INTRODUCCIÓN
El presente estudio pretende llevar a cabo un acercamiento a la aplicación de la normativa aplicable en materia de protección de datos en los centros docentes de la Comunidad Autónoma de la Región de Murcia. Para lograr este propósito se comenzará valorando la oportunidad e interés del tema escogido, así como justificando el procedimiento seguido en la investigación. Posteriormente se fijará el objetivo general y los objetivos específicos que se pretenden alcanzar, y se delimitará el objeto del estudio. Esto permitirá definir cuáles son los principales puntos de interés de la investigación, respondiendo a cuestiones como qué son los datos de carácter personal, qué normas componen el marco jurídico de la protección de datos, o sobre qué entidades educativas y documentos se centrará el estudio. Asimismo, se detallará el procedimiento seguido y se describirán las herramientas utilizadas.
El grueso de la investigación se centrará en un doble análisis. En primer lugar, se estudiarán los aspectos fundamentales de la normativa en materia de protección de datos, y las especialidades que presenta en su aplicación a los centros educativos y al tratamiento de datos de menores de edad. En un segundo estadio se centrará en el análisis de instrumentos concretos de recogida de datos personales utilizados por centros docentes de la Región de Murcia. Por último, se reflejarán los resultados obtenidos y, a partir de ellos, se extraerán diversas conclusiones y propuestas de mejora.
Tal como indica Álvarez (2017)1 “la garantía del derecho a la educación reconocida en el artículo 27.1 de la Constitución Española, implica el desarrollo de una actividad administrativa que trae consigo el tratamiento de datos personales” (p. 1012). Los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación, también deben observar el derecho fundamental a la protección de datos personales. El cumplimiento de este deber es de suma importancia ya que la mayoría de estos datos son especialmente sensibles, al revelar información de menores de edad. Es por ello que resulta imprescindible el conocimiento de la normativa aplicable a esta materia por parte de todos los profesionales que desempeñan su actividad en los centros educativos y especialmente en el caso de aquellos que tienen contacto directo con los menores y acceso a sus datos de carácter personal. No obstante, esta labor resulta compleja y suscita gran cantidad de incógnitas a los docentes debido a que no constituye su actividad principal. De modo que es preciso analizar la regulación en materia de protección de datos y su aplicación en los entornos educativos.
Tras una primera aproximación a lo establecido en la ley, se aprecia que el grueso de las actividades de tratamiento de los datos personales las realiza una entidad externa a los centros docentes que tiene encomendada esta tarea: el delegado de protección de datos o el responsable del tratamiento. Sin embargo, lo que aquí interesa es realizar un estudio de las prácticas que se llevan a cabo en los centros educativos, por lo que, si se orienta el análisis a cuestiones técnicas, la investigación se estaría alejando del principal centro de interés. Por ello habrá muchas cuestiones que se abordarán de manera colateral, sin profundizar en su análisis, como el caso de las medidas de seguridad, el plazo de supresión o las transferencias internacionales de datos. Esto es lo que justifica que el estudio se centre en instrumentos presentes en las tareas administrativas de los colegios, como son los documentos de recogida de datos de los centros docentes. Para poder realizar un análisis de estos documentos es preciso que previamente se estudie la normativa en materia de protección de datos. Por lo que la primera parte del trabajo se destinará a estudiar los aspectos fundamentales de su régimen jurídico, y las particularidades que presenta su aplicación en los centros educativos.
METODOLOGÍA
El objetivo principal de este trabajo es: analizar la aplicación de la normativa de protección de datos de carácter personal en centros docentes no universitarios de la Comunidad Autónoma de la Región de Murcia.
Los objetivos específicos que conducen a alcanzar el objetivo general son los siguientes:
OE1. Realizar un estudio detallado de la legislación en materia de protección de datos y de las particularidades que presenta su aplicación en los centros escolares.
OE2. Identificar las obligaciones de los centros escolares en cumplimiento de la normativa de protección de datos.
OE3. Realizar un análisis cualitativo de documentos de recogida de datos personales utilizados en centros educativos de la Comunidad Autónoma de la Región de Murcia.
OE4. Elaborar una propuesta de mejora de los documentos analizados.
