Este viernes 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos o GDPR, la normativa que sustituye a la actual Ley Orgánica de Protección de Datos que se aplicará a los 28 países de la Unión Europea.
En concreto, afectará tanto a instituciones físicas como a organizaciones que desempeñan su actividad profesional o comercial en ella: la escuela es uno de esos ámbitos y, por tanto, deberá adaptarse a la nueva norma.
¿Qué implica la GDPR en centros educativos?
Básicamente requiere (en el caso de los centros escolares) que sus responsables analicen los datos que tratan, con qué finalidad lo hacen y el tipo de tratamiento que realizan. Así, podrán establecer cómo aplicar las medidas adecuadas para su protección. Vamos a verlo con más detalle.
La puesta en marcha de la norma GDPR dará luz verde a nuevos derechos que reforzarán la capacidad de control que posee una persona sobre sus datos, además de su derecho de acceso, es decir, el derecho a conocer quien tiene esa información, a quién se la comunican o con qué motivo. Asimismo, determina las obligaciones que necesitan cumplir sus responsables a la hora de tratarla.
En este nuevo escenario, y al igual que una compañía privada tiene bajo su poder datos referidos a personas, en el ámbito educativo sucede algo similar. Los centros disponen no sólo de material acerca de sus trabajadores sino también de sus estudiantes: fotografías, documentación, evaluaciones, expedientes, informes médicos…; en algunas situaciones, incluso, manejan datos de categorías especiales que por sus características exigen un control más estricto (por ejemplo, etnia o raza).
Responsabilidad proactiva
¿De qué modo esto afectará a los colegios y la protección de sus datos? Como explica Julián Prieto, responsable del área de menores de la Agencia Española de Protección de Datos: “Se introduce una nueva modalidad de cumplimiento basada en una responsabilidad proactiva que lleva a que los responsables de este tratamiento, los centros o las administraciones educativas, adopten aquellas medidas que garanticen su cumplimiento y puedan demostrarlo”.
Dicho de otra manera: las escuelas tienen el deber de adoptar las medidas establecidas por la norma GDPR para que se cumplan dichos principios y que esa ‘responsabilidad proactiva’ resulte efectiva. Esto implica que tienen que estar preparadas para solicitar datos personales cuando así lo requiera la situación y documentar su uso, sin olvidar las medidas para su protección. Desde el punto de vista legal esto se conoce como ‘privacidad por defecto’ y significa que los sistemas de tratamiento de los colegios se configurarán de forma restrictiva y sólo las personas implicadas decidirán qué aspectos de su información desean hacer públicos.
Un delegado para la protección de datos
Una nueva figura aparece en escena, la del Delegado de Protección de Datos. Obligatoria para prevenir situaciones de incumplimiento, “informará, asesorará y supervisará el tratamiento de datos que lleven a cabo los centros educativos y que éstos o las administraciones educativas habrán de designar” detalla Prieto.
Además de garantizar el cumplimiento de la legislación en materia de protección, el Delegado de Protección de Datos podrá desempeñar otras actividades como las relacionadas con labores de asesoramiento, auditorias o formación de personal.
El responsable del área de menores de la Agencia Española de Protección de Datos, recuerda que se “deberá adecuar la información que se ofrece a los interesados, o a sus padres si se trata de menores de 14 años a lo que dispone el reglamento, adecuar los procedimientos para atender el ejercicio de sus derechos de los interesados y articular el procedimiento para notificar a las autoridades las brechas de seguridad que puedan tener”.
Registro de actividades
Con esta reforma, se mejoran los derechos de privacidad de docentes, alumnos y personal que trabaje en centros de enseñanza porque se les garantiza el acceso a sus datos, traslado u oposición a que terceros accedan a ellos.
La obligación de documentar procesos y proteger la información también será mayor. Elaborarán informes y presentarán pruebas que demuestren que cumplen con lo establecido por la ley (caso de irregularidad lo comunicarán en un plazo máximo de 72 horas). Por último, los registros de actividades cobran fuerza. La obligación de inscribir los ficheros en la Agencia Española de Protección de Datos se sustituye por esta modalidad que implica describir con detalle qué datos se recogen, con qué fin se tratan, a quién se comunican, cómo se preserva su seguridad y cuándo se podrán suprimir.
Os recomendamos la Guía para Centros Educativos elaborada por la Agencia Española de Protección de Datos. En ella se ha incluido un decálogo para el uso correcto de los datos personales que os será de utilidad.