La nueva normativa sobre protección de datos también afecta al funcionamiento de los colegios e institutos, que tienen que adaptar a la legislación su forma de trabajar a partir de septiembre. El abogado José Francisco Barragán, de Abogados Vilai, recorre estos meses muchos centros educativos para asesorar a los docentes, que tienen muchas dudas y pocas respuestas por parte de la Administración, a la hora de aplicar la nueva legislación en materia de Protección de Datos.
P ¿Cómo afecta la aplicación de la nueva normativa de Protección de Datos al ámbito educativo?
R Influye mucho. Un pequeño cambio en la normativa en Protección de Datos ha hecho que el desarrollo de todo este tema sea importante. El principal cambio está en el consentimiento. Antes se daba de forma tácita, no hacía falta que fuese de forma expresa para hacer un tratamiento de datos como utilizar imágenes y publicarlas, y ahora sí que es necesario que la persona interesada dé el consentimiento bajo una casilla que afirme «te doy el consentimiento». Esto ha hecho que cambien las cosas en todos los ámbitos. Al final se dan los que tú quieres, y no, como antes, sin ningún tipo de control, evitando que se trafique con los datos, que es lo que estaba pasando. Dentro del ámbito educativo, donde se tratan datos de menores de edad, el cambio ha sido radical para cuidar que los datos se traten de manera adecuada.
R El alojamiento. Cuando te dabas de alta en unas aplicaciones que piden nombre y teléfono, los datos se podían alojar fuera de la Unión Europea, en países como Estados Unidos, Argelia o en China... Lo que se hace ahora es intentar que los datos no se alojen en otros países y que se comercialice con ellos. En este sentido, la Conselleria de Educación lo que pretende es que todos los datos se guarden en un servidor controlado por la Administración. Se intenta que los datos que se utilizan en los centros educativos estén bajo la supervisión de la conselleria, ya que si se aloja en una empresa privada, como Google o Microsoft, se va de las manos. Al final se basa en responsabilidades. Quién es el responsable de haber hecho un tratamiento fraudulento, o fuera de la legalidad. Como se están tratando datos sensibles, se intenta que estén bajo un control adecuado.
P ¿Se presentan muchas denuncias por un mal uso de datos en los centros educativos?
R Sí hay casos. De hecho, recientemente la Agencia Española puso una multa de 30.000 euros a un colegio por colgar un vídeo en Youtube sin el consentimiento.
P ¿Qué pasa con el uso que se suele hacer de las redes sociales?
R Esto afecta a todo. Facebook, Twitter, Instagram... En los cursos enseño a los docentes que pueden hacer uso de estas plataformas para hacer publicidad del centro, pero ojo con las publicaciones. Si se van a sacar fotografías tiene que ser con el consentimiento explícito para esa publicación.
P ¿Se pueden seguir utilizando las redes sociales?
R Sí, pero siempre bajo unos criterios de control y seguridad, y siempre con el consentimiento para cada publicación, salvo que se utilicen imágenes con personas ni identificadas ni identificables, pero esto es complicado de conseguir, y, por eso, yo recomiendo no utilizar fotos sin consentimiento del interesado.
P ¿El permiso que se pide al inicio del curso se puede seguir utilizando?
R La ley dice que hay que tener una autorización expresa para cada tratamiento de datos. Con la nueva ley dejan de valer las autorizaciones generales para publicar imágenes que se solían solicitar al inicio del curso. Hay que informar del tratamiento concreto que se va a llevar a cabo de cada imagen u otro dato personal y dejar claro para qué se va a utilizar, durante cuánto tiempo se va a utilizar y guardar, y quién la va a custodiar. Y todo debe quedar registrado en un documento que se llama Registro de Actividades de Tratamiento, con toda la información disponible por si hay una inspección.
P ¿Qué consejo le da a los docentes para que esto no se convierta en otra carga burocrática?
R Recomiendo pedir el consentimiento ajustándolo a cada caso. Uno para redes sociales, otro para la web, otro para actividades escolares... Aunque tienen que saber que siguen teniendo el consentimiento para tratar los datos que se utilizan dentro de la función educativa y de orientación, como es cuando utilizan imágenes para evaluar. Lo que no se puede hacer es difundir estas imágenes sin consentimiento.
P ¿Y el WhatpsApp?
R La normativa de la Conselleria de Educación dice que no se deberán utilizar este tipo de herramientas. No dice prohibir, pero en realidad lo está prohibiendo, ya que es una aplicación con muchas brechas de seguridad. Al final se utiliza en el teléfono personal, que te llevas casa con toda la información.
P ¿Se podrán seguir llevando los profesores los exámenes a casa para corregirlos?
R La ley dice que los profesores tienen unas horas libres para preparar las clases, pero no dice que sean para corregir exámenes. En un principio, se entiende que no se pueden llevar exámenes a casa, ya que contienen datos personales, pero si el centro elabora un código de conducta donde contemple esta posibilidad, podrá llevarse a cabo bajo las medidas de seguridad oportunas. Por lo tanto, cada centro podrá establecer sus códigos de conducta. Esto se suma a que ahora, tras un informe del Síndic de Greuges, se considera a los exámenes como un expediente administrativo, no como un dato personal.
P ¿Qué le dicen los docentes?
R Para los docentes todo esto es un jaleo, pero al final entienden lo que se está haciendo, y para qué. Si se les da las herramientas adecuadas se puede resolver bien.
P Así y todo, piden un periodo de adaptación.
R En cuanto a las herramientas, la Administración ha tardado en aportarlas, teniendo en cuenta que la legislación está desde 2016. Cuando en 2018 entró en vigor nos echamos las manos a la cabeza, pero hemos tenido tiempo. Y ahora va a marchas forzadas, porque a partir de septiembre todos los centros tienen que estar actualizados en cuanto al tratamiento de los datos.
P ¿Cuál es su opinión sobre lo que está pasando?
R Hemos tenido dos años para la adaptación. La legislación se publicó en 2016, entrando en vigor en 2018, pero el tiempo se ha echado encima y ahora se va a marchas forzadas, ya que los centros deberían estar ya actualizados en cuanto a la protección de datos.
