Profesorado y protección de datos
El profesorado tiene una responsabilidad legal y ética en el tratamiento de los datos personales del alumnado. Un uso inapropiado de los mismos puede causar perjuicios psicológicos y sociales a los menores, por lo que se debe actuar con diligencia, respeto y precaución, priorizando siempre el bienestar y la privacidad del alumnado.
No obstante, es importante destacar que con la precaución necesaria, formación adecuada como la que ofrece esta Guía y una buena dosis de sentido común, el correcto tratamiento de los datos personales puede afrontarse con garantías de éxito. La clave está en abordar la protección de datos con un enfoque proactivo. A través de la formación y la aplicación de medidas básicas, el profesorado puede garantizar el respeto a la privacidad del alumnado, cumpliendo con la normativa en materia de protección de datos sin sentirse abrumados por ellas.
Por otra parte, el personal docente, al igual que cualquier otra persona, tiene derechos en materia de protección de datos y a desarrollar su función educativa en un entorno donde reconozcan y respeten estos derechos por parte del alumnado y de los padres, madres y tutores legales.
Tratamiento adecuado de datos personales
Tratar los datos personales del alumnado solo siguiendo instrucciones del responsable del tratamiento, esto es, el centro docente o la Administración educativa.
Deben garantizar que tratan los datos personales del alumnado sin consentimiento solo para fines relacionados con su educación y orientación, que en otro caso disponen de dicho consentimiento del alumnado o de sus padres, madres o tutores legales y que acceden exclusivamente a la información que necesitan para desempeñar sus funciones.
Seguridad y confidencialidad
Deben conocer y aplicar medidas de seguridad adecuadas para prevenir el acceso no autorizado, la pérdida o la destrucción de los datos personales.
Conocimiento y cumplimiento de la normativa
El personal docente debe estar informado y cumplir con las disposiciones del RGPD y la LOPDGDD.
Puede dirigirse mediante consulta al DPD del centro o de la Consejería competente en materia de educación. También puede solicitar orientación a la coordinadora de bienestar y protección o al personal directivo del centro.
Es conveniente, en cualquier caso, la realización de cursos de formación en materia de protección de datos.
En primer término debe valorarse la necesidad y proporcionalidad de la medida evaluando los riesgos asociados a la misma.
En cualquier caso, de procederse al traslado de dichos documentos a un lugar distinto del centro educativo deberá garantizarse la integridad y confidencialidad de los mismos con vistas a reforzar la seguridad de los datos personales que contienen y prevenir accesos no autorizados, para lo cual se sugieren las siguientes medidas:
-
Anonimización o pseudonimización: Antes de llevar los exámenes o ejercicios fuera del centro educativo, los datos personales se podrían anonimizar o pseudonimizar, de manera que no permitieran una identificación directa del alumnado.
-
Medidas de seguridad física: Si los documentos están en formato papel, se deben transportar en carpetas o maletines seguros y mantenerlos en un lugar seguro en casa, lejos del acceso de terceros.
-
Cifrado: Si los exámenes o ejercicios del alumnado están en formato digital, se debe asegurar que los dispositivos de almacenamiento estén cifrados y protegidos por contraseñas fuertes.
-
Limitación de acceso: Solo el profesorado o el personal autorizado debe tener acceso a los documentos en cuestión.
Estas medidas deberán recogerse en protocolos adoptados por el centro educativo acerca de cómo deben transportarse y custodiarse los exámenes y ejercicios fuera del mismo.
No, al no ser necesario para el ejercicio de la función educativa, salvo que cuenten con el consentimiento del alumnado o sus progenitores.
Con carácter general, no resulta conveniente tratar datos personales en ordenadores (u otros dispositivos) particulares al no poder garantizarse la seguridad del tratamiento.
Se deberían usar únicamente recursos facilitados por el centro docente que cuenten con las medidas de seguridad adecuadas para garantizar la integridad, confidencialidad y disponibilidad de los datos.
Si el profesorado hace un uso indebido de los datos personales del alumnado, podría incurrir en varias responsabilidades:
-
Responsabilidad administrativa: El centro docente y la Consejería como responsables del tratamiento, podrían cometer una infracción relativa a protección de datos por el uso indebido de los datos personales por parte del profesorado.
-
Responsabilidad disciplinaria: El incumplimiento de la normativa de protección de datos podría acarrear sanciones disciplinarias internas al profesorado (artículo 77.3 de la LOPDGDD).
-
Responsabilidad patrimonial: Si el uso indebido causase daños materiales o inmateriales demostrables al alumnado o a terceros, el centro docente y la Consejería podrían enfrentarse a una reclamación por responsabilidad patrimonial (artículo 82.1 del RGPD). En caso de abonar indemnización, la Administración podría exigir la responsabilidad en que hubiera incurrido el personal docente por dolo, o culpa o negligencia graves (artículo 36.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público).
-
Responsabilidad penal: En los casos más graves, como la difusión ilícita de datos personales que pusiese en grave riesgo los derechos y libertades o la salud física o mental del alumnado, podría conllevar responsabilidades penales, y en su caso, responsabilidad civil aparejada.
La protección de datos personales del profesorado en el ámbito escolar, redes sociales y comunicación digital se rige igualmente por la normativa de protección de datos. El tratamiento de sus datos personales debe estar amparado por una base legitimadora, como el consentimiento o la ejecución de un contrato en el que sea parte.
El personal docente de los centros andaluces puede ejercer sus derechos en protección de datos ante el órgano o centro educativo responsable del tratamiento, incluyendo la presentación de reclamaciones ante el Consejo de Transparencia y Protección de Datos de Andalucía e instancias judiciales por la vulneración de tales derechos o por el tratamiento indebido de sus datos, lo cual puede conllevar indemnizaciones por daños y perjuicios.
En el caso de que el responsable del tratamiento indebido fuera el alumnado, sus progenitores o tutores, las reclamaciones deberán presentarse ante la AEPD o, en su caso, ante las referidas instancias judiciales.
La imagen y la voz son considerados datos personales y su grabación un tratamiento de los mismos. En caso de que los padres, madres, tutores legales o el alumnado graben al personal docente se convierten a nivel particular en responsables del tratamiento excediendo dicho tratamiento del ejercicio de actividades exclusivamente personales o domésticas en la medida en que el personal docente está realizando labores profesionales, siéndoles de aplicación la normativa de protección de datos.
Para que el tratamiento fuese lícito, se requerirá el consentimiento informado del personal docente. En caso de grabarse sin su consentimiento, sólo podría considerarse válido si pudiera demostrarse un interés legítimo. Ello exigiría identificar claramente el interés que justifica la necesidad de la grabación y por qué el mismo prevalece sobre los derechos e intereses del personal docente.
Cualquier actividad como la difusión o la simple reproducción ante terceros de esa grabación, no sería lícito sin contar con el referido consentimiento salvo que pudiese demostrarse interés legítimo.
El personal docente tiene el derecho de presentar reclamaciones administrativas y judiciales contra los responsables de las grabaciones ilícitas.