Imprimir el Libro CompletoImprimir el Libro Completo

Pautas para la protección de datos en Centros

Sitio: Formación en Línea
Curso: Ciudadanía e Identidad Digital
Libro: Pautas para la protección de datos en Centros
Imprimido por: Invitado
Día: lunes, 6 de mayo de 2024, 00:22

Tabla de contenidos

1. Pautas para la protección de datos en centros educativos

En los centros educativos hay dos ámbitos principales en los que debemos tener presente la protección de datos. El primero es el uso de la tecnología en el aula, con el uso de servicios web, aplicaciones para móvil o programas de carácter educativo. El otro es el tratamiento de los datos de los alumnos, el uso y custodia que se hace de los mismos.

2. Aplicaciones usadas en clase

La Agencia Española de Protección de Datos en su Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educativas cita una serie de aspectos que deben ser tenidos en cuenta a la hora de hacer uso de las mismas.

Adecuación a la normativa

Los Centros deben velar para que las aplicaciones cumplan la normativa sobre la protección de datos y algunas de las aplicaciones no proporcionan información suficiente sobre el uso que se hace de ellos. Por ejemplo, en materia de seguridad, sobre la ubicación de los datos, el periodo de retención de los mismos, ni los responsables de los tratamientos. En ocasiones no incluyen información ni tan siquiera sobre las finalidades de los tratamientos, detectándose falta de transparencia y la posibilidad de prácticas de retención de datos opacas. 

Se podría llegar al extremo de que las aplicaciones elaborasen un perfil sobre los hábitos de los menores, el uso que hacen de la información y sus preferencias. Por estos motivos las aplicaciones deben indicar claramente el tratamiento que se hace de los datos, así como el tratamiento que se realiza con ellos.

Autorización de las aplicaciones

Las aplicaciones que se usan en el Centro deben constar en la política de seguridad del Centro, de forma que se haga una evaluación sobre su idoneidad. Deben establecerse procedimientos que obliguen a solicitar la autorización del Centro para el uso de estas aplicaciones. Una solicitud de autorización conllevará la evaluación de la aplicación desde el punto de vista de la seguridad de la información y la consiguiente autorización o denegación por parte del Centro.

Información a los padres

Los padres o tutores legales de los alumnos deben ser informados del uso de estas aplicaciones, especialmente de aquellas que almacenen datos en la nube.

Control

Los profesores y padres deben poder controlar los contenidos que se han subido en las aplicaciones, como vídeos, fotos, grabaciones de voz, etc.

Datos de terceros

Debe guardarse especial cuidado con los tratamientos de datos personales que sean facilitados por terceros sin mediación del titular de los datos, y en concreto,
con la publicación de fotografías o vídeos de alumnos facilitados por otros alumnos o profesores.

Protección de datos personales

Debe formarse a profesores y alumnos sobre la forma de proteger los datos personales y sobre la importancia de utilizar correctamente las aplicaciones. En concreto:

  • Hay que tener especial cuidado al subir imágenes de terceros para no exponer su intimidad.
  • Debe leerse la política de privacidad y términos de uso de la aplicación que vaya a ser usada y no tener ningún reparo en dejar de usar la aplicación si la información no va a estar correctamente custodiada, nuestros datos pueden pasar a otras empresas o el material que generamos deja de ser nuestro para pasar a ser de la empresa que proporciona el servicio.
  • Cuando se usen redes sociales, configurar la privacidad para poder interactuar solo con un grupo previamente establecido de personas.
  • Evitar proporcionar datos excesivos o abusivos sobre los menores como el lugar de residencia y otros datos privados que no deberían ser necesarios.
  • Las contraseñas deben ser robustas para evitar ser descubiertas con facilidad por otros. Del mismo modo, debe evitarse que los menores den su contraseña a otras personas, algo que sucede más de lo que debería y que suele ser una fuente de problemas.

Datos sensibles

Para los casos de tratamientos especiales de datos personales que puedan suponer un mayor riesgo, tal como el reconocimiento facial de menores de edad, que implica el tratamiento de datos biométricos, el responsable debe obtener el consentimiento expreso de los alumnos (si son mayores de 14 años) o de los padres o tutores (si son menores de 14 años) para aplicar dicho tratamiento a las imágenes con fines de identificación, y asegurarse que esta tecnología se utiliza únicamente para fines concretos especificados y legítimos.


2.1. Evaluación de aplicaciones

Desde el punto de vista de la seguridad de datos se aconseja evaluar las siguientes características:

  • El responsable de la aplicación debe informar de lo siguiente:
    • la identidad y dirección del responsable,
    • las finalidades para las que serán utilizados los datos,
    • las posibles comunicaciones de datos a terceros y su identidad, así como la finalidad por la que se ceden,
    • los derechos que asisten a los titulares de los datos,
    • la ubicación de los datos y sus periodos de conservación,
    • las medidas de seguridad facilitadas por la aplicación,
    • los posibles accesos que realiza la aplicación a los datos personales almacenados en el dispositivo o a sus sensores.
  • Los datos deben ser analizados en un país del Espacio Económico Europeo o en alguno de los países con niveles de seguridad equivalentes. También pueden estar en Estados Unidos si se ha adherido al Escudo de Privacidad, puede consultarse la lista de empresas en esta página.
  • Es conveniente probar la aplicación previamente sin usar datos reales de menores. El resultado de esta evaluación es conveniente que quede documentado en el Centro.

3. Temas de interés para el profesorado

Sobre el uso de WhatsApp

Se desaconseja totalmente el uso de la mensajería instantánea, tanto para comunicación profesor-alumno como profesor-padres y madres. Si es necesario establecer canales específicos de comunicación, deberían emplearse los medios y herramientas establecidas por el centro educativo y puestas a disposición de alumnos y profesores (por ejemplo, áreas específicas en la intranet del centro o uso de plataformas que cumplan los requisitos que se verán más adelante) o por medio del correo electrónico.

Expediente académico

La publicidad de esta comunicación, a diferencia de la educación universitaria, no está regulada, por lo que se suelen albergar dudas sobre cómo proceder con las notas de los alumnos. Las calificaciones de los alumnos se han de facilitar únicamente a los propios alumnos y a sus padres. En el caso de comunicar las calificaciones a través de plataformas educativas, estas solo deberán estar accesibles para los propios alumnos, sus padres o tutores, sin que puedan tener acceso a las mismas personas distintas. No obstante, sí sería posible comunicar la situación del alumno en el entorno de su clase, por ejemplo, mostrando su calificación frente a la media de sus compañeros. En el caso de que se digan oralmente al resto de la clase es mejor no hacerlo, pero se podría hacer evitando comentarios personales que pudiesen afectar al alumno, tal como se indica en la página 29 de la Guía para centros educativos de la Agencia Española de Protección de Datos.

El profesor podrá tener acceso al expediente académico de sus alumnos, no está justificado el acceso a aquellos a los que no imparte la docencia.

Datos de salud

Los profesores han de conocer y, por tanto, acceder a la información de salud de sus alumnos que sea necesaria para la impartición de la docencia, o para garantizar el adecuado cuidado del alumno, por ejemplo, respecto a discapacidades auditivas, físicas o psíquicas, trastornos de atención, TDAH o enfermedades crónicas.

Información a familiares diferentes de los padres

Es relativamente frecuente que a las reuniones con el tutor de un alumno acudan hermanos, tíos, etc. A no ser que exista una autorización expresa, solo se podrá dar información sobre un alumno a sus padres o tutores legales. 

Tratamiento de las imágenes

Se pueden realizar imágenes de los alumnos sin necesitar su consentimiento, siempre que la finalidad sea estrictamente educativa, por ejemplo, para trabajos escolares o de carácter evaluativo.  Solo deberán estar accesibles para los alumnos involucrados en dicha actividad, sus padres o tutores y el profesor correspondiente. 

Cuando su fin sea acontecimientos o eventos que se graban habitualmente con fines de difusión en la revista escolar o en la web del centro, es necesario recabar el permiso y además informar claramente si el acceso será indiscriminado o limitado al propio Centro.

En los eventos del centro los padres pueden grabar o tomar imágenes de los alumnos siempre que su uso sea particular y familiar y que, por lo tanto, no será subido a las redes. Si hacen público el material necesitan el consentimiento de aquellos que salgan en las imágenes, cosa que difícilmente podrán conseguir. Por este motivo conviene avisar a los padres de la responsabilidad que tienen a la hora de tomar las imágenes y divulgarlas en espacios abiertos.

Se pueden publicar imágenes de los alumnos en la web del centro siempre que se disponga del consentimiento de los alumnos o de sus padres o tutores. También podría llevarse a cabo de manera que no se pudiera identificar a los alumnos, por ejemplo, pixelando las imágenes. También sería posible su publicación cuando responda a determinados eventos desarrollados en el entorno escolar con la única finalidad de que los padres pudieran tener acceso a ella. Este acceso debería llevarse a cabo siempre en un entorno seguro que exigiera la previa identificación y autenticación de los alumnos, padres o tutores (por ejemplo, en un área restringida de la intranet del centro), limitándose a la información correspondiente a eventos en los que el alumno concreto hubiera participado. En todo caso, sería preciso recordar a quienes acceden a la información que no pueden, a su vez, proceder a su divulgación de forma abierta.

Publicar otras informaciones de los alumnos

En general, salvo que se tenga autorización, no deben publicarse datos en sistemas abiertos como blogs o redes sociales de forma que pueda reconocerse al alumno. En estos casos lo que se puede hacer es utilizar pseudónimos o cualquier otro sistema que ayude a mantener en el anonimato al alumno.


4. Protección de datos del Centro

En la Guía para Centros Educativos, la AEPD proporciona un extenso documento, adecuado a la última normativa de diciembre de 2018 y del cual extraemos algunas consideraciones importantes.

  • Los equipos directivos, profesores, personal administrativo y auxiliar de los centros educativos en el ejercicio de sus funciones y tareas necesitan tratar datos de carácter personal de los alumnos y de sus familiares, lo que deberán realizar con la debida diligencia y respeto a su privacidad e intimidad, teniendo presente el interés y la protección de los menores.
  • Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos para su tratamiento, que estará justificado en el ejercicio de la función educativa y en la relación ocasionada con las matrículas de los alumnos. No obstante, se les debe informar de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo, que se puede realizar en el mismo impreso en el que se recojan los datos de:
    • la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
    • la obligatoriedad o no de facilitar los datos y las consecuencias de la negativa a facilitarlos,
    • los destinatarios de los datos,
    • los derechos de los interesados y dónde ejercitarlos,
    • la identidad del responsable del tratamiento: la Administración educativa o el centro,
  • Cuando sea preciso obtener el consentimiento de los alumnos o de sus padres o tutores para la utilización de sus datos personales por tratarse de finalidades distintas a la función educativa, se debe informar con claridad de cada una de ellas, permitiendo a los interesados oponerse a aquellas que así lo consideren.
  • Las TIC son herramientas fundamentales para la gestión y el aprendizaje de los alumnos. Las Administraciones educativas y los centros deben conocer las aplicaciones que vayan a utilizar, su política de privacidad y sus condiciones de uso de éstas antes de utilizarlas, debiendo rechazarse las que no ofrezcan información sobre el tratamiento de los datos personales que realicen. 
  • Las Administraciones educativas y los centros deben disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC por los profesores, que deberán utilizar las que la Administración educativa y/o el centro hayan dispuesto. Su enseñanza y uso deberán adaptarse al grado de
    desarrollo del niño.
  • Las comunicaciones entre profesores y padres de alumnos deben llevarse a cabo, preferentemente, a través de los medios puestos a disposición de ambos por el centro educativo (plataformas educativas, correo electrónico del centro).
  • El uso de aplicaciones de mensajería instantánea (como WhatsApp) entre profesores y padres o entre profesores y alumnos no se recomienda. No obstante, en aquellos casos en los que el interés superior del menor estuviera comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar y tranquilizar a los padres, titulares de la patria potestad, se podrían captar imágenes y enviárselas.
  • Los profesores deben tener cuidado con los contenidos del trabajo de clase que suben a Internet. Deben enseñar a valorar la privacidad de uno mismo y la de los demás, así como enseñar a los alumnos que no pueden sacar fotos ni videos de otros alumnos ni de personal del centro escolar sin su consentimiento y hacerlos circular por las redes sociales, para evitar cualquier forma de violencia (ciberacoso, grooming, sexting o de violencia de género).
  • Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos) a los que asistan los familiares de los alumnos, constituye una buena práctica informarles, por ejemplo, al solicitarles la autorización para participar o mediante avisos o carteles, de la posibilidad de grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares.

5. Créditos

Autores del curso

Juan José de Haro

Acceso a los contenidos

Los contenidos del curso han sido publicados por el INTEF  en el libro titulado «Ciudadanía e identidad digital» y puede ser descargado en PDF siguiendo el enlace anterior.