A partir del 25 de mayo de 2018 será aplicable el Reglamento General de Protección de Datos (RGPD), que modifica algunos aspectos de la actual normativa de protección de datos y contiene nuevas obligaciones que tienen que ser cumplidas por los centros escolares.
Estamos ahora mismo en un proceso de transición para que, antes de la fecha de 25 de mayo de 2018, los centros lleven a cabo todas las adaptaciones necesarias para cumplir el RGPD.
Los principales colectivos de personas de los que se tratan datos personales en los centros de enseñanza son los alumnos. Los consideración de colectivo de especial protección viene dada tanto por la cantidad de datos que se tratan, como la sensibilidad de los mismos, pues el centro de enseñanza trata todo tipo de datos, como situación socio económica del menos o datos de salud, por citar dos ejemplos.
Datos de salud en los centros escolares
Los datos de salud se tratan de forma justificada datos para distintas finalidades, por ejemplo:
- Servicios médicos relacionados con partes de lesiones o enfermedades de los alumnos durante su estancia en el colegio;
- Discapacidades físicas o psíquicas, por ejemplo del síndrome TDAH.
- Informes psicopedagógicos.
- Servicio de comedor, se tratan datos de salud con el objetivo de saber que alumnos padecen algún tipo de alergia alimenticia.
Medidas
Para proteger los datos de carácter personal los centros de enseñanza deben implantar las adecuadas medidas de seguridad de carácter técnico y de carácter organizativo, que velen por la:
- Integridad
- Confidencialidad
- Protección frente al tratamiento no autorizado o ilícito
- Protección frente a la pérdida, destrucción o daño accidental.
La normativa actual de protección de datos, en el RDLOPD, establece un serie de medidas de seguridad concretas, basadas en tres niveles: básico, medio y alto, que deben aplicarse en función del tipo de datos que se traten. Por ejemplo, a los datos de salud, se le aplican unas medidas de seguridad de nivel alto. Sin embargo, el RGPD no plantea unas medidas de seguridad preestablecidas sino que cambia el concepto hacia un principio de responsabilidad activa por parte del centro de enseñanza que implica, en primer lugar, hacer una valoración del riesgo para, a partir de la misma y, en segundo lugar, determinar qué medidas de seguridad técnicas y organizativas deben aplicarse. Es posible además que, a partir del análisis de riesgo realizado, sea necesario realizar un informe de Evaluación de Impacto en Protección de Datos (EIPD).
Delegado de Protección de Datos en los Centros Educativos
Otra de las medias a tener en consideración con el RGPD es la designación de un Delegado de Protección de Datos (DPO) que, en el caso de los centros educativos, va a ser de designación obligatoria.
Proveedores
Los centros educativos cuentan además con proveedores, que son empresas que prestan servicios y que acceden a datos de los alumnos para prestar dichos servicios. A efectos de la normativa de protección de datos estos proveedores tienen la consideración de encargados del tratamiento. El RGPD establece un deber de diligencia en la elección de proveedor, por lo que ya no sólo bastará con la firma del contrato de acceso a datos. Además deberá evidenciarse que el centro educativo ha tomado las medidas necesarias para comprobar que sus proveedores les ofrecían garantías suficientes de protección de los datos personales a los que acceden.
Más información
La Agencia Española de Protección de Datos ha publicado diversos recurso de utilidad para los centros de enseñanza que están recopilados en la Guía para centros Educativos.
http://www.tudecideseninternet.es/agpd1/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf