Principios de la Protección de Datos

Las normas de protección de datos constituyen un conjunto de principios, derechos de las personas y obligaciones para los responsables del tratamiento que determinan cómo se han de tratar recoger, consultar, comunicar, etc. los datos personales de forma que se garanticen los derechos y libertades fundamentales de las personas físicas.

Los principios de la protección de datos se recogen en el artículo 5 RGPD. No se trata de meros fundamentos aislados, sino que tienen carácter normativo y son de obligado cumplimiento para todos los que traten datos personales.

Seguidamente, se exponen los mismos de forma resumida, por su impacto inmediato en los tratamientos de los datos personales por parte de los centros docentes:

Principio de licitud, lealtad y transparencia (artículo 5.1.a) del RGPD

  • Los datos tiene que ser tratados de manera lícita, leal y transparente.
  • No se pueden recabar de manera fraudulenta y su tratamiento debe ser conocida por los titulares.
  • Cuando se recaban u obtienen datos de los interesados, aún cuando no sea necesario su consentimiento, hay que informarles de la finalidad de la recogida de datos, así como de la información necesaria para garantizar un tratamiento de datos leal y transparente (Artículo 13 del RGPD), en lenguaje claro y sencillo (Artículo 12 del RGPD).
  • La información se puede facilitar, por ejemplo, al cumplimentar los formularios de admisión del alumnado en los centros, al matricularse o a través de su propia web.

 

La Ley Orgánica de Educación (LOE) habilita a los centros docentes a recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa.

 

Todo tratamiento de datos personales está sujeto a los principios y normas relativas a la protección de las personas físicas.

Legitimación para el tratamiento de datos (artículo 6.1 del RGPD)

Para que un tratamiento sea lícito, este debe cumplir al menos alguna de las condiciones establecidas en el artículo 6.1 RGPD. En el ámbito educativo las bases de legitimación que se suelen emplear son las siguientes: 

  • El cumplimiento de una obligación legal
  • El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, en el marco establecido por la Ley Orgánica 2/2006, de 3 de mayo, de Educación y en la Ley 17/2007, de 10 de diciembre, de Educación de Andalucía.
  • El consentimiento de los interesados o de sus padres, madres o tutores legales si son menores de 14 años (ver apartado 6).

Transparencia de la información (artículos 12, 13 y 14 del RGPD)

Para las personas debe quedar totalmente claro que se están recogiendo o utilizando datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.

 

Las personas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer esos derechos.

 

El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender.

Principios de limitación de la finalidad y de minimización(artículo 5.1.b) y c) del RGPD

Los datos se recogerán para finalidades determinadas, explícitas y legítimas, y no se deberán tratar posteriormente de forma incompatible con dichas finalidades.

 

La propia LOE establece que la información que recojan los centros en el ejercicio de su función educativa debe ser la estrictamente necesaria para la función docente y orientadora, y no se puede tratar con finalidades distintas de la educativa sin consentimiento.

 

Además, los datos serán siempre adecuados, pertinentes y limitados a la finalidad para los que son recabados. De esta forma, no se pueden recoger ni tratar más datos que los que sean estrictamente necesarios para la finalidad en cuestión.

Principio de exactitud de los datos (artículo 5.1.d) del RGPD

Los datos deben ser exactos y deben estar actualizados.

 

La falta de actualización de los datos personales puede afectar a la propia gestión académica o, incluso puede conllevar la revelación indebida de datos a terceras personas, por ejemplo, si la dirección no está actualizada o si la escuela no ha registrado debidamente la comunicación de los padres, madres o tutores legales sobre cambios que afectan al régimen legal de patria potestad o guarda y custodia sobre menores.

Principio de limitación del plazo de conservación. (artículo 5.1.e) del RGPD

Como regla general, los datos se conservarán por el tiempo estrictamente necesario para las finalidades para las que se recabaron y para hacer frente a las responsabilidades que se pudieran derivar de su tratamiento, en su caso, debidamente bloqueados.

 

En los documentos de titularidad pública deberán aplicarse igualmente:

  • La Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • La Ley 7/2011, de 3 de noviembre, de Documentos, Archivos y Patrimonio Documental de Andalucía y demás normativa aplicable.

 

  • Los datos incluidos en los procesos de admisión del alumnado que ya no respondan a la finalidad para la que fueron recabados serán suprimidos.
  • Los expedientes académicos, en cambio, deben conservarse, ya que pueden ser solicitados por los alumnos con posterioridad a la finalización de los estudios.

Principio de integridad y confidencialidad. Medidas de seguridad. (artículo 5.1.f) del RGPD

Los centros y las Administraciones educativas deben adoptar medidas de seguridad, de carácter técnico y organizativo, que garanticen la protección de los datos personales.

 

Deben de asegurar:

  • Su integridad y confidencialidad.
  • Su protección frente al tratamiento no autorizado o ilícito.
  • Que no sufran pérdida, destrucción o daño accidental.

 

Las Administraciones educativas deberán cumplir con los principios básicos y requisitos mínimos que permitan una protección adecuada de la información tomando como base lo establecido en el Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo). Esto afecta a todas las aplicaciones y sistemas de información empleados en el ámbito de la educación pública y concertada.

Deber de Secreto

Como manifestación del principio de confidencialidad, todas las personas que tengan acceso a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias están obligadas a guardar secreto sobre los mismos.

 

De obligado cumplimiento para todas las personas que presten sus servicios en los centros y Administraciones educativas, incluyendo personal administrativos o de servicios auxiliares.

 

Además, hay que tener presente que el deber de secreto subsiste una vez finalizada la relación con el responsable o encargado de tratamiento, por lo que incluso cuando haya finalizado el tratamiento, se deberá guardar secreto de los datos personales que hayan sido objeto de tratamiento.

Principio de responsabilidad proactiva (artículo 5.2 del RGPD)

La responsabilidad proactiva en el tratamiento de datos personales es una de las principales novedades introducidas por el RGPD.

 

Es la evolución de un modelo que se basaba fundamentalmente en el control del cumplimiento, a otro que exige una previa valoración del riesgo que pudiera generar el tratamiento de los datos personales, para, a partir de dicha valoración, adoptar las medidas que procedan.

 

Esto implica que la Administración educativa y los centros deberán aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos personales es conforme con el propio RGPD, y lo que es aún más importante, que se protegen los derechos de los interesados (en su mayoría alumnado menor de edad).