación de menús en el comedor del centro
En el comedor de los centros educativos se pueden publicar los diferentes menús, ya que puede existir alumnado con necesidades alimentarias especiales, ya sea por razones de salud o religión, pero sin necesidad de que exista un listado con nombre y apellidos de los alumnos en relación con el menú que le corresponde a cada uno de ellos.
Lógicamente, el centro sí podrá disponer de esos listados para el uso de los mismos por su servicio de comedor, pero sin darles publicidad.
3.4. Calificaciones
3.4.1. Publicación de calificaciones escolares
Las calificaciones del alumnado se han de facilitar al propio alumnado y a sus familiares.
En el caso de comunicar las calificaciones a través de plataformas educativas, estas solamente deberán estar accesibles para el propio alumnado, sus familiares o tutores, sin que puedan tener acceso a las mismas personas distintas.
No obstante, sí sería posible comunicar la situación del alumnado en el entorno de su clase, por ejemplo, mostrando su calificación frente a la media de sus compañeros y compañeras.
3.4.2. Comunicación oral de calificaciones al alumnado
Puesto que no existe una regulación respecto de la forma de comunicar las calificaciones, sería preferible que las calificaciones se notificasen en la forma indicada en el punto anterior. No obstante, sería posible enunciarlas oralmente, evitando comentarios adicionales que pudieran afectar personalmente al alumno.
3.5. Acceso a la información del alumnado
3.5.1. Acceso del profesorado a los expedientes académicos del alumnado matriculado en el centro
Con carácter general y salvo que existiese alguna causa debidamente justificada, el profesorado ha de tener acceso al expediente académico del alumnado a los que imparte la docencia, sin que esté justificado acceder a los expedientes del resto de alumnado del centro.
3.5.2. Acceso del profesorado a datos de salud del alumnado matriculado en el centro
El profesorado ha de conocer y, por tanto, acceder a la información de salud de su alumnado que sea necesaria para la impartición de la docencia, o para garantizar el adecuado cuidado del alumnado, por ejemplo, respecto a discapacidades auditivas, físicas o psíquicas, trastornos de atención, TDAH o enfermedades crónicas.
Igualmente, han de conocer la información relativa a las alergias, intolerancias alimentarias o la medicación que pudieran requerir para poder prestar el adecuado cuidado al alumno tanto en el propio centro como con ocasión de actividades fuera del centro, como visitas, excursiones o convivencias guiadas por profesores.
3.5.3. Solicitud por parte de los familiares de los exámenes de sus descendientes
La solicitud de los familiares para llevarse a casa los exámenes de sus descendientes y repasarlos no depende de la normativa de protección de datos, pues no se trata de un derecho de acceso a los datos, sino de acceso a documentación que, en su caso, deberá ser resuelta por el centro o la conselleria competente en materia de educación con arreglo a su normativa interna y la legislación sectorial que sea de aplicación.
3.5.4. Acceso de los familiares a información sobre ausencias escolares de sus descendientes
Las madres y padres, como sujetos que ostentan la patria potestad, entre cuyas obligaciones está la de educarlos y procurarles una formación integral, tienen acceso a la información sobre el absentismo escolar de sus hijos.
Si los hijos son mayores de edad, al igual que ocurre con las calificaciones escolares, las madres y los padres podrán ser informados del absentismo escolar de sus hijos mayores de edad cuando corrieran con sus gastos educativos o de alimentación, al existir un interés legítimo derivado de su mantenimiento.
3.5.5. Solicitud, por parte de los familiares, de información sobre datos de salud de sus hijos a los equipos de orientación
Los familiares pueden solicitar información sobre datos de saludo de sus hijos a los equipos de orientación cuando sus hijos son menores de edad en ejercicio de la patria potestad que se realiza siempre en su beneficio.
El acceso a dicha información se rige por la legislación sectorial sanitaria, en concreto por la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, o de la normativa que disponga la conselleria competente en materia de salud pública.
3.5.6. Comunicación de información escolar del alumnado a sus familiares
Se puede facilitar la información escolar del alumnado solamente a los familiares que ostenten la patria potestad o a los tutores, nunca a otros familiares, salvo que estuvieren autorizados por aquellos y constase claramente esa autorización.
3.5.7. Acceso a la información académica por padres separados
En los supuestos de patria potestad compartida, con independencia de quién tenga la custodia, ambos progenitores tienen derecho a recibir la misma información sobre las circunstancias que concurran en el proceso educativo del menor, lo que obliga a los centros a garantizar la duplicidad de la información relativa al proceso educativo de sus hijos, salvo que se aporte una resolución judicial que establezca la privación de la patria potestad a alguno de los progenitores o algún tipo de medida penal de prohibición de comunicación con el menor o su familia.
En caso de conflicto entre los progenitores sobre el acceso a la información académica de sus hijos, estos deberán dirimir la cuestión ante el poder judicial competente en materia de familia, no ante el centro educativo.
3.6. Comunicaciones de datos de alumnado
La comunicación de datos requiere, con carácter general, el consentimiento de las personas interesadas, del alumnado o de sus familiares o tutores si son menores, salvo que esté legitimada por otras circunstancias, como que permita u obligue a ella una Ley, como es el caso de solucionar una urgencia médica, o se produzca en el marco de una relación jurídica aceptada libremente por ambas partes. En estos últimos supuestos se pueden comunicar los datos sin necesidad de obtener el consentimiento de los afectados.
3.6.1. Comunicación de datos de alumnado a otro centro educativo
En caso de traslado, la LOE ampara la comunicación de datos al nuevo centro educativo en el que se matricule el alumnado sin necesidad de recabar su consentimiento o el de sus familiares o tutores.
3.6.2. Comunicación de datos a otros centros situados en otros países
Se pueden facilitar datos del alumnado de un centro a otro centro en el extranjero para intercambios de alumnado o estancias temporales dado que el acceso a los datos del alumnado sería necesario para que el centro en el que se vaya a desarrollar el intercambio pueda realizar adecuadamente su función educativa, teniendo en cuenta que la participación del alumnado en el programa deberá haber contado con la solicitud o autorización de los titulares de la patria potestad. La comunicación responderá al adecuado desarrollo de la relación jurídica solicitada por los propios representantes legales del alumnado.
La transmisión deberá limitarse a los datos que resulten necesarios para el adecuado desarrollo de esa acción educativa y para el cuidado del menor que el centro de destino pudiera requerir.
Cuando el centro destinatario de los datos se encuentre en un país fuera del Espacio Económico Europeo, la comunicación constituye una transferencia internacional de datos.
3.6.3. Comunicación de datos a la Administración educativa
Los centros educativos comunicarán los datos personales del alumnado necesarios para el ejercicio de las competencias que tienen atribuidas las administraciones educativas.
3.6.4. Comunicación de datos a las fuerzas y cuerpos de seguridad
Las comunicaciones de datos a las fuerzas y cuerpos de seguridad son obligatorias siempre que sean necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
En todo caso, la petición que realicen las fuerzas y cuerpos de seguridad, en el ejercicio de sus competencias, debe ser concreta, específica y motivada, de manera que no haya una comunicación de datos indiscriminada.
Aunque se cumplan los requisitos para la comunicación de datos a las fuerzas y cuerpos de seguridad, es aconsejable que el centro documente la comunicación de los datos.
Cuando se tenga conocimiento de una posible situación de desprotección de un menor: de maltrato, de riesgo o de posible desamparo, se debe comunicar a la autoridad o a sus agentes más próximos.
También cuando se tenga conocimiento de la falta de asistencia de un menor al centro de forma habitual y sin justificación, durante el periodo lectivo, deberá trasladarse a la autoridad competente.
En estos casos no ha de mediar solicitud de ninguna autoridad o institución.
3.6.5. Comunicación de datos a servicios sociales
Se pueden comunicar los datos a los servicios sociales siempre que sea para la determinación o tratamiento de situaciones de riesgo o desamparo competencia de los servicios sociales. La comunicación estaría amparada en el interés superior del menor, recogido en la Ley orgánica de protección jurídica del menor. En estos supuestos no se necesita el consentimiento de los interesados.
3.6.6. Comunicación de datos a centros sanitarios
Se pueden facilitar los datos sin consentimiento de los interesados a los centros sanitarios cuando el motivo sea la prevención o el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que se realicen por profesionales sanitarios sujetos al secreto profesional o por otras personas sujetas a la misma obligación.
El centro educativo podrá solicitar información sobre la asistencia sanitaria prestada en caso de que fuera necesaria para responder de las lesiones causadas como consecuencia del normal desarrollo de la actividad escolar.
3.6.7. Comunicación de datos a Servicios Sanitarios autonómicos o ayuntamientos para campañas de salud o vacunación
En estos casos, los centros suelen actuar como intermediarios entre los servicios de salud y las familias, por lo que habrán de trasladar a las familias la información de la cual dispongan para que sean ellas las que presten el consentimiento o faciliten los datos a dichos servicios.
No obstante, se pueden facilitar los datos del alumnado a los servicios de salud que los requieran sin necesidad de disponer del consentimiento de los interesados en respuesta a una petición de las autoridades sanitarias cuando sean estrictamente necesarios para garantizar la salud pública o si tiene por finalidad la realización de actuaciones de salud pública que tengan encomendadas. Como pudiera ser un caso de infección en un centro educativo, para la realización de estudios que permitan descartar la presencia de la enfermedad en el entorno del centro educativo.
3.6.8. Comunicación de datos a otras entidades externas para actividades extraescolares
Se pueden comunicar los datos a instituciones, entidades o empresas que van a ser visitadas por el alumnado en una actividad extraescolar, por ejemplo, una exposición, un museo, una fábrica o un club deportivo, pero se debe contar con el consentimiento previo e inequívoco de los interesados o de sus madres, padres o tutores, cuando los datos sean comunicados para las finalidades propias del teatro, museo, exposición o de la fábrica, por ejemplo, el control de entrada, de aforos o para sus programaciones futuras.
La información que sobre estos eventos se facilita a las madres, padres o tutores para su autorización debe incluir la relativa a la comunicación de datos a estas entidades, así como la propia autorización. La comunicación, en caso de ser autorizada, implicaría la posibilidad del tratamiento de los datos exclusivamente para los fines que se han indicado, al ser esta necesaria para que el alumnado pueda participar en esa actividad.
3.6.9. Comunicación de datos del alumnado y sus familiares a las asociaciones de madres y padres de alumnos (AMPA).
No se pueden comunicar datos del alumnado ni de sus familiares a las AMPA sin el previo consentimiento de los interesados. Las AMPA son responsables del tratamiento de los datos de carácter personal que hayan recabado, debiendo cumplir con la normativa de protección de datos en su tratamiento.
No obstante, en el caso de que las AMPA fueran contratadas para prestar un servicio al centro educativo para el que tuvieran que tratar los datos del alumnado y de sus madres, padres o tutores, sí tendrían acceso a los datos pero en la condición de encargadas del tratamiento.
4. Tratamiento de las imágenes de los alumnos
Con ocasión de la celebración de actos escolares o de eventos en centros educativos en los que el alumnado y el profesorado son los protagonistas, tanto por los familiares como por el propio centro se toman fotografías y graban vídeos en los que se recogen sus imágenes. Estos hechos, comunes en los eventos escolares, dan lugar a que se planteen muchas cuestiones sobre quién y cómo se pueden captar las imágenes, qué requisitos se han de cumplir, con qué finalidad y a quién se pueden comunicar.
Según quién vaya a grabar las imágenes y la finalidad para la que se graben será necesario observar unos determinados requisitos.
Si la grabación de las imágenes se produjera por el centro escolar con fines educativos, como trabajos escolares o evaluaciones, el centro o la conselleria competente en materia de educación estarían legitimados para dicho tratamiento sin necesidad del consentimiento del alumnado o de sus familiares o tutores.
Cuando la grabación de las imágenes no se corresponda con dicha función educativa, sino que se trate de imágenes de acontecimientos o eventos que se graban habitualmente con fines de difusión en la revista escolar o en la web del centro, se necesitará contar con el consentimiento de las personas interesadas, a quienes se habrá tenido que informar con anterioridad de la finalidad de la grabación, en especial de si las imágenes van a estar accesibles de manera indiscriminada o limitada a la comunidad escolar.
En caso de conflicto entre los progenitores sobre la grabación de las imágenes de sus hijas e hijos, estos deberán dirimir la cuestión ante el poder judicial competente en materia de familia para su resolución, no ante el centro docente.
Por otra parte, es muy frecuente que los familiares del alumnado tomen fotografías y graben vídeos en eventos festivos, conmemorativos, deportivos o de otra índole, en los que participa el alumnado.
En estos casos la grabación de las imágenes suele corresponder a una actividad exclusivamente personal y doméstica, es decir, aquellas que se inscriben en el marco de la vida privada, familiar y de amistad, que están excluidas de la aplicación de la normativa de protección de datos.
En otras ocasiones no es el centro escolar el que toma las fotografías o vídeos del alumnado ni tampoco sus familiares, sino que son terceros, ya sea la empresa que presta un determinado servicio, por ejemplo, la celebración de actividades extraescolares o un club deportivo.
De nuevo hay que distinguir: si la grabación de imágenes se realiza por encargo del centro educativo, en cuyo caso este deberá obtener el consentimiento del alumnado o de sus familiares o tutores, o si es el tercero quien toma la fotografías o graba los vídeos para sus propias finalidades, que tendrá que contar con el previo consentimiento de las personas implicadas, ya lo recabe él mismo o a través del centro, en cuyo caso se deberá especificar que el tercero es el responsable del tratamiento.
4.1. Grabación de imágenes durante actividades escolares
Cabría distinguir entre la toma de imágenes como parte de la función educativa en cuyo caso los centros estarían legitimados para ello de las grabaciones que no responderían a dicha función, por ejemplo, la difusión del centro y de sus actividades, para lo que se deberá disponer del consentimiento de las personas implicadas o de sus padres o tutores.
También sería posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar para la única finalidad de que las madres, padres o tutores pudieran tener acceso a ellas. Este acceso a las imágenes debería siempre llevarse a cabo en un entorno seguro que exigiera la previa identificación y autenticación del alumnado o sus familiares por ejemplo, en un área restringida de la intranet del centro, limitándose a las imágenes correspondientes a eventos en los que el alumnado concreto hubiera participado. En todo caso, sería preciso recordar a quienes acceden a las imágenes que no pueden, a su vez, proceder a su divulgación de forma abierta.
El profesorado, en el desarrollo de la programación y enseñanza de las áreas, materias y módulos que tengan encomendados, pueden disponer la realización de ejercicios que impliquen la grabación de imágenes, normalmente del propio alumnado, que solamente deberán estar accesibles para el alumnado involucrado en dicha actividad, sus familiares o tutores y el profesorado correspondiente.
Es decir, en ningún caso el mero hecho de realizar la grabación supone que la misma se pueda difundir de forma abierta en internet y que se pueda acceder de manera indiscriminada. En estos casos el responsable del tratamiento es el propio centro o la conselleria competente en materia de educación.
4.2. Grabación y difusión de imágenes en eventos organizados y celebrados en los centros educativos
Los familiares del alumnado que participan en un evento abierto a las familias pueden grabar imágenes del evento siempre y cuando se trate de imágenes captadas exclusivamente para su uso personal y doméstico, pues en ese caso esta actividad está excluida de la aplicación de la normativa de protección de datos.
Si las imágenes captadas por los familiares se difundieran fuera del ámbito privado, familiar y de amistad, por ejemplo mediante su publicación en internet accesible en abierto, los familiares asumirían la responsabilidad por la comunicación de las imágenes a terceros que no podrían realizar salvo que hubieran obtenido el consentimiento previo de los interesados.
Sería conveniente que el centro informase a los familiares de su responsabilidad en caso de que las imágenes fueran divulgadas en los entornos abiertos que acaban de señalarse.
Aunque unos familiares se nieguen a que se tomen imágenes de su hijo o hija en un evento en el centro educativo, no se debe cancelar dicho evento ni prohibir. Se ha de informar a los padres, madres o tutores que la toma de fotografías y vídeos es posible como actividad familiar, exclusivamente para uso personal y doméstico, que está excluida de la aplicación de la normativa de protección de datos.