Para un correcto análisis de la aplicación de la ley de protección de datos en los centros educativos resulta imprescindible realizar un estudio previo de lo establecido en la legislación. Es por ello que la metodología se centra en dos escenarios distintos, aunque muy relacionados entre sí: el análisis legal, y la aplicación de esta normativa a través de los instrumentos de recogida de datos señalados con anterioridad. En el primero de los casos, se partirá del estudio del RGPD2 como principal norma reguladora de esta materia. Este primer análisis del RGPD remitirá la investigación a otros preceptos establecidos en la LOPDGDD3, así como a normativa sectorial aplicable a los casos de minoría de edad.
En el segundo escenario, se estudiarán algunas de las herramientas utilizadas por los centros docentes de la Región de Murcia, para la obtención de datos de carácter personal de los alumnos. Los documentos analizados serán: la solicitud de plaza en el centro educativo, las fichas de datos personales, y las autorizaciones para el uso de imágenes. Los criterios seguidos en el proceso de selección de estos centros han sido el de paridad entre colegios de titularidad pública y privada, y el de diversidad de formación ofertada y de número de alumnos. La clasificación según estas características será de gran utilidad para estudiar las diferencias en el tratamiento de datos personales, apreciando cómo pueden llegar a afectar estas variables en el proceso de recogida de este tipo de informaciones. La siguiente tabla recoge las características principales de los centros seleccionados y los documentos que aporta cada uno de ellos.
Nombre | Titularidad | Ubicación | Etapas | Líneas | Documentos aportados |
Colegio nº1 | Pública | Murcia | Educación Infantil y Primaria | 1 | - Solicitud de plaza - Ficha de alumno - Autorización para el uso de imágenes |
Colegio nº2 | Pública | Murcia | Educación Infantil y Primaria | 3 | - Solicitud de plaza - Ficha de alumno - Autorización para el uso de imágenes |
Colegio nº3 | Privada | Molina de Segura | Educación Infantil, Primaria, Secundaria, Bachillerato y Formación Profesional | 3 | - Solicitud de plaza |
Colegio nº4 | Privada | Molina de Segura | Educación Infantil, Primaria, Secundaria y Bachillerato | 2 | - Solicitud de plaza - Ficha de alumno |
Colegio nº5 | Pública | Alcantarilla | Educación Infantil y Primaria | 2 | - Solicitud de plaza - Ficha de alumno - Autorización para el uso de imágenes |
Con la recogida de estos documentos, y sin entrar todavía a valorarlos, se ha advertido que el impreso de solicitud de plaza no depende de los centros docentes. Se trata de un formulario común para todos los centros de la Región, elaborado por la Dirección General de Recursos Humanos, Planificación Educativa y Evaluación, de la Conserjería de Educación. Por el contrario, los modelos de autorizaciones y fichas de datos se diseñan en los colegios, por lo que se analizará cada uno de estos documentos atendiendo a las particularidades que presentan en cada caso.
Para realizar una correcta evaluación se hará uso de una rúbrica diseñada a tal efecto. En su elaboración no se han tenido en cuenta como ítems de evaluación todos los principios y elementos de la normativa de protección de datos, sino únicamente aquellos aspectos que se pueden analizar a partir de los documentos aportados, esto es, la licitud del tratamiento, la minimización de datos, la transparencia e información, la garantía de derechos y la adecuación del consentimiento exigido.
1 | 2 | 3 | 4 | |
Licitud | Se incumple completamente lo establecido en la normativa aplicable. | Se incumple lo establecido en la normativa aplicable, por algún error u omisión puntual, fácil de subsanar con una revisión. | Se cumple lo establecido en la normativa aplicable, pudiendo realizar algunas mejoras en el diseño del documento. | Se cumple claramente lo establecido en la normativa aplicable. |
Minimización | ||||
Transparencia | ||||
Garantía de derechos | ||||
Consentimiento |
Fuente: elaboración propia.
RESULTADOS Y DISCUSIÓN
Comienza el estudio legal a partir de los principios recogidos en el RGPD. Según la Agencia Estatal de Protección de Datos (2017, p.7)4, los principios de protección de datos son un conjunto de normas que establecen el marco y los límites de cualquier tratamiento de datos personales, y que deben ser cumplidos por todos los sujetos involucrados en dicho tratamiento. Estos principios se detallan en el art. 5 RGPD y abarcan la licitud, minimización, la transparencia e información, la seguridad de datos, la confidencialidad, la exactitud y la limitación del tiempo de conservación. El análisis de estos principios resulta imprescindible para nuestro estudio, ya que va a permitir conocer el origen y fundamentos de la protección de datos. Gracias a ellos se podrán obtener conclusiones a partir de los resultados del trabajo, prestando especial atención a los límites del tratamiento en los centros educativos en relación con la finalidad que este persigue. De entre todos ellos, solo son susceptibles de evaluación a partir de los documentos analizados la licitud, minimización y transparencia, desarrollándolos a continuación.
