Documentos de Académico
Documentos de Profesional
Documentos de Cultura
O
N
S
E
J
E
R
A
D
E
E
D
U
C
A
C
I
N
CUA DE PROTECCION DE DATO5
DE CARCTER PER5ONAL
PARA LO5
CENTRO5 DE EN5EANZA
(LEY ORGNICA 15/1999, DE 13 DE DICIEMBRE, Y
REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE)
GUA DE PROTECCIN
DE DATOS DE CARCTER
PERSONAL PARA LOS
CENTROS DE ENSEANZA
CONSEJERA DE EDUCACIN
Isidro Gmez-Jurez Sidera.
Experto en Proteccin de Datos de Carcter Personal.
DEA enDerecho de las Nuevas Tecnologas de la Informacin y las Comunicaciones.
Secretara General Tcnica de la Consejera de Educacin
Francisco Silveira Garca.
Jefe de Sistemas de Informacin.
Elas Fernndez Martn.
Servicio de Sistemas de Informacin.
Servicio de Legislacin, Recursos y Relaciones con la Administracin de
Justicia de la Consejera de Educacin.
Revisin: Agenda Activa
Edita: Junta de Andaluca
Consejera de Educacin
Secretara General Tcnica
ISBN: 978-84-690-6607-2
Depsito Legal: SE-3341-2011
1 Edicin: Octubre 2011
Diseo: RRM
Impresin: Coria Grfca, S. L.
Aviso importante:
Se informa previamente, de modo expreso, preciso e inequvoco, del carcter
exclusivamente ilustrativo o informativo de la presente publicacin, sin que la
misma constituya, en ningn caso o circunstancia, asesoramiento jurdico alguno
ni de cualquier otra ndole, entrae interpretacin normativa alguna con carcter
vinculante, ni prejuzgue el criterio de la Agencia Espaola de Proteccin de Datos
o cualesquiera de las autoridades autonmicas de proteccin de datos creadas al
amparo del artculo 41 de la LOPD, en el ejercicio de su potestad sancionadora,
ni de los juzgados y tribunales correspondientes en el ejercicio de la potestad
jurisdiccional que legalmente tienen atribuida. En cualquier caso, siempre habr
que atenerse a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal (LOPD), en el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD
(RDLOPD) y en la restante normativa aplicable, debiendo, en todo caso, tenerse en
cuenta los aspectos y circunstancias relativos a cada caso concreto.
Licencia:
Se permite copia y distribucin de la totalidad o parte de esta obra sin nimo de lucro.
Toda copia total o parcial deber citar expresamente los nombres de los autores, de
la institucin que lo edita (Junta de Andaluca Consejera de Educacin), e incluir
la mencin copia literal en caso de que lo sea.
PRE5ENTACION
7
El derecho a la proteccin de datos: un derecho fundamental del
alumnado.
La Convencin sobre los Derechos del Nio, adoptada por la Asamblea
General de las Naciones Unidas el 20 de noviembre de 1989 y aprobada
por Espaa mediante Instrumento de Ratifcacin de 30 de noviembre de
1990, consagr en su artculo 3 el principio jurdico fundamental del inters
superior de los nios y nias: En todas las medidas concernientes a los
nios que tomen las instituciones pblicas o privadas de bienestar social,
los Tribunales, las autoridades administrativas o los rganos legislativos,
una consideracin primordial a que se atender ser el inters superior del
nio (art. 3.1). En este sentido, los Estados partes se comprometieron a
asegurar al nio la proteccin y el cuidado que sean necesarios para su
bienestar, teniendo en cuenta los derechos y deberes de sus padres, tutores
u otras personas responsables de l ante la Ley y, con ese n, tomarn todas
las medidas legislativas y administrativas adecuadas (art. 3.2).
El citado principio ha confrmado su solidez a travs de la Carta de los
Derechos Fundamentales de la Unin Europea, cuyo artculo 24, relativo a
los Derechos del menor, establece que en todos los actos relativos a los
menores llevados a cabo por autoridades pblicas o instituciones privadas,
el inters superior del menor constituir una consideracin primordial (art.
24.2).
En nuestro pas, la Ley Orgnica 1/1996, de 15 de enero, de Proteccin
Jurdica del Menor, de modifcacin parcial del Cdigo Civil y de la Ley
de Enjuiciamiento Civil, tambin recoge el principio del inters superior del
menor como un principio general que debe primar sobre cualquier otro en
su aplicacin: En la aplicacin de la presente Ley primar el inters superior
de los menores sobre cualquier otro inters legtimo que pudiera concurrir
(art. 2, prrafo primero). Asimismo, la citada Ley establece que ser principio
rector de la actuacin de los poderes pblicos, entre otros, la supremaca
del inters del menor (art. 11.2.a)). Finalmente, es importante recordar que
de acuerdo con lo sealado en el artculo 4.1 de la Ley Orgnica 1/1996,
los menores tienen derecho al honor, a la intimidad personal y familiar y a
la propia imagen.
8
Conforme a lo establecido en el artculo 18 de la Constitucin Espaola
de 1978, enmarcado dentro de la Seccin 1 del Captulo Segundo
del Ttulo I, que lleva por rbrica De los derechos fundamentales y de
las libertades pblicas, los derechos al honor, a la intimidad personal y
familiar y a la propia imagen tienen el rango de fundamentales. Asimismo,
el apartado 4 del citado artculo establece que la ley limitar el uso de
la informtica para garantizar el honor y la intimidad personal y familiar
de los ciudadanos y el pleno ejercicio de sus derechos. El art. 18.4 CE,
circunscrito dentro de un precepto dedicado a la proteccin de la intimidad
entendida en sentido amplio, ha sido el eje vertebrador en torno al cual
se ha cimentado la normativa espaola de proteccin de datos hasta la
aparicin de la trascendental Sentencia 292/2000, de 30 de noviembre de
2000, del Tribunal Constitucional, que consagr el derecho a la proteccin
de datos de carcter personal como un derecho fundamental autnomo e
independiente del derecho a la intimidad.
El contenido del derecho fundamental a la proteccin de datos consiste,
tal y como seala la propia Sentencia 292/2000 en su fundamento jurdico
sptimo, en un poder de disposicin y de control sobre los datos personales
que faculta a la persona para decidir cules de esos datos proporcionar
a un tercero, sea el Estado o un particular, o cules puede este tercero
recabar, y que tambin permite al individuo saber quin posee esos datos
personales y para qu, pudiendo oponerse a esa posesin o uso. De tal
modo, este derecho autnomo e informador de nuestro texto constitucional
est integrado por los principios y derechos que se contemplan en la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal, la cual, a su vez, ha sido objeto de desarrollo reglamentario a
travs del Real Decreto 1720/2007, de 21 de diciembre. Hay que subrayar
que el artculo 8 de la Carta de los Derechos Fundamentales de la Unin
Europea tambin confere al derecho a la proteccin de datos de carcter
personal el rango de derecho fundamental, estableciendo que toda
persona tiene derecho a la proteccin de los datos de carcter personal
que la conciernan (art. 8.1).
Por otro lado, si bien los datos de las personas menores de edad no
tienen la consideracin jurdica de datos especialmente protegidos
9
conforme a lo establecido en nuestra normativa nacional de proteccin de
datos de carcter personal, parte de la doctrina entiende que forman parte
de una categora sui generis que podra denominarse datos de personas
especialmente vulnerables, basada en un criterio subjetivo en funcin de
las personas titulares de los datos y las especiales condiciones que les
rodean. Fruto de la preocupacin en relacin a los menores, el referido Real
Decreto 1720/2007 dedica su artculo 13 a regular de forma especfca las
cuestiones relativas al consentimiento para el tratamiento de sus datos.
Siguiendo un camino similar, el Grupo de Proteccin de Datos del
artculo 29, rgano europeo consultivo en materia de proteccin de
datos y privacidad, tambin ha emitido, en fecha 11 de febrero de 2009,
un Dictamen sobre la proteccin de los datos personales de los nios
(Directrices generales y especial referencia a las escuelas), con el objetivo
de analizar los principios generales que se aplican a la proteccin de los
datos de los nios y nias, as como explicar su pertinencia en un sector
crtico especfco como el de los datos escolares. El citado documento debe
considerarse en el contexto de la iniciativa general de la Comisin Europea
que se describe en la Comunicacin Hacia una Estrategia de la Unin
Europea sobre los Derechos de la Infancia: Al contribuir a este objetivo
general, pretende reforzar el derecho fundamental de los nios y las nias
a la proteccin de datos personales, eligindose el mbito escolar por ser
uno de los ms importantes de la vida del menor, en el que se desarrolla
una parte considerable de sus actividades cotidianas, y por la naturaleza
confdencial de gran parte de los datos que se tratan en las instituciones de
enseanza. Asimismo, el referido Dictamen se basa en el convencimiento
de que la educacin y la responsabilidad son instrumentos cruciales para la
proteccin de los datos de los nios y nias.