4.3. Grabación de imágenes de actividades desarrolladas fuera del centro escolar
La grabación de imágenes fuera del recinto escolar por los centros requiere el consentimiento de las personas implicadas, o de sus madres, padres o tutores, siempre que no se realice en ejercicio de la función educativa.
Si la grabación se realiza por terceros, por ejemplo, por los responsables de la empresa, museo, exposición o club deportivo que se esté visitando, o en el que se desarrolle una actividad deportiva, será obligación de estos terceros disponer del consentimiento de las personas implicadas que habrán podido recabar a través del centro.
5. Tratamiento de datos en internet
5.1. Utilización de plataformas educativas
De acuerdo con la Orden 19/2013 sobre normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat, queda prohibido, transmitir o alojar información propia de la Administración de la Generalitat en sistemas de información externos (por ejemplo, on cloud), salvo autorización expresa de la conselleria competente en materia de educación, verificando el correspondiente acuerdo de confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.
Por tanto, deberán emplearse las herramientas educativas que ponga a disposición de los centros la conselleria competente en materia de educación.
5.2. Publicación de datos en la web de los centros
Habitualmente las webs de los centros educativos contienen información referida a sus características, su organización, las materias que imparte, las actividades que desarrolla, los servicios que ofrece, las relaciones con otros centros, para lo que en ocasiones incluyen información de carácter personal sobre la dirección, el profesorado y el alumnado.
5.2.1. Publicación en la web de los datos del profesorado, tutores y otros responsables del centro
Hay que distinguir dos supuestos:
Si se trata de una web en abierto, sería necesario contar con su consentimiento previo dado que se trata de una comunicación de datos a los que puede acceder cualquier persona de manera indiscriminada y no resulta necesaria para el ejercicio de la función educativa encomendada a los centros.
Si la información está restringida al alumnado del centro y a sus familiares o tutores se puede publicar, si bien se debería informar a los docentes y, en caso de incluir la dirección de correo electrónico para contacto, que sean las corporativas y no las personales que tenga el profesorado en el ámbito educativo.
5.2.2. Publicación en la web de datos del alumnado
El centro puede publicar información relativa al alumnado, como fotografías o vídeos, siempre que se disponga del consentimiento del alumnado implicado o de sus padres, madres o tutores.
La página web del centro desde estar alojada en servidores de la Generalitat Valenciana.
También podría llevarse a cabo de manera que no se pudiera identificar a los alumnos, por ejemplo, pixelando las imágenes.
Sería posible su publicación cuando responda a determinados eventos desarrollados en el entorno escolar con la única finalidad de que los familiares pudieran tener acceso a ella. Este acceso debería llevarse a cabo siempre en un entorno seguro que exigiera la previa identificación y autenticación del alumnado, madres, padres o tutores (por ejemplo, en un área restringida de la intranet del centro), limitándose a la información correspondiente a eventos en los que la persona concreta haya participado. En todo caso, sería preciso recordar a quienes acceden a la información que no pueden, a su vez, proceder a su divulgación de forma abierta.
5.2.3. Publicación en el blog de datos del alumnado
Como en el caso de la web, si el contenido del blog en abierto del centro educativo incluyera datos que permitieran la identificación del alumnado, se requeriría su consentimiento o el de sus padres, madres o tutores.
En estos casos se aconseja disociar o anonimizar los datos del alumnado, de manera que no se les pueda identificar.
5.2.4. Publicación de información académica y/o del alumnado en blogs del profesorado
El blog del profesorado es un medio de información y comunicación al margen de la función docente que desarrolla en los centros educativos. De su contenido será responsable el docente que deberá observar la normativa de protección de datos en cuanto que incluya información de carácter personal.
Por tanto, salvo que se contase con el consentimiento de las personas afectadas, o de sus padres, madres o tutores, no se podrían publicar en el blog de un docente datos de carácter personal que permitan identificar al alumnado.
Al igual que con los blogs de los centros educativos, se podría publicar la información previa disociación o anonimización de los datos del alumnado de manera que no se les pudiese llegar a identificar.
5.3. Publicación de datos en redes sociales
La publicación de datos personales en redes sociales por parte de los centros educativos requiere contar con el consentimiento inequívoco de las personas implicadas, a las que habrá que informar previamente de manera clara de los datos que se van a publicar, en qué redes sociales, con qué finalidad, quién puede acceder a los datos, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
El RGPD incluye la obligación de informar sobre el plazo durante el que se conservarán las imágenes o, si no fuera posible, de los criterios para determinarlo.
6. Certificados del Registro central de delincuentes sexuales
Para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores es requisito no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual, que incluye la agresión y abuso sexual, acoso sexual, exhibicionismo y provocación sexual, prostitución y explotación sexual y corrupción de menores, así como por trata de seres humanos. A tal efecto, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro central de delincuentes sexuales.
Una vez iniciada la relación o aportado el certificado negativo no sería precisa una nueva aportación o renovación periódica del mismo, a pesar de que dicho certificado pueda datar de fecha muy anterior.
En ese caso, dada la existencia y permanencia de la relación, podrá considerarse que los datos objeto de conservación y tratamiento mantienen su certeza a menos que se tenga conocimiento de la concurrencia de nuevas circunstancias que exijan su actualización, lo que podrá implicar la exigencia a la persona empleada de un nuevo certificado del Registro central de delincuentes sexuales para comprobar la exactitud de los datos.
