CN13-020_DIC_D13-028 - Agencia Vasca de Protección de Datos

Anuncio
CN13-020
DICTAMEN QUE SE EMITE EN RELACIÓN A LA APLICACIÓN DE LA LOPD EN LAS
RELACIONES DE LA COMUNIDAD EDUCATIVA DE UN CENTRO PÚBLICO DE
ENSEÑANZA.
ANTECEDENTES
PRIMERO: Con fecha 8 de abril de 2013, mediante correo electrónico, tiene entrada en
esta Agencia Vasca de Protección de Datos escrito solicitando respuesta a las siguientes
dudas:
“Cesión de datos de nuestro alumnado: ¿podemos dar teléfonos, e-mails,
direcciones…a los responsables de las AMPAS?
- Notas: ¿Se pueden publicar las notas del alumnado en los expositores que son
públicos con nombres y apellidos o hay que hacerlo sólo haciendo figurar el DNI?
- Datos personales: Los datos de salud que los tutores recogen de sus alumnos
¿cómo han de tratarse? ¿cómo se informa de ellos en el caso de que vayan al
comedor?
- Correos electrónicos y página web: ¿cuál es el tratamiento adecuado?
- ¿Cuáles son los datos que hay que proteger especialmente?
Me habéis mencionado una guía adaptada a centros educativos privados que tienen
en la Comunidad de Madrid. ¿Podríais mandarme la referencia?”
SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de
Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de
Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de
Datos la siguiente función:
“Atender a las consultas que en materia de protección de datos de carácter personal
le formulen las administraciones públicas, instituciones y corporaciones a que se
refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en
relación con los tratamientos de datos de carácter personal incluidos en el ámbito de
aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más
arriba citada, la emisión del informe en respuesta a la consulta formulada.
CONSIDERACIONES
I
Con carácter previo, a las cuestiones concretas planteadas, conviene dejar constancia del
contenido de la disposición adicional vigésimo tercera de la Ley Orgánica 2/2006, de 3 de
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es
mayo, de Educación (LOE), referente a los datos personales de los alumnos, que
establece:
“1. Los centros docentes podrán recabar los datos personales de su alumnado que
sean necesarios para el ejercicio de su función educativa. Dichos datos podrán
hacer referencia al origen y ambiente familiar y social, a características o
condiciones personales, al desarrollo y resultados de su escolarización, así como a
aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y
orientación de los alumnos.
2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de
la información a la que hace referencia este artículo. La incorporación de un alumno
a un centro docente supondrá el consentimiento para el tratamiento de sus datos y,
en su caso, la cesión de datos procedentes del centro en el que hubiera estado
escolarizado con anterioridad, en los términos establecidos en la legislación sobre
protección de datos. En todo caso, la información a la que se refiere este apartado
será la estrictamente necesaria para la función docente y orientadora, no pudiendo
tratarse con fines diferentes del educativo sin consentimiento expreso.
3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y
organizativas que garanticen su seguridad y confidencialidad. El profesorado y el
resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y
familiares o que afecten al honor e intimidad de los menores o sus familias quedará
sujeto al deber de sigilo.
4. La cesión de los datos, incluidos los de carácter reservado, necesarios para el
sistema educativo, se realizará preferentemente por vía telemática y estará sujeta a
la legislación en materia de protección de datos de carácter personal, y las
condiciones mínimas serán acordadas por el Gobierno con las Comunidades
Autónomas en el seno de la Conferencia Sectorial de Educación”.
Igualmente, cabe recordar que, en cualquier caso, el centro debe tratar los datos de
acuerdo con los principios fundamentales recogidos en los artículos 4, 5, 6, 7, 9, 10 y 11
de la LOPD: calidad de los datos, información (incluir la cláusula informativa en la
recogida de los datos), consentimiento (solicitar con carácter general el consentimiento de
los titulares de los datos, con especial cuidado de los datos especialmente protegidos del
artículo 7), seguridad de los datos y confidencialidad o deber de secreto.