En este sentido, el Grupo del artculo 29 ha sealado que un nio es
un ser humano en el ms amplio sentido de la palabra. Por este motivo,
debe disfrutar de todos los derechos de la persona, incluido el derecho a
la proteccin de los datos personales. Ahora bien, el nio se encuentra en
una situacin particular que es preciso considerar desde dos perspectivas:
esttica y dinmica. Desde el punto de vista esttico, el nio es una persona
que todava no ha alcanzado la madurez fsica y psicolgica. Desde el punto
10
de vista dinmico, se encuentra en un proceso de desarrollo fsico y mental
que le convertir en adulto. Los derechos del nio y su ejercicio -incluido
el derecho a la proteccin de datos- deben expresarse teniendo presentes
ambas perspectivas.
De igual manera, entiende que el principio jurdico fundamental que debe
regir el tratamiento de los datos de los menores es el inters superior de los
mismos, consagrado en la citada Convencin de las Naciones Unidas sobre
los Derechos del Nio: La justicacin de este principio es que una persona
que todava no ha alcanzado la madurez fsica y psicolgica necesita ms
proteccin que otras personas. Su nalidad es mejorar las condiciones del
nio y reforzar el derecho de ste a desarrollar su personalidad. Todas las
instituciones, pblicas o privadas, que toman decisiones sobre los nios,
deben respetar este principio. Asimismo, hay que reconocer que para
alcanzar un nivel adecuado de atencin a los nios, los datos personales
de stos deben ser tratados exhaustivamente y por diversas partes. Este
tratamiento tendr lugar principalmente en los sectores del Estado del
bienestar: educacin, seguridad social, sanidad, etc. Pero esto no es
incompatible con la intensicacin de una proteccin adecuada en estos
sectores sociales, a pesar de que hay que extremar el cuidado cuando se
produce el intercambio de datos sobre los nios.
Por ltimo, es necesario recordar que la propia Ley Orgnica 2/2006,
de 3 de mayo, de Educacin, en consonancia con la consolidacin del
derecho fundamental a la proteccin de datos de carcter personal, dedica
una disposicin adicional especfca a los datos personales del alumnado,
a la cual se remite la Ley 17/2007, de 10 de diciembre, de Educacin de
Andaluca, publicada en el BOJA nm. 252, de 26 de diciembre de 2007.
En suma, el derecho a la proteccin de datos de carcter personal se
confrma como un derecho fundamental de todo el alumnado, objeto de
creciente atencin por parte de nuestros legisladores y de los organismos de
la Unin Europea. Con el objetivo de contribuir a su difusin, asentamiento
y respeto en los centros de enseanza de la Junta de Andaluca, se elabora
la presente gua.
INDICE
13
I. EL DERECHO A LA PROTECCIN DE DATOS DE CARCTER PERSONAL . . . . 23
II. NORMATIVA VIGENTE SOBRE PROTECCIN DE DATOS DE
CARCTER PERSONAL APLICABLE A LOS CENTROS DE ENSEANZA . . . . 31
1. Normativa general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
1.1. Plazos de adecuacin. . . . . . . . . . . . . . . . . . . . . . . . . 38
1.1.1. LEY ORGNICA 15/1999, de 13 de diciembre . . . . . . . . . . . . . 38
1.1.2. REAL DECRETO 1720/2007, de 21 de diciembre . . . . . . . . . . . 39
2. Normativa sectorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3. Enlaces a la principal normativa sobre proteccin de datos de
carcter personal aplicable a los centros de enseanza . . . . . . . . 45
3.1. Normativa de la Unin Europea . . . . . . . . . . . . . . . . . . . . 45
3.2. Normativa nacional general. . . . . . . . . . . . . . . . . . . . . . 45
3.3. Normativa nacional y autonmica sectorial . . . . . . . . . . . . . . 46
III. APLICACIN DE LOS PRINCIPIOS DE LA LEY ORGNICA DE PROTECCIN
DE DATOS AL MBITO EDUCATIVO . . . . . . . . . . . . . . . . . . . . . . 47
1. Principio de Publicidad . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2. Principio del Consentimiento . . . . . . . . . . . . . . . . . . . . . . . 54
2.1. Caractersticas del consentimiento . . . . . . . . . . . . . . . . . . 54
2.2. Datos Especialmente Protegidos . . . . . . . . . . . . . . . . . . . 57
2.3. Consentimiento otorgado por personas menores de edad . . . . . . 58
2.4. Limitaciones al principio del consentimiento en los centros
de enseanza pblicos . . . . . . . . . . . . . . . . . . . . . . . . 69
3. Principio de Informacin . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.1. Caractersticas del derecho de informacin. . . . . . . . . . . . . . 72
4. Principio de calidad de los datos . . . . . . . . . . . . . . . . . . . . . 76
5. Acceso a los datos por cuenta de terceros . . . . . . . . . . . . . . . . 80
6. Deber de Secreto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
7. Principio de Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 92
7.1. Ficheros automatizados . . . . . . . . . . . . . . . . . . . . . . . 104
7.2. Ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . 108
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
14
IV. RECOMENDACIONES PARA EL CORRECTO TRATAMIENTO DE
FICHEROS NO AUTOMATIZADOS QUE CONTENGAN DATOS DE
CARCTER PERSONAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
2. Recomendaciones sobre proteccin de la documentacin en soporte papel 121
2.1. Indicaciones Generales . . . . . . . . . . . . . . . . . . . . . . . . 121
2.2. Niveles de Seguridad establecidos en el REAL DECRETO 1720/2007 . 122
2.3. Medidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 130
3. Recomendaciones sobre destruccin de la documentacin . . . . . . . 136
V. RECOMENDACIONES PARA EL CORRECTO TRATAMIENTO DE LAS
IMGENES DEL ALUMNADO POR LOS CENTROS DE ENSEANZA. . . . . . . 145
1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
2. Uso de sistemas de cmaras y videocmaras en el centro de enseanza 148
2.1. Exposicin general de la cuestin. . . . . . . . . . . . . . . . . . . 148
2.2. Proporcionalidad de la medida . . . . . . . . . . . . . . . . . . . . 151
2.3. Aplicacin de los principios de proteccin de datos conforme a lo
establecido en la Instruccin 1/2006 . . . . . . . . . . . . . . . . . 154
2.4. Aplicacin de los principios de proteccin de datos conforme a lo
establecido en la Instruccin 1/1996 . . . . . . . . . . . . . . . . . 156
2.5. Medidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 157
2.6. Observaciones realizadas por el Grupo del artculo 29
sobre proteccin de datos en su Documento de trabajo 1/08 . . . . . 158
3. Publicacin de imgenes del alumnado en la pgina web del centro
de enseanza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
4. Enlaces a la normativa especca sobre tratamiento de imgenes . . . 165
4.1. Normativa de la Unin Europea . . . . . . . . . . . . . . . . . . . . 165
4.2. Normativa nacional . . . . . . . . . . . . . . . . . . . . . . . . . . 165
VI. PREGUNTAS FRECUENTES SOBRE LA APLICACIN DE LA NORMATIVA DE
PROTECCIN DE DATOS DE CARCTER PERSONAL EN LOS CENTROS DE
ENSEANZA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
1. El derecho a la proteccin de datos. . . . . . . . . . . . . . . . . . . . 169
1.1. Qu es el derecho a la proteccin de datos de carcter personal?. . 169
15
ndice
2. Inscripcin de cheros . . . . . . . . . . . . . . . . . . . . . . . . . . 169
2.1. Quin es el responsable de noticar los cheros en el
Registro General de Proteccin de Datos en el caso de los centros
de enseanza pblica?. . . . . . . . . . . . . . . . . . . . . . . . 169
3. mbito de aplicacin de la normativa . . . . . . . . . . . . . . . . . . 171
3.1. Los cheros de un centro docente concertado, se rigen por lo
establecido para los cheros de titularidad pblica o por el contrario
les es de aplicacin el rgimen de cheros de titularidad privada? . . 171
3.2. Sera aplicable la LOPD a los informes psicopedaggicos realizados
por los orientadores y orientadoras sobre un procesador de textos? . 172
3.3. Si en un centro de enseanza se realizan encuestas annimas entre
el alumnado y sus familiares para realizar un estudio sobre salud
y hbitos alimentarios, sera aplicable la normativa sobre proteccin
de datos de carcter personal al supuesto concreto? . . . . . . . . . 173
3.4. En un centro de enseanza disponen de cmaras de vigilancia,
si bien slo se utilizan para el visionado en tiempo real de las
imgenes captadas, sin proceder a su grabacin o conservacin.