7. Videovigilancia
La instalación de sistemas de videovigilancia con la finalidad de garantizar la seguridad de personas e instalaciones en los centros educativos es una realidad en un importante número de centros y cuya tendencia va en aumento.
La implantación de cámaras de videovigilancia, que responda al interés legítimo de los centros y de la conselleria competente en materia de educación en mantener la seguridad e integridad de personas y las instalaciones, ha de observar la normativa de protección de datos personales, en la medida que implica el tratamiento de los datos de alumnos, profesores, familiares, etc.
Dado el carácter intrusivo de estos sistemas en la intimidad de las personas, su instalación debe responder a los criterios de necesidad, idoneidad para los fines pretendidos, que no se puedan conseguir con una medida menos invasiva de la intimidad, y proporcionalidad, que ofrezca más beneficios que perjuicios. Por ejemplo, cuando el motivo para la instalación de estos sistemas sea el de evitar daños materiales, robos y hurtos que se pueden llegar a producir se podría limitar su funcionamiento a las horas no lectivas, de manera que se minimizara el impacto en la privacidad de las personas.
En el anexo II puede consultar la normativa específica sobre videovigilancia.
7.1. Instalación de cámaras de videovigilancia en todas las instalaciones del colegio
Dada la intromisión que supone en la intimidad de las personas, tanto del alumnado como del profesorado y demás personas cuya imagen puede ser captada por las cámaras, los sistemas de videovigilancia no podrán instalarse en aseos, vestuarios o zonas de descanso de personal docente o de otros trabajadores.
7.2. Instalación de cámaras de videovigilancia en las aulas por motivos de conflictividad
La instalación de cámaras de videovigilancia en las aulas por motivos de conflictividad resultaría desproporcionado, pues durante las clases ya está presente un profesor o profesora. Además de una intromisión en la privacidad del alumnado, podría suponer un control laboral desproporcionado del profesorado.
Cabría la posibilidad de que, fuera del horario lectivo y en los supuestos de desocupación de las aulas, se pudieran activar mecanismos de videovigilancia con la finalidad de protección al alumnado y de evitar daños en las instalaciones y materiales.
7.3. Instalación de cámaras de videovigilancia en los patios de recreo y comedores
Cuando la instalación responda a la protección del interés superior de les personas menores, toda vez que, sin perjuicio de otras actuaciones como el control presencial por personas adultas, se trata de espacios en los que se pueden producir acciones que pongan en riesgo su integridad física, psicológica y emocional.
7.4. Información de la existencia de un sistema de videovigilancia
El centro debe informar colocando un distintivo en lugar suficientemente visible en aquellos espacios donde se hayan instalado las cámaras.
También se deberá disponer de una cláusula informativa que incluya los extremos exigidos por la normativa.
8. Tratamiento de datos por las AMPA
Las asociaciones de madres y padres de alumnos (AMPA) son entidades con personalidad jurídica propia que forman parte de la comunidad educativa y desempeñan un papel significativo en la vida educativa al participar en el Consejo Escolar de los centros públicos.
Para el ejercicio de sus funciones, las AMPA suelen tratar datos de carácter personal, identificativos de los familiares del alumnado y de estos, así como otros tipos de datos como pueden ser los económicos, profesionales, sociales, etc.
Como entidades con personalidad jurídica propia que deciden sobre la finalidad, uso y contenido de los datos personales a recabar de los asociados y de sus hijos, las AMPA son responsables de su tratamiento, por lo que deben cumplir con las obligaciones de la normativa de protección de datos.
8.1. Consentimiento para el tratamiento de datos de sus personas asociadas y del alumnado
Si los padres, las madres o los tutores son asociados al AMPA, el tratamiento estará amparado por la relación que vincula al AMPA con sus asociados, por lo que no será necesario el consentimiento de los progenitores, a los que en todo caso deberá informárseles acerca del tratamiento.
Si no fueran asociados, debería obtenerse su consentimiento.
8.2. Comunicación de información de alumnado desde los centros a las AMPA
Si no son asociados, los centros educativos pueden facilitar a las AMPA información personal de contacto del alumnado y sus familiares solamente si los centros disponen del consentimiento previo de los alumnos o de sus padres o tutores si son menores.
Los centros podrán recabar el consentimiento de los interesados a estos efectos, a los que habrá que informar de la finalidad de la comunicación de datos.
8.3. Tratamiento de datos del alumnado por parte del AMPA
Las AMPA pueden tratar los datos del alumnado por cuenta del centro educativo solo en aquellos casos en los que las AMPA prestasen un servicio al centro que requiera el tratamiento de dichos datos.
En estos casos el AMPA actúa como un encargado del tratamiento y requiere la existencia de un contrato que incluya las garantías adecuadas.
8.4. Publicación de datos de alumnado en la web del AMPA o redes sociales
Únicamente podrán publicar contenidos relativos a los datos del alumnado o sus familiares en la web o redes sociales del AMPA si cuentan con su consentimiento, o el de sus padres o tutores si son menores, previa información sobre la finalidad de la publicación.
9. Derechos en materia de protección de datos
Estos derechos son los de acceso, rectificación, cancelación y oposición, conocidos por su acrónimo ARCO, y se pueden describir del siguiente modo:
El derecho de acceso permite a los titulares de los datos personales conocer y obtener gratuitamente información sobre si sus datos de carácter personal están siendo objeto de tratamiento, con qué finalidad, qué tipo de datos tiene el responsable del tratamiento, su origen, si no proceden de los interesados, y los destinatarios de los datos.