En primer lugar, nos referiremos al principio de licitud de datos. Se consagra en el art. 5.1 a) RGPD, estableciendo que los datos personales deben ser “tratados de manera lícita, leal y transparente en relación con el interesado” (RGPD, 2016). Para que el tratamiento sea lícito debe estar amparado en alguna de las bases jurídicas establecidas en el art. 6 RGPD. Concretamente, en su apartado primero, el precepto enumera los supuestos de licitud del tratamiento, siendo estos:
Que nazca del consentimiento del interesado para fines concretos.
Que sea necesario para la ejecución de un contrato.
Que sea necesario para el cumplimiento de una obligación legal.
Que proteja un interés vital del interesado.
Que encuentre su fundamento en el interés público.
Que satisfaga intereses legítimos.
Fuera de estos casos, no se considerará legítimo el tratamiento de los datos personales, por lo que, a la hora de analizar los instrumentos de recogida de información de los centros docentes, se debe prestar especial atención al estudio de la base jurídica de cada tratamiento en particular. Junto con la licitud, resulta esencial que los datos sean tratados de manera leal y este requisito de lealtad está estrechamente relacionado con el principio de minimización. De acuerdo con el art. 5.1 c) RGPD los datos deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (RGPD, 2016).
En tercer lugar, se encuentran la transparencia e información, principios que están detalladamente regulados en los arts. 12 a 14 RGPD. Estos artículos establecen las medidas e informaciones concretas que deben proporcionar los responsables del tratamiento al interesado, así como la manera en que deben hacerlo. La guía sectorial de la Agencia Estatal de Protección de Datos para centros educativos, resume esta regulación del siguiente modo:
“[…]Cuando se recaban o se obtienen los datos de los interesados, aun cuando no sea necesario su consentimiento, los centros educativos han de facilitarles información de los siguientes extremos:
De la existencia de un tratamiento de datos personales,
De la finalidad para la que se recaban y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
De la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
De los destinatarios de los datos,
De los derechos de los interesados y dónde ejercitarlos,
De la identidad del responsable del tratamiento.” (AEPD, 2018, p.17)5.
El RGPD no solo establece los principios de protección de datos, sino que en su Capítulo III también se contemplan una serie de derechos para los interesados, con el objetivo de asegurar una protección efectiva. Estos derechos son el derecho de acceso, el derecho de rectificación, el derecho al olvido o supresión, el derecho de limitación del tratamiento, el derecho a la portabilidad y el derecho de oposición. Al analizar los documentos facilitados por los centros escolares no se podrá valorar si se están respetando estos derechos o no, debido a que su ejercicio requiere de una actuación posterior del titular. Por ello tomaremos por cierta la presunción de que, siempre que se cumplan los principios establecidos en el RGPD se estarán garantizando los derechos citados anteriormente.
Uno de los aspectos más interesantes y que más dudas pueden suscitar respecto al tratamiento de datos en centros educativos es cómo se articula el consentimiento en estos casos. En primer lugar, debemos tener en cuenta que según el art. 6.1 RGPD, el consentimiento es condición para que el tratamiento de los datos sea lícito. Sin embargo, el mismo precepto establece otros casos en los que no se precisa de este consentimiento para cumplir con el principio de licitud. De hecho, en la mayoría de los tratamientos realizados en centros educativos la base jurídica no recae sobre el consentimiento, sino más bien en que “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público con en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (RGPD, 2016, art. 6.1 e)). Por tanto, el consentimiento no es un requisito inexcusable para tratar datos en centros educativos, sino que se debe atender a los concretos fines del tratamiento en relación con las funciones propias de los centros docentes. De este modo, en el escenario que se acaba de describir, muchos de los datos manejados no precisan de consentimiento, mientras que para otros muchos es condición para su licitud, como el caso de las actividades extraescolares o el tratamiento de imagen y voz.
