Como parte de los constantes cambios de los que hemos pasado en estos últimos años, encontramos también a la educación como un sector que ha requerido de un constante y completo uso de las tecnologías de información, plataformas y comunicaciones para dar continuidad a las actividades. Es por ello que, la protección de los datos personales de las niñas, niños y adolescentes al utilizar nuevas herramientas, aplicaciones y dispositivos para realizar sus actividades escolares, debe ser una prioridad para las instituciones educativas, que deberán considerar medidas de seguridad para proteger la información personal de sus alumnos y cumplir con lo establecido en el marco legal en materia de protección de datos personales, específicamente la Ley Orgánica de Protección de Datos Personales (LOPD)

El derecho a la educación es una garantía reconocida en el artículo 26 de nuestra Constitución, lo que implica el progreso de una actividad que trae consigo el tratamiento de datos personales. Por otro lado, la LOPD manda que las personas tienen derecho al acceso y disponibilidad del conocimiento, aprendizaje, preparación, estudio, formación_; capacitación, enseñanza e instrucción relacionados con el uso y maneje adecuado, sano, constructivo, seguro y responsable de las tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana, la intimidad, la vida privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el derecho a la protección de datos personales, así como promover una cultura sensibilizada en el derecho de protección de datos personales.

Partiendo de esto y de que el sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo incluir dicha temática en su proceso de formación, es menester recordar lo que son los datos personales, siendo aquellos que identifican y se refieren a una persona física, por lo que estamos hablando del uso de datos como nombres, apellidos, domicilios, teléfonos y e-mails de contacto, entre muchos otros utilizados dentro de las instituciones escolares. A esto, debemos sumarle el hecho de que los datos verificados son datos de menores de edad, en donde su tratamiento debe ser mucho más específico al tratarse de datos sensibles.

Ante esta situación específica, en el presente artículo estableceremos obligaciones atribuibles a las instituciones educativas para el manejo y protección de datos personales en el ámbito de la educación.

Lo primero y más importante es la necesidad de obtener el consentimiento expreso de los niños, niñas y adolescentes o sus representantes, dependiendo de la edad. La LOPD manda que, en el caso de servicios dirigidos por niñas y adolescentes, el ejercicio del derecho a la información será ejercido por su representante legal cuando sea de adolescentes mayores de 12 años y menores de quince, así como niños, y de forma directa por los adolescentes mayores de 15 años y menores de 18.

Así, para poder captar y tratar determinados datos personales de su alumnado, la institución educativa debe diferenciar entre aquellas actividades con fines educativos y aquellas cuya finalidad es otra. En los supuestos en los que la finalidad exceda la educativa, deberá recabar el consentimiento expreso de sus alumnos o representantes. Esta solicitud de consentimiento expreso incluye un consentimiento especial para grabar imágenes en las diferentes actividades educativas y difundirlas a través de los canales propios: de la institución, así como datos especialmente protegidos. No se podrán tratar datos sensibles o datos de niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal, salvo excepciones relativas al interés público

Como segunda obligación, en cuanto a ejercicio de derechos, las entidades educativas están obligadas a proveer información y capacitación relacionadas con el uso y tratamiento responsable, adecuado y seguro de datos personales de niños y adolescentes, tanto a sus titulares como a sus representantes legales

De otro lado, tenemos también la necesidad de registrar y documentar las actividades de tratamiento de datos. Esto quiere decir que la institución educativa tendrá que reflejar, en diversos documentos, su protocolo de registros en relación a los datos que recaba de sus alumnos. Este protocolo puntualiza qué tipos de datos se recaban y por qué se solicitan, compila los distintos formularios de consentimiento, detalla qué se hace con los datos, a qué entidades o proveedores se encarga el tratamiento de estos datos, cómo y dónde se publican, cómo se garantiza su custodia y su confidencialidad, cómo y quién denuncia las violaciones e incidencias y otros similares como parte de la responsabilidad proactiva que debe tener toda institución. El registro de actividades de tratamiento debe reflejar de forma fehaciente que se cumple la LOPD y que se garantizan los derechos de los miembros de la comunidad educativa.

Como una cuarta obligación, la institución educativa debe realizar una valoración del riesgo de tratar datos personales y comunicarlo a la comunidad, ya que la pérdida, destrucción, alteración, acceso no autorizado, imposibilidad de acceder o tratamiento no justificado son responsabilidades que deben ser cubiertas y monitoreadas El centro debería realizar una evaluación de los diferentes riesgos en función de sus procedimientos, equipamientos técnicos y volumen de datos manejados pues esto también implica la posibilidad de que terceros presenten denuncias de violaciones de seguridad e incidencias

Así, vemos que el sector educacional, segmento que se ha reinventado tecnológicamente, es un área en donde la protección de datos debe estar cuidadosamente regulada. Los tipos de datos que se manejan son sensibles y deben ser cuidadosamente monitoreados. Por ello, las recomendaciones realizadas pueden ser una guía básica que permita a estas instituciones y todos aquellos, que son parte de la comunidad, a conocer los pormenores y los derechos básicos relativos a datos y su educación.

Mario Ruiz