CONTENIDOS DEL CURSO

1. CONTEXTO

Este curso de 5 horas pretende dar a conocer una serie de conceptos fundamentales para poder entender, a un nivel básico, ciertas obligaciones que tiene el profesorado en relación con el tratamiento de datos personales del alumnado. No se trata por lo tanto de una formación completa, ni tampoco está pensada para cubrir las necesidades en esta materia de los equipos directivos.

También debéis saber que no sólo los datos personales del alumnado deben ser objeto de tratamiento conforme a la normativa de protección de datos, también los del profesorado, personal administrativo y cualesquiera otros datos referentes a las personas físicas sea cual sea el colectivo al que pertenezcan.

2. LA RAZÓN DE SER DE LA PROTECCIÓN DE DATOS

La idea central es que los datos personales pertenecen a las personas a las que se refieren. Esto implica que las personas dueñas de los datos tienen una serie de derechos en relación a los mismos.

Los derechos referentes a los datos personales son derechos fundamentales. Esto significa que son derechos especialmente protegidos por el Derecho, y en consecuencia, la vulneración de los mismos, puede tener consecuencias graves.

Lo dicho en los párrafos anteriores no significa que no se puedan tratar datos personales ajenos, sino que para hacerlo se tienen que dar ciertas condiciones y, en el caso de que se puedan tratar, hay que hacerlo cumpliendo unas normas.

3. DATOS PERSONALES Y TRATAMIENTO DE DATOS PERSONALES

Datos personales y tratamiento de datos personales, son conceptos que están definidos en la normativa de protección de datos, son términos amplios, que se presentan como una lista abierta de ejemplos. Veámoslos:

Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

En esencia hay dos tipos de informaciones, por un lado, aquella que se puede atribuir a alguien que ya está identificado y luego aquella otra que, en virtud de la misma y el contexto permite la identificación del sujeto aún no identificado, y en consecuencia la atribución de los datos personales. En el ámbito educativo se tratan datos personales, en su mayoría del alumnado y sus familias, pero también del profesorado y otras personas. El hecho de que el alumnado sea, en su mayoría, menor de edad añade complejidad a los tratamientos de datos.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

En decir, básicamente cualquier actuación que se haga sobre datos personales es un tratamiento de datos personales

4. RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

Cuando alguien decide tratar datos personales estableciendo los medios y los fines del tratamiento asume el papel de responsable del tratamiento. Ser responsable del tratamiento es independiente de ejecutar materialmente el mismo. El responsable puede recurrir a terceros para que traten datos por su cuenta, en cuyo caso ese tercero desempeñará el papel de encargado de tratamiento sin que eso suponga que el responsable deje de serlo.

4.1. A efectos prácticos: ¿Quiénes son los responsables de los tratamientos del ámbito educativo?

La Administración educativa y el centro, pero no ambos en todos los casos. Veamos un ejemplo.

4.2. ¿ESTOY TRATANDO LOS DATOS PERSONALES CONFORME A LA NORMATIVA?

Seguramente querréis una respuesta rápida a la pregunta: ¿Qué he de hacer para poder tratar datos personales?

Desde el punto de vista del profesorado, que no forma parte de un equipo directivo, la respuesta es sencilla: puede tratar datos personales siempre y cuando dicho tratamiento tenga cobertura en el registro de actividades de tratamiento del responsable de tratamiento (centro educativo o administración educativa).

Seguramente os preguntéis: ¿Qué es esto del Registro de Actividades de Tratamiento?

Registro de Actividad de Tratamiento (RAT): Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. De igual forma, cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.

Además, en el caso concreto de las Administraciones Pública (AAPP), se debe hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos. Es decir, que las AAPP deben hacer accesible su RAT a través de internet.

Es decir, el centro educativo debe tener una base de datos pública donde queden recogidos los tratamientos de datos personales que lleva a cabo como responsable. Los docentes podréis realizar tratamientos de datos personales siempre que los mismos estén contemplados en la citada base de datos. También podréis llevar a cabo tratamientos, en circunstancias equivalente, en el caso de que el responsable del tratamiento sea la Administración educativa.

Con ejemplo se verá más claro. Supongamos que un docente quiere utilizar en el aula una aplicación informática con el alumnado, de tal forma que, en la utilización de dicha aplicación, se va a llevar a cabo un tratamiento de datos personales del mismo. Pues bien, el docente, para poder utilizar dicha aplicación conforme a la normativa de protección de datos, debería asegurarse que el centro dispone de una actividad de tratamiento en su RAT que da cobertura al tratamiento que va a llevar a cabo.

Desde el punto de vista del centro la respuesta es bastante más compleja y no es objeto de este curso, no obstante, podemos decir que la función del centro –a través de los equipos directivos- es diseñar los tratamientos de datos personales en los casos en los que el centro actúe como responsable del tratamiento.

Para dar una idea sobre en qué consiste el trabajo de diseño de los tratamientos de datos personales que realizaría el centro, vamos a utilizar un símil con la evaluación de impacto medioambiental. Imaginemos que se está planteando como resolver el problema de comunicación de dos pueblos del Pirineo. Decidir comunicar los pueblos con una autopista de 3 carriles en cada sentido tras plantearse la necesidad, no parece adecuado. Un enfoque correcto del problema comienza analizando si realmente existe el problema de comunicación, de tal forma que, si dicho problema no existe, el estudio terminaría en este punto. En el supuesto de que se determine que si existe la necesidad, lo que se trata es de plantear cuál es la opción medioambientalmente más sostenible que resuelve el problema –el mínimo impacto-. Igual resulta que ya existe una carretera, con capacidad suficiente para el tráfico entre los pueblos, pero con el firme en mal estado y el problema de comunicación se soluciona con su reparación, así como con la ampliación del ancho de la carretera y de los arcenes en determinadas zonas. Esta solución es más respetuosa que la hipotética autopista y cumple la finalidad.

Cuando se diseña un tratamiento de datos la filosofía es similar. El responsable del tratamiento debe valorar si puede alcanzar la finalidad sin necesidad de tratar datos personales. Si esto es así, no debería tratar datos. Puede resultar que tratar datos sea mejor desde otros puntos de vista, pero si no es necesario para alcanzar la finalidad que lo justificaría, entonces no se pueden tratar datos personales. En el caso de que se determine que sí que es necesario tratarlos, el responsable deberá diseñarlo de tal forma que sea lo menos lesivo posible para los derechos de las personas dueñas de los datos personales. Para ello, el RGPD establece toda una serie de principios y reglas que deben ser tenidos en cuenta.

5. PRINCIPIOS QUE HAN DE REGIR TODO TRATAMIENTO

Los principios básicos en materia de protección de datos se pueden considerar como las líneas directrices que deben regir todo tratamiento de datos para considerarlo conforme al RGPD.

6. CAUSAS DE LICITUD DE LOS TRATAMIENTOS

Causa de licitud: es el motivo por el cual podemos tratar los datos

Se trata de una lista cerrada con seis posibles motivos, pero las Administraciones Públicas no pueden utilizar todos. (art. 6 RGPD).Cuando los datos pertenecen a categorías especiales de datos –por ejemplo, datos sobre orientación sexual- se requieren requisitos adicionales. (art. 9 RGPD)

La finalidad del tratamiento tiene que tener cobertura en, al menos, una de estas causas. Es decir, no se pueden tratar datos personales sin una causa de licitud.

En este curso solo vamos a contemplar dos de ellas: 1) El cumplimiento de una misión en interés público. 2) el consentimiento.

7. EL CUMPLIMIENTO DE UNA MISIÓN EN INTERÉS PÚBLICO

En este caso, el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable del tratamiento.

Este es uno de los supuestos de mayor aplicación en las AAPP. Se refiere a todos aquellos casos en los cuales para ejercer una competencia es necesario tratar datos personales. Es decir, y esto es muy importante, los datos personales no se tratan porque se ejerza una competencia, se tratan porque es necesario para cumplir con la misión en interés público.

Es importante saber que esa norma, en caso de ser derecho español, tiene que tener rango de Ley. Es decir, no podemos fundar el tratamiento en una obligación establecida en una Orden, un Decreto...etc.

