Tras la publicación de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el artículo 7 se establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

 
El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela.

Infografía: Información sobre consentimiento para tratar datos personales de menores de edad

Sí, siempre que se observe lo dispuesto en el Reglamento General de Protección de Datos.

Cuando la recogida y tratamiento de datos de menores responda al consentimiento, hay que tener en cuenta que deberá ser expreso y que cuando se trate de menores de 14 años lo han de prestar sus padres o tutores.

Los mayores de esa edad pueden prestar ellos mismos el consentimiento para que se recojan sus datos, salvo en aquellos casos en los que la Ley exigiera que estén asistidos por su padres o tutores.

El Código Civil estipula que la patria potestad se ejercerá por ambos progenitores o por uno de ellos con el consentimiento expreso o tácito del otro, siendo válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias o las situaciones de urgente necesidad. En caso de desacuerdo, cualquiera de los dos podrá acudir al Juez, quién decidirá al respecto.

En el supuesto de padres separados en el que la guarda y custodia del hijo menor ha sido atribuida a uno de los progenitores, pero ambos conservan la patria potestad, de no alcanzarse un acuerdo habrá de someterse la cuestión al Juez correspondiente.

Para más información: Canal menores de la AEPD

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).

Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

En el caso de los menores de 14 años el ejercicio de estos derechos se realizará siempre por quien ostente la patria potestad o por sus tutores.

Los mayores de 14 años se encuentran habilitados para el ejercicio de los derechos.

Cuando se trate de eventos organizados por el centro escolar hay que distinguir:

• Si se trata de un evento al margen de la función educativa que cumple el centro escolar:
  1. Si es el propio centro escolar el que procede a la grabación de la imágenes deberá informar a los interesados, los propios menores si tienen más de 14 años y, si fueran más pequeños, a sus padres o tutores, de la finalidad de la grabación de las imágenes y de la difusión que de ellas se pretende hacer, si van a ser publicadas en páginas web, en redes sociales, o en cualquier otro tipo de publicación y solicitar su consentimiento.
  2. Si la toma de imágenes se realiza por los familiares de los alumnos, estaría fuera del ámbito de aplicación del Reglamento General de Protección de datos según el art. 2.2.c) ya que se establece que, no se aplica dicha normativa al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. No obstante, la divulgación fuera de ese ámbito de imágenes de personas sin su consentimiento a terceros, por ejemplo, la publicación de las imágenes en redes sociales “en abierto” constituye un tratamiento de datos que sí necesitaría del consentimiento de los afectados, pues en ese caso le sería de aplicación la legislación de protección de datos
• Si el evento responde al  ejercicio de la función educativa de los centros la utilización de los datos para dicha finalidad se entendería amparada en la Ley Orgánica de Educación.

Se recomienda que el centro educativo, al solicitar permiso a los padres para la participación de los menores en eventos escolares, informe de la posibilidad de que familiares y amigos del alumnado podrían tomar imágenes del evento para un uso doméstico. Igualmente, constituiría una buena práctica si se procediera a informar antes de empezar el evento (por ejemplo mediante carteles) de que su grabación sólo es factible para uso doméstico (actividades privadas, familiares y de amistad).

El artículo 154 del Código Civil habilitaría el acceso de los progenitores a la información sanitaria de sus hijos sobre los que ostenten la patria potestad para velar adecuadamente por su salud en cumplimiento de las obligaciones que impone el ejercicio de la patria potestad.

La habilitación para acceder al historial clínico se refiere sólo a los titulares de la patria potestad y no a cualesquiera familiares.

A su vez, el menor de edad también podría ejercer el derecho de acceso a su historia clínica a partir de los 14 años, si bien este ejercicio no puede entenderse como limitación al derecho de los titulares de la patria potestad del menor no emancipado a acceder a su historia clínica.

Las reclamaciones en los casos de la negativa a entregar las historias clínicas de los menores a los progenitores que ostenten la patria potestad habrán de dirigirse a las autoridades sanitarias o judiciales correspondientes.

Para más información: Canal menores de la AEPD

Toda la información en materia de protección de datos y menores está disponible en la página web "tudecideseninternet.es"

Dicha página contiene tanto las guías de la Agencia como otros materiales multimedia para la formación y concienciación acerca de la privacidad de los menores, particularmente en el mundo de internet. Esta información está enfocada a los propios menores, los padres y los profesores.

Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

La Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su disposición adicional 16ª “Denominación de las etapas educativas”, establece que “Las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”, que conforme a lo dispuesto en su artículo 3 son los siguientes:

1. Educación infantil.
2. Educación primaria.
3. Educación secundaria obligatoria.
4. Bachillerato.
5. Formación profesional.
6. Enseñanzas de idiomas.
7. Enseñanzas artísticas.
8. Enseñanzas deportivas.
9. Educación de personas adultas.
10. Enseñanza universitaria.

En consecuencia, los centros docentes que impartan alguna de estas enseñanzas habrán de designar un delegado de protección de datos.

En el caso de hijos menores no emancipados de padres separados o divorciados, en virtud de lo establecido en el artículo 156 del Código Civil, el progenitor no custodio, que acredite mediante la oportuna decisión judicial que ejerce la patria potestad compartida de sus hijos, podrá acceder a la información padronal de los mismos, previa audiencia al progenitor que ostente la guarda y custodia para que pueda realizar las alegaciones que estime oportunas, con el fin de preservar el secreto de la residencia en situaciones sensibles.

No procederá el acceso a la información cuando de la citada decisión se derive que debe preservarse el citado secreto por carecer el progenitor no custodio del derecho de visita a sus hijos menores, o sólo poder hacerlo bajo supervisión de terceros y en determinados lugares.

Desde la perspectiva de protección de datos la respuesta es SÍ. El tratamiento de datos que puede suponer tanto la impartición de clases como la realización de exámenes online en la enseñanza reglada no necesita el consentimiento del alumnado, o de sus padres o tutores, pues está legitimado por la realización de una misión de interés público como es la función educativa, prevista en una norma de rango legal, la Ley Orgánica de Educación (D.A. 23ª); ni tampoco el del profesorado, que se debe al cumplimiento de su relación contractual o estatutaria para ejercer la función educativa.

wLos prestadores de los medios tecnológicos (plataformas, aplicaciones…), en la medida que tratan datos de carácter personal, son encargados del tratamiento que lo realizan precisamente por encargo del responsable: los centros y las Administraciones educativas, dependiendo de la titularidad del centro educativo. Éstos deben proceder a su elección y contratación con la diligencia que exige el Reglamento general de protección de datos (art. 28), para lo que cuenta con el asesoramiento del delegado de protección de datos de designación obligatoria por todos los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación (art. 34.1.b Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales, LOPDPGDD).

El profesorado en el ejercicio online de la función educativa debería utilizar los medios puestos a su disposición por los centros o la Administración educativa responsables del tratamiento.

En consecuencia, la normativa de protección de datos no constituye ningún obstáculo para realizar la función educativa.

Además de seguir los protocolos, directrices, guías u orientaciones que hayan adoptado los centros o las Administraciones educativas, y sin perjuicio de tomar las medidas adecuadas y proporcionadas para el control de las pruebas de evaluación y las clases online, éstas deberán realizarse de la manera menos intrusiva posible para la privacidad del alumnado, sus familias y del profesorado, evitando la captación de información personal que pusiera de manifiesto sus características sociales, económicas, religiosas o ideológicas.

En la medida de lo posible deberían realizarse en el lugar viable más neutro de las viviendas del alumnado y profesorado, y no ser conservadas las imágenes o, en su caso, o no por más tiempo del establecido para la revisión de exámenes.

La grabación y/o la difusión de imágenes y/o audios humillantes y vejatorios constituye una infracción a la normativa de protección de datos. A través del Canal Prioritario de la AEPD, se puede solicitar la supresión de la difusión de estas imágenes y/o audios.

Sí, cuando las Federaciones Deportivas traten datos de menores de edad están obligadas a designar una persona que ejerza las funciones de delegado de protección de datos (DPD) y comunicarlo a la Autoridad de Control correspondiente, conforme se establece en los apartados 1.o), 3 y 4 del artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).  
 
La figura del DPD se ha creado expresamente para, entre otras funciones, asesorar e informar sobre la normativa de protección de datos aplicable y supervisar su cumplimiento, para lo que ha de ser conocedora del derecho y la práctica de protección de datos, además de ser el interlocutor con las personas para cualquier cuestión en dicha materia. Los DPD, sean o no empleados de las Federaciones Deportivas, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente, lo que incluye resolver dudas sobre los tratamientos de datos que se realizan, planteadas tanto por las familias como por los profesionales, así como atender las posibles quejas y reclamaciones.

Sí, en los supuestos de patria potestad compartida.

Con independencia de quien tenga atribuida la custodia, ambos progenitores tienen derecho a recibir la misma información sobre las circunstancias que concurran en el proceso educativo de sus hijos, lo que, en su caso, obligaría al centro educativo a duplicar la información relativa al proceso formativo de sus hijos, salvo que se aportase resolución judicial por la que se establezca la privación de la patria potestad a alguno de los progenitores, o algún tipo de medida que  prohíba la comunicación con el menor.

En estos casos, el centro educativo, o la Administración Educativa deberán implantar las medidas técnicas y organizativas adecuadas que, en cumplimiento de la normativa sobre protección de datos, proporcionen seguridad en el tratamiento de los datos personales y eviten daños y perjuicios a los titulares de los datos.

Si los alumnos fueran mayores de edad (18 años) sus progenitores podrán solicitar el acceso a las calificaciones cuando éstos fueran los que corrieran con los gastos educativos o de alimentos, pues en ese caso les podría amparar un interés legítimo, derivado del mantenimiento de sus hijos mayores de edad, en conocer su evolución académica sobre el que no prevalecerían los derechos y libertades de los hijos/as.

La Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI), en su artículo 35 crea la figura del Coordinador/a de bienestar y protección del alumnado que deberán tener todos los centros educativos donde cursen estudios personas menores de edad, independientemente de su titularidad (públicos, concertados o privados), que actuará bajo la supervisión de la persona que ostente la dirección o titularidad del centro.

Las administraciones educativas competentes determinarán los requisitos y funciones que debe desempeñar el Coordinador o Coordinadora de bienestar y protección. Asimismo, determinarán si estas funciones han de ser desempeñadas por personal ya existente en el centro escolar o por nuevo personal.

En este artículo 35 se establecen las funciones que al menos debe realizar esta figura, entre ellas y en relación con protección de datos, se recoge “Promover, en aquellas situaciones que puedan implicar un tratamiento ilícito de datos de carácter personal de las personas menores de edad, la comunicación inmediata por parte del centro educativo a las Agencias de Protección de Datos*”

• Infografía Actuación del coordinador/a de bienestar y protección del alumnado
• Competencias de la Autoridad Catalana de Protección de Datos
• Competencias de la Agencia Vasca de Protección de Datos
• Competencias del Consejo de Transparencia y Protección de Datos de Andalucía