Sera aplicable en este supuesto la Instruccin 1/2006, de 8 de
noviembre, de la Agencia Espaola de Proteccin de Datos,
sobre el tratamiento de datos personales con nes de vigilancia
a travs de sistemas de cmaras o videocmaras?. . . . . . . . . . 175
4. Principio del consentimiento . . . . . . . . . . . . . . . . . . . . . . . 176
4.1. A partir de qu edad puede una persona consentir sobre el
tratamiento de sus datos? . . . . . . . . . . . . . . . . . . . . . . 176
4.2. Puede un centro de enseanza publicar en su pgina web
imgenes del alumnado sin su consentimiento previo? . . . . . . . 178
4.3. Puede el alumno o alumna negarse a que sus padres
conozcan sus calicaciones? . . . . . . . . . . . . . . . . . . . . 180
4.4. Sera aplicable la excepcin al consentimiento del art. 11.2.a) LOPD
a aquellos casos en que una norma infralegal autorice la cesin de
datos de carcter personal? . . . . . . . . . . . . . . . . . . . . . 181
4.5. Puede un centro de enseanza de carcter pblico ceder los datos
del alumnado a una editorial especializada en literatura juvenil, que
desee lanzar una nueva coleccin literaria especialmente
orientada a los jvenes, sin el consentimiento de aqullos? . . . . . 183
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
16
4.6. Un centro de enseanza desea organizar una visita guiada para
los alumnos y alumnas menores de catorce aos a un planetario,
solicitndole ste un listado de todos aquellos que vayan a
participar en dicha actividad. Qu medidas debera tomar
el centro de enseanza con respecto al cumplimiento de
principios de la LOPD? . . . . . . . . . . . . . . . . . . . . . . . . 183
4.7. Es necesario el consentimiento expreso y por escrito de los
alumnos y alumnas o de sus padres, madres o representantes
legales para la cesin de determinados datos que consten en
su expediente acadmico para realizar el cambio de un centro de
enseanza a otro? . . . . . . . . . . . . . . . . . . . . . . . . . . 184
4.8. Puede ceder el centro de enseanza los datos del alumnado a
la Asociacin de Madres y Padres de Alumnos (AMPA) sin su
consentimiento previo?. . . . . . . . . . . . . . . . . . . . . . . . 185
4.9. Si los miembros de las Fuerzas y Cuerpos de Seguridad solicitan
la cesin de los datos del alumnado, debera el centro facilitar
los citados datos? . . . . . . . . . . . . . . . . . . . . . . . . . . 185
4.10. Si un centro de enseanza decide ambientar su pgina web
con imgenes difuminadas o distorsionadas del alumnado, de
manera que sean totalmente irreconocibles las personas
que en ellas aparecen, sera necesario contar con su
consentimiento para la publicacin de las citadas imgenes? . . . . 187
4.11. Un peridico local desea hacer un reportaje grco en el centro
de enseanza, en el cual se incluyan imgenes del alumnado
en diferentes momentos de la actividad escolar.
Qu precauciones debera tomar el centro con respecto a
la normativa sobre proteccin de datos de carcter personal? . . . . 189
4.12. Ante el inminente comienzo de las revisiones mdicas
y campaas de vacunacin del alumnado de los centros
de enseanza, la Consejera de Sanidad solicita a stos
un listado de los mismos para poder llevarlas a cabo.
Qu requisitos deberan observar los centros de enseanza
para que dicha cesin de datos fuese conforme a la normativa
sobre proteccin de datos de carcter personal? . . . . . . . . . . . 190
17
ndice
5. Datos especialmente protegidos . . . . . . . . . . . . . . . . . . . . . . . 191
5.1. Tiene el dato de opcin por la asignatura de Religin la
consideracin de dato especialmente protegido? . . . . . . . . . . . 191
5.2. Qu consideracin tienen los datos psicolgicos incluidos en
los informes elaborados por los orientadores y orientadoras?. . . . . 192
5.3. Tiene el dato de origen racial del alumnado del centro de
enseanza la consideracin de dato especialmente protegido?. . . . 194
5.4. Qu naturaleza tienen los cheros manejados por el
profesorado sobre calicaciones parciales, conductas y
actitudes del alumnado, entrevistas con los padres y madres, etc.? . 195
6. Principio de informacin . . . . . . . . . . . . . . . . . . . . . . . . . 197
6.1. En el supuesto de que una empresa de chocolatinas deseara
organizar, en colaboracin con el centro de enseanza, un concurso
de dibujo para cuya participacin los alumnos y alumnas debieran
facilitar sus datos y rellenar un cuestionario sobre sus gustos
alimenticios, qu factores debera tener en cuenta el centro? . . . . 197
7. Principio de calidad de los datos . . . . . . . . . . . . . . . . . . . . . 198
7.1. Un centro de enseanza de carcter pblico solicita, para la
admisin de los alumnos y alumnas, el dato sobre la ideologa
poltica de sus padres y madres. Sera ello correcto conforme
a lo establecido en los principios de la LOPD? . . . . . . . . . . . . 198
8. Acceso a los datos por cuenta de terceros . . . . . . . . . . . . . . . . 199
8.1. Un centro de enseanza tiene contratado el servicio de transporte
escolar con una empresa de autobuses, la cual adems de hacer
el transporte diario de los alumnos y alumnas, recoge un listado de
los mismos y de las mismas para hacer los carns de acceso a
dicho servicio de transporte. Qu medidas debera tomar el
centro para adecuar tal comunicacin de datos a la LOPD?. . . . . . 199
8.2. Un centro de enseanza tiene en sus dependencias unos
contenedores destinados al reciclaje de papel.
Cada cierto tiempo dichos contenedores son retirados
por una empresa de reciclaje. Qu medidas debera llevar a
cabo el centro para cumplir con los principios de LOPD? . . . . . . . 200
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
18
9. Deber de secreto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
9.1. En qu consiste el deber de secreto? . . . . . . . . . . . . . . . . 201
9.2. Puede el Presidente de la Comisin de Baremacin de
las solicitudes de reserva para la matriculacin en una escuela
infantil municipal hacer pblicos los datos procedentes de los
certicados del IRPF presentados por el padre y la madre
de una alumna admitida en la misma? . . . . . . . . . . . . . . . . 201
10. Medidas de Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 202
10.1. Puede el profesorado crear nuevos cheros omticos
que contengan datos de carcter personal, en los PCs del
centro de enseanza, sin el conocimiento de la Secretara
General Tcnica de la Consejera de Educacin? . . . . . . . . . . . 202
10.2. En el supuesto de que el personal docente del centro se
lleve los exmenes realizados por el alumnado para corregirlos
en casa, qu precauciones habra que tener en cuenta con
respecto a la normativa de proteccin de datos de carcter personal? .. 203
10.3. Qu ocurrira si se dejasen abandonados en plena calle,
junto a un contenedor de reciclaje de papel saturado, informes
psicopedaggicos sobre antiguos alumnos y alumnas elaborados
por los orientadores y orientadoras, de manera que alguien externo
al centro de enseanza tuviese acceso a dicha informacin? . . . . . 205
10.4. Es correcto dejar en los pasillos del centro y, por tanto, al
alcance de cualquier persona que por all transite, los contenedores
de reciclaje que puedan contener exmenes realizados por el
alumnado, sin haber sido destruidos previamente? . . . . . . . . . . 207
10.5. Qu precauciones deben tomarse con respecto a la normativa
de proteccin de datos de carcter personal en el caso
de traslado de documentacin que contenga datos catalogados
de Nivel alto (por ejemplo, informes psicopedaggicos)? . . . . . . . 207
10.6. Quin es el responsable de informar al profesorado
y Personal de Administracin y Servicios sobre sus obligaciones
en materia de proteccin de datos de carcter personal?. . . . . . . 208
10.7. Qu ocurrira en el supuesto de que un o una docente tuviese
acceso a un documento impreso con informacin sobre el personal
del centro de enseanza restringida al equipo directivo y
personal de Administracin? . . . . . . . . . . . . . . . . . . . . . 208
19
ndice
ANEXO I:
MODELOS ORIENTATIVOS DE CLUSULAS LEGALES A INCORPORAR EN LOS IMPRESOS
Y FORMULARIOS DE USO FRECUENTE EN LOS CENTROS DE ENSEANZA
PARA LA RECOGIDA DE DATOS DE CARCTER PERSONAL . . . . . . . . . . . . 211
1. Modelos de clusulas legales a incorporar en los Formularios de
Solicitud de Plaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
1.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 215
1.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 216
1.3. Padres, madres y representantes legales . . . . . . . . . . . . . . . 217
1.4. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 218
1.5. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 218
2. Modelos de clusulas legales a incorporar en los Formularios
de Matriculacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
2.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 219
2.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 220
2.3. Padres, madres y representantes legales . . . . . . . . . . . . . . . 221
2.4. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 222
2.5. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 222
3. Modelos de clusulas legales a incorporar en los Formularios de
Solicitud de Beca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
3.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 223
3.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 224
