Los colegios e institutos de la provincia deberán extremar al máximo la protección desde el punto de vista técnico y organizativo de los datos de su comunidad, sobre todo de los menores y, en especial, de aquellos que estén volcados en plataformas de internet, así como tener designada a una persona responsable de la salvaguarda de estas referencias. Y todo ello antes del próximo 25 de mayo de este año, fecha en que será de obligado cumplimiento el Reglamento General de Protección de Datos, que ha tenido dos años de carencia, y mediante el cual España cumplirá con las directrices que emanan de la Unión Europea en este campo. A efectos prácticos, eso significa, por ejemplo, que si los datos recogidos son para realizar la matrícula, no se podrán utilizar para finalidades diferentes del ejercicio de la función educativa, como la publicación de fotografías de los alumnos en la web del centro o la comunicación de sus datos a museos o empresas para organizar visitas, salvo que haya un consentimiento expreso. Otro caso que desde la Agencia de Protección de Datos se detalla es el de los exámenes de los alumnos, que no deberán mantenerse más allá de la finalización del periodo de reclamaciones establecido.

Los centros educativos gestionan decenas de datos personales de cada alumno, progenitor, tutor, profesor, empleado y proveedor, que deben salvaguardar, y no solo frente a terceros, sino también frente al tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

Desde el momento de la solicitud de plaza en un centro, la fase de matrícula, la gestión de expedientes académicos, de becas o de ayudas, hasta los servicios de comedor, transporte, así como para la puesta en marcha y desarrollo de actividades extraescolares, el centro educativo hace acopio de información personal, incluidos aspectos de salud o relativos a la confesión religiosa, que tiene el deber de proteger.

La utilización cada vez más frecuente de dispositivos electrónicos diferentes, plataformas de gestión educativa, de aprendizaje o entornos virtuales, de alojar datos en la nube o de comunicarse con su propia comunidad educativa a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea, es una cuestión delicada que queda mejor regulada en el nuevo reglamento y que los centros de enseñanza no universitaria también tienen la obligación de cumplir.

No obstante, dados los múltiples escenarios que se generan, los responsables de los centros no conocen al detalle qué significa tener la «debida diligencia y respeto», aunque sí que sepan en líneas generales cómo preservar la «privacidad e intimidad teniendo presente el interés y la protección de los menores», como han venido haciendo estos últimos años.

Es más, este nuevo reglamento no establece un catálogo concreto de medidas de seguridad a aplicar, sino que aporta unas premisas. El nuevo reglamento modifica en parte el actual y contiene nuevas obligaciones a cumplir.

Una de las novedades a partir del 25 de mayo es que se amplía la información que debe facilitarse a los titulares de los datos cuando se recaben de ellos mismos, añadiendo los datos de contacto del delegado de protección de datos, el plazo de conservación o los criterios para determinarlo. Esta comunicación deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, en lenguaje claro y sencillo, especialmente cuando se dirija a los niños, según indica la Agencia de Protección de Datos.

También se debe informar de la obligatoriedad o no de facilitar determinados datos (por ejemplo, ya no es necesario informar del lugar de nacimiento de los padres) y las consecuencias de la negativa a facilitarlos.

Además, cada centro debe contar con un delegado de protección de datos, una figura totalmente nueva. De hecho, se debe informar a la comunidad educativa de la información de contacto de este delegado.

También se permite que si los padres del alumno están separados o divorciados, debe recabarse información de quién ostenta la patria potestad, si ambos o uno sólo, y quién ostenta la guarda y custodia. También de quiénes son las personas autorizadas a recoger al alumno.

Patologías

En la matriculación del alumno también se permite informar sobre discapacidades, enfermedades crónicas, trastorno por déficit de atención e hiperactividad (TDAH), intolerancias alimentarias o cualquier tipo de alergia.

Para los datos que hagan referencia al origen racial, a la salud y a la vida sexual, el consentimiento ha de ser expreso, y, si los datos revelan ideología, afiliación sindical, religión o creencias, el consentimiento se ha de prestar siempre por escrito.

«Muchos equipos directivos y profesores no saben cómo proceder ante determinadas situaciones en las que están presentes datos de carácter personal», constatan desde la Agencia Española de Protección de Datos.