Principales novedades del Reglamento General de Protección de Datos que afectan al sector educativo

El Reglamento General de Protección de Datos (RGPD), aplicable a partir del 25 de mayo, parte de los conceptos y los principios recogidos en la normativa actual -L.O. 15/1999 y RD 1720/2007-, pero modifica algunos aspectos e introduce nuevas obligaciones en relación con su cumplimiento, basadas no sólo en cumplir sino en poder demostrarlo mediante una actitud inequívoca, consciente y proactiva.

En la práctica esta Responsabilidad Activa requiere que los responsables analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la manera en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Las principales novedades que van a afectar de una manera directa al sector educativo son:

1. Los responsables del tratamiento, centros y administraciones educativas deberán realizar una valoración del riesgo que implique el tratamiento de datos que realicen o vayan a realizar (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado), con la finalidad de implantar las medidas de seguridad técnicas y organizativas necesarias.

2. Los centros y las administraciones educativas, cuando planifiquen servicios o productos que impliquen tratamiento de datos personales, desde su inicio deberán tener en cuenta los riesgos que pueda entrañar para la protección de datos y aplicar las medidas de seguridad necesarias para proteger de forma efectiva los derechos de los alumnos y de los demás colectivos de quienes traten sus datos. Igualmente, adoptarán las medidas que, por defecto, garanticen que sólo se tratarán los datos necesarios para la finalidad para la que se recabaron y que no estén accesibles a un número indeterminado de personas.

3. Necesidad de realizar Evaluaciones de impacto del tratamiento de los datos en los siguientes supuestos, que se completarán con los que decidan la Agencia Española de Protección de Datos o las autoridades autonómicas correspondientes:

• Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).
• Observación sistemática a gran escala de una zona de acceso público (videovigilancia).
• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o les afecte de modo similar.

4. La designación de un Delegado de Protección de Datos (DPO) será obligatoria en los centros educativos, en los términos que disponga la futura normativa que modificará la Ley Orgánica de Protección de Datos –actualmente en fase de Proyecto de Ley-. Está figura será esencial y supondrá una mayor garantía de cumplimiento para los Centros, al ser un supervisor más cualificado, así como un punto de conexión entre las autoridades de control y los interesados.

5. Se suprime la obligación de inscripción de los ficheros de datos de carácter personal en el Registro General de Protección de Datos, pero a cambio se deberá llevar un registro de actividades de tratamiento que contenga la siguiente información:

• el nombre y los datos de contacto del responsable y, en su caso, del representante del responsable y del delegado de protección de datos;
• los fines del tratamiento;
• una descripción de las categorías de interesados y de las categorías de datos personales;
• las categorías de destinatarios a quienes se comuniquen los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
• en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional;
• cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

6. El consentimiento de los alumnos o de sus padres o tutores no se podrá obtener de forma tácita, se necesita al menos una clara acción afirmativa del interesado.

7. El tratamiento de datos sensibles para transferencias internacionales de datos o para otras finalidades diferentes a las puramente educativas el consentimiento además deberá ser expreso, ejemplo de esto último son la recogida de fotos para publicación en web o redes sociales o la utilización de grupos de Whatsapp.

8. Cuando se produzca la sustracción, destrucción, pérdida, alteración, comunicación o acceso no autorizado, que afecte a los derechos y libertades de las personas, y se tenga conocimiento fehaciente de ello, se deberá comunicar esta Violación de Seguridad, en un plazo máximo de 72 horas, a la Agencia Española de Protección de Datos o a la Autoridad autonómica correspondiente y, en su caso, también a los afectados.

 

FOTO: <a href="https://www.freepik.es/fotos-vectores-gratis/fondo">Fondo de vector creado por Freepik</a>