Una vez probado que existen casos en los que es necesario el consentimiento para la licitud del tratamiento, debemos analizar quién debe prestarlo cuando el afectado es un menor de edad: sus representantes legales o el propio menor. El art. 8 RGPD, en relación con los servicios de la sociedad de la información, establece como edad mínima para prestar consentimiento los 16 años. Indicando en su párrafo segundo la posibilidad de que los Estados miembros fijen una edad inferior, siempre que esta no esté por debajo de los 13 años. Según se deriva del art. 162 CC6, en nuestro ordenamiento jurídico se permite que los menores de edad actúen válidamente y en nombre propio de acuerdo con su capacidad de discernimiento y madurez. En coherencia con este principio, el art. 7.1 LOPDGDD reduce la edad mínima para prestar el consentimiento a los catorce años. De modo que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años” (LOPDGDD, 2018). Por este motivo, si se tiene en cuenta que todos los alumnos que cursan Educación Primaria son menores de esta edad, se concluye que el consentimiento será válido siempre que lo presten sus representantes legales.
Fuera de este supuesto, el tratamiento de datos personales de menores de edad fundado en el consentimiento “solo será lícito si consta el del titular de la patria potestad o tutela”, según el art. 7.2 LOPDGDD. Llegados a este punto, debemos tener en cuenta la distinción entre patria potestad y guarda y custodia. Siguiendo a Campo Izquierdo (2012, p. 302)7 la patria potestad implica que “su titular ostenta la representación legal de los menores y es quien debe tomar las decisiones que afectan al desarrollo integral del menor”, mientras que la guarda y custodia “no da derecho a su titular a tomarlas, sino que solo le faculta a tener al hijo en su compañía y tomar las decisiones menos importantes del día a día”. Por este motivo, en casos de crisis matrimonial se precisa del consentimiento de los dos progenitores, con independencia de cuál de ellos tenga asignada la guarda y custodia, salvo en los casos (poco frecuentes) de privación total o parcial de la patria potestad recogidos en el art. 170 CC. Mientras que, en los casos de desacuerdo en su ejercicio, el art. 156 CC confiere a la autoridad judicial la competencia de atribuir la facultad de decisión a uno de los dos progenitores. No obstante, es una práctica frecuente la inclusión de una cláusula de declaración responsable para los supuestos en que resulte imposible que uno de los dos progenitores plasme su firma. En estos casos, para que el consentimiento sea válido, el progenitor firmante debe indicar los motivos y comprometerse a informar al progenitor no firmante.
De acuerdo con lo anteriormente estudiado, y en relación con la rúbrica incluida en la Tabla 2, se han obtenido los siguientes resultados:
Centro escolar | Tipo de documento | Licitud | Minimización | Transparencia | Garantía de derechos | Consentimiento |
Colegios nº1-5 | Solicitud de admisión | 4 | 4 | 3 | 4 | 3 |
Colegio nº1 | Ficha del alumno | 4 | 2 | 2 | 2 | 3 |
Autorización para el uso de imágenes | 3 | 4 | 1 | 1 | 3 | |
Colegio nº2 | Ficha del alumno | 4 | 2 | 2 | 2 | 4 |
Autorización para el uso de imágenes | 3 | 4 | 2 | 2 | 3 | |
Colegio nº4 | Ficha del alumno | 4 | 2 | 1 | 1 | 4 |
Colegio nº5 | Ficha del alumno | 4 | 3 | 2 | 2 | 4 |
Autorización para el uso de imágenes | 4 | 1 | 2 | 2 | 4 |
Fuente: elaboración propia.
Solicitud de admisión
En cuanto al principio de licitud, se valora con cuatro puntos debido a que el documento cumple con tres de las condiciones establecidas en el art. 6 RGPD y explicita los efectos del consentimiento, indicando que con la firma se autoriza el tratamiento de los datos consignados y la realización de los procedimientos electrónicos necesarios. El cumplimiento del principio de minimización se valora con cuatro puntos debido a que todos los datos recabados resultan adecuados, pertinentes y limitados a lo necesario en relación a los fines del tratamiento. Concretamente, todos se encuentra justificados por los criterios de admisión del baremo establecido en la Resolución de 15 de febrero de 2022, de la Dirección General de Recursos Humanos, Planificación Educativa y Evaluación, por la que se dictan instrucciones para el proceso ordinario de escolarización de alumnado en centros públicos y privados concertados de segundo ciclo de Educación Infantil y Educación Primaria en el curso escolar 2022/20238. Respecto a la transparencia, se evalúa con tres puntos ya que, si bien el documento cumple con lo establecido en la normativa aplicable, algunos aspectos podrían estar expresados con mayor claridad. En primer lugar, y aunque se encuentra implícito en el propio documento, no se recoge ninguna referencia expresa al carácter obligatorio de facilitar los datos. Por otro lado, a la hora de indicar la finalidad del tratamiento, se hace extensivo el documento a las etapas de educación secundaria obligatoria y bachillerato. No obstante, existe un documento independiente del estudiado para solicitar la admisión a centros educativos en esas etapas, por lo que, para evitar confusiones, dicha referencia debería omitirse. Por otro lado, se valora la garantía de los derechos establecidos en la ley con cuatro puntos. El documento informa sobre todos los derechos de los que goza el interesado y sobre el modo de ejercitarlos. Además, incluye una dirección electrónica para información adicional sobre su ejercicio. Finalmente, el consentimiento se evalúa con tres puntos debido a que, si bien resulta adecuado y suficiente, podría incluir una declaración responsable para el caso de que solo un progenitor pudiera firmar el documento.
Colegio nº1
Ficha del alumno
El cumplimiento del principio de licitud se valora con cuatro puntos. El tratamiento cumple con tres de los requisitos establecidos en el art. 6 RGPD. Asimismo, el documento explicita los efectos del consentimiento indicando que con la firma se autoriza a que los datos de carácter personal necesarios para su tramitación sean utilizados por los organismos responsables de los mismos. Respecto al principio de minimización se valora con dos puntos, incumpliendo lo establecido en la normativa aplicable. La inclusión de datos médicos resulta claramente impertinente e inadecuada en relación con la finalidad que se persigue. La transparencia se evalúa con dos puntos debido a que la normativa citada resulta errónea. Se hace referencia a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal9, que se encuentra derogada desde el 7 de diciembre de 2018. La ley vigente es el Reglamento General de Protección de Datos. Por otro lado, la garantía de derechos también resulta insuficiente, obteniendo una valoración de dos puntos. Se omiten los derechos a la portabilidad y limitación del tratamiento. El consentimiento obtiene tres puntos. Resulta adecuado y suficiente, pero el documento podría ser más completo si incluyera una declaración jurada para el caso de que solo un progenitor pudiera firmarlo.
Autorización para el uso de la imagen
El principio de licitud se considera cumplido, con una valoración de tres puntos. El documento no explicita cuál es la base jurídica del tratamiento. No obstante, de manera implícita se deduce que el consentimiento se considera prestado con la firma. El cumplimiento del principio de minimización obtiene cuatro puntos. Los datos recabados resultan adecuados y pertinentes, su única función es identificar a los alumnos y sus representantes legales, por lo que las categorías de datos que en él figuran resultan suficientes. Respecto al principio de transparencia, se considera incumplido, con un valor de un punto. Esto se debe a que no se hace ninguna referencia a la existencia de un tratamiento de datos, no se cita la norma que contiene esta regulación, ni figura en él la identidad del responsable de tratamiento. En cuanto a la garantía de derechos, se valora con un punto. La autorización no informa sobre los derechos de los que goza el interesado ni sobre el modo de ejercitarlos. Únicamente se hace una vaga referencia a lo que podría considerarse el derecho de supresión, indicando que si el interesado desea cambiar la opción tomada se puede notificar por escrito en cualquier momento al correo electrónico del centro escolar. En lo que se refiere al consentimiento, el documento obtiene tres puntos. Resulta adecuado y suficiente, pero podría resultar ventajoso que incluyera una cláusula de declaración responsable para el caso en el que solo firme uno de los progenitores.
Colegio nº2
Ficha del alumno
El principio de licitud se considera cumplido, obteniendo la máxima puntuación. El tratamiento cumple tres de las condiciones establecidas en el artículo 6 del RGPD y, de manera explícita, se indica que el consentimiento se considera prestado con la firma, autorizando a que los datos facilitados sean utilizados por los organismos y personas responsables. La minimización por su parte, se valora con dos puntos. La categoría de alergias/intolerancias resulta claramente impertinente e inadecuada a los fines perseguidos por el documento. Del mismo modo, exigir el correo electrónico del alumno puede suscitar dudas sobre su limitación a la finalidad del tratamiento. Para el principio de transparencia, la puntuación obtenida es de dos puntos. El documento cita la derogada Ley Orgánica 15/1999 en vez del vigente RGPD. La garantía de derechos se valora con dos puntos por omitir los derechos a la portabilidad y a la limitación del tratamiento. El consentimiento se valora con cuatro puntos por resultar adecuado y suficiente y, además, incluir una declaración jurada para los casos en que solo un progenitor pueda firmar.