II
Expuesto el marco normativo a tener en cuenta en nuestro análisis, la primera cuestión
planteada es la relativa a si los datos administrativos de todo el alumnado (teléfono, emails, direcciones…) se pueden facilitar a la AMPAS.
La cesión de datos es un tratamiento definido en la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD),
concretamente en el artículo 3 i) como “toda revelación de datos realizada a una persona
distinta del interesado.”
El régimen general de la cesión de datos se regula en el artículo 11 de la LOPD, que
dispone en su apartado primero que “Los datos de carácter personal objeto del tratamiento
2
sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento
del interesado”, pero no será necesario el consentimiento del afectado, entre otros motivos,
“cuando la cesión está autorizada en una Ley” [artículo 11.2 a)].
Las asociaciones de madres y padres de alumnos (AMPAS) son entidades con
personalidad jurídica propia e independiente del centro de enseñanza y dado que no
existe ley que habilite la cesión de datos del alumnado a dicha asociación, la misma
requerirá el consentimiento previo e informado del alumnado o, en su caso, de sus
tutores o representantes legales.
El consentimiento para el tratamiento de datos de menores de edad está regulado en el
artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LOPD, que establece:
“Artículo 13. Consentimiento para el tratamiento de datos de menores de edad
1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con
su consentimiento, salvo en aquellos casos en los que la Ley exija para su
prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de
los menores de catorce años se requerirá el consentimiento de los padres o tutores.
2. En ningún caso podrán recabarse del menor datos que permitan obtener
información sobre los demás miembros del grupo familiar, o sobre las características
del mismo, como los datos relativos a la actividad profesional de los progenitores,
información económica, datos sociológicos o cualesquiera otros, sin el
consentimiento de los titulares de tales datos. No obstante, podrán recabarse los
datos de identidad y dirección del padre, madre o tutor con la única finalidad de
recabar la autorización prevista en el apartado anterior.
3. Cuando el tratamiento se refiera a datos de menores de edad, la información
dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente
comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
4. Corresponderá al responsable del fichero o tratamiento articular los
procedimientos que garanticen que se ha comprobado de modo efectivo la edad del
menor y la autenticidad del consentimiento prestado en su caso, por los padres,
tutores o representantes legales”.
III
En segundo lugar, se consulta sobre si se pueden publicar las notas del alumnado en los
expositores que son públicos con nombre y apellidos o hay que hacerlo sólo haciendo
figurar el DNI.
Con independencia de lo que a continuación señalaremos y de conformidad con la
definición de dato de carácter personal de la LOPD y de su Reglamento de desarrollo,
cabe recordar que el número del DNI ostenta el carácter de dato de carácter personal,
puesto que está destinado a identificar a su titular.
De este modo, el uso del nombre y apellidos del alumnado o la utilización del DNI a que
se refiere la consulta, implicaría un tratamiento de estos datos personales.
3
En efecto, la publicación de las calificaciones académicas del alumnado en tablones o
expositores públicos junto a esos datos identificativos supone una cesión de datos
conforme a la definición ofrecida en el apartado anterior. Por lo tanto, ante la inexistencia
de norma con rango de ley que permita esa publicación en centros no universitarios,
también en este caso, sería necesario consentimiento previo e informado del alumnado o,
en su caso, de sus tutores o representantes legales.
IV
Respecto al tratamiento de los datos de salud que se recogen del alumnado o de su
tutores o representantes legales y a la información que se ofrece al servicio de comedor,
en el caso de que sea relevante para ello, hemos de comenzar señalando que los “datos
de salud”, “datos relativos a la salud” o “datos de carácter personal relacionados con la
salud” son definidos en el artículo 5.1 g) del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la LOPD como “las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un individuo.”
Estos datos son objeto de especial protección desde la perspectiva del derecho
fundamental a la protección de datos de carácter personal, dado que un tratamiento
inadecuado de esos datos podría causar graves perjuicios a su titular.
