El objetivo de la realización del Plan sectorial de oficio, que no tiene carácter sancionador sino preventivo, es sensibilizar a los centros auditados y al sector sobre el necesario cumplimiento de la normativa de protección de datos.
Para su realización se han inspeccionado los tratamientos de datos de los alumnos y sus familias que realizan las distintas áreas y servicios de los centros de enseñanza, examinando aspectos como los formularios que emplean en los procesos de matriculación y solicitud de plaza y la tipología de datos y documentos que se recaban, la tipología de los datos contenidos en el expediente académico, el tratamiento de datos por parte de los servicios médicos y de orientación de los centros, o las medidas de seguridad en materia de protección de datos implantadas en los centros escolares.
En la presentación, en la que han intervenido el director de la Agencia Española de Protección de Datos, José Luis Piñar, el subdirector de Inspección de la AEPD, Álvaro Canales, y el adjunto al director de la AEPD, Jesús Rubí se han expuesto las principales conclusiones sobre el nivel de cumplimiento de los principios de información, consentimiento, calidad, seguridad de la normativa de protección de datos por parte de los centros de enseñanza inspeccionados.
Entre las principales deficiencias en la utilización de datos personales detectadas en la inspección destacan las siguientes:
1- incumplimiento del deber de información. La inspección realizada a los centros de enseñanza ha detectado un incumplimiento generalizado del deber de información exigido por la Ley de protección de datos a la hora de recabar datos. Se ha podido constatar que la mayoría de los formularios, tanto los oficiales, que están normalizados por las Consejerías de Educación, como los elaborados por los propios centros, utilizados para recabar datos personales, como son los de matriculación o solicitud de plaza escolar, carecen de cláusula informativa y de consentimiento, o que cuando existe esta no suele adecuarse a lo dispuesto en la normativa de protección de datos. Se ha comprobado que los padres de los alumnos no son informados del destino de los datos personales que facilitan en los mismos, los tratamientos que va a realizar el centro escolar o la Consejería correspondiente, la finalidad y los destinatarios de la información.
Tampoco se informa en dichos formularios de ante quién pueden ejercitar los derechos que le asisten en materia de protección de datos, del carácter obligatorio o voluntario de la respuesta a las preguntas que les plantean, ni de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De acuerdo con lo señalado, al no facilitar la información del artículo 5 de la LOPD en los formularios utilizados para recoger los datos personales o facilitar una información incompleta, permite concluir que no disponen del consentimiento regulado por la normativa de protección de datos para tratar los datos personales de sus alumnos y sus familias.
2-Datos excesivos y carencia de procedimientos de cancelación. La inspección ha analizado si los datos recabados por los centros de enseñanza de los alumnos como de sus familias en distintos procesos como el de solicitud de plaza o matriculación o gestión del expediente académico se ajustan al principio de calidad de la LOPD que establece que éstos deben adecuados, pertinentes y no excesivos para la finalidad para la cual se recaban y que cuando dejen de ser necesarios para esta finalidad deberán ser cancelados
● Proceso de admisión de alumnos, En la mayoría de los casos analizados se ha podido comprobar en relación con los procesos de admisión de alumnos, los datos solicitados en los formularios se consideran adecuados, pertinentes y no excesivos para la finalidad para la cual se recaban, que es baremar la solicitud atendiendo a los diversos conceptos recogidos en la normativa autonómica.
● Proceso Matriculación. En el proceso de matriculación es práctica común, a casi todos los centros escolares, solicitar datos personales identificativos y académicos del alumno así como los datos relativos a estudios, profesión y situación laboral, tanto de la madre como del padre. También es habitual solicitar alguna documentación adicional como pudieran ser certificados médicos, operaciones sufridas por el futuro alumno, si el alumno precisa alguna atención especial, y, si los padres están separados, copia de la sentencia judicial en la que se especifica quién tiene asignada la custodia. Toda Esta documentación e información que se recaba se considera excesiva, inadecuada, y no pertinente para la finalidad para la que se esta recabando.
● Gestión del expediente académico. En relación con los datos que se incorporan al expediente académico del alumno se ha comprobado que, en el caso de los colegios públicos analizados, los datos incluidos en el expediente académico son adecuados. Por el contrario, se ha comprobado que en gran parte de centros privados y privados concertados se almacenan y conservan datos tales como los ingresos de la unidad familiar, el certificado de empadronamiento o la documentación de autorización de padres o tutores, que no son necesarios para la finalidad relativa a la gestión académica y administrativa del alumno y por tanto, inadecuados desde el punto de vista de la normativa de protección de datos de carácter personal.
Común a todos los centros auditados es la carencia de una política de cancelación de los datos recogidos durante los procesos citados. Según ha constatado la inspección, en la mayor parte de los centros auditados no se ha implantado una política de cancelación de los datos tratados en el sistema informático, por lo que suelen disponer de ellos indefinidamente. Asimismo, tampoco se han previsto procedimientos de cancelación de los documentos en soporte papel, por lo que, en la mayoría de los casos, se conservan a lo largo de los años.
3- Deficiente implantación de medidas de seguridad de los datos. La inspección realizada a los centros escolares ha puesto de manifiesto que existen centros que no han implementado medidas de seguridad en materia de protección de datos, y que entre los centros que si las han implementado, existen importantes deficiencias en las medidas para que los datos personales de sus alumnos sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados.
Asimismo, se ha comprobado que el personal de los centros escolares desconoce las normas de seguridad. Como consecuencia de la falta de documento de seguridad, la mayor parte de los centros no tiene establecidas las funciones y obligaciones del personal con acceso a los datos personales de los alumnos. En este sentido se ha recordado que para cumplir con este requisito los centros de enseñanza tiene disponible, de forma gratuita, un modelo de documento de seguridad a través de la página web de la Agencia.
También se han evidenciado deficiencias en los controles de acceso a la información. Se han detectado supuestos en centros escolares en los que es posible acceder a los sistemas de información que gestionan los datos personales de los alumnos sin utilizar ninguna identificación. Además, aunque es común a la mayoría de los centros escolares utilizar contraseñas como mecanismo de autenticación, se ha constatado que estas contraseñas en muchos casos son compartidas y no personalizadas.
4- Utilización de Datos especialmente protegidos sin consentimiento expreso. Se ha comprobado que los centros de enseñanza recaban y tratan datos especialmente protegidos, como son los datos de salud, sin disponer del consentimiento expreso respectivo o sin las habilitaciones legales del ámbito estatal o autonómico, tal y como establece la normativa de protección de datos.
En este sentido, se ha detectado que, en general, se tratan datos de salud sin la necesaria autorización por parte de padres o tutores. Esta situación se hace presente en particular cuando los departamentos de orientación tratan datos de los alumnos con necesidades educativas especiales.
5- Incumplimiento del deber de Inscripción de ficheros. De los 61 colegios inspeccionados cerca del 50 % no han notificado sus ficheros con datos de carácter personal al Registro General de Protección de Datos, exigencia obligatoria para todas la entidades públicas y privadas regulada en la LOPD , cuya tramitación , que no comporta coste económico alguno, puede realizarse a través del sistema de notificaciones , NOTA, disponible en la Página web de la AEPD.
Para cumplir con las recomendaciones de la AEPD los centros escolares pueden utilizar medidas que la AEPD pone a su disposición sin que comporten coste económico alguno, como la posibilidad de inscribir sus ficheros en el Registro general de protección de Datos mediante del sistema Nota , a través de la página web de la Agencia.
7- Cesiones de datos sin consentimiento. Durante las inspecciones realizadas, se han detectado múltiples cesiones de datos. En unos casos, se ha observado que la comunicación de datos cuenta con habilitación legal, como por ejemplo la que se produce con motivo de un cambio de centro escolar, para la obtención del libro de escolaridad, para la emisión de los títulos, y para la gestión de las pruebas de acceso a la universidad. Sin embargo, en otros casos, se han observado otras cesiones, como es la entrega de datos a la AMPA, a asociaciones de antiguos alumnos, que son realizadas por los centros sin disponer del consentimiento exigido por la normativa de protección de datos y sin que existe habilitación legal que les exima de solicitarlo
La presentación de los resultados del Plan sectorial de oficio a la enseñanza reglada no universitaria, realizado con el objetivo de sensibilizar a los centros de enseñanza sobre el necesario cumplimiento de la normativa de protección de datos, se enmarca dentro de las actividades planificadas con motivo de la celebración del Primer Día Europeo de Protección de Datos, el próximo domingo 28 de enero.
