Tratamiento de datos en centros educativos. Conceptos básicos.

¿Qué es un dato de carácter personal?

Un dato de carácter personal es cualquier información alfanumérica, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Aunque no esté asociada a una identidad, es un dato de carácter personal si a través de dicha información se puede identificar o individualizar dentro de un colectivo a una persona sin esfuerzos desproporcionados.

Datos especialmente protegidos

Los datos especialmente protegidos revelan circunstancias o información de las personas sobre su esfera más íntima y personal. Requieren una especial atención y que se adopten las medidas técnicas y organizativas necesarias para evitar que su tratamiento origine lesiones en los derechos y libertades de los titulares de los datos.

Forman parte de esta categoría de datos personales aquellos que:

  • Revelen ideología, afiliación sindical, religión y creencias.
  • Hagan referencia al origen racial, a la salud y a la vida sexual.
  • Dan constancia de la comisión de infracciones penales y/o administrativas.

En el ámbito educativo es frecuente el tratamiento de datos relativos a la salud del alumnado, incluida la prestación de servicios de atención sanitaria.

El RGPD y la LOPDGDD denominan a los datos especialmente protegidos como “categorías especiales de datos”, incluyendo de forma específica en estas categorías los datos biométricos y los datos genéticos.

Casos prácticos y ejemplos
1 Como parte de la función educativa, el profesorado recoge datos de salud (lesiones, patologías, diagnósticos médicos, etc.), que se tienen en cuenta en el día a día, cuando se va a curar a un niño/a, etc.
2 Si el centro tiene servicio de enfermería, cuando el alumnado es atendido por este servicio externo.
3 Como parte de la tarea de orientación psicopedagógica.
¡Ten en cuenta!
No tiene la consideración de categoría especial de datos o datos sensibles que uno/a alumno/a curse la asignatura de religión, puesto que el hecho de cursar la misma no implica revelación de su confesión religiosa.

¿De quién son los datos de carácter personal?

Los datos de carácter personal son de los afectados o interesados: alumnos, padres, tutores, profesores o personal de administración y servicios.

Cada persona es titular de sus respectivos datos de carácter personal.

¿Qué es un fichero?

Un fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado, repartido de forma funcional o geográfica o tratado de forma manual o automática.

El RGPD suprime la obligación de notificar los ficheros a la Agencia Española de Protección de Datos y a las autonómicas, y se centra en las actividades del tratamiento.

¿Quién es el responsable del tratamiento de datos?

En cualquier actividad que están presentes los datos de carácter personal existe un tratamiento, ya sea manual o automático.

El responsable del tratamiento es la persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso de este, bien por decisión directa o porque así le viene impuesto por una norma legal.

Cuando se trate de centros educativos públicos, el responsable del tratamiento es la administración competente en materia de educación. En en caso de la Comunidad Valenciana, el responsable es la persona titular de la subsecretaría de la Consellería de Educación.

Cuando se trata de centros concertados y privados los responsables del tratamiento de los datos serán los propietarios de los mismos centros.

¿Quién es el encargado del tratamiento de datos?

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

En determinados casos, los centros educativos para cumplir sus funciones necesitan contar con la colaboración de otras personas o entidades que no forman parte de su organización, por ejemplo, para el servicio de comedor, servicio médico, transporte o para la realización de actividades extraescolares.

Estas personas y entidades, cuando prestan sus servicios, también tratan los datos de carácter personal del alumnado, profesorado y familias, pero lo hacen por encargo del responsable del tratamiento, es decir del propietario del centro (privado/concertado) o de la Administración educativa (centro público).

Las empresas que realizan este tipo de servicios tienen, en relación al tratamiento de los datos personales, la consideración de encargados del tratamiento.

En el caso de centros públicos, la empresa o persona encargada del tratamiento tendrá que firmar un contrato con el responsable del tratamiento, conforme se indica en el Manual de Adecuación en la LOPD para los Centros Docentes (p. 9).