Supuesto práctico resuelto sobre protección de datos en centros de educación

Supuesto práctico resuelto sobre protección de datos en centros de educación

Supuesto:

El director de un centro público de educación primaria está analizando los tratamientos de datos personales realizados en el centro para comprobar que son conformes con la legislación sobre protección de datos y mandar una comunicación informativa a las familias.

• El centro va a utilizar para la gestión administrativa y educativa el sistema informático corporativo EDUCANDO, desarrollado por la Consejería de Educación, que ya incorpora los datos de todos los alumnos de su Comunidad Autónoma. La comunicación con las familias se pretende realizar a través de ese sistema.
• Como apoyo para la enseñanza, el alumnado y sus familias pueden acceder a una plataforma educativa de una empresa privada internacional que asimismo la Consejería de Educación ha puesto a disposición de todos los centros docentes.
• Además, el centro dispone de una página web, una revista y una cuenta propia abierta en una red social. En estos espacios el director tiene previsto publicar fotografías y vídeos de las actividades extraescolares y visitas culturales que realicen.

Cuestiones:

Teniendo en cuenta estos datos y la información incluida en el primer tema del curso, responda brevemente a las siguientes preguntas, razonando sus respuestas:

1. Indique ¿quién es el responsable y cuál es la base de legitimación o condición de licitud de los tratamientos realizados a través de EDUCANDO?

2. ¿Quién es el responsable de los tratamientos realizados a través de la plataforma de la empresa privada internacional? ¿Quién es el encargado de tratamiento? Exponga brevemente las diferencias entre uno y otro.

Solución:

1.- ¿Quién es el responsable y cuál es la base de legitimación o condición de licitud de los tratamientos realizados a través de EDUCANDO?

1. Responsable del tratamiento:

En el caso de los tratamientos realizados a través del sistema informático corporativo EDUCAR, el responsable de los tratamientos de datos personales realizados por los centros educativos públicos es normalmente la Administración Educativa (Consejería de Educación de la Comunidad Autónoma). Para los centros de Ceuta, Melilla, y los del Exterior, el responsable es el Ministerio de Educación y Formación Profesional. En los tratamientos de datos personales realizados por los centros concertados y privados, el responsable es el propio centro educativo (fundación, congregación religiosa, cooperativa, etc.).

El responsable real de los datos sería la entidad que opera el sistema a nivel de la Comunidad Autónoma.

1. Base de legitimación o condición de licitud:

La base de legitimación o condición de licitud para el tratamiento de datos a través del sistema EDUCAR sería:

Cumplimiento de una obligación legal para el responsable: teniendo en cuenta tanto que la Educación no solo es un derecho de los ciudadanos, sino también un servicio público que debe prestar necesariamente la Administración y, en ocasiones, de recepción obligatoria para los ciudadanos (enseñanzas obligatorias), como que la prestación de ese servicio, necesariamente, exige tratar datos personales.

Cumplimiento de una misión realizada en interés público, ya que se utiliza para fines educativos y administrativos en un centro público de educación primaria, es necesario tratar datos para lograr la satisfacción de un interés público o cuando se ejerce una potestad administrativa. Esta es la base de licitud más habitual en los centros docentes.

Esto estaría en línea con las obligaciones legales y misiones en interés público que tiene el sector educativo. Además, en el contexto educativo, es posible que se apliquen otras bases de legitimación, como el cumplimiento de un contrato o el consentimiento en casos específicos.

Los centros docentes están legitimados por la Ley Orgánica de Educación de 2006 (LOE) para el tratamiento de los datos en el ejercicio de la función educativa. También están legitimados para el desarrollo y ejecución de la relación jurídica que se produce con la matriculación del alumno en un centro, así como por el consentimiento de los interesados, o de sus padres o tutores si son menores de 14 años, o por la existencia en los centros privados de intereses legítimos que, previa ponderación con los derechos y libertades de los

2.- ¿Quién es el responsable de los tratamientos realizados a través de la plataforma de la empresa privada internacional? ¿Quién es el encargado de tratamiento? Exponga brevemente las diferencias entre uno y otro.

Cando una entidad gubernamental, como la Consejería de Educación, proporciona acceso a una plataforma de una empresa privada para su uso en el ámbito educativo, es importante que exista un acuerdo o contrato que defina claramente los roles y responsabilidades de las partes. En este acuerdo, se debe especificar quién será el responsable del tratamiento de datos personales en el contexto de esa plataforma. Si los datos se ubican en terceros estados (que no pertenecen al Espacio Económico Europeo) sobre los que la Comisión Europea haya decidido que garantizan un nivel de protección adecuado, existe una transferencia internacional, sin embargo, no requerirá ninguna autorización específica por parte de la Autoridad de control.

Responsable y encargado: La empresa privada podría actuar como un encargado de tratamiento, procesando datos en nombre de la Consejería de Educación. Sin embargo, la responsabilidad final recae en la Consejería de Educación como responsable del tratamiento, dependiendo de los términos del acuerdo y de cómo se gestione el procesamiento de datos en la plataforma.

Diferencias: el responsable del tratamiento toma decisiones sobre el procesamiento de datos y es el principal responsable de cumplir con las regulaciones de protección de datos, mientras que el encargado de tratamiento procesa los datos de acuerdo con las instrucciones del responsable y es responsable de garantizar la seguridad y la privacidad de los datos durante su procesamiento.

...