En el ámbito educativo el ejemplo paradigmático lo constituye la disposición adicional 23ª de la Ley Orgánica de Educación. La citada disposición permite un tratamiento de datos personales de tipología muy amplia, tanto del alumnado como de sus familiares, siempre y cuando el tratamiento sea consecuencia del ejercicio de la función educativa u orientadora.

Es muy importante tener en cuenta dos aspectos:

Los tratamientos de datos consecuencia del ejercicio de la función educativa u orientadora no pueden legitimarse en el consentimiento.

Existen tratamientos de datos "con contenido educativo" pero que no tienen una función educativa u orientadora.

8. EL CONSENTIMIENTO

En este caso, el tratamiento será lícito si el interesado o la interesada dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

El interesado es la forma que emplea la norma para referirse al titular de los datos personales.

El consentimiento como causa de licitud en las AAPP tiene una utilidad limitada. Esto es debido a que no se suelen cumplir las condiciones para considerar que el consentimiento es válido. Además, las competencias de las AAPP se rigen por normas y lo habitual es que sean estas las que permitan u obliguen al tratamiento de datos personales.

En el caso concreto de los centros educativos el consentimiento tiene importancia en ciertos tratamientos de datos, que derivan de actividades que no formanparte de la función educativa u orientadora. Es decir, aquellos tratamientos de datos que son necesarios para el ejercicio de la función educativa u orientadora no pueden basarse en el consentimiento.

Condiciones que tiene que cumplir el consentimiento para considerarse válido.

• El consentimiento tiene que ser explícito, no se admite el consentimiento tácito.
• El centro tiene que ser capaz de demostrar que se otorgó el consentimiento. Es decir, debe conservar los consentimientos obtenidos / retirados (proactividad).
• Si el consentimiento se pide por escrito, y en dicho escrito se hace referencia a otros asuntos, el documento tiene que estar bien estructurado para que no dé lugar a confusión.
• El lenguaje empleado para recabar el consentimiento ha de ser claro y sencillo. Cuando el consentimiento lo otorguen menores de edad existe un plus de exigencia en este sentido.
• El consentimiento se puede retirar en cualquier momento. Si se retira, la licitud del tratamiento hecho hasta ese momento no se verá afectada. Antes de recabar el consentimiento hay que informar de estos dos aspectos al interesado.
• El consentimiento debe ser libre, no debe existir vicio en el consentimiento.
• Debe ser tan fácil dar el consentimiento como retirarlo.
• Las personas menores de edad solo pueden consentir el tratamiento de sus datos personales si son mayores de 14 años. Existe una excepción en la que, aun siendo mayores de 14 años, no pueden consentir: son los supuestos en que la ley exija la asistencia de quienes sean titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
• Ser mayor de 14 años NO ES tener 15 años, es tener cumplidos 14 años.

Cuando las personas menores no tengan más de 14 años, el consentimiento lo tienen que otorgar quienes tengan la patria potestad o tutela. Si hay dos personas titulares la deben dar las dos.

Cuando el consentimiento no lo otorgue la persona menor, el centro debe hacer "esfuerzos razonables de acuerdo con la tecnología existente" para comprobar que el consentimiento fue dado por quien sea titular de la patria potestad o tutela.

El tratamiento de determinados tipos de datos cuando se pretenden basar en el consentimiento está prohibido. En concreto está prohibido cuando el tratamiento tenga como finalidad principal identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

9. PROTECCIÓN DE DATOS DE LOS MENORES EN INTERNET

Por su importancia, se reproduce el contenido del art. 92 de la LOPDGDD

Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.

Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica.

10. UN EJEMPLO DE TEXTO INFORMATIVO ADAPTADO –MEDIANTE EXPLICACIONES EN CURSIVA -A LOS MENORES DE EDAD CAPACES DE CONSENTIR

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS EN EL TRATAMIENTO DE IMÁGENES DEL ALUMNADO CON FINALIDADES PUBLICITARIAS DE LAS ACTIVIDADES DEL CENTRO.

Para facilitar la lectura del texto, en todos aquellos lugares dónde debería aparecer el NOMBRE DEL CENTRO EDUCATIVO se ha simplificado por XXXXXX.

El responsable del tratamiento de tus datos personales es XXXXXX.

