Las siete obligaciones de la nueva ley de Protección de Datos que atañen a los Centros Educativos

Como es ya conocido, el próximo 25 de mayo de 2018 será de aplicación efectiva y directa en España el nuevo Reglamento Europeo de Protección de Datos de Carácter Personal (RGPD). Este Reglamento supondrá la modificación de algunos aspectos del régimen actual y la introducción de nuevas obligaciones en relación con su cumplimiento que afectará a las empresas grandes y pequeñas, instituciones, organizaciones, administración pública y, por supuesto, a los centros escolares y de formación. Para averiguar, a este respecto, las novedades que atañen de manera directa al sector educativo preguntamos a Julián Plaza, director de GlobalNET Legal.

La primera de ellas supone realizar una valoración del riesgo que implique el tratamiento de datos personales (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado). Y también planificar los servicios que ofrezcan para adoptar las medidas que, por defecto, garanticen el tratamiento necesario para la finalidad para la que se recabaron y que no estén accesibles a un número indeterminado de personas.

En segundo lugar, deberán realizar evaluaciones de impacto, en los siguientes supuestos, que se completarán con los que determine la Agencia Española de Protección de Datos (AEPD) o las autoridades autonómicas correspondientes:

- Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).

- Observación sistemática a gran escala de una zona de acceso público (vídeo vigilancia).

Asimismo, tendrán que elaborar perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o les afecte de modo similar.

Deberán designar obligatoriamente un Delegado de Protección de Datos, figura que hasta hoy no existía. Puede estar en la plantilla de la organización o ser contratado como externo y deberá ser experto en la legislación que regula la protección de los datos personales.

También habrán de elaborar un registro de actividades respecto del tratamiento de datos de carácter personal que se realice.

En sexto lugar, tendrán que recabar el consentimiento de los alumnos o de sus padres o tutores, mediante una clara acción afirmativa del interesado y en el caso de datos sensibles o para transferencias internacionales, el consentimiento además deberá ser expreso.

Por último, si se produce una "violación de seguridad", deberán notificarlo a la AEPD o a la Autoridad autonómica correspondiente y, en su caso, también comunicarlo a los interesados.

Conforme a lo anterior, los centros escolares y de formación necesitarán el asesoramiento de especialistas, como los de GlobalNET Legal, para poder conducir con éxito su adaptación a la RGPD. Dichos profesionales deberán, como mínimo, dar los siguientes servicios:

- Cumplimiento de la normativa de privacidad y tratamiento de datos personales para centros educativos.

- Información y asesoramiento al responsable, encargado del tratamiento y empleados con acceso a datos personales de sus obligaciones según el nuevo Reglamento.

- Supervisión de la implementación y aplicación de las políticas del centro educativo en materia de protección de datos personales.

- Controlar y verificar la implementación y aplicación de la normativa en relación con la protección y la seguridad de los datos.

- Asignación de responsabilidades y formación de personal que participa en operaciones de tratamiento.

- Asesoramiento acerca de la evaluación de impacto relativa a la protección de datos.

- Cooperación con la autoridad de control.

- Gestión de respuestas a las solicitudes de la AEPD