3.3. Padres, madres y representantes legales . . . . . . . . . . . . . . . 225
3.4. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 226
3.5. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 226
4. Modelos de clusulas legales a incorporar en las Fichas de jefatura
de estudios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
4.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 227
4.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 228
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
20
4.3. Padres, madres y representantes legales . . . . . . . . . . . . . . . 229
4.4. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 230
4.5 Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 230
5. Modelos de clusulas legales a incorporar en los Formularios de
Inscripcin en las Actividades Extraescolares . . . . . . . . . . . . . . 231
5.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 231
5.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 232
5.3. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 233
5.4. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 233
6. Modelos de clusulas legales a incorporar en los Formularios de
Solicitud de Plaza en el Comedor Escolar. . . . . . . . . . . . . . . . . 234
6.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 234
6.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 235
6.3. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 236
6.4. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 236
7. Modelos de clusulas legales a incorporar en los Formularios de
Solicitud del servicio de transporte escolar . . . . . . . . . . . . . . . 237
7.1. Alumnado menor de 14 aos . . . . . . . . . . . . . . . . . . . . . 237
7.2. Alumnado mayor de 14 aos . . . . . . . . . . . . . . . . . . . . . 238
7.3. Modelo simplicado alumnado menor de 14 aos
y familiares o representantes . . . . . . . . . . . . . . . . . . . . . 239
7.4. Modelo simplicado alumnado mayor de 14 aos . . . . . . . . . . 239
8. Modelos para prestar el Consentimiento para la publicacin de
datos de carcter personal del alumnado en la pgina web
del centro de enseanza. . . . . . . . . . . . . . . . . . . . . . . . . . 240
8.1. Modelo para prestar el Consentimiento para el alumnado menor
de 14 aos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
8.2. Modelo para prestar el Consentimiento para el alumnado mayor
de 14 aos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
21
ndice
ANEXO II:
MODELOS ORIENTATIVOS DE CLUSULAS LEGALES PARA EL TRATAMIENTO
DE IMGENES DEL ALUMNADO . . . . . . . . . . . . . . . . . . . . . . . . . . 243
1. Modelos de clusulas legales para el tratamiento de imgenes del
alumnado a travs de sistemas de cmaras o videocmaras . . . . . . 245
1.1. Modelo de distintivo informativo a que se reere el apartado
1 del ANEXO de la INSTRUCCIN 1/2006, de 8 de noviembre,
de la Agencia Espaola de Proteccin de Datos, sobre el
tratamiento de datos personales con nes de vigilancia a travs
de sistemas de cmaras o videocmaras. . . . . . . . . . . . . . . 245
1.2. Modelo de Clusula Informativa a que se reere el art. 3,
apartado b) de la INSTRUCCIN 1/2006, de 8 de noviembre,
de la Agencia Espaola de Proteccin de Datos, sobre el tratamiento
de datos personales con nes de vigilancia a travs de sistemas de
cmaras o videocmaras . . . . . . . . . . . . . . . . . . . . . . . 248
1.3. Modelo de aviso informativo en cumplimiento de lo establecido
en la Norma Tercera de la INSTRUCCIN 1/1996, de 1 de marzo,
de la Agencia Espaola de Proteccin de Datos. . . . . . . . . . . . 249
2. Modelos para prestar el Consentimiento para la publicacin
de imgenes del alumnado en la pgina web del centro de enseanza 250
2.1. Modelo para prestar el Consentimiento para el alumnado menor de
14 aos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
2.2. Modelo para prestar el Consentimiento para el alumnado mayor
de 14 aos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
ANEXO III:
CONSIDERACIONES SOBRE PROYECTOS DE MOVILIDAD PARA EL
PROFESORADO EN RELACIN CON LA NORMATIVA DE PROTECCIN DE DATOS
DE CARCTER PERSONAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
2. Anlisis de la incidencia de la normativa de Proteccin de Datos de
Carcter Personal sobre proyectos de movilidad. . . . . . . . . . . . . 255
3. Modelo de solicitud para la obtencin de la autorizacin expresa
para trabajar con los dispositivos mviles fuera de los locales del
centro educativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
EL DERECHO A LA PROTECCION DE DATO5
DE CARCTER PER5ONAL
CAPTULO I
25
En la actualidad, nadie puede permanecer ajeno a las ventajas que han
supuesto para todos los sectores sociales y econmicos el desarrollo de
la informtica y la expansin de las telecomunicaciones. La utilizacin de
las nuevas herramientas informticas en combinacin con las redes de
telecomunicaciones avanzadas en el mbito de la Administracin Pblica
est contribuyendo a alcanzar unos mayores grados de efcacia y efciencia
a la hora de gestionar las relaciones y los servicios que stas prestan a la
ciudadana.
Sin embargo, el uso de la informtica y las telecomunicaciones en
todos los mbitos tambin tiene una vertiente negativa, en el sentido de
que su utilizacin sin las debidas garantas puede afectar a los derechos
y libertades individuales de la ciudadana, en especial en lo referente a su
intimidad y a la proteccin de sus datos.
Consciente de los riesgos derivados de un posible uso inadecuado de
estas nuevas tecnologas en detrimento de los citados derechos, la Unin
Europea viene realizando, desde hace varios aos, un importante esfuerzo
de armonizacin de las legislaciones nacionales de los Estados miembros
con el objetivo de que toda la ciudadana europea cuente con una proteccin
equivalente de alto nivel de sus datos personales en el territorio de la Unin.
Con este propsito, tuvo lugar la aprobacin de la DIRECTIVA 95/46/
CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 24 de octubre de
1995, relativa a la proteccin de las personas fsicas en lo que respecta al
tratamiento de datos personales y a la libre circulacin de estos datos y,
posteriormente, de la DIRECTIVA 97/66/CE DEL PARLAMENTO EUROPEO
Y DEL CONSEJO, de 15 de diciembre de 1997, relativa al tratamiento de
los datos personales y a la proteccin de la intimidad en el sector de las
telecomunicaciones.
En idntica lnea a la emprendida por las dos anteriores, podemos
encontrar la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO
Y DEL CONSEJO, de 12 de julio de 2002, relativa al tratamiento de los
datos personales y a la proteccin de la intimidad en el sector de las
comunicaciones electrnicas, que deroga a la citada Directiva 97/66/CE y
El derecho a la Proteccin de Datos de carcter personal
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
26
da un paso ms en lo relativo a la proteccin de los datos personales en el
mbito de las telecomunicaciones.
El Tratado por el que se establece una Constitucin para Europa
tampoco quiso permanecer ajeno a esta cuestin, refrindose por dos
veces al derecho a la proteccin de datos de carcter personal: en primer
lugar, como un principio que debe inspirar la vida democrtica de la Unin
(artculo I-51) y, en segundo lugar, elevndolo a la categora de derecho
fundamental, en su artculo II-68 (enmarcado en la Carta de los Derechos
Fundamentales de la Unin, que constituye la Parte II del Tratado).
Asimismo, el 28 de enero de 2007 fue el da elegido por el Consejo de
Europa para celebrar, por primera vez, el Da Europeo de Proteccin de
Datos. sta era una fecha especialmente signifcativa ya que coincida con la
aprobacin en el ao 1981 del CONVENIO 108 DEL CONSEJO DE EUROPA,
germen del derecho a la proteccin de datos de carcter personal en la Unin
Europea y en cuyos principios se inspira la citada Directiva 95/46/CE. Uno de
los principales objetivos del primer Da Europeo de Proteccin de Datos fue
concienciar a la ciudadana de la Unin sobre sus derechos y obligaciones en
lo que a la proteccin de datos de carcter personal se refere.
En Espaa, el derecho a la proteccin de datos de carcter personal
tiene, desde la Sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre, la consideracin de derecho fundamental autnomo, siendo,
por ende, merecedor de la ms elevada proteccin por parte de nuestro
ordenamiento jurdico.
Este derecho informador de nuestro texto constitucional se concreta en
un poder de disposicin y de control sobre los datos personales que faculta
a la persona para decidir cules de estos datos proporcionar a un tercero,
sea el Estado o un particular, o cules puede este tercero recabar, y que
tambin permite al individuo saber quin posee esos datos personales y
para qu, pudiendo oponerse a su posesin o uso.
El texto normativo de referencia en nuestro pas en materia de proteccin
de datos personales es la LEY ORGNICA 15/1999, de 13 de diciembre, de
27
El derecho a la Proteccin de Datos de carcter personal
Proteccin de Datos de Carcter Personal, conocida bajo el acrnimo LOPD,
de obligado cumplimiento para toda empresa o Administracin Pblica
que maneje informacin concerniente a personas fsicas identifcadas o
identifcables como consecuencia de las actividades desarrolladas dentro
de su objeto social o del ejercicio de sus competencias de carcter pblico,
respectivamente.
