Tratamiento y protección de datos en el ámbito educativo

Recoge la información acerca del tratamiento de los datos y se incorpora, a modo informativo, a los formularios facilitados al interesado para la gestión de cada procedimiento.

En él se indicarán aspectos como la base jurídica y fines del tratamiento, tipos de datos, ejercicio de derechos, plazo de conservación de los datos personales, etc.

1. Consentimiento inequívoco, es decir, una clara manifestación de voluntad del interesado.
2. Relación contractual: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
3. Cumplimiento de una obligación legal aplicable al responsable del tratamiento.
4. Intereses vitales del interesado o de otras personas. Se da en situaciones muy especiales: por ejemplo, en una pandemia como la del Covid-19, cuando aparezca un caso o brote de COVID-19 en el centro educativo.
5. Interés público o ejercicio de poderes públicos.
6. Intereses legítimos del responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En la página "Registro de Actividades de Tratamiento (RAT)" del portal de la Comunidad de Madrid, a la que se accede siguiendo la secuencia "Acción de gobierno", "Información jurídica y legislación", "Protección de datos", "Registro de actividades de tratamiento (RAT)".

La Delegación de Protección de Datos ha elaborado un Decálogo de buenas prácticas para la protección de los datos personales en el ámbito educativo. Está disponible en formato pdf: "Presentación Decálogo PD"

El Centro Educativo está legitimado para determinar los recursos técnicos que el personal docente deberá emplear para cumplir los objetivos de su proyecto educativo y el profesor está obligado a cumplirlos utilizando las herramientas que el centro haya puesto a su disposición y que en cada momento resulten adecuadas para que todos los alumnos reciban la misma información en condiciones de equidad e igualdad de oportunidades.

Se pueden realizar videoconferencias y grabaciones para la actividad educativa y es legal [artículo 6.1.c) y e) del Reglamento General de Protección de Datos] porque la función educativa, que incluye el uso de toda clase de herramientas, está otorgada por la LOE, es una obligación para la Administración ejercerla y no se precisa para ello el consentimiento, ni de quienes la reciben ni de quienes la imparten. No obstante, lo que no se puede hacer sin consentimiento es difundir (aunque solamente sea a una persona) o publicar las grabaciones, porque esto constituye otra finalidad, que puede dar lugar a un delito contra la intimidad o a una infracción de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.

Las clases se pueden emitir en vivo o grabarse a elección del profesor, debiendo enfocar las cámaras únicamente a la zona donde este se ubique en el aula, para evitar grabar a los alumnos presenciales, siendo el profesor quien debe tener el control de las imágenes y materiales que se muestren a los alumnos.

El perfil del profesor debe ser de administrador del grupo y es quien da la entrada a la clase, dirige la sesión, la graba en su caso y la cierra.

La información con contenido didáctico o audiovisual que se genera con motivo de la actividad educativa pertenece a la Comunidad de Madrid, independiente de los derechos de autor que el profesor pueda tener con motivo de sus creaciones o publicaciones.

Se debe evitar alojar información personal en servidores ajenos a los de la Consejería, por lo que los profesores deben procurar guardar todo tipo de datos personales en la Mediateca con acceso restringido, en el Aula Virtual o en la nube o Cloud de Educamadrid y evitar hacerlo en sus dispositivos personales (portátil, ordenador, memoria externa, etc.), porque en caso de pérdida, extravío o acceso no permitido, puede haber una brecha de seguridad que habría que comunicar a la Agencia Española de Protección de datos.

El servicio de correo electrónico que la Comunidad de Madrid pone a disposición de su personal será fundamentalmente de uso profesional, evitando en cualquier caso la utilización inadecuada del mismo de forma que pueda dar lugar a un consumo abusivo de los recursos de red, actividades fraudulentas, etc.

La utilización del correo electrónico es facilitada por la Comunidad de Madrid, a los efectos de comunicación de un empleado con otro(s), o con personas u organizaciones del exterior, con la finalidad de la actividad profesional.

Se prohíbe expresamente la creación y el reenvío de las denominadas "cadenas" (mensajes dirigidos a un colectivo de receptores a los que se pide explícitamente el reenvío del mismo a una nueva pluralidad de individuos o grupos).

Por motivos de seguridad, los correos dirigidos a una pluralidad de destinatarios deben remitirse de forma que cada uno de ellos no tenga la posibilidad de conocer al resto (con copia oculta).

Los usuarios deben conocer que bajo el nombre de dominio madrid.org o educa.madrid.org asociado a su dirección de correo electrónico, se identifica a la Comunidad de Madrid. Consecuentemente los usuarios aplicarán en la redacción de correos electrónicos las más estrictas normas de cortesía profesional, buena fe y lealtad con la organización.

La comunicación electrónica sobre los sistemas propiedad de o suministrados por la Comunidad de Madrid no puede albergar contenidos que puedan razonablemente considerarse ofensivos o perturbadores, destructivos o atentatorios para la fama o el honor de las personas físicas o jurídicas o Instituciones.

Tendrán la consideración de especial gravedad aquellos contenidos que, considerándose ofensivos, se envíen a una generalidad de individuos, particularmente si dicha generalidad es indiscriminada.

Se considerarán de excepcional gravedad aquellos contenidos que, impliquen el conocimiento y la utilización de datos personales o de protección especial, de acuerdo con la legislación vigente en materia de protección de datos de carácter personal.

El acceso al correo electrónico deberá realizarse con un identificador de usuario y contraseña personales e intransferibles. Consecuentemente queda prohibida la utilización colectiva de correo. El usuario tendrá la diligencia precisa para garantizar la custodia de sus contraseñas.

CONSIDERACIONES GENERALES

La Agencia Española de Protección de Datos (AEPD), en sus “Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo”, realiza una serie de recomendaciones dirigidas al personal que participa en las operaciones de tratamiento, y que es aplicable a la actividad docente en los centros educativos:

• Respetar la política de protección de la información en situaciones de movilidad definida por el responsable.
• Proteger el dispositivo utilizado en movilidad y el acceso al mismo.
• Garantizar la protección de la información que se está manejando.
• Guardar la información en los espacios de red habilitados.
• Si hay sospecha de que la información ha podido verse comprometida comunicar con carácter in mediato la brecha de seguridad.