Explicación para el alumnado de 14 años o más: Esto quiere decir que XXXXXX es el responsable de lo que haga con tu imagen.

La finalidad de este tratamiento es DAR PUBLICIDAD A LAS ACTIVIDADES DEL CENTRO

Explicación para el alumnado de 14 años o más: Esto quiere decir que XXXXXX quiere usar tu imagen para explicar la finalidad del tratamiento. También significa que no la va a emplear para nada más que para eso.

La legitimación para realizar el tratamiento de datos nos la da el consentimiento de quienes sean los titulares de la patria potestad o tutores para el alumnado menor de 14 años, o del propio alumnado cuando tengan 14 años o más.

Explicación para el alumnado de 14 años o más: Esto quiere decir que, si tienes 14 años o más y marcas la casilla que pone "CONSIENTE" tu centro podrá usar fotos y vídeos donde aparezcas para dar publicidad a lo que hace el centro. Si tienes menos de 14 años, el permiso lo tienen que dar tus padres. Si no se marca, el XXXXXX no podrá usar tu imagen o vídeo.

Quienes sean titulares de la patria potestad o tutores para alumnado menor de 14 años, o el propio alumnado cuando tengan 14 años o más, tendrán derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

Explicación para el alumnado de 14 años o más: Esto quiere decir que, aunque ahora des permiso al XXXXXX puedes cambiar de opinión en cualquier momento. El uso que ha hecho el XXXXXX hasta ese momento contaba con tu consentimiento.

No vamos a comunicar tus datos personales a terceros destinatarios salvo obligación legal.

Explicación para el alumnado de 14 años o más: Esto quiere decir que el XXXXXX no va a compartir los vídeos o fotos con tu imagen con nadie salvo que exista un Ley que obligue al centro a compartirlas.

Podrás ejercer tus derechos de acceso, rectificación, supresión y portabilidad de los datos o de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones individuales automatizadas a través de la sede electrónica de la Administración de la Comunidad Autónoma de Aragón con los formularios normalizados disponibles.

Explicación para el alumnado de 14 años o más: Esto quiere decir que puedes pedir determinadas cosas en relación con la fotos y vídeos con tu imagen que tiene el XXXXXX. Que lo puedas pedir no significa que siempre te vayan a dar la razón.

El derecho de acceso te permitirá saber que fotos o vídeos tuyos tiene el XXXXXX y obtener una copia.

El derecho de rectificación te permitirá pedir que se modifique la foto o el vídeo si hay algo incorrecto.

El derecho de supresión es para pedir que eliminen tu foto o vídeo cuando:

• Te enteras que el XXXXXX las usa para otras cosas distintas a dar finalidad del tratamiento.
• Has retirado el consentimiento, pero el XXXXXX las sigue usando.
• Te enteras que el XXXXXX las está usando sin tu permiso.

 El derecho de portabilidad te permite obtener una copia de tu foto o vídeo igual que con el derecho de acceso.

El derecho de limitación es para pedir que el XXXXXX no use tu foto o vídeo temporalmente cuando:

• Ejerces el derecho de rectificación, hasta que se decida sobre esa petición.
• El XXXXXX no tenía tu consentimiento para usar tus fotos y vídeos, pero tú no quieres que las borren sino que las conserven.
• El XXXXXX va a borrar tus fotos y vídeos porque ya no los necesita, pero tú quieres que las conserve porque las necesitas para presentar o defenderte de una reclamación.

El derecho de oposición sirve para pedir que no se empleen tus fotos o vídeos, pero en tu caso no puedes usar este derecho. Consigues lo mismo, y de un modo más sencillo, si te diriges al centro y le dices que retiras tu consentimiento para que usen tu foto o vídeo.

El derecho a no ser objeto de decisiones individuales automatizadas es para pedir que un ordenador no tome decisiones sobre ti. En tu caso, tus fotos o vídeos no se van a usar para tomar ninguna decisión.

Podrás consultar la información adicional y detallada sobre esta actividad de tratamiento en: Dirección web del RAT correspondiente al tratamiento

Explicación para el alumnado de 14 años o más: Esto significa que en esa dirección vas a encontrar más información sobre el uso de tus fotos o vídeos.