Hay días en los que ando corto de inspiración para escribir ese artículo diario que, desde hace bastantes años, intento escribir. Pues hoy me he encontrado con tres temas, cada uno de los cuales daba para un artículo. Uno relacionado con las métricas del blog (sí, me apetecía compartir con vosotros que, a pesar de no importarme los números, lo de haber recibido casi medio millón de visitas en septiembre me ha impactado). Y otro, en el que, de forma humorística pretendía hablar de los “profecornios” (un concepto acuñado por @pizarraytiza), hilvanando ese concepto, mezcla de profesor y unicornio, con el uso de ropa interior.
Pero me ha podido compartir lo más importante. Bueno, lo que creo que es más importante para los que os pasáis por aquí. Los criterios para el tratamiento de datos personales en los centros educativos que ha publicado la Agencia Española de Protección de Datos (AEPD). Unos criterios que voy a comentar y a deciros cómo os afectan como docentes, alumnado o familias. Afectan a todo lo que sucede en los centros educativos. Así pues, sin más, paso a compartiros el documento (aquí) e integraros el pdf en esta publicación.
criterios-tratamiento-datos-personales-centros-educativos
Pues bien, el documento indica varias cuestiones clave, que voy a intentar exponeros de forma muy sucinta, con implicaciones de las mismas. a continuación:
Las administraciones educativas en los centros públicos o los propios centros educativos (en caso de ser privados, concertados o no) son los responsables del tratamiento de datos de su alumnado.
Por tanto, los centros públicos NO SON los responsables de ese tratamiento de datos. Son los apéndices que realizan, para la administración educativa, ese tratamiento de datos. Algo muy importante porque implica que, siendo parte de la administración, el personal que trabajamos en los centros educativos, solo actuamos de enlace para ese tratamiento. Lo que implica que TODA la documentación del alumnado debe permanecer en edificios de la administración educativa o en las plataformas informáticas que estén validadas por la misma. En caso de centros educativos de Infantil y Primaria, al ser los centros gestión directa del ayuntamiento, sería cuestión de ver qué tipo de convenio tienen con la administración educativa. En principio no habría problema para ese tratamiento de datos, ya que el personal depende de la administración educativa y son los responsables de ese tratamiento de datos. No hay cesión de datos a los ayuntamientos. No se puede dar los datos de ese alumnado al Ayuntamiento. Y esto es algo que conviene remarcar.
Por regla general, los centros educativos no necesitan el consentimiento de los titulares de los datos personales para su tratamiento, o de sus progenitores o tutores, ya que estará justificado en el ejercicio de la función educativa y en la ejecución de la relación ocasionada con las matrículas del alumnado. No obstante, se debe informar a las familias de forma inteligible y de fácil acceso (por ejemplo, en el mismo impreso en el que se recojan los datos personales), mediante un lenguaje claro y sencillo, sobre al menos:
- la identidad del responsable del tratamiento: la Administración educativa correspondiente en caso de centros públicos o el centro educativo, para centros concertados o privados,
- la finalidad para la que se recaban los datos personales y su licitud, por ejemplo, para el ejercicio de la función educativa, misión de interés público, o para difundir y dar a conocer las actividades del centro, basada en el consentimiento expreso,
- los derechos de las personas interesadas, por ejemplo, los derechos de acceso o rectificación y dónde ejercerlos,
- el resto de la información como los datos de contacto de la persona Delegada de Protección de Datos (DPD), los destinatarios de los datos, o el plazo de conservación se pueden proporcionar a través de una dirección de correo electrónico u otro medio que permita acceder a ella fácilmente.
En este punto es muy importante tener en cuenta de que los datos deben estar disponibles para todas las familias. Por ello es imprescindible disponer de un mecanismo para su consulta. El mejor lugar para tenerlo visible, a efectos prácticos, es disponer de esa información en la página web de los centros educativos. Es decir, no hace falta informar de que los datos personales y académicos del alumnado estarán en plataformas de la administración educativa, pero sí quién es el responsable de esos datos, para qué se recaban, los derechos de acceso y rectificación y los datos de contacto de la persona Delegada de Protección de Datos. A su vez, es imprescindible decir si esos datos tienen plazo de conservación o, como en el caso de datos académicos, que permiten la consulta de las calificaciones finales y las obtenciones de determinadas titulaciones, no.
La normativa sobre protección de datos establece la designación obligatoria de un Delegado de Protección de Datos (DPD) en los centros educativos que ofrecen enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación.
Recordad que ya os he dicho que, en el caso de los centros públicos, el Delegado de Protección de Datos es una figura externa a los centros educativos. En cambio, en los centros privados (concertados o no), esa figura sí que tiene que estar nombrada, o bien entre la plantilla del profesorado o entre personal externo. Incluso podría contratarse, por parte de varios centros educativos pertenecientes a la misma empresa u organización, un servicio de protección de datos externo que les brindara esa figura.