Llegar a la actual LOPD ha sido un camino largo y no exento de
difcultades, pero que muestra una trayectoria ininterrumpida hacia el
asentamiento de una cultura de la proteccin de datos en todos los sectores
de nuestra sociedad y en cualquier mbito, pblico y privado.
La primera norma reguladora del derecho a la proteccin de datos en
Espaa fue la LEY ORGNICA 5/1992, de 29 de octubre, reguladora del
tratamiento automatizado de datos de carcter personal (en adelante,
LORTAD), dictada, con cierto retraso, como consecuencia de la ratifcacin
por Espaa del Convenio 108 del Consejo de Europa. Posteriormente, fruto
de la aparicin de la Directiva 95/46/CE, se opt por derogar aqulla en
lugar de proceder a su modifcacin, dando paso a la vigente Ley Orgnica
15/1999. Ambas normas (LORTAD y LOPD) tuvieron sus avatares, siendo
algunos de sus artculos objeto de sendos recursos de inconstitucionalidad,
que dieron lugar a las Sentencias 290/2000 y 292/2000. La segunda de estas
sentencias fue la que, como ya hemos dicho, consagr defnitivamente en
nuestro pas el derecho a la proteccin de datos de carcter personal como
un derecho fundamental independiente.
Adems, en nuestro pas existe un organismo encargado de velar por
el cumplimiento de la legislacin sobre proteccin de datos y controlar
su aplicacin, la Agencia Espaola de Proteccin de Datos (en adelante,
AEPD), dotada de potestades inspectora y sancionadora. La AEPD es
un ente de Derecho Pblico, con personalidad jurdica propia y plena
capacidad pblica y privada, que acta con plena independencia de las
Administraciones Pblicas en el ejercicio de sus funciones. Se rige por lo
dispuesto en el Ttulo IV de la LOPD y en Real Decreto 428/1993, de 26 de
marzo, por el que se aprueba el Estatuto de la AEPD.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
28
Asimismo, la Ley Orgnica 15/1999 establece en su art. 41 que las
funciones atribuidas a la Agencia Espaola de Proteccin de Datos sern
ejercidas, cuando afecten a fcheros de datos de carcter personal creados
o gestionados por las Comunidades Autnomas y por la Administracin
Local de su mbito territorial, por los rganos correspondientes de cada
Comunidad Autnoma (con la excepcin de determinadas funciones
concretas que se reservan en exclusiva a la AEPD), que tendrn, al igual que
aqulla, la consideracin de autoridades de control, a las que se garantizarn
plena independencia y objetividad en el ejercicio de su cometido.
De tal manera, en la actualidad existen tres agencias autonmicas de
proteccin de datos creadas al amparo del art. 41 LOPD: La Agencia de
Proteccin de Datos de la Comunidad de Madrid (APDCM), regulada en
el Captulo IV de la Ley 8/2001, de 13 de julio, de Proteccin de Datos
de Carcter Personal en la Comunidad de Madrid, la Agencia Catalana de
Proteccin de Datos (APDCAT), creada por el art. 1 de la Ley 5/2002, de 19
de abril, de la Agencia Catalana de Proteccin de Datos y La Agencia Vasca
de Proteccin de Datos (AVPD), creada por el art. 10 de laLey 2/2004, de
25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad
Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos.
29
El derecho a la Proteccin de Datos de carcter personal
En el mbito concreto de nuestra Comunidad Autnoma, la Ley Orgnica
2/2007, de reforma del Estatuto de Autonoma para Andaluca, contempla
en su Ttulo II, bajo la rbrica general de Competencias de la Comunidad
Autnoma, que Corresponde a la Comunidad Autnoma de Andaluca
la competencia ejecutiva sobre proteccin de datos de carcter personal,
gestionados por las instituciones autonmicas de Andaluca, Administracin
autonmica, Administraciones locales, y otras entidades de derecho
pblico y privado dependientes de cualquiera de ellas, as como por las
universidades del sistema universitario andaluz (art. 82).
El citado artculo abre la puerta a la creacin de una Agencia Andaluza
de Proteccin de Datos. La citada Agencia asumira, entre otras, la funcin
de velar por el cumplimiento de la legislacin sobre proteccin de datos en
los centros de enseanza de la Junta de Andaluca.
Asimismo, el art. 32 del nuevo Estatuto, que lleva por ttulo Proteccin
de datos, establece que se garantiza el derecho de todas las personas al
acceso, correccin y cancelacin de sus datos personales en poder de las
Administraciones pblicas andaluzas.
NORMATIVA VICENTE 5OBRE PROTECCION DE DATO5
DE CARCTER PER5ONAL
APLICABLE A LO5 CENTRO5 DE EN5EANZA
CAPTULO II
33
Normativa vigente sobre Proteccin de Datos de carcter personal
1. Normativa general
La informatizacin de los centros de enseanza a travs de herramientas
para la gestin de los datos del alumnado, creacin de pginas web de los
centros donde se publican imgenes de los alumnos y alumnas, e incluso
instalacin de cmaras de videovigilancia, se une a otra serie de cuestiones
que tradicionalmente podan afectar a la intimidad del alumnado, como
la confdencialidad de los expedientes acadmicos o de los informes
psicopedaggicos elaborados por los orientadores y orientadoras.
La CONSTITUCIN ESPAOLA de 1978 garantiza el derecho al
honor, a la intimidad personal y familiar y a la propia imagen (art. 18.1
CE). Asimismo, establece que La ley limitar el uso de la informtica para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos (art. 18.4 CE).
El citado art. 18.4 ha sido el pilar fundamental de nuestro sistema
de proteccin de datos hasta la aparicin de la Sentencia del Tribunal
Constitucional 292/2000, de 30 de noviembre, que consagr el derecho a
la proteccin de datos de carcter personal como un derecho fundamental
especfco y distinto del derecho a la intimidad.
Partiendo de estas premisas, los centros de enseanza deben ser
plenamente conscientes de que el alumnado es titular de dos derechos
fundamentales que hay que respetar: el derecho a su intimidad, recogido
en el art. 18 de la Constitucin Espaola, y el derecho a la proteccin de
sus datos de carcter personal, consagrado en la Sentencia del Tribunal
Constitucional 292/2000. Ambos derechos estn regulados por la LEY
ORGNICA 1/1982, de 5 de mayo, de proteccin civil del derecho al honor,
a la intimidad personal y familiar y a la propia imagen y la LEY ORGNICA
15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal,
respectivamente.
En cuanto al objeto y mbito de aplicacin de la LOPD, sealar que
la misma tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades pblicas y los derechos
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
34
fundamentales de las personas fsicas, y especialmente de su honor e
intimidad personal y familiar (art. 1 LOPD), siendo de aplicacin a los datos
de carcter personal registrados en soporte fsico, que los haga susceptibles
de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores pblico y privado (art. 2 LOPD).
Asimismo, el artculo 3.b) de la Ley Orgnica 15/1999 entiende
por fchero todo conjunto organizado de datos de carcter personal,
cualquiera que fuere la forma o modalidad de su creacin, almacenamiento,
organizacin y acceso. Como consecuencia de esta defnicin, podemos
afrmar que la LOPD es aplicable tanto a los fcheros automatizados como
no automatizados que contengan datos de carcter personal. En este
sentido, debemos recordar que la Ley Orgnica 15/1999 es transposicin
de la DIRECTIVA 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales y a la libre circulacin de estos
datos, la cual establece lo siguiente con respecto a su mbito de aplicacin:
Las disposiciones de la presente Directiva se aplicarn al tratamiento total o
parcialmente automatizado de datos personales, as como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos
en un chero (art. 3.1).
Ahora bien, la normativa espaola sobre Proteccin de Datos de
Carcter Personal se ha caracterizado durante un gran nmero de aos por
un cierto desfase. De tal manera, la normativa de desarrollo de la antigua
LEY ORGNICA 5/1992, de 29 de octubre, reguladora del tratamiento
automatizado de datos de carcter personal (LORTAD) fue aprobada en
1999 (siete aos despus de la publicacin de la misma), que precisamente
fue el mismo ao en que apareci la Ley Orgnica 15/1999, que derogaba
a la anterior. Debido a ello, se opt por mantener vigente la normativa de
desarrollo de la derogada LORTAD, el REAL DECRETO 994/1999, de 11 de
junio, por el que se aprueba el Reglamento de medidas de seguridad de los
fcheros automatizados que contengan datos de carcter personal, dndose
la extraa circunstancia de que mientras la Ley Orgnica 15/1999 tena por
objeto regular tanto los tratamientos automatizados como no automatizados
de datos de carcter personal, tan slo exista desarrollo reglamentario de
35
Normativa vigente sobre Proteccin de Datos de carcter personal
medidas de seguridad para los fcheros automatizados de datos, quedando
un vaco legal para la proteccin de los fcheros manuales o no automatizados
en soporte papel que contuviesen datos de carcter personal.
