Muchos de los procedimientos que se venían realizando con la antigua LOPD en los centros educativos españoles ya no son válidos y necesitan realizarse cambios para cumplir con la normativa europea GDPR.
Los centros educativos españoles ya venían realizando actividades de protección de datos antes de que entrase en vigor el Reglamento General de Protección de Datos. La antigua LOPD les obligaba, por ejemplo, a inscribir ante la Agencia Española de Protección de Datos los ficheros de datos recabados.
Sin embargo, con la llegada de GDPR y la renovación de la LOPD, esta práctica ya no será necesaria, pues será sustituida por un minucioso registro de actividades de tratamiento que se realizará de forma interna y solo será presentado ante la autoridad competente en caso de que haya de realizarse alguna inspección por incumplimiento.
Por otra parte, los centros educativos tienen ahora nuevas obligaciones además de este registro, como la recogida de un consentimiento expreso acorde a GDPR o el nombramiento de un Delegado de Protección de Datos (DPO, por sus siglas en inglés), ya que esta figura es necesaria para supervisar que se está cumpliendo con las normativas vigentes.
Además, los centros educativos deberán tener en cuenta que también tratan con datos de carácter sensible, que están especialmente protegidos por la normativa europea. Entre ellos se encuentra información sanitaria, de raza o de religión.
Claves y retos en materia de protección de datos
Al tratar con información tanto de empleados como de alumnos, que pueden ser menores de edad, además de manejar datos de carácter sensible, los centros educativos son unas de las instituciones que más cambios han tenido que llevar a cabo en materia de protección de datos.
El registro de las actividades de tratamiento es uno de los puntos clave de GDPR, ya que es de obligado cumplimiento para todas las empresas y organismos que tratan con datos personales. Los registros sirven como prueba ante cualquier conflicto en el que tenga que mediar la autoridad competente (AEPD en el caso de España). Por ello, los responsables del tratamiento deben realizar informes en los que se detalle la información que se está recogiendo y bajo qué base legal, entre otros puntos como la fecha y el almacenamiento de los mismos.
En los centros educativos se recogen numerosos datos bajo la base legal de la función pública, lo que significa que se recaba información para realizar una tarea de interés público: la educación. Sin embargo, cuando los datos recogidos se publican con otro interés, como por ejemplo dar publicidad al centro, la base legal debe ser diferente y basarse en el consentimiento que, según GDPR, debe ser expreso. Este consentimiento, además, también será necesario si establecen perfiles de almacenamiento en la nube para los alumnos.
Según GDPR, los mayores de 14 años pueden dar el consentimiento por sí mismos, mientras que los que no alcancen esa edad deben apoyarse en sus tutores legales para que consientan la actividad de tratamiento en cuestión.
El consentimiento expreso es diferente del que se venía practicando con la antigua LOPD. Con GDPR ya no se puede recurrir a las casillas premarcadas o a fórmulas comodín como “He leído y acepto la política de privacidad”, así como tampoco se pueden entender como un consentimiento el silencio o la inacción.
Los interesados deben manifestar afirmativamente y de forma clara que consienten todo lo informado. Para ello, ese consentimiento debe hacerse por bloques de tratamiento y no de forma global, de lo contrario no estaríamos hablando de un consentimiento explícito porque no se estaría informando debidamente a los interesados.
Para este registro del consentimiento y de las actividades de tratamiento, los responsables del tratamiento pueden utilizar gestores que les faciliten la tarea. De esta forma, la herramienta ayudará a tomar el control absoluto sobre la información gestionada, notarizando quién usa el dato, cuándo lo usa y qué uso está haciendo del mismo. Además, todas las actividades de tratamiento estarán centralizadas en un mismo repositorio con una trazabilidad completa.
Herramientas como Asentify, basadas en la tecnología Blockchain, ayudan a cumplir con GDPR porque cumplen con GDPR su principal objetivo: convertir al interesado en dueño de sus datos, asegurando sus derechos y su privacidad.
El cumplimiento normativo en materia de protección de datos en centros educativos requiere de la implicación de todos los empleados del centro, aunque sea el DPO quien supervise que la actividad del centro cumple con GDPR y LOPDGDD. Para ello, la Agencia Española de Protección de Datos ha puesto a disposición de los ciudadanos una Guía especial para Centros Educativos, en la que se incluye un decálogo de buenas prácticas a adoptar por el sector educativo, además de explicaciones sobre los conceptos básicos en materia de protección de datos y recursos útiles para facilitar el cumplimiento normativo.