Autorización para el uso de la imagen
La licitud se evalúa con cuatro puntos, cumple con una de las condiciones del art. 6 RGPD, pero no explicita cuál es la base jurídica. No obstante, se deduce que el consentimiento se considera prestado con la firma. En lo relativo al principio de minimización, se valora con cuatro puntos. La autorización recoge únicamente los datos pertinentes para identificar a los interesados. El cumplimiento del principio de transparencia se valora con dos puntos. Se comente nuevamente el error de citar la Ley Orgánica 15/1999. Del mismo modo, la identidad del responsable del tratamiento no se indica de manera clara. Respecto a la garantía de derechos, resulta insuficiente, valorándola con dos puntos. Solo se cita el derecho de supresión, omitiendo cualquier referencia a los derechos restantes y al modo de ejercitarlos. Por último, el consentimiento resulta adecuado y suficiente. Se valora con tres puntos debido a que no incluye ninguna cláusula para el caso de que solo pueda firmar uno de los progenitores.
Colegio nº4
Ficha del alumno
El cumplimiento del principio de licitud se valora con cuatro puntos. El documento cumple con tres de los requisitos establecidos en el art. 6 RGPD y explicita los efectos del consentimiento, indicando que la firma autoriza el tratamiento de los datos consignados. El principio de minimización se evalúa con dos puntos. La inclusión de datos médicos resulta claramente impertinente en relación con los fines perseguidos. En lo que se refiere al principio de transparencia, se incumple completamente lo establecido en la normativa aplicable, por lo que se valora con un punto. El documento no hace alusión a la existencia de un tratamiento de datos, a la finalidad, a la obligatoriedad de facilitar los datos, a los destinatarios, a la identidad del responsable ni a la norma que contiene esta regulación. Igual que en el caso anterior, la garantía de derechos resulta insuficiente, obteniendo la calificación de un punto. No se informa acerca de la existencia de ningún derecho del interesado ni sobre su ejercicio. Respecto al consentimiento, se valora con cuatro puntos por resultar adecuado y suficiente, e incluir una cláusula para el caso de que solo pueda firmar uno de los progenitores.
Colegio nº5
Ficha del alumno
Se valora el cumplimiento del principio de licitud con cuatro puntos. Cumple con tres de las condiciones del art. 6 RGPD y explicita los efectos del consentimiento. El principio de minimización se califica con tres puntos. Los datos recabados resultan adecuados. No obstante, existen dudas acerca de la pertinencia de la inclusión de la dirección de correo electrónico del alumno como categoría de datos. Respecto al cumplimiento del principio de transparencia, se valora con dos puntos debido a que hace referencia a la Ley Orgánica 15/1999 ya derogada. La garantía de derechos también resulta insuficiente al omitir los derechos a la portabilidad y a la limitación del tratamiento, obteniendo dos puntos de calificación. En lo que se refiere al consentimiento, resulta adecuado y suficiente. Además, incluye una cláusula para el caso de que solo un progenitor pueda firmar. Por ello se valora con cuatro puntos.
Autorización para el uso de la imagen
Este centro escolar incluye la autorización para el uso de la imagen dentro del diseño de la ficha del alumno. Por este motivo, la valoración de la licitud, garantía de derechos y consentimiento, coincide con lo anteriormente señalado. En lo relativo al cumplimiento de minimización de datos, se califica con un punto. La cantidad de datos exigidos resulta claramente desproporcionada e impertinente en relación con los fines de este tratamiento. Por último, la transparencia se valora con dos puntos. A los defectos observados en el apartado anterior hay que añadir la omisión de la finalidad del tratamiento. Únicamente se hace referencia a los fines de la ficha del alumno, pero no alude a la finalidad del tratamiento de la imagen.
CONCLUSIONES
Finaliza la investigación con una serie de reflexiones a partir de lo observado en el análisis. En primer lugar, destaca que ninguno de los documentos diseñados por los centros escolares cumple en su totalidad con lo establecido en la normativa aplicable. No se puede obtener de aquí una conclusión global debido a que los centros estudiados no conforman una muestra representativa de los centros docentes de la Comunidad Autónoma de la Región de Murcia. No obstante, esta situación sí que evidencia una falta de concienciación clara sobre la relevancia que tiene el correcto tratamiento de los datos de carácter personal, con el agravante de la minoría de edad. Precisamente, junto con la falta de concienciación se ha podido observar una importante carencia formativa del personal de los centros docentes en materia de protección de datos. Algunos de los centros con los que se ha trabajado aseguran que los documentos facilitados se revisan anualmente por lo que, de ser cierto, lo único que puede justificar los errores y omisiones que se aprecian es el desconocimiento de lo que establece la ley. No es preciso que el personal docente o administrativo estudie en profundidad el texto legal. Sería suficiente con que conocieran cuáles son los principios que deben respetar, los derechos del interesado y los requisitos para prestar el consentimiento. Esta formación permitiría detectar a simple vista cualquier anomalía en los tratamientos que se realizan a diario en los centros docentes, con el fin de poder subsanar cualquier error.
En segundo lugar, se ha podido apreciar que las referencias normativas se encuentran desfasadas. A excepción de la solicitud de admisión, ningún documento cita el RGPD. Esto no solo perjudica al principio de transparencia, sino que también repercute en otros aspectos que la Ley Orgánica 15/1999 no regulaba y que hoy en día sí que se encuentran vigentes. Ejemplo de ello son los derechos a la portabilidad y limitación del tratamiento, a los que la mayoría de documentos analizados no hacen referencia. Esta circunstancia puede suponer un gran perjuicio para los interesados y menoscabar la seguridad jurídica.
Por otro lado, el único documento común a todos los centros es la solicitud de admisión, mientras que la ficha del alumno y la autorización del uso de la imagen responden a un diseño propio de cada colegio. No obstante, habría que cuestionarse el motivo de esta descentralización. ¿Por qué para tratamientos iguales existen documentos diferentes? Esto resulta más llamativo aún para el caso de los centros públicos debido a que el responsable del tratamiento es la misma entidad. Según se infiere de los instrumentos estudiados, esta autonomía puede estar justificada por cuestiones de imagen o política del centro en cuestión. Las diferencias apreciadas entre documentos análogos residen en el diseño, en la inclusión de más o menos categorías de datos y en el uso o no de lenguaje inclusivo para referirse a los responsables legales del alumno. Sin entrar a valorar la relevancia que puedan tener estos matices en coherencia con los proyectos educativos de cada centro, lo cierto es que el apartado jurídico queda claramente desatendido en las revisiones documentales anuales. Por ello se puede concluir que la autonomía concedida a los colegios estudiados para diseñar sus instrumentos de recogida de datos ha derivado en el vicio de priorizar la imagen a la protección jurídica de los interesados.
Por último, también se ha podido observar que algunos centros, por una cuestión de economía procesal, tienden a agrupar en un mismo documento categorías de datos que obedecen a distintos fines, como en el caso de la inclusión en la ficha del alumno de datos médicos o de la autorización para el uso de la imagen. En estos casos resulta de vital importancia incrementar las medidas de seguridad para evitar la fuga de datos a la hora de registrar el tratamiento. Del mismo modo, es preciso especificar la información derivada del principio de transparencia aplicable a cada uno de los tratamientos que se van a derivar de la firma del documento.
Por todo ello, las conclusiones obtenidas en la investigación se resumen en que los errores presentes en los instrumentos de recogida de datos personales se derivan de:
La falta de concienciación del personal administrativo y docente de los centros educativos.
La falta de formación del personal administrativo y docente de los centros educativos.
Un mal uso de la facultad de autonomía de diseño de documentos.
La falta de prevención de los riesgos derivados de la fusión de documentos.
Algunas de las soluciones a los errores detectados podrían basarse en:
La elaboración de un plan de formación para personal docente y administrativo de los centros escolares basado en la Guía para centros educativos de la AEPD.
El diseño por parte de la Administración autonómica de modelos de fichas de recogida de datos personales.
La elaboración de un plan de calidad que clasificara a los centros docentes según su grado de cumplimiento de la legislación en materia de protección de datos.