Así es la protección de datos de los centros educativos
La protección de datos en los centros educativos es clave para salvaguardar la privacidad de los alumnos
Al manejar datos sensibles, requieren de estrictas medidas de seguridad y transparencia para proteger la privacidad de los menores
Así protegen en las aulas los datos personales de los alumnos: monitorizan el uso de sus dispositivos
La protección de datos es un tema cada vez más relevante debido al constante incremento del uso de las tecnologías digitales y la cantidad de información personal que se maneja, por eso el que estos datos queden expuestos supone una gran preocupación. Por esta razón, en el ámbito educativo, es una cuestión que también inquieta en gran medida por el uso de estos datos.
La implementación de la normativa de protección de datos es una obligación legal, pero también es un deber ético de los centros educativos el salvaguardar la privacidad tanto de alumnos, como de padres, docentes y personal administrativo.
MÁS
Desde mayo de 2018, el Reglamento General de Protección de Datos (RGPD) es la principal normativa que regula la protección de datos. El RGPD establece un marco legal similar a todos los países que componen la Unión Europea. En España, esta normativa se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.
Los centros educativos suelen tratar con grandes volúmenes de información personal, por lo que son considerados responsables del tratamiento de estos datos y, por lo cual, deben cumplir de manera estricta las normativas vigentes. Estos datos tienen, además, una mayor sensibilidad al tratarse de información de menores.
¿Qué tipos de datos manejan los centros educativos?
Los datos que estos centros recogen son algunos de ellos básicos y necesarios para el funcionamiento del sistema educativo y otros, tienen un carácter más sensible y precisan de medidas extra de protección. Los datos más comunes que maneja un centro educativo pueden ser:
- Datos de identificación personal: son nombres, apellidos, direcciones, fechas de nacimiento, DNI o NIE y fotografías de alumnos y trabajadores.
- Datos académicos: aquí entrarían las calificaciones de los alumnos, datos de asistencia, informes de comportamiento y evaluaciones.
- Datos de salud: hoy en día es imprescindible contar con información médica relevante de los alumnos como pueden ser alergias, discapacidades o necesidad de proporcionar algún medicamento.
- Datos de carácter socioeconómico: sería la información sobre la situación económica familiar para la concesión de becas o ayudas económicas.
- Imágenes y grabaciones: en muchos centros educativos cuentan con cámaras de seguridad. También se pueden grabar eventos escolares o actividades extraescolares.
¿Cuáles son las obligaciones del centro educativo respecto a estos datos?
En el RGPD se distinguen entre “responsable del tratamiento” y “encargado del tratamiento”. Por lo que, en este caso, sería el centro educativo el responsable del tratamiento, ya que es quien decide qué datos se recopilan y su manera de gestionarlos. Y los encargados del tratamiento serían terceros, como proveedores de servicios tecnológicos o plataformas educativas, que procesan los datos en nombre del centro.
Las obligaciones que tienen estos centros educativos son:
- Obtener el consentimiento explícito de los padres o tutores, ya que manejan datos de menores de edad y éstos son más sensibles. En caso de que el menor tenga más de 14 años, ya es éste quien puede dar su consentimiento para algunos tratamientos de datos.
- Los centros educativos deben asegurarse de pedir los datos estrictamente necesarios para el cumplimiento de sus funciones y no solicitar datos que sean excesivos o irrelevantes. A esto se le denomina el principio de minimización de datos.
- Es fundamental tener una transparencia e informar a los interesados sobre qué datos se están recopilando, con qué fines, de qué forma van a ser tratados y qué derechos tienen en relación a estos.
- Estos centros también están obligados a garantizar que los titulares de los datos o representantes legales pueden ejercer sus derechos: de acceso, rectificación, cancelación y oposición, y también el derecho al olvido y la portabilidad de datos.
- El centro educativo, al ser el responsable del tratamiento de estos datos, debe implementar las medidas técnicas y organizativas para proteger estos datos de accesos no autorizados, pérdidas o filtraciones.
¿Qué medidas tienen para proteger los datos?
Como se ha mencionado anteriormente, una de las principales obligaciones del responsable de los datos, en este caso, el centro educativo es que esa información personal no caiga en las manos equivocadas. Por lo que, es necesario adoptar ciertas medidas de seguridad tanto de manera tecnológica como administrativa.
Hoy en día, la mayoría de colegios e institutos emplean plataformas digitales para gestionar los expedientes académicos, la comunicación con las familias y también la evaluación de los estudiantes. Por lo que, estas plataformas deben estar debidamente protegidas mediante contraseñas seguras, cifrados de la información y autenticación de múltiples factores.
Por otro lado, el personal del centro educativo también tiene acceso a estos datos, por lo que deben estar suficientemente formados en protección de datos para aplicar buenas prácticas de seguridad de la información y así evitar errores humanos que puedan comprometer dicha información.
Al emplear plataformas digitales, los centros educativos deben ser muy cuidadosos a la hora de escogerlas. Es vital que estos proveedores cumplan con el RGPD y se firmen contratos que detallen claramente las responsabilidades de cada una de las partes en el tratamiento de los datos.
Para mantener todo al día, se deben realizar auditorías periódicas y análisis de riesgos para poder identificar posibles vulneraciones y mantener todo controlado.
Y en caso de que se produzca una violación de seguridad, lo que el protocolo dicta es que el centro educativo está obligado a notificar a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas y, también, de informar a los afectados en caso de que el incidente implique un riesgo elevado para sus derechos y libertades.