El derecho de rectificación permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
El derecho de cancelación permite que se supriman los datos que resulten ser inadecuados o excesivos. La revocación del consentimiento da lugar a la cancelación de los datos cuando su tratamiento esté basado en él.
El derecho de oposición es el derecho del interesado a que, por motivos relacionados con su situación personal, no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.
El centro tiene obligación de contestar a los interesados siempre, aunque no se disponga de los datos sobre los que verse el derecho ejercitado, en cuyo caso habrá que responder en dicho sentido, informándoles del derecho a presentar, en su caso, una reclamación ante la Agencia Española de Protección de Datos o al delegado de la Oficina de Protección de Datos de la Generalitat.
9.1. Derecho de acceso
9.1.1. Obligaciones
Los responsables del tratamiento, en el plazo de un mes, han de facilitar a los interesados la información sobre sus datos personales o, en su caso, respuesta de que no disponen de ellos.
Esta obligación se puede cumplir de varias maneras: visualización en pantalla, escrito, copia o fotocopia, correo electrónico o cualquier otro sistema de comunicaciones electrónico o que resulte adecuado.
Si la solicitud de acceso se formula por medios electrónicos, se facilitará en un formato electrónico de uso común, salvo que se hubiera solicitado recibirla de otro modo.
9.1.2. Diferencias entre derecho de acceso a datos y derecho de acceso al expediente escolar
El derecho de acceso a los datos personales es independiente del derecho de acceso al expediente, a la información y documentación, que se rigen por otra normativa. Conforme a la normativa de protección de datos, no hay obligación de facilitar copia del expediente escolar, sin perjuicio del acceso a la información en el marco de la legislación sectorial.
El RGPD establece que el responsable del tratamiento facilitará una copia de los datos personales de los interesados que, en ningún caso, afectará negativamente a los derechos y libertades de otros.
La documentación relativa a los datos de salud recibe el tratamiento de información clínica cuya copia hay que facilitar a los interesados, en aplicación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y de la normativa autonómica.
9.1.3. Gratuidad del derecho de acceso
La información que se facilite tiene que ser gratuita. No obstante, si el centro o la Administración educativa ofreciera un procedimiento para hacer efectivo el derecho de acceso y el afectado exigiese que el mismo se materializase a través de un procedimiento que implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido, los gastos derivados de su elección serán por cuenta del afectado.
9.2. Derecho de rectificación
El alumnado o sus representantes legales, en su caso, pueden solicitar la rectificación de los datos de su expediente escolar siempre que se constate un error. El centro o la Administración educativa tendrán que corregirlo siempre que se acredite el error. Se podrá ejercitar tantas veces como se adviertan.
Este derecho de rectificación no se aplica a las calificaciones o al contenido de los informes del expediente escolar que se rigen por su normativa específica.
El derecho de rectificación no puede ejercitarse para modificar un informe de evaluación socio-psicopedagógica ya que el derecho de rectificación se refiere a modificar los datos de carácter personal que sean inexactos o incompletos como puede ser el cambio de dirección postal, pero no se puede utilizar para tratar de modificar la opinión realizada por un profesional a través del correspondiente informe que se rige por su normativa específica.
9.3. Derecho de cancelación
9.3.1. Cancelación de información de expedientes académicos a solicitud del alumnado, padres, madres o tutores
Sin perjuicio de lo establecido en la normativa de educación aplicable, la información de los expedientes académicos requiere su conservación en la medida en que puede ser solicitada por el alumnado después de finalizados los estudios.
9.3.2. Cancelación de datos de salud obtenidos por el equipo de orientación educativa
Se cancelarán cuando no sean necesarios para el desarrollo de la función educativa y, en su caso, al finalizar la escolarización del alumno en el centro.
9.4. Derecho de oposición
9.4.1. Oposición a la publicidad de datos de alumnado o sus familiares
El alumnado o sus familiares pueden oponerse a la publicidad de sus datos cuando exista un motivo legítimo y fundado, referido a una concreta situación personal, para oponerse a la publicidad de su información personal. Como podría ser el caso en que una sentencia judicial haya resuelto el alejamiento de uno de los progenitores o se le ha privado de la patria potestad y la publicidad de información personal pueda suponer un riesgo para la integridad física y psíquica del alumno o del otro progenitor.
ANEXO II
Marco normativo
Estatal
Constitución Española (art. 18.4 y 27).
Ley orgánica 15/1999, de 15 de diciembre, de protección de datos de carácter personal (de aplicación hasta el 24.05.2018).
Reglamento de la Ley orgánica 15/1999, de 15 de diciembre, de protección de datos de carácter personal, aprobado por el Real decreto 1270/2007, de 23 de diciembre (aplicable hasta el 24.05.2018).
Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Ley orgánica 2/2006, de 3 de mayo, de educación.
Ley orgánica 1/1996, de 15 de enero, de protección jurídica del menor.
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Europea
Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su protocolo del año 2001.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de diciembre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (de aplicación hasta el 24.05.2018).
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, aplicable a partir del 25.05.2018).
Autonómica
Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat.
Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat.
Orden 19/2013, de 3 de diciembre, de la Conselleria de Hacienda y Administración Pública, por la que se establece las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat.
Orden de 3 de diciembre de 1999, de la Conselleria de Justicia y Administraciones Públicas, por la que se aprueba el Reglamento técnico de medidas de seguridad para la aprobación y homologación de aplicaciones y medios de tratamiento automatizado de la información.
Resolución de 12 de marzo de 2013, de la Dirección General de Centros y Personal Docente, de la Conselleria de Educación, Cultura y Deporte, por la que se dictan instrucciones en materia de seguridad de los sistemas de videovigilancia de los centros educativos públicos de titularidad de la Generalitat.
Agencia Española de Protección de Datos
Guía de protección de datos en centros educativos, de la Agencia Española de Protección de Datos.
ANEXO III
Tratamientos inscritos en la Agencia Española de Protección de Datos
Relación de ficheros declarados actualmente por la Conselleria de Educación, Investigación, Cultura y Deporte, que aplican directamente a centros educativos:
Alumnos
Alumnos extendido
Prácticas formativas
Personal docente
Personal docente extendido
Gestión patrimonial
Becas
Videovigilancia
La normativa que regula la regularización de los ficheros es la siguiente:
Orden de 25 de agosto de 2008, de la Conselleria de Educación, por la que se inscriben y suprimen ficheros de datos de carácter personal gestionados por la Conselleria de Educación.
Corrección de errores de la Orden de 25 de agosto de 2008, de la Conselleria de Educación, por la que se inscriben y suprimen ficheros de datos de carácter personal gestionados por la Conselleria de Educación.
Orden de 3 de junio de 2009, de la Conselleria de Educación, por la que se aprueba la modificación de ficheros con datos de carácter personal gestionados por la Conselleria.
Orden 14/2011, de 7 de octubre, de la Conselleria de Educación, Formación y Empleo, por la que se crea el fichero con datos de carácter personal de videovigilancia.
ANEXO IV
Modelos con ejemplos de registro de las actividades de tratamiento de datos
Se realizará y mantendrá un archivo como Registro de actividades de tratamiento de datos (RAT) a disposición de quien manifieste interés legítimo en una actividad que requiera de tratamiento de datos.
1. Modelo de registro de actividad que no requiere consentimiento
Se deberá adaptar el contenido de cada campo a cada caso a tratar, o al centro concreto:
DENOMINACIÓN DE LA ACTIVIDAD DE TRATAMIENTO: Grabación de prueba de evaluación de un ejercicio de danza
RESPONSABLE DEL TRATAMIENTO: Centro educativo (dirección, correo electrónico)
Conselleria de Educación, Investigación, Cultura y Deporte (dirección, correo electrónico)
EJERCICIO DE DERECHOS ANTE: Centro (dirección, correo electrónico)
FINALIDADES O USOS DEL TRATAMIENTO Gestión de los expedientes académicos del alumnado del centro: evaluaciones, realización de trabajos y exámenes, etc.
BASE JURÍDICA, LICITUD O LEGITIMACIÓN Art. 6.1.e RGPD: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por lo que no sería necesario el consentimiento.
Ley orgánica 2/2006, de 3 de mayo, de educación.
Normativa específica: decreto de currículum, orden de evaluación.
PLAZO DE CONSERVACIÓN Se conservarán durante el tiempo necesario para cumplir con la finalidad para la cual se recogieron y para determinar las posibles responsabilidades que se pudieran derivar de esta finalidad y del tratamiento de los datos. Será aplicable lo dispuesto en la normativa de archivos y documentación.
TIPOLOGÍA O CATEGORÍAS DE DATOS DE CARÁCTER PERSONAL Carácter identificativo: nombre y apellidos; NIA; grupo; imágenes.
Otros datos: los derivados de los trabajos, exámenes y actividades evaluadas.
CATEGORÍAS DE INTERESADOS O AFECTADOS Y ORIGEN DE LOS DATOS Alumnado del grupo.
Profesorado del grupo.
CESIÓN O COMUNICACIÓN DE DATOS (Categoría de Destinatarios) Administración educativa.
En caso de traslado de expediente se comunicarán los datos al centro educativo de destino.
En caso de programas de intercambio, se comunicarán los datos al centro de destino.
TRANSFERENCIAS INTERNACIONALES En caso de participar en un programa internacional, se comunicarán los datos al centro de destino ubicado en el país o estado solicitado por el interesado.
MEDIDAS DE SEGURIDAD, TÉCNICAS Y ORGANIZATIVAS Las medidas de seguridad implantadas se corresponden con las previstas en el anexo II (Medidas de seguridad) del Real decreto 3/2010, de 8 de enero, por el cual se regula el Esquema nacional de seguridad en el ámbito de la Administración electrónica.
2. Modelo de registro de actividad que sí requiere consentimiento
Se deberá adaptar el contenido de cada campo a cada caso a tratar, o al centro concreto:
DENOMINACIÓN DE LA ACTIVIDAD DE TRATAMIENTO: Captación de imágenes de actividad extraescolar con fines promocionales del centro
RESPONSABLE DEL TRATAMIENTO: Centro educativo (dirección, correo electrónico)
EJERCICIO DE DERECHOS ANTE: Centro (dirección, correo electrónico)
Nombre y dirección de la empresa que realiza la grabación de la actividad
FINALIDADES O USOS DEL TRATAMIENTO Difusión por canales públicos de las actividades del centro a efectos divulgativos de su actividad y promocionales.
BASE JURÍDICA, LICITUD O LEGITIMACIÓN Artículo 6.1.b del RGPD, el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
En cuanto a los fines promocionales y publicación en redes sociales (art. 6.1.a RGPD), se requiere el consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos
PLAZO DE CONSERVACIÓN Se conservarán a disposición de la comunidad educativa durante dos cursos académicos. Finalizado ese período, se conservarán únicamente con fines de archivo.
TIPOLOGÍA O CATEGORÍAS DE DATOS DE CARÁCTER PERSONAL Carácter identificativo: nombre y apellidos; NIA; grupo; imágenes
CATEGORÍAS DE INTERESADOS O AFECTADOS Y ORIGEN DE LOS DATOS Alumnado del grupo.
Profesorado del grupo.
CESIÓN O COMUNICACIÓN DE DATOS (Categoría de Destinatarios) Declaración de las cuentas oficiales en redes sociales, o en la web, o en blogs.
TRANSFERENCIAS INTERNACIONALES No están previstas transferencias internacionales de datos.
MEDIDAS DE SEGURIDAD, TÉCNICAS Y ORGANIZATIVAS Las medidas de seguridad implantadas se corresponden con las previstas en el anexo II (Medidas de seguridad) del Real decreto 3/2010, de 8 de enero, por el cual se regula el Esquema nacional de seguridad en el ámbito de la Administración electrónica
ANEXO V
Modelo de solicitud de consentimiento para la recogida de datos
Deberá ser adaptado para cada centro y situación, pero con la misma información que contenga el Registro de actividad de tratamiento (RAT) que consta en el anexo IV:
(Nombre)
, con DNI ..., padre, madre o tutor legal de ..., en
el día ..., manifiesto:
1. Que se me ha informado por parte de los responsables del centro educativo
que:
a) Se va a realizar una actividad que requiere el consentimiento explícito para la recogida de datos denominada «DENOMINACIÓN DE LA ACTIVIDAD DE TRATAMIENTO (ver RAT)».
b) Que la finalidad de la actividad o el uso del tratamiento de los datos será «FINALIDADES O USOS DEL TRATAMIENTO (ver RAT)»
c) Que el responsable del tratamiento de los datos es «RESPONSABLE DEL TRATAMIENTO (ver RAT)»
d) Los derechos previstos en la normativa vigente en materia de protección de datos personales permiten solicitar el acceso a los mismos, su rectificación o supresión, limitar el tratamiento u oponerse al mismo por medio de un escrito que acredite suficientemente la identidad y que vaya dirigido a (nombre del centro, dirección postal y electrónica).
e) Es posible encontrar más información en el Registro de las actividades de tratamiento (disponer un enlace al RAT centro y a la Conselleria, si es el caso). De igual manera también se puede pedir una copia del Registro de actividades del tratamiento en la conserjería del centro.
2. En relación con la información anterior, doy mi consentimiento para que el centro pueda hacer uso de (imágenes/datos/
) del/la menor a quien represento para:
(Indicar el objeto: publicación de imágenes en la web del centro, redes sociales...)
3. En cualquier momento se podrá retirar el consentimiento anterior mediante escrito que acredite suficientemente la identidad y dirigido a la dirección del centro (disponer la dirección postal del centro) o a la siguiente dirección de correo electrónico (dirección de correo electrónico oficial del centro @gva.es). La suspensión del consentimiento no tendrá carácter retroactivo a actuaciones explícitamente consentidas y realizadas con anterioridad a la fecha de su recepción.
4. Asimismo se me ha informado sobre la posibilidad de presentar una reclamación ante la autoridad nacional de control competente en materia de Protección de Datos (Agencia Española de Protección de Datos - AEPD), especialmente cuando no haya obtenido respuesta satisfactoria en el ejercicio de los derechos. Y de que se puede contactar con esa Agencia a través del siguiente enlace: www.aipd.es accediendo a la pestaña «Canal del ciudadano».
Y en prueba de conformidad, firmo el presente documento en el lugar y la fecha indicados en el encabezamiento.
Nombre y apellidos:
Firma de padre, madre o tutor
Nombre y apellidos:
Firma de la alumna o alumno mayor de 14 años.
(El Proyecto de Ley orgánica de protección de datos prevé que los mayores de 14 años puedan otorgar el consentimiento salvo en supuestos donde la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento, se recomienda que el consentimiento lo preste tanto el alumnado como sus representantes legales)
ANEXO VI
Modelo de cartel de aviso para la captación de imágenes por madres, padres o familiares
AVISO: CAPTACIÓN DE IMÁGENES
POR PADRES Y FAMILIARES
EL CENTRO EDUCATIVO INFORMA A MADRES, PADRES Y FAMILIARES QUE CONFORME A LAS RECOMENDACIONES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS:
SE PUEDEN TOMAR FOTOGRAFÍAS Y VÍDEOS DE LAS ACTIVIDADES DESARROLLADAS EN EL CENTRO.
LAS IMÁGENES SE REALIZARÁN EXCLUSIVAMENTE PARA SU USO PERSONAL Y DOMÉSTICO.
QUEDA PROHIBIDA LA DIFUSIÓN DE LAS IMÁGENES FUERA DEL ÁMBITO PRIVADO, COMO BLOGS O REDES SOCIALES (FACEBOOK, INSTAGRAM, ETC.).
EL CENTRO NO SE HACE RESPONSABLE DE LA CAPTACIÓN Y USO DE LAS IMÁGENES CON FINES PERSONALES Y DOMÉSTICOS, SIENDO LOS PADRES Y FAMILIARES LOS ÚNICOS RESPONSABLES EN RELACIÓN CON LOS MISMOS.
GRACIAS POR SU ATENCIÓN
