4. RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO

4.2. ¿ESTOY TRATANDO LOS DATOS PERSONALES CONFORME A LA NORMATIVA?

Seguramente querréis una respuesta rápida a la pregunta: ¿Qué he de hacer para poder tratar datos personales?

Desde el punto de vista del profesorado, que no forma parte de un equipo directivo, la respuesta es sencilla: puede tratar datos personales siempre y cuando dicho tratamiento tenga cobertura en el registro de actividades de tratamiento del responsable de tratamiento (centro educativo o administración educativa).

Seguramente os preguntéis: ¿Qué es esto del Registro de Actividades de Tratamiento?

Registro de Actividad de Tratamiento (RAT): Cada responsable y, en su caso, su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. De igual forma, cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable.

Además, en el caso concreto de las Administraciones Pública (AAPP), se debe hacer público un inventario de sus actividades de tratamiento accesible por medios electrónicos. Es decir, que las AAPP deben hacer accesible su RAT a través de internet.

Es decir, el centro educativo debe tener una base de datos pública donde queden recogidos los tratamientos de datos personales que lleva a cabo como responsable. Los docentes podréis realizar tratamientos de datos personales siempre que los mismos estén contemplados en la citada base de datos. También podréis llevar a cabo tratamientos, en circunstancias equivalente, en el caso de que el responsable del tratamiento sea la Administración educativa.

Con ejemplo se verá más claro. Supongamos que un docente quiere utilizar en el aula una aplicación informática con el alumnado, de tal forma que, en la utilización de dicha aplicación, se va a llevar a cabo un tratamiento de datos personales del mismo. Pues bien, el docente, para poder utilizar dicha aplicación conforme a la normativa de protección de datos, debería asegurarse que el centro dispone de una actividad de tratamiento en su RAT que da cobertura al tratamiento que va a llevar a cabo.

Desde el punto de vista del centro la respuesta es bastante más compleja y no es objeto de este curso, no obstante, podemos decir que la función del centro –a través de los equipos directivos- es diseñar los tratamientos de datos personales en los casos en los que el centro actúe como responsable del tratamiento.

Para dar una idea sobre en qué consiste el trabajo de diseño de los tratamientos de datos personales que realizaría el centro, vamos a utilizar un símil con la evaluación de impacto medioambiental. Imaginemos que se está planteando como resolver el problema de comunicación de dos pueblos del Pirineo. Decidir comunicar los pueblos con una autopista de 3 carriles en cada sentido tras plantearse la necesidad, no parece adecuado. Un enfoque correcto del problema comienza analizando si realmente existe el problema de comunicación, de tal forma que, si dicho problema no existe, el estudio terminaría en este punto. En el supuesto de que se determine que si existe la necesidad, lo que se trata es de plantear cuál es la opción medioambientalmente más sostenible que resuelve el problema –el mínimo impacto-. Igual resulta que ya existe una carretera, con capacidad suficiente para el tráfico entre los pueblos, pero con el firme en mal estado y el problema de comunicación se soluciona con su reparación, así como con la ampliación del ancho de la carretera y de los arcenes en determinadas zonas. Esta solución es más respetuosa que la hipotética autopista y cumple la finalidad.

Cuando se diseña un tratamiento de datos la filosofía es similar. El responsable del tratamiento debe valorar si puede alcanzar la finalidad sin necesidad de tratar datos personales. Si esto es así, no debería tratar datos. Puede resultar que tratar datos sea mejor desde otros puntos de vista, pero si no es necesario para alcanzar la finalidad que lo justificaría, entonces no se pueden tratar datos personales. En el caso de que se determine que sí que es necesario tratarlos, el responsable deberá diseñarlo de tal forma que sea lo menos lesivo posible para los derechos de las personas dueñas de los datos personales. Para ello, el RGPD establece toda una serie de principios y reglas que deben ser tenidos en cuenta.