La especial protección conferida a los datos de salud por las normas internacionales y
comunitarias tienen reflejo en la LOPD que establece un régimen jurídico específico
contenido básicamente en el apartado 3 del artículo 7, artículo dedicado a los “datos
especialmente protegidos” merecedores del más alto nivel de protección por afectar a los
aspectos más íntimos de la personalidad, situándose en un plano en el que confluyen dos
derechos fundamentales: el de intimidad y de protección de datos de carácter personal.
De acuerdo con tal apartado: “Los datos de carácter personal que hagan referencia al
origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos
cuando, por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente”.
Como ya hemos indicado, la LOE prevé que los centros docentes puedan recabar los
datos personales de su alumnado que sean necesarios para el ejercicio de su función
educativa. Estos datos pueden referirse al origen y ambiente familiar y social, a
características o condiciones personales, al desarrollo y resultados de su escolarización,
así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la
educación y orientación de los alumnos, y los padres o tutores y los propios alumnos
deben colaborar en la obtención de esa información.
Asimismo, la Ley 7/1982, de 30 de junio, reguladora de la salud escolar del País Vasco,
establece que los padres o tutores del alumno, al inicio de la vida escolar de éste, deben
cumplimentar un cuestionario de antecedentes que se adjuntará a la ficha médico-escolar
que acompañará al expediente médico-escolar en caso de traslado de centro, y que cada
profesor encargado de la tutoría estará, obligado a cumplimentar los datos psicopedagógicos del comportamiento del alumno.
4
Por lo tanto, no existe objeción legal alguna para que el personal del centro educativo
(profesores u orientadores) recabe del alumnado o, en su caso, de sus tutores o
representantes legales datos de salud que tengan como finalidad el ejercicio de la función
educativa (por ejemplo, datos de discapacidades que imposibiliten el ejercicio físico o
datos psicológicos para llevar a cabo las adaptaciones y diversificaciones curriculares que
precisa el alumno), o la conservación y fomento de la salud del escolar en sus vertientes
física, mental y social.
Ahora bien, ambas normas limitan el alcance de la recopilación de datos a las finalidades
antes mencionadas, evitando con ello que se proceda a una recopilación masiva de datos
que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser
utilizados y tratados.
Estos límites están en consonancia con el principio de calidad de los datos del artículo 4
de la LOPD que señala que: “Los datos de carácter personal sólo se podrán recoger para
su tratamiento así como someterlos a dicho tratamiento, cuando sean adecuados,
pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenido”.
Este principio está desarrollado en el artículo 8 del Reglamento de desarrollo de la LOPD,
y debe considerarse como un criterio de racionalidad y proporcionalidad en el manejo de
la información. Así, en el ámbito objeto de la consulta, implicaría que todos los profesores
no puedan acceder a todos los datos del alumnado, más aún, no podría admitirse un
acceso generalizado del profesor a todos los datos de sus alumnos, debiendo restringirse
dicho acceso a aquellos datos que sean necesarios para el cumplimiento de sus
funciones; esto es, no podrían tratarse datos con fines diferentes del educativo o del
inicialmente previsto en salud escolar sin consentimiento expreso del afectado o, en su
caso, de su tutor o representante legal.
Por otro lado, el acceso a la información por parte del profesorado debe regirse siempre
por la obligación de reserva, tal y como señala el artículo 10 de la LOPD cuando regula el
deber de secreto para los intervinientes en el tratamiento de los datos al prescribir que:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento
de los datos de carácter personal están obligados al secreto profesional respecto de
los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del
mismo.”
Además, el tratamiento de datos de carácter personal que realice el centro deberá
ajustarse a las previsiones del artículo 9 de la LOPD y del Real Decreto 1720/2007, de 21
de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (seguridad
de los datos).
Finalmente, respecto a la posibilidad de recabar datos de salud para el servicio de
comedor, hemos de considerar que conforme estipula la Orden de 22 de marzo de 2000,
del Consejero de Educación, Universidades e Investigación, por la que se regulan los
comedores escolares de los centros docentes públicos no universitarios de la Comunidad
Autónoma del País Vasco en los niveles de enseñanza obligatorios y Educación Infantil
(2.º ciclo), la prestación del servicio de comedor escolar se realizará a través del propio
centro docente recibiendo la denominación de comedor de gestión directa, aunque
5
excepcionalmente, mientras la prestación cambió a gestión directa, el servicio de comedor
se pudo ofrecer a través de entes autorizados de derecho privado en los términos del
Capítulo III de la citada Orden.
Por lo tanto, se trata de un servicio complementario que ofrece el centro, con menús que
se elaboran en función de las necesidades dietéticas del alumnado, aunque se permite la
existencia de menús diferenciados (menú vegetariano y menú no cerdo) y, en casos
suficientemente justificados, dietas especiales (intolerancias, alergias y enfermedad).
La circular de la Viceconsejera de Administración y Servicios por la que se emiten
instrucciones para el funcionamiento de comedores escolares en régimen de gestión
directa, a partir del curso escolar 2012/2013, en su Anexo X “Dietas especiales”, señala
que. “El centro no podrá solicitar a la empresa ningún menú especial si no va debidamente
documentado: solicitud del padre/madre/tutor, certificado médico correspondiente a cada grupo y
protocolo de actuación en caso de ingesta por error. El tratamiento de estos datos deberá
salvaguardar lo establecido en la Ley 15/1999 de protección de datos de carácter personal”.
Por lo tanto, los usuarios del comedor o sus tutores o representantes legales deberán
facilitar los datos que puedan afectar a la prestación de ese servicio (alergias,
intolerancias, condición de diabético, celíaco,…) y consentir su tratamiento, si quieren que
los menús se adapten a sus necesidades y evitar riesgos de salud alimentaria.
V
Para responder a la pregunta sobre el tratamiento y cesión de datos en la página web o
mediante correos electrónicos, resulta conveniente constatar que las imágenes se
consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la
Ley Orgánica 15/1999, de 13 de diciembre, por la que se regula la protección de datos de
carácter personal (LOPD) y en el artículo 5.1 f) del Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, que considera
como dato de carácter personal la información gráfica o fotográfica.
El tratamiento de datos personales se define en el apartado c) del artículo 3 como las
“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias”, por lo que cualquier tratamiento que se realice con imágenes (captación,
almacenamiento, cesión, etc.) debe respetar los principios básicos de la protección de
datos.
Así, la remisión mediante correo electrónico o la publicación en la página web del colegio
de fotos e imágenes de los alumnos constituye una cesión o comunicación de datos de
carácter personal, conforme a la definición del artículo 3 j) de la LOPD.
En consecuencia, según lo estipulado en el artículo 11.1 de la LOPD, la toma de
fotografías o imágenes del alumnado y su publicación en Internet o la remisión a otra
persona mediante correo electrónico requieren el consentimiento del afectado o, en su
caso, de sus tutores o representantes legales.
6
En cualquier caso, al tratarse de un colectivo especialmente protegido (menores) y con
independencia de que en todo caso se informe a los niños y a los padres de tal
circunstancia para que pueda manifestar su oposición a la captación de las imágenes, se
sugiere que se pondere la pertinencia de la publicación de la foto o imagen frente al
objetivo que se pretende alcanzar con ella, ya que se identifica a menores en un contexto
determinado, con el riesgo que ello pudiera conllevar.
Si finalmente se difunden y publican en la página web, se aconseja que se adopten
medidas que impidan su visualización generalizada, poniendo en marcha mecanismos de
acceso restringido como, por ejemplo, la conexión con nombre de usuario y contraseña.
En Vitoria-Gasteiz, a 1 de julio de 2013
7
Descargar