Tratamiento de datos personales en centros educativos


Manuel Castilleja Toscano     05/04/2024

¿Cómo se deben tratar los datos personales del alumnado y sus familias en los centros educativos?

En la infografía de la AEPD sobre criterios para el tratamiento de datos personales en centros educativos, que a continuación resumimos, están los criterios fundamentales a tener en cuenta en este tipo de tratamientos:

  • El centro educativo
    • Deberá formar a su personal sobre los principios básicos de la protección de datos y cómo realizar los tratamientos de dichos datos correctamente.
    • Deberá disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC (tecnologías de la información y la comunicación) por el profesorado.
    • Cuando organice eventos, podrá admitir la grabación de imágenes a las familias, pero advirtiendo que son exclusivamente para su uso personal y doméstico.
    • Cuando trate datos de menores de edad, deberá disponer de un Coordinador o una Coordinadora de bienestar y protección del alumnado, que, bajo la supervisión de la dirección del centro, promueva la comunicación de situaciones que impliquen un tratamiento ilícito de datos a las Autoridades de Protección de Datos.

  • El profesorado
    • Deberá utilizar únicamente las aplicaciones/plataformas/servicios que el centro haya dispuesto y su enseñanza y uso deberán adaptarse al grado de desarrollo del alumnado.
    • En las comunicaciones con los progenitores del alumnado utilizará únicamente los medios puestos a disposición por el centro.
    • No utilizará aplicaciones de mensajería instantánea (WhatsApp, Telegram, etc.) para comunicarse con los progenitores o el alumnado, salvo en aquellos casos en los que el interés superior del menor estuviera comprometido (accidente, indisposición, etc.).
    • Deberá cuidar los contenidos de los trabajos de clase que suben a Internet y utilizar para ello solo los medios validados por el centro.

  • En lo que al cumplimiento del RGPD y LOPDGDD se refiere
    • Los datos se deben tratar con la debida diligencia en el cumplimiento de la normativa de protección de datos y respeto a su privacidad e intimidad, teniendo presente siempre el interés y la protección de los menores, y atendiendo al protocolo de actuación establecido por el Centro.
    • Por regla general, los centros educativos no precisan el consentimiento para el tratamiento de estos datos, ya que estará basado en:
      • El desempeño de la función educativa y orientadora encomendada al centro, incluyendo también categorías especiales de datos, como los relativos a la salud o de religión, e incluso los datos personales de sus padres o tutores, cuando fuesen necesarios para el desempeño de dichas funciones (art. 6.1.c RGPD).
      • El correcto desarrollo y ejecución de la relación contractual o precontractual que implica la matriculación o preinscripción en el centro y el resto de servicios necesarios para la correcta gestión escolar (art. 6.1.b RGPD)
    • Aunque no se precise consentimiento, se debe informar del tratamiento conforme al art. 13 RGPD (responsable, DPO, fines, legitimación, conservación, derechos).
    • Para fines distintos a la función educativa, además de informar, se debe solicitar el consentimiento expreso (publicación de imágenes en web, blogs, RRSS y servicios equivalentes)
    • Es obligatoria la designación de un DPO