RGPD, Centros educativos y G Suite

RGPD, Centros educativos y G Suite

Los centros educativos, como cualquier otra institución, tiene la obligación de cumplir con todas las leyes vigentes en el ordenamiento jurídico español, incluidas las especializadas en materia de protección de datos.

Tanto los equipos directivos, profesores, personal administrativo y auxiliar de los centros educativos realizan tareas, en el ejercicio de sus funciones, que implica necesariamente el tratamiento de datos de carácter personal. Y todo ello, el centro actúa bajo el cargo de Responsable de tratamiento, debido a que decide, en todo momento, los fines y los medios para tratar dichos datos.

Por ello, los centros educativos que estén bajo el paraguas de la Unión Europea, deberán cumplir con los principios básicos que establece el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos (en adelante, LOPD).

Si bien es verdad que los centros educativos no siempre necesitan el consentimiento de los titulares de los datos para su tratamiento, sí deben cumplir con otras obligaciones que las diferentes normativas les impone.

Una de las obligaciones destacadas que tanto el RGPD como la LOPD imponen a los centros educativos es la del deber de información. Este deber implica que todo centro educativo tiene la obligación de facilitar la información relativa a:

  • La existencia de un fichero o tratamiento de datos personales.
  • La finalidad para la que se recaban los datos de carácter personal y su licitud.
  • La obligatoriedad o no de facilitar los datos de carácter personal y las consecuencias de la negativa a facilitarlos.
  • Los destinatarios de los datos de carácter personal, en caso de que los haya.
  • Los derechos de los interesados en materia de protección de datos y dónde ejercitarlos.
  • La identidad del responsable del tratamiento: la Administración educativa o el centro.

No hay que olvidar que, los centros educativos que necesiten un Delegado de Protección de Datos (en adelante, DPO), deberán informar también de los datos de contacto de éste.

Además, como novedad que introduce el RGPD, deberá comunicarse de forma expresa el plazo de conservación de los datos o, los criterios de conservación oportunos, respetando siempre el consentimiento del interesado, el interés legítimo o el cumplimiento de una obligación legal.

Cabe destacar que este deber de información, cuando se trate de menores de edad, deberá estar redactado de manera clara, a fin de que puedan entender cada una de las estipulaciones, y, que en caso de que sea oportuno, declinar aquellas que consideren oportunas.

Otro punto importante que afecta a los centros educativos es que deben disponer de protocolos, instrucciones, directrices o recomendaciones para el cumplimiento de la normativa relativa a la Protección de Datos de Carácter Personal y de utilización de medios informáticos o TIC con los que traten datos personales de los alumnos del centro.

En muchas ocasiones, en las actividades lúdicas o festivas desarrolladas por los centros educativos, es posible que se recojan imágenes para promocionar eventos o los servicios del mismo centro educativo. En este punto, siempre es necesario recordar que se deberá contar con la autorización expresa sobre la cesión de derechos de imagen de los menores de edad e informar de cuantos derechos le afecte en materia de protección de datos para retirar la autorización de publicación las imágenes concernientes al menor interesado.

 

Datos especialmente protegidos

En ocasiones, los centros educativos deben tratar datos de carácter personal relativos a la salud de los interesados, ya sea para preparar el curso educativo para una persona con discapacidad, para gestionar el plan de medicamentos de algún alumno, para preparar pruebas físicas oportunas al estado físico del interesado o para prestar un servicio de comedor a alumnos celíacos o que padecen alergias alimentarias, en definitiva, datos relativos a la salud física o mental de las personas.

Para ello, cabe recordar que el RGPD solicita recabar el consentimiento del interesado con observancia a unos requisitos exhaustivos para tratar este tipo de datos de carácter personal especialmente protegidos. En caso contrario, se incumpliría la legalidad vigente, quedando expuesto a futuras responsabilidades.

El cumplimiento con la normativa relativa a la Protección de Datos, y en especial, con el RGPD, se torna imprescindible para desarrollar con absoluta normalidad la actividad típica de un centro educativo.

 

¿Está el centro educativo adaptado al RGPD?

Para saber si el centro educativo está adaptado a la nueva normativa de protección de datos es necesario llevar a cabo un estudio sobre las políticas en materia de privacidad y revisar los protocolos vigentes a fin de asegurar el cumplimiento del RGPD.

 

¿Puedo usar herramientas como G SUITE para gestionar datos de carácter personal?

GOOGLE INC. presta servicios a un gran número de empresas alrededor del mundo, además de contar con una amplia red de centros educativos que contratan sus servicios para instalar herramientas de gestión para cubrir sus necesidades diarias. Entre ellos, destacar los servicios de computación en nube, más conocido como G SUITE.

Tal y como se pronunciado la Agencia Española de Protección de Datos, Google cuenta con las garantías adecuadas en materia de privacidad, ya que, una vez examinada la documentación aportada por Google en relación a las transferencias internacionales de datos, se concluye que cumple con las garantías suficientes para que estas se produzcan.

Cabe destacar que Google cifra los datos que trata, sin que ello suponga un trabajo o acción extra para el cliente que tiene contratados los servicios. Estos datos quedan cifrados tanto en la grabación en el disco del cliente, como en las diferentes comunicaciones que se pueden llevar a cabo, ya sea a través del envío de documentos, a través de correo electrónico o por acceso remoto de los datos desde otro equipo o centro.

 

¿Es suficiente contar con una plataforma como G SUITE para cumplir con el RGPD en un centro educativo?

No. G SUITE es una herramienta que permite llevar a cabo acciones con documentos, archivos, e-mails, citas, formularios o páginas web cumpliendo con lo establecido en el Reglamento Europeo de Protección de Datos, pero no es la única acción que deben llevar a cabo los centros educativos para implementar una correcta política de privacidad.

Los centros educativos, además de contar con plataformas como G SUITE, deberán llevar a cabo un análisis de riesgo para evaluar cómo se tratan los datos de carácter personal, un registro de las actividades del tratamiento, y en caso necesario, la realización de una evaluación de impacto y la designación de un Delegado de Protección de Datos. Se torna imprescindible contar con unas exhaustivas cláusulas informativas o de obtención del consentimiento para el tratamiento de datos de carácter personal, ya que, para el RGPD, la privacidad se constituye como un elemento vivo.

 

¿Tienes alguna consulta?


Área Digital Abogados
 cuenta con un equipo de abogados especialistas en derecho de las nuevas tecnologías y protección de datos  que ofrece sus servicios profesionales a todas aquellos clientes que operen en territorio nacional.

Si quieres más información de cómo llevar a cabo una correcta implantación en materia de privacidad o necesitas asesoramiento legal, no dudes en contactarnos.

About the Author: