Análisis de riesgos y evaluación de impacto
Una de las principales obligaciones en materia de protección de datos para centros educativos es llevar a cabo análisis de riesgos y, cuando sea necesario, la evaluación de impacto en protección de datos (EIPD).Con carácter previo a cualquier tratamiento de datos, el centro realizará un análisis de riesgos, para determinar la posibilidad de que dicho riesgo se materialice y cómo afectaría a los interesados. Este análisis, además, se empleará para diseñar e implementar las medidas de seguridad necesarias para minimizar las probabilidades de materialización del riesgo y para reducir su impacto, si al final ocurre.
Hablamos aquí de riesgos que pongan en peligro la integridad, disponibilidad, fiabilidad y confidencialidad de los datos, tanto físicos como digitales, accidentales o intencionados.
La EIPD se deberá realizar cuando el tratamiento de datos personales afecte a datos sensibles y cuando del análisis de riesgos se determine que un nivel de riesgo alto para los derechos y libertades de los interesados, en caso de materializarse un riesgo o amenaza. La EIPD es un análisis de riesgos más en profundidad y centrado en ese impacto sobre la vida de los interesados.
Las conclusiones del análisis de riesgos y de la EIPD servirán a los centros educativos para diseñar e implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales que manejan. Estas medidas deben impedir el acceso de terceros no autorizados a los datos personales del centro, evitar su pérdida o destrucción o su filtración.
Cesión de datos a terceros
Cuando los centros educativos, para cumplir con algunas de sus funciones, deben contratar los servicios de terceros externos a los mismos (por ejemplo, servicio de comedor, servicio médico, de transporte, etc.) y estos tienen acceso a los datos personales de alumnos, padres o tutores y empleados del centro, se deberá firmar con ellos un contrato de encargo del tratamiento.
Este contrato debe recoger:
• La obligación de tratar solo los datos personales cedidos por el responsable del tratamiento.
• Que los datos no se utilizarán con finalidades diferentes a las previstas en el contrato, ni se comunicarán a otros.
• Las medidas de seguridad implementadas o que debe implementar el encargado del tratamiento.
• Qué se hará con los datos una vez cumplida la finalidad del tratamiento o el plazo de conservación.
Cabe señalar que no se considerarán encargados del tratamiento a las personas físicas que tengan acceso a los datos personales de alumnos, padres o tutores y empleados en su condición de empleados del centro o de la Administración educativa responsables del tratamiento (por ejemplo, los profesores que pueden acceder a los datos de sus alumnos no son encargados del tratamiento).Deber de confidencialidad
Todo el personal del centro educativo que haya tenido acceso a datos personales tiene el deber de guardar secreto sobre los mismos, no publicarlos, difundirlos o filtrarlos, bien por intereses personales o en beneficio de terceros o bien de manera accidental. Este deber se prolongará una vez finalizada la relación contractual con el centro.
Para asegurar el cumplimiento del deber de confidencialidad, se puede recurrir a la inclusión de una cláusula de confidencialidad en el contrato de los empleados, en la que, además, se explicarán las consecuencias de no cumplir con este deber.
Bloqueo de datos
Puesto que hay determinados casos en que los datos personales de alumnos y exalumnos, así como de empleados y exempleados del centro educativo deben conservarse, incluso cuando se haya cumplido la finalidad para la que fueron recabados, se deberá proceder al bloqueo de dichos datos, de manera que no serán eliminados, pero no podrán usarse o accederse a ellos, salvo que así lo requiera una administración pública o las autoridades judiciales en el ejercicio de sus funciones.
Designación de Delegado de Protección de Datos
Con independencia de si son centros educativos públicos o privados, estos están obligados a designar o contratar un DPO, que se ocupará, entre otras funciones, de supervisar el cumplimiento de la normativa, asesorar al responsable del tratamiento y actuar como enlace entre la AEPD y el propio centro.
Esta obligatoriedad del delegado de protección de datos puede cumplirse designando un empleado del centro como tal o contratando los servicios de un DPO externo, por ejemplo, a través de una consultoría externa especializada en protección de datos.
Notificación de brechas de seguridad
En el caso de que se produzca un incidente de seguridad que dejé al descubierto o provoque la filtración de los datos personales de alumnos, padres o tutores o personal del centro educativo y pueda suponer un riesgo para sus derechos y libertades, este deberá informar, en un plazo no superior a 72 horas, a la AEPD y a los propios interesados cuyos datos se hayan visto afectados.