Tras ms de ocho aos en la situacin descrita, por fn se aprob el
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal, con entrada en vigor el 19
de abril de 2008, que deroga al anterior Real Decreto 994/1999 y que
contempla un catlogo defnitivo de medidas de seguridad aplicables tanto
a los fcheros y tratamientos automatizados como no automatizados de
datos de carcter personal.
As lo viene a explicar el propio Prembulo del Real Decreto 1720/2007:
La actual Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de
datos de carcter personal adapt nuestro ordenamiento a lo dispuesto
por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de
octubre de 1995, relativa a la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales y a la libre circulacin de estos
datos, derogando a su vez la hasta entonces vigente Ley Orgnica 5/1992,
de 29 de octubre, de Regulacin del tratamiento automatizado de datos de
carcter personal.
La nueva ley, que ha nacido con una amplia vocacin de generalidad,
prev en su artculo 1 que tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades pblicas
y los derechos fundamentales de las personas fsicas, y especialmente
de su honor e intimidad personal. Comprende por tanto el tratamiento
automatizado y el no automatizado de los datos de carcter personal.
A n de garantizar la necesaria seguridad jurdica en un mbito tan
sensible para los derechos fundamentales como el de la proteccin
de datos, el legislador declar subsistentes las normas reglamentarias
existentes y, en especial, los reales decretos 428/1993, de 26 de marzo,
por el que se aprueba el Estatuto de la Agencia de Proteccin de Datos,
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
36
1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos
de la Ley Orgnica 5/1992, de 29 de octubre de Regulacin del tratamiento
automatizado de los datos de carcter personal y 994/1999, de 11 de
junio, por el que se aprueba el Reglamento de Medidas de seguridad de
los cheros automatizados que contengan datos de carcter personal, a
la vez que habilit al Gobierno para la aprobacin o modicacin de las
disposiciones reglamentarias necesarias para la aplicacin y desarrollo de la
Ley Orgnica 15/1999 (Prembulo del Real Decreto 1720/2007, apartado
I).
De tal manera, Este Reglamento comparte con la Ley Orgnica la nalidad
de hacer frente a los riesgos que para los derechos de la personalidad
pueden suponer el acopio y tratamiento de datos personales. Por ello, ha
de destacarse que esta norma reglamentaria nace con la vocacin de no
reiterar los contenidos de la norma superior y de desarrollar, no slo los
mandatos contenidos en la Ley Orgnica de acuerdo con los principios que
emanan de la Directiva, sino tambin aquellos que en estos aos de vigencia
de la Ley se ha demostrado que precisan de un mayor desarrollo normativo.
Por tanto, se aprueba este Reglamento partiendo de la necesidad de
dotar de coherencia a la regulacin reglamentaria en todo lo relacionado
con la transposicin de la Directiva y de desarrollar los aspectos novedosos
de la Ley Orgnica 15/1999, junto con aquellos en los que la experiencia ha
aconsejado un cierto de grado de precisin que dote de seguridad jurdica
al sistema.
De tal manera, el reglamento viene a abarcar el mbito tutelado
anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999,
de 11 de junio, teniendo en cuenta la necesidad de jar criterios aplicables
a los cheros y tratamientos de datos personales no automatizados
(Prembulo del Real Decreto 1720/2007, apartado II).
Por tanto, el Real Decreto 1720/2007 comparte mbito objetivo de
aplicacin con la Ley Orgnica 15/1999: El presente reglamento ser de
aplicacin a los datos de carcter personal registrados en soporte fsico, que
37
Normativa vigente sobre Proteccin de Datos de carcter personal
los haga susceptibles de tratamiento, y a toda modalidad de uso posterior
de estos datos por los sectores pblico y privado (art. 2.1 Real Decreto
1720/2007).
Finalmente, el Real Decreto 428/1993, de 26 de marzo, por el que
se aprueba el Estatuto de la Agencia de Proteccin de Datos, establece
en su art. 5.c) que la Agencia de Proteccin de Datos colaborar con
los rganos competentes en lo que respecta al desarrollo normativo y
aplicacin de las normas que incidan en materia propia de la Ley Orgnica
5/1992 (entindase esta mencin hecha ahora a la Ley Orgnica 15/1999,
que derog a la antigua LORTAD), y a tal efecto dictar instrucciones y
recomendaciones precisas para adecuar los tratamientos automatizados
(entendamos ahora tambin no automatizados) a los principios de la Ley
Orgnica. En este sentido, la Agencia Espaola de Proteccin de Datos ha
dictado, desde 1995 a 2006, ocho instrucciones distintas sobre diversos
aspectos concretos relacionados con la aplicacin prctica de la LOPD, las
cuales estn disponibles en el Sitio Web de la propia AEPD.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
38
1.1. Plazos de adecuacin
1.1.1. LEY ORGNICA 15/1999, de 13 de diciembre
Sobre los plazos establecidos para la adecuacin a la LOPD, debemos
sealar que la Disposicin Final Tercera de la Ley Orgnica 15/1999
establece su entrada en vigor en el plazo de un mes, contado desde su
publicacin en el Boletn Ofcial del Estado. Dicha publicacin tuvo lugar
en el B.O.E. nmero 298, de 14 de diciembre de 1999. Ello signifca que
todos aquellos fcheros automatizados o no automatizados creados con
posterioridad al 14 de enero de 2000 deben de manera inexcusable cumplir
con lo establecido en la Ley Orgnica 15/1999.
Con respecto a los fcheros preexistentes a la entrada en vigor de la Ley,
la Disposicin Adicional Primera de la Ley Orgnica 15/1999 establece lo
siguiente:
- Ficheros y tratamientos automatizados: los fcheros y tratamientos
automatizados inscritos o no en el Registro General de Proteccin
de Datos debern adecuarse a la presente Ley Orgnica dentro del
plazo de tres aos, a contar desde su entrada en vigor. Por ende,
para el caso de los fcheros y tratamientos automatizados, todos los
plazos legales vencieron el pasado 14 de enero de 2003.
- Ficheros y tratamientos no automatizados: su adecuacin a la Ley
Orgnica 15/1999 deber cumplimentarse en el plazo de doce aos
a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio
de los derechos de acceso, rectifcacin y cancelacin por parte de
los afectados. Dicho plazo expir el 24 de octubre de 2007.
En suma, todos los plazos legales de adecuacin a la LOPD han vencido,
sin excepcin.
39
Normativa vigente sobre Proteccin de Datos de carcter personal
1.1.2. REAL DECRETO 1720/2007, de 21 de diciembre
En cuanto a los plazos de implantacin de las medidas de seguridad
recogidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de
13 de diciembre, de proteccin de datos de carcter personal, sealar que
la disposicin fnal segunda del citado Real Decreto establece su entrada
en vigor a los tres meses de su ntegra publicacin en el Boletn Ofcial del
Estado. Dicha publicacin tuvo lugar en el B.O.E. nmero 17, de 19 de
enero de 2008, entrando en vigor el 19 de abril del mismo ao.
De conformidad con lo establecido en la regla tercera de la Disposicin
transitoria segunda del Real Decreto 1720/2007, los fcheros de datos de
carcter personal, tanto automatizados como no automatizados, creados
con posterioridad a la fecha de entrada en vigor del Real Decreto (19 de abril
de 2008) debern tener implantadas, desde el momento de su creacin, la
totalidad de las medidas de seguridad recogidas en el mismo.
Con respecto a los fcheros preexistentes a la entrada en vigor del Real
Decreto 1720/2007 (19 de abril de 2008), ha de diferenciarse entre fcheros
automatizados y no automatizados.
En primer lugar, respecto de los fcheros automatizados que existieran
en la fecha de entrada en vigor del Real Decreto 1720/2007:
a) En el plazo de un ao desde su entrada en vigor (el plazo finaliz el
19 de abril de 2009), debern implantarse las medidas de seguridad
de nivel medio exigibles a los siguientes ficheros:
1. Aqullos de los que sean responsables las Entidades Gestoras y
Servicios Comunes de la Seguridad Social y se relacionen con el
ejercicio de sus competencias.
2. Aqullos de los que sean responsables las mutuas de accidentes
de trabajo y enfermedades profesionales de la Seguridad Social.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
40
3. Aqullos que contengan un conjunto de datos de carcter
personal que ofrezcan una definicin de las caractersticas o
de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento
de los mismos, respecto de las medidas de este nivel que
no fueran exigibles conforme a lo previsto en el artculo 4.4
del Reglamento de Medidas de seguridad de los ficheros
automatizados de datos de carcter personal, aprobado por
Real Decreto 994/1999, de 11 de junio.
b) En el plazo de un ao desde su entrada en vigor (el plazo finaliz el
19 de abril de 2009) debern implantarse las medidas de seguridad
de nivel medio y en el de dieciocho meses desde aquella fecha (el
plazo finaliz el 19 de octubre de 2009), las de nivel alto exigibles a
los siguientes ficheros:
1. Aqullos que contengan datos derivados de actos de violencia
de gnero.
2. Aqullos de los que sean responsables los operadores que
presten servicios de comunicaciones electrnicas disponibles
al pblico o exploten redes pblicas de comunicaciones
electrnicas respecto a los datos de trfico y a los datos de
localizacin.
c) En los dems supuestos, cuando el presente reglamento exija la
implantacin de una medida adicional, no prevista en el Reglamento
de Medidas de seguridad de los ficheros automatizados de datos de
carcter personal, aprobado por Real Decreto 994/1999, de 11 de
junio, dicha medida deber implantarse en el plazo de un ao desde
la entrada en vigor del Real Decreto 1720/2007 (el plazo finaliz el
19 de abril de 2009).
En segundo lugar, respecto de los fcheros no automatizados que
existieran en la fecha de entrada en vigor del Real Decreto 1720/2007:
41
Normativa vigente sobre Proteccin de Datos de carcter personal
a) Las medidas de seguridad de nivel bsico debern implantarse en
el plazo de un ao desde su entrada en vigor (el plazo finaliz el 19
de abril de 2009).
b) Las medidas de seguridad de nivel medio debern implantarse en
el plazo de dieciocho meses desde su entrada en vigor (el plazo
finaliz el 19 de octubre de 2009).
c) Las medidas de seguridad de nivel alto debern implantarse en el
plazo de dos aos desde su entrada en vigor (el plazo finaliz el 19
de abril de 2010).
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
42
2. Normativa sectorial
La LEY 14/1970, de 4 de agosto, General de Educacin y Financiamiento
de la Reforma Educativa (en adelante, LGE), aprobada hace ms de 35 aos
(8 aos antes de la publicacin del art. 18.4 referente al derecho a la intimidad
en relacin con el uso de la informtica en la Constitucin Espaola de 1978,
22 aos antes de la aparicin de la ya derogada LORTAD, 29 aos antes de
la aprobacin de nuestra vigente LOPD y 32 aos antes de la publicacin de
la Sentencia del Tribunal Constitucional 292/2000 que consagr el derecho
a la proteccin de datos como un derecho fundamental independiente),
ya haca referencia al carcter reservado de los datos del alumnado. En
concreto su art. 11.3, estableca que De cada alumno habr constancia
escrita, con carcter reservado, de cuantos datos y observaciones sobre su
nivel mental, aptitudes y aciones, rasgos de personalidad, ambiente, familia,
condiciones fsicas y otras circunstancias que consideren pertinentes para
su educacin y orientacin. Para la redaccin de la misma se requerir la
colaboracin de los padres. Un extracto actualizado deber incluirse en el
expediente de cada alumno al pasar de un nivel educativo a otro.
No obstante lo anterior, las sucesivas leyes reguladoras del Sistema
Educativo espaol dejaron totalmente aparcada esta cuestin. De tal
manera, tanto la LEY ORGNICA 8/1985, de 3 de julio, Reguladora del
Derecho a la Educacin (en adelante, LODE), como la LEY ORGNICA
1/1990, de 3 de octubre, de Ordenacin General del Sistema Educativo (en
adelante, LOGSE), no hicieron ninguna mencin especfca al derecho a la
intimidad del alumnado. Por su parte, la LEY ORGNICA 10/2002, de 23 de
diciembre, de Calidad de la Educacin (en adelante, LOCE), mencionaba
el respeto a la intimidad nicamente como un deber bsico del alumnado
hacia los miembros de la comunidad educativa, pero no como un derecho
del propio alumnado. Asimismo, ninguna de las leyes citadas lleg a derogar
el art. 11.3 de la LGE, que, pese a tener una redaccin anticuada y obsoleta,
continuaba vigente frente a la total ausencia de regulacin de la cuestin de
los datos personales del alumnado en las leyes que le sucedieron.
La inicial preocupacin por los datos de carcter personal del alumnado
plasmada en la Ley 14/1970 no se ha vuelto a recuperar hasta la aparicin
43
Normativa vigente sobre Proteccin de Datos de carcter personal
de la LEY ORGNICA 2/2006, de 3 de mayo, de Educacin (en adelante,
LOE), que ha derogado defnitivamente el citado art. 11.3, dedicando una
Disposicin adicional especfca a los datos personales del alumnado, en
consonancia con la consolidacin del derecho fundamental a la proteccin
de datos de carcter personal:
Disposicin adicional vigesimotercera. Datos personales de los alumnos.
1. Los centros docentes podrn recabar los datos personales de su
alumnado que sean necesarios para el ejercicio de su funcin educativa.
Dichos datos podrn hacer referencia al origen y ambiente familiar y social,
a caractersticas o condiciones personales, al desarrollo y resultados de su
escolarizacin, as como a aquellas otras circunstancias cuyo conocimiento
sea necesario para la educacin y orientacin de los alumnos.
2. Los padres o tutores y los propios alumnos debern colaborar en
la obtencin de la informacin a la que hace referencia este artculo. La
incorporacin de un alumno a un centro docente supondr el consentimiento
para el tratamiento de sus datos y, en su caso, la cesin de datos procedentes
del centro en el que hubiera estado escolarizado con anterioridad, en los
trminos establecidos en la legislacin sobre proteccin de datos.
En todo caso, la informacin a la que se reere este apartado ser la
estrictamente necesaria para la funcin docente y orientadora, no pudiendo
tratarse con nes diferentes del educativo sin consentimiento expreso.
3. En el tratamiento de los datos del alumnado se aplicarn normas
tcnicas y organizativas que garanticen su seguridad y condencialidad. El
profesorado y el resto del personal que, en el ejercicio de sus funciones,
acceda a datos personales y familiares o que afecten al honor e intimidad de
los menores o sus familias quedar sujeto al deber de sigilo.
4. La cesin de los datos, incluidos los de carcter reservado, necesarios
para el sistema educativo, se realizar preferentemente por va telemtica y
estar sujeta a la legislacin en materia de proteccin de datos de carcter
personal, y las condiciones mnimas sern acordadas por el Gobierno con
las Comunidades Autnomas en el seno de la Conferencia Sectorial de
Educacin.
En el mbito de nuestra Comunidad Autnoma, la LEY 17/2007, de 10
de diciembre, de Educacin de Andaluca, publicada en el BOJA nm. 252,
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
44
de 26 de diciembre de 2007, contiene una disposicin especfca sobre los
datos personales del alumnado, si bien sta se remite directamente a lo
establecido en la Disposicin adicional vigesimotercera de la LOE:
Disposicin adicional segunda. Datos personales del alumnado.
En el tratamiento de los datos personales del alumnado por la
Administracin educativa y los centros docentes, se estar a lo dispuesto
en la disposicin adicional vigesimotercera de la Ley Orgnica 2/2006, de
3 de mayo.
45
Normativa vigente sobre Proteccin de Datos de carcter personal
3. Enlaces a la principal normativa sobre proteccin de datos
de carcter personal aplicable a los centros de enseanza
3.1. Normativa de la Unin Europea
- DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL
CONSEJO, de 24 de octubre de 1995, relativa a la proteccin de
las personas fsicas en lo que respecta al tratamiento de datos
personales y a la libre circulacin de estos datos. Disponible en
el apartado de Proteccin de Datos del Sitio Web de la Comisin
Europea:
http://europa.eu/legislation_summaries/information_society/
l14012_es.htm
3.2. Normativa nacional general
- LEY ORGNICA 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal.
http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-
A-1999-23750
- REAL DECRETO 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999,
de 13 de diciembre, de proteccin de datos de carcter personal.
ht t p: / / www. boe. es/ aeboe/ consul t as/ bases_dat os/ doc.
php?id=BOE-A-2008-979
- INSTRUCCIONES dictadas por la Agencia Espaola de Proteccin
de Datos en cumplimiento de lo establecido en el art. 5.c) del Real
Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto
de la Agencia de Proteccin de Datos. Disponibles en el Canal de
Documentacin del Sitio Web de la Agencia Espaola de Proteccin
de Datos, apartado de Legislacin Estatal:
http://www.agpd.es/portalweb/canaldocumentacion/legislacion/
estatal/index-ides-idphp.php
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
46
3.3. Normativa nacional y autonmica sectorial
- Disposicin adicional vigesimotercera de la LEY ORGNICA 2/2006,
de 3 de mayo, de Educacin.
ht t p: / / www. boe. es/ aeboe/ consul t as/ bases_dat os/ doc.
php?id=BOE-A-2006-7899
- Disposicin adicional segunda de la LEY 17/2007, de 10 de
diciembre, de Educacin de Andaluca.
http://juntadeandalucia.es/boja/boletines/2007/252/d/1.html
- Orden de 26 de abril de 2010, por la que se regulan los fcheros
automatizados con datos de carcter personal gestionados por la
Consejera de Educacin de la Junta de Andaluca en el mbito de
la videovigilancia en centros educativos.
http://juntadeandalucia.es/boja/boletines/2010/91/d/20.html
APLICACION DE LO5 PRINCIPIO5 DE LA LEY ORCNICA
DE PROTECCION DE DATO5
AL MBITO EDUCATIVO
CAPTULO III
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
49
1. Principio de Publicidad
El artculo 39 de la LOPD crea el Registro General de Proteccin de Datos
(en adelante, RGPD), atribuyndole, entre otras, la funcin de inscripcin
de los fcheros de que sean titulares las Administraciones Pblicas y las
entidades privadas.
Esta funcin del RGPD se complementa con el mandato que establece el
artculo 37.j) LOPD de velar por la publicidad de la existencia de los fcheros
de datos de carcter personal, a cuyo efecto publica peridicamente la
relacin de fcheros inscritos. Con esta informacin, el Registro desarrolla
el principio de publicidad al facilitar a la ciudadana el ejercicio del derecho
de consulta regulado en el artculo 14 de la LOPD, informando con carcter
pblico y gratuito, de la existencia de tratamientos de datos de carcter
personal, sus fnalidades y la identidad del responsable del fchero (Memoria
2005 AEPD).
Por otro lado, el art. 20 LOPD se refere expresamente a la creacin,
modifcacin o supresin de fcheros de datos de carcter personal de
titularidad pblica, estableciendo lo siguiente:
Artculo 20. Creacin, modicacin o supresin.
1. La creacin, modicacin o supresin de los cheros de las
Administraciones pblicas slo podrn hacerse por medio de disposicin
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
50
general publicada en el Boletn Ocial del Estado o Diario ocial
correspondiente.
2. Las disposiciones de creacin o de modicacin de cheros debern
indicar:
a) La nalidad del chero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos
de carcter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carcter personal.
d) La estructura bsica del chero y la descripcin de los tipos de datos
de carcter personal incluidos en el mismo.
e) Las cesiones de datos de carcter personal y, en su caso, las
transferencias de datos que se prevean a pases terceros.
f) Los rganos de las Administraciones responsables del chero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los
derechos de acceso, recticacin, cancelacin y oposicin.
h) Las medidas de seguridad con indicacin del nivel bsico, medio o
alto exigible.
3. En las disposiciones que se dicten para la supresin de los cheros,
se establecer el destino de los mismos o, en su caso, las previsiones que
se adopten para su destruccin.
Asimismo, el Real Decreto 1720/2007, de 21 de diciembre, dedica
el Captulo I de su Ttulo V a la Creacin, modicacin o supresin de
cheros de titularidad pblica, estableciendo, en un sentido semejante al
art. 20 LOPD, que La creacin, modicacin o supresin de los cheros
de titularidad pblica slo podr hacerse por medio de disposicin general
o acuerdo publicados en el Boletn Ocial del Estado o diario ocial
correspondiente (art. 52.1) y que En todo caso, la disposicin o acuerdo
deber dictarse y publicarse con carcter previo a la creacin, modicacin
o supresin del chero (art. 52.2).
En cuanto a la forma que debe revestir la disposicin o acuerdo de
creacin, modifcacin o supresin de los fcheros de titularidad pblica, el
citado Real Decreto seala lo siguiente:
Artculo 53. Forma de la disposicin o acuerdo.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
51
1. Cuando la disposicin se reera a los rganos de la Administracin
General del Estado o a las entidades u organismos vinculados o dependientes
de la misma, deber revestir la forma de orden ministerial o resolucin del
titular de la entidad u organismo correspondiente.
2. En el caso de los rganos constitucionales del Estado, se estar a lo
que establezcan sus normas reguladoras.
3. En relacin con los cheros de los que sean responsables las
comunidades autnomas, entidades locales y las entidades u organismos
vinculados o dependientes de las mismas, las universidades pblicas, as
como los rganos de las comunidades autnomas con funciones anlogas a
los rganos constitucionales del Estado, se estar a su legislacin especca.
4. La creacin, modicacin o supresin de los cheros de los que sean
responsables las corporaciones de derecho pblico y que se encuentren
relacionados con el ejercicio por aqullas de potestades de derecho
pblico deber efectuarse a travs de acuerdo de sus rganos de gobierno,
en los trminos que establezcan sus respectivos Estatutos, debiendo ser
igualmente objeto de publicacin en el Boletn Ocial del Estado o diario
ocial correspondiente.
Finalmente, el Real Decreto 1720/2007 reproduce, de manera casi
mimtica, lo establecido en el art. 20 LOPD con respecto al contenido de la
disposicin o acuerdo de creacin, modifcacin o supresin de los fcheros
de titularidad pblica, si bien es cierto que introduce alguna leve variacin
que deber ser tenida en cuenta:
Artculo 54. Contenido de la disposicin o acuerdo.
1. La disposicin o acuerdo de creacin del chero deber contener los
siguientes extremos:
a) La identicacin del chero o tratamiento, indicando su denomi-
nacin, as como la descripcin de su nalidad y usos previstos.
b) El origen de los datos, indicando el colectivo de personas sobre los
que se pretende obtener datos de carcter personal o que resulten
obligados a suministrarlos, el procedimiento de recogida de los
datos y su procedencia.
c) La estructura bsica del chero mediante la descripcin detallada
de los datos identicativos, y en su caso, de los datos especialmente
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
52
protegidos, as como de las restantes categoras de datos de
carcter personal incluidas en el mismo y el sistema de tratamiento
utilizado en su organizacin.
d) Las comunicaciones de datos previstas, indicando en su caso, los
destinatarios o categoras de destinatarios.
e) Las transferencias internacionales de datos previstas a terceros
pases, con indicacin, en su caso, de los pases de destino de los
datos.
f) Los rganos responsables del chero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los
derechos de acceso, recticacin, cancelacin y oposicin.
h) El nivel bsico, medio o alto de seguridad que resulte exigible, de
acuerdo con lo establecido en el ttulo VIII del presente reglamento.
2. La disposicin o acuerdo de modicacin del chero deber indicar
las modicaciones producidas en cualquiera de los extremos a los que se
reere el apartado anterior.
3. En las disposiciones o acuerdos que se dicten para la supresin de los
cheros se establecer el destino que vaya a darse a los datos o, en su caso,
las previsiones que se adopten para su destruccin.
En el caso de los centros de enseanza pblica, se plantea la duda
de si ha de ser el propio centro de enseanza o la Consejera de la cual
depende quien deba proceder a la adopcin de la disposicin de carcter
general sealada en los artculos 20 de la Ley Orgnica 15/1999 y 52
del Real Decreto 1720/2007 y la posterior publicacin de la misma en el
Boletn Ofcial del Estado o Diario ofcial correspondiente, as como a la
consiguiente notifcacin de sus fcheros a fn de lograr su inscripcin en el
Registro General de Proteccin de Datos.
Dicha cuestin ha sido resuelta por la Agencia Espaola de Proteccin
de Datos en su Informe Jurdico 143/2004, indicando lo siguiente:
la obligacin de noticacin corresponder al responsable del chero,
denido por el artculo 3 d) de la Ley Orgnica 15/1999 como Persona
fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo,
que decida sobre la nalidad, contenido y uso del tratamiento.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
53
Para determinar a quin corresponde la obligacin de proceder a
la adopcin de la correspondiente disposicin de carcter general y la
consiguiente noticacin del tratamiento al Registro General del Proteccin
de Datos resulta imprescindible delimitar si el consultante es un rgano
incardinado en la Administracin Autonmica o si el mismo posee
personalidad jurdica independiente de la misma.
En el primer supuesto, el Centro no sera sino un mero usuario del
chero, cuyo responsable sera la Administracin educativa autonmica, de
forma que la obligacin de noticacin correspondera a la Consejera de
Educacin, debiendo hacerse referencia al Centro educativo nicamente
como lugar de ubicacin del chero. En caso contrario, el responsable del
chero sera el propio Centro, correspondiendo al mismo la noticacin del
tratamiento al Registro de esta Agencia.
En este sentido, la Consejera de Educacin de la Junta de Andaluca
ha creado la ORDEN de 20 de julio de 2006, por la que se regulan los
fcheros automatizados con datos de carcter personal gestionados por
la Consejera de Educacin en el mbito de los sistemas Sneca y Pasen,
publicada en el BOJA nm. 156, de fecha 11 de agosto de 2006.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
54
2. Principio del Consentimiento
2.1. Caractersticas del consentimiento
La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre,
consagr el derecho a la proteccