La Agencia Española de Protección de Datos ha publicado el "Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas".

El informe recoge las actuaciones llevadas a cabo por los centros docentes y establece una serie de conclusiones y recomendaciones para que cada responsable realice un análisis de cuál es su nivel de cumplimiento de la normativa de protección de datos. (Total 15 páginas). Se pueden resumir en los siguientes apartados:

  • Los Centros Educativos deben observar la debida diligencia con los tratamientos de datos personales que se producen como consecuencia de la llegada de las tecnologías a las aulas.
  • Deben utilizarse únicamente aquellas aplicaciones que ofrezcan información claramente definida sobre los tratamientos efectuados, las finalidades de los mismos y sus responsables, así como sobre la ubicación de los datos, el periodo de retención, y las garantías con relación a su seguridad.
  • Deben establecerse procedimientos que obliguen a solicitar la autorización del Centro para el uso de estas aplicaciones.
  • Los centros deben informar a los padres o tutores del comienzo de la utilización de la tecnología en las aulas, así como de las Apps que traten datos personales de los alumnos y su funcionalidad.
  • Las aplicaciones que se utilicen deben permitir el control de los contenidos subidos, especialmente de los contenidos multimedia.
  • Deben establecerse programas informativos de concienciación orientados hacia la protección de los datos personales, dirigidos a profesores y alumnos.
  • Se debe evitar incluir datos personales sensibles.
  • Cuando exista en el Centro una plataforma educativa se aconseja que se prime su utilización, sin establecer mecanismos de comunicación adicionales.
  • Para los casos de tratamientos especiales de datos personales que implica el tratamiento de datos biométricos, el responsable debe obtener el consentimiento expreso de los alumnos para aplicar dicho tratamiento a las imágenes con fines de identificación, y asegurarse que esta tecnología se utiliza únicamente para fines concretos especificados y legítimos.

  • Las consultas a la Agencia de Protección de Datos se pueden realizar mediante canales específicos de comunicación como son el correo electrónico (canaljoven@agpd.esEste enlace se abrirá en una ventana nueva ), teléfono de atención (901 233 144) y WhatsApp (616 172 204).

AEPD_Orientaciones_apps. Este enlace se abrirá en una ventana nueva


http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/Orientaciones_apps_datos_alumnos.pdfEste enlace se abrirá en una ventana nueva


GuiaCentrosEducativos. Este enlace se abrirá en una ventana nueva


Así mismo está disponible la "Guía para centros educativos", por ser de interés en esta materia. La guía está dirigida fundamentalmente al tratamiento de los datos de los alumnos y sus familiares, que son los principales colectivos afectados, tanto en número, con más de ocho millones de alumnos en todo el territorio nacional, como por las categorías y naturaleza de los datos que de ellos se dispone. (Total 62 páginas)

http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdfEste enlace se abrirá en una ventana nueva

Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos para su tratamiento, que estará justificado en el ejercicio de la función educativa y en la relación ocasionada con las matrículas de los alumnos.

No obstante, se les puede informar en un lenguaje claro y sencillo, en el mismo impreso u hoja anexa en el que se recojan los datos de (pero no es estrictamente necesario por lo indicado arriba):

  • la existencia de un fichero o tratamiento de datos personales,
  • la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
  • la obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos,
  • los destinatarios de los datos,
  • los derechos de los interesados y dónde ejercitarlos,
  • la identidad del responsable del tratamiento: la Administración educativa o el centro,

El Reglamento europeo amplía, a partir del 25 de mayo de 2018, la información que debe facilitarse a los titulares de los datos cuando se recaben de ellos mismos, añadiendo los datos de contacto del delegado de protección de datos y el plazo de conservación o los criterios para determinarlo.(Se entiende que el responsable es el director del centro y que se utilizan sólo en el ámbito para el que se recabaron, no cediéndose a terceros sin autorización expresa, normalmente, si no hay prestación económica por medio , en caso de defecto o incumplimiento la agencia tan sólo pide que se restituya la legalidad).

La mayoría de los centros solicitan una autorización expresa para el uso de la imagen del alumno en la web, revista escolar, etc…

Cuando sea preciso obtener el consentimiento de los alumnos o de sus padres o tutores para la utilización de sus datos personales por tratarse de finalidades distintas a la función educativa, se debe informar con claridad de cada una de ellas, permitiendo a los interesados oponerse a aquellas que así lo consideren. (Se expresa claramente que sea para una cuestión diferente a la educativa).

Responsables: Cuando se trate de centros educativos públicos, el responsable del tratamiento será normalmente la Administración pública correspondiente: la Consejería de la Comunidad Autónoma competente en materia educativa.

Cuando se trata de centros concertados y privados los responsables del tratamiento de los datos serán los propios centros.

En determinados casos, los centros educativos para cumplir sus funciones necesitan contar con la colaboración de otras personas o entidades que no forman parte de su organización, por ejemplo, para el servicio de comedor, servicio médico, transporte… Es necesario que el tratamiento de datos que implica la prestación del servicio se rija por un contrato que deberá incluir las garantías adecuadas (En el caso de los centros Públicos se entiende que están contemplados todos estos temas en los pliegos de cláusulas administrativas de los procesos de contratación de las empresas, por lo que no es necesario hacerlo de nuevo).

Los datos no se utilizarán para finalidades distintas de las previstas en el contrato, ni se cederán a otras personas u organizaciones, ni siquiera para su conservación.

En general hay que solicitar consentimiento para todo aquello que se sale de la estructura de la administración. Ejemplos Aulas Virtuales ajenas al Portal de Educación, redes sociales, avisar cuando hay fiestas o actividades deportivas con carteles para que las grabaciones sólo se utilicen en el ámbitos privado, solicitar cláusula de confidencialidad a la empresa que lleva el mantenimiento informático que puede acceder a los discos duros con información personal, etc…

Información complementaria en ficheros disponibles: Reglamento general de Protección de Datos para instituciones docentes editado por Microsoft.