Los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación, tratarán datos personales (datos identificativos, datos académicos, financieros, profesionales, imágenes, categorías especiales como pueden ser datos relativos a la salud: alergias o intolerancias alimenticias). En consecuencia, deben observar el derecho fundamental a la protección de datos y cumplir con el RGPD y LOPDGDD.
Si hablamos de la protección de datos en centros educativos, debemos saber que para que el tratamiento de datos personales de los interesados (alumnos, profesores, progenitores, personal administrativo, proveedores y con especial consideración a los menores de edad) se realice conforme a la normativa, la Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía para centros educativos” en la que se expone un decálogo para un correcto uso de dichos datos por parte del personal de los centros educativos, dependiendo de las distintas finalidades para los cuales fueron recogidos los datos.
La normativa exige a dichas instituciones cumplir con una serie de requisitos. A saber,
- Legitimación para el tratamiento de datos: El consentimiento expreso es la principal base para legitimar este tratamiento. Es necesaria una clara acción afirmativa del interesado. Los menores de 14 años no pueden otorgar este consentimiento por sí mismos, sino que se ha de recabar por medio de sus padres o tutores.
- Deber de informar sobre el tratamiento, la identidad del responsable, finalidad del tratamiento, plazos de conservación, cesiones y derechos de los interesados.
- Realizar un análisis de riesgos para valorar el riesgo que supone el tratamiento de datos y de ser necesario, realizar una Evaluación de impacto. Dicha evaluación es obligatoria en los supuestos tasados por ley.
- Adoptar medidas de seguridad técnicas y organizativas para garantizar la seguridad, integridad y confidencialidad de los datos personales. En casos de violaciones o brechas de seguridad, se debe notificar a la AEPD y en su caso, comunicar a los interesados.
- Deber de secreto
- Llevar un Registro de actividades de tratamiento, con los datos de responsables y encargaos, fines de tratamiento, descripción de los interesados y las categorías de datos personales que se tratan; la existencia de transferencias internaciones, plazos de supresión y medidas de seguridad adoptadas.