Cuando sea preciso obtener el consentimiento del alumnado o de sus progenitores o tutores para la utilización de sus datos personales por tratarse de finalidades distintas a la función educativa (necesario en la publicación de imágenes en web, blogs, RRSS y servicios equivalentes), se debe informar con claridad de cada una de estas finalidades, permitiendo a los interesados oponerse a aquellas que así lo consideren. El consentimiento debe ser expreso.
Esto es importantísimo porque OBLIGA a pedir permiso para cada una de las finalidades. Es decir, las familias pueden permitir que sus hijos salgan en la web del centro pero pueden negarse, en caso de tener redes sociales el mismo, a que los datos de sus hijos, salgan ahí. La petición debe hacerse individualmente. Por cierto, es importante recordar que las normativas de cada Comunidad Autónoma indican qué tipo de aplicaciones pueden usarse y para qué. Hay algunas que son más restrictivas que otras. Eso sí, recordar que jamás puede pedirse permiso ni usar datos personales del alumnado para uso personal por parte de los docentes de los centros educativos. Ni tampoco, y esto lo digo porque es muy importante, realizar imágenes de los centros educativos (sin que aparezca alumnado ni personal del centro) PARA USO PERSONAL sin el permiso POR ESCRITO de la dirección de los centros educativos (válido tanto para centros públicos como privados). En definitiva, que no podéis publicar una foto de vuestra pizarra llena de fórmulas o con dibujitos en vuestras redes sociales personales sin ese permiso.
El responsable del tratamiento (Administraciones educativas, para centros públicos, y los centros educativos, para centros concertados o privados) debe disponer de protocolos, instrucciones, guías, directrices o recomendaciones para el uso de las TIC (tecnologías de la información y la comunicación) por el profesorado. Estos deberán utilizar únicamente las aplicaciones/plataformas/servicios que el responsable del tratamiento de datos haya dispuesto y su enseñanza y uso deberán adaptarse al grado de desarrollo del alumnado.
Si vuestro Delegado de Protección de Datos no permite usar Instagram de forma explícita en vuestro centro educativo, NO PODÉIS usar Instagram. Es así de claro. Por cierto, en la mayoría de Comunidades faltan las “guías de uso de las TIC”, validadas y refrendadas por el DPD. Supongo que ahora que ha aparecido esta publicación aparecerá. Lo lógico sería que hubiera una guía única para todos los centros educativos de todo el país ya que, sinceramente, a mí me descoloca un poco que haya Comunidades que firmen con Google, otras con Microsoft, otras con nadie y que los datos, salvo que exista, como en mi Comunidad, un convenio muy bien redactado de colaboración, estén no se sabe dónde ni nadie sepa qué están haciendo las empresas con ellos.
Las comunicaciones entre el profesorado y los progenitores del alumnado se deben realizar únicamente a través de los medios puestos a disposición por el responsable del tratamiento de datos personales (habitualmente puede ser mediante plataformas educativas, o el correo electrónico corporativo del centro).
No podéis usar WhatsApp para poneros en contacto con las familias de vuestro alumnado. Tampoco podéis hacerlo mediante vuestro móvil personal. Es algo muy sencillo de entender aunque, por desgracia, tenemos tendencia a mezclar uso personal con profesional en el uso de determinadas herramientas. Y no, no se puede. Bueno, hay una excepción… que los menores estuvieran en riesgo inmediato, hubieran tenido un accidente en una excursión o casos de extrema necesidad, tal y como se indica en el siguiente punto.
El uso de aplicaciones de mensajería instantánea (como WhatsApp, o Telegram) entre el profesorado y los progenitores o entre el profesorado y el alumnado no está recomendado. No obstante, en aquellos supuestos en los que el interés superior del menor estuviera comprometido, como en caso de accidente o indisposición en una excursión escolar, y con la finalidad de informar y tranquilizar a los progenitores, titulares de la patria potestad, se podrían enviar mensajes comunicando la situación y captar imágenes y enviarlas, pero únicamente a las familias afectadas por la situación.
En este caso podría usarse esas aplicaciones de mensajería incluso entre el profesorado y el alumnado. Son casos de extrema necesidad o fuerza mayor. Creo que entendemos todos a qué nos estamos refiriendo. Pero no se deben enviar mensajes masivos en grupos creados. Solo a la familia o familias afectadas o al alumnado que, de forma individual o grupal, se encuentre en situación de riesgo.
El profesorado debe cuidarlos contenidos de los trabajos de clase que suben a Internet y utilizar para ello solo los medios validados por el responsable del tratamiento, además, deberían trasmitir la misma prudencia al alumnado y enseñar el valor de la privacidad de uno mismo y la de los demás, así como trasladarle que no se deben realizar fotos ni vídeos de otros alumnos/as ni de profesores/as u otro personal del centro escolar sin su consentimiento, y mucho menos difundirlos en RRSS, para evitar el riesgo de violencia digital (ciberacoso, grooming, sexting, violencia de género…). La Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI) dispone que todos los centros educativos donde cursen estudios menores de edad deberán tener un Coordinador o Coordinadora de bienestar y protección del alumnado, que, bajo la supervisión de la dirección del centro, promoverá la comunicación de las situaciones que impliquen un tratamiento ilícito de datos a las Autoridades de Protección de Datos (artículo 35.1).
No se pueden usar plataformas educativas para uso académico que no estén validadas por el responsable de tratamiento de datos. En el caso de los centros públicos, ni el profesorado ni el equipo directivo pueden autorizar el uso de determinadas plataformas educativas. Tan solo puede pedirse al DPD y esa persona será la que dará la autorización, de forma individual o colectiva, a todos los centros públicos de cada Comunidad. Imaginaos que quiero usar Additio o iDoceo para mi alumnado. Pues solo podrá usarse en forma síncrona (entre varios dispositivos) si en vuestra Comunidad alguna de esas aplicaciones está autorizada explícitamente por el DPD.
Hay Comunidades en los que todavía no se ha desplegado la figura del Coordinador o Coordinadora de bienestar y protección del alumnado. En ese caso, esa figura la asume algún miembro del equipo directivo del centro. Normalmente la persona que ejerce la dirección del mismo.
Y, finalmente, un aspecto que causaba muchas dudas: el de las familias cuando vienen a determinados actos que se hacen en los centros educativos y qué pueden o no capturar.
Cuando los centros educativos organicen y celebren eventos (fiestas de Navidad, fin de curso, eventos deportivos), a los que asistan las familias del alumnado, constituiría una buena práctica informar, por ejemplo, al solicitar la autorización para participar, o mediante avisos o carteles, de la posibilidad de que las familias puedan grabar imágenes exclusivamente para su uso personal y doméstico (actividades privadas, familiares, de amistad) y no para su acceso por un número indeterminado de personas.
Pues bien, debería ser habitual el informar a las familias de que esas imágenes o vídeos que graben (en caso de que el equipo directivo lo permita, si se trata en instalaciones del centro) son solo para uso propio. No pueden compartirla con terceros ni publicarlo en las redes sociales. Se trata de imágenes y vídeos en los que no solo aparecen sus hijos (o están realizadas en espacios públicos, con una normativa determinada) y, por tanto, no se pueden publicar.
Hay algunas cosas que no acaban de estar del todo bien definidas pero, sinceramente, ahora ya tenemos una guía importantísima, además redactada de forma muy clara, acerca de cómo debemos tratar los datos personales en los centros educativos.
Espero que este artículo os haya sido de utilidad. Y si alguna cosa no os queda clara, no dudéis en preguntar, mediante comentario o interacción en redes sociales (bueno, salvo en Twitter -o X-, donde solo respondo a los DM). Miércoles ya. El tiempo vuela y, conforme voy cumpliendo años, cada vez me pasa más rápido.
Lo más importante del blog es que os paséis por aquí, pero si queréis colaborar en su mantenimiento…
Descubre más desde XarxaTIC
Suscríbete y recibe las últimas entradas en tu correo electrónico.
En los conciertos, teatros, bailes… que he organizado con los niños siempre
Introducía ese texto en la presentación.
Al igual que se citaba el curso y el nombre de la actuación.
Algunos compañeros/as y familias me miraban raro por ello, pero otros agradecían ese gesto.
Nos queda que aprender mucho Xarxatic
Gracias por este artículo.
Yo, si hubiera sido el padre de alguno de tus alumnos, lo hubiera agradecido. Como bien dices, por desgracia queda mucho por aprender en estas cosas. Gracias a ti por haberlo hecho.
A mí nunca deja de asombrarme que la AEPD publique un documento y no sea capaz de ponerle un número de versión o al menos una fecha. Pedir una url canónica fija para poder referirse a ella en el futuro supongo que ya sería la h….
Lo que comentas es algo que debería ser imprescindible ante cualquier actualización que publicaran las entidades gubernamentales. Pero bueno…
Buenos días Jordi, muy interesante tu artículo, como siempre. En base a esa misma normativa la que aludes te planteo una pregunta que hace tiempo me preocupa como profesor ¿Cómo puedo argumentarle al profesorado de mi centro que solo comunicaré información educativa a través del correo corporativo que me faciliten? Por tanto, me refiero a la comunicación entre profesores. Muchas gracias.
¿En qué sentido necesitas esa argumentación? Según normativa, el uso de medios propios (léase WhatsApp personal, por ejemplo) se ciñe solo a usos de “urgencia”. Por eso, teniendo una herramienta oficial (correo corporativo u otro tipo de herramientas que tienen en algunas Comunidades) no entiendo para qué necesitas argumentar que solo responderás o comunicarás información por ahí. Es que no puede hacerse de otra manera. No sé si ibas por aquí.
Sí, iba un poco por ahí la cosa. En todo caso, ya lo he comunicado y nadie ha puesto ningún inconveniente. Gracias por responder.