Adentrados ya en la obligatoriedad de cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos, y con el inicio de un nuevo curso escolar a la vuelta de la esquina, ya podemos determinar con mayor claridad los cambios más significativos que éste supone con respecto a la normativa anterior en el ámbito de los centros educativos, concretamente.
Principales cambios con respecto a la LOPD
A priori, los cambios que supone el obligatorio cumplimiento de este nuevo reglamento en el caso concreto de los centros educativos es importante. Sin embargo, si existe una buena adecuación en materia de protección de datos con respecto a la normativa vigente hasta el 25 de mayo de 2018, estos cambios se minimizan en gran medida, suponiendo tan solo (y resumiendo muy brevemente):
1. La modificación y adecuación de las cláusulas que se manejan en los distintos centros educativos para cumplir con el deber de informar y recabar los datos correctamente. Y cuando digo correctamente, me refiero al denominado "consentimiento expreso" o, como define el RGPD, "libre, específico, informado e inequívoco";
2. La modificación de los contratos con terceros ajenos al centro, susceptibles a realizar un tratamiento de los datos de carácter personal, bien sea con acceso o sin él a los mismos;
3. Elaboración de un Registro de Actividades de Tratamiento, con las actividades de tratamiento clasificadas por base o legitimación jurídica, para que, partiendo de los ficheros jurídicos que anteriormente se debían inscribir en el Registro de la AEPD, se desarrolle internamente la vida del dato tratado desde el recabado hasta la supresión. Esto además, nos ayudará a identificar los posibles riesgos que se generan en el tratamiento de los datos, para así poder subsanarlos o minimizarlos.
4. Nombramiento de un delegado de Protección de Datos (en adelante, DPO), como figura independiente a la consultoría, responsable de verificar la implantación, así como hacer el seguimiento del cumplimiento de la normativa vigente en materia de Protección de Datos de Carácter Personal.
Tras esta breve exposición, y por mi experiencia en este sector, el gran impacto de esta nueva norma tiene nombres propios: Consentimiento expreso, Registro de Actividades, y Delegado de Protección de Datos (o DPO, de las siglas Data Privacy Officer).
El consentimiento expreso
En cuanto al primero, la diferencia con respecto a la normativa que regía anteriormente es notoria, puesto que antes, el consentimiento se podía entender dado de forma tácita si no había oposición para la finalidad en cuestión.
Sin embargo, el nuevo reglamento exige diferenciar según su base o legitimación jurídica entre las distintas finalidades para las que se van a tratar estos datos. Y, además, dicho consentimiento nunca se podrá entender dado de forma tácita si no existe oposición a él, sino que éste debe ser "libre, específico, informado e inequívoco", precisando, por tanto, de una acción afirmativa por parte del afectado.
Un ejemplo, sería, le cesión del derecho de imagen del menor:
"Asimismo, solicitamos su consentimiento expreso para las siguientes finalidades:
SI □ NO □ Consiento la realización y utilización de la imagen del menor para Orlas, anuario y/o revistas del centro.
SI □ NO □ Consiento la realización y utilización de la imagen del menor en perfiles digitales o redes sociales tales como Facebook, Twitter, o Instagram."
En este caso, vemos como se diferencia la finalidad del tratamiento de los datos, y existe la opción tanto de prestar, como de no prestar el consentimiento para el tratamiento de los datos de Carácter Personal en cuestión de forma "específica, informada e inequívoca".
Sin embargo, no refleja lo más importante: la "libertad" de señalar el SI o el NO. Y es que en algunos casos los centros educativos buscan obtener ese consentimiento de cualquier manera.
El Delegado de Protección de datos
Es aquí dónde surge la necesidad de la entrada en acción de la ya conocida figura del Delegado de Protección de Datos (en adelante, DPO). Ésta puede ser, o bien una persona física contratada por el propio centro, o una figura externalizada en otra entidad con experiencia en la materia, siendo en todo caso su finalidad principal la de velar por el cumplimiento de la legislación en todo tratamiento de Datos de Carácter Personal llevados a cabo tanto por la propia entidad, como del resto de usuarios y/o afectados.
Independientemente de que el Anteproyecto de Ley Orgánica de Protección de Datos recoja que los centros educativos, entre otras entidades, tendrán la obligación de contar con la figura del DPO, para poder dar cumplimiento a los derechos reconocidos a los menores así como los preceptos descritos en el RGPD, considero que se trata de una figura muy necesaria en los mismos.
Si bien es cierto que para los centros educativos puede resultar complejo gestionar que cada alumno, o concretamente, cada padre/madre/tutor legal de cada alumno ha prestado el consentimiento o no para determinadas finalidades no coincidiendo probablemente con el resto de sus compañeros, es necesario dar cumplimiento a los derechos que la normativa les reconoce en el momento de elegir lo que desean por el bienestar de su hijo, independientemente de que estemos de acuerdo o no.
Es decir, que si un padre/madre/tutor legal presta el consentimiento para la realización y utilización de la imagen del menor en Orlas, anuario y/o revistas del centro, pero no en redes sociales como Facebook, Twitter, Instagram, deberán buscar alternativas en la gestión utilizando como última opción "intentar convencer a los familiares para que cambien su elección con el fin de facilitar el trabajo del personal del Centro".
Y esa es la labor del DPO, entre otras. Velar por el cumplimiento, ofrecer otras posibilidades a la entidad para que emplee las medidas correctas en el recabado de consentimientos, así como soluciones en la gestión de los mismos. Y ante cualquier infracción de la ley, será quien medie entre la entidad y el afectado, gestionando el ejercicio de derechos de aquéllos que así lo estimen oportuno, paso previo a acudir ante la Agencia Española de Protección de Datos.
Registro de Actividades de Tratamiento
Esa labor del DPO se ve facilitada en gran medida con el denominado Registro de Actividades de Tratamiento (en adelante, RAT) que toda entidad debe elaborar internamente. En él se recogen, inventariando por su legitimidad jurídica, una serie de actividades llevadas a cabo por el centro en las que se hace algún tratamiento de datos.
Por ejemplo, lo que antes era el fichero "Personal y Recursos Humanos", y que comprendía una gran cantidad de tratamientos, en un RAT se podría desglosar así:
|
TRATAMIENTO |
RESPONSABLE |
….. |
|
Recepción de Currículum |
|
|
|
Procesos de selección |
|
|
|
Nóminas |
|
|
|
Asignación de material informático |
|
|
|
Cesión de derechos de imagen |
|
|
|
Voluntarios |
|
|
|
….. |
|
|
Esto nos ayuda a identificar los posibles riesgos que genere cada actividad de tratamiento de datos que se haga, con el fin de subsanarlos o minimizarlos. Continuando con el ejemplo, refleja los inconvenientes que puedan derivar del tratamiento de datos que haga un empleado o docente, tanto en soporte papel como informático proporcionado por el centro, o en uno personal autorizado por el mismo.
Y es que, si bien es cierto que cada vez se utiliza menos el soporte papel y, por tanto, el riesgo de pérdida de información disminuye en este formato, la utilización de soportes informáticos personales en el trabajo es un foco de riesgos que pueden acarrear serios problemas, sobre todo a la hora de exigir responsabilidades.
Siempre que el centro educativo autorice el uso y tratamiento de datos en soportes informáticos personales mediante una autorización BYOD acompañada de su correspondiente Política, éste será quien asuma en todo caso la Responsabilidad de los daños que se produzcan. No obstante, si el empleado ha incumplido las medidas proporcionadas y exigidas por el centro, le podrán exigir responsabilidades.
Entre algunas de las medidas de seguridad más destacadas, sencillas y útiles para los centros, se encuentra, para el soporte papel el cerramiento de armarios con llave a la que solo puedan tener acceso un número de personas concretas y bien definidas; y en formato digital, el cifrado de los dispositivos (portátiles, tablets, smartphones, etc.)
Esto es, a grandes rasgos, el gran impacto del nuevo reglamento europeo en los centros educativos, que en definitiva lo que pretende es velar por los derechos de los menores y ampararlos ante cualquier situación de controversia o violación de los mismos. Sin embargo, aún tendremos que esperar a lo que defina la esperada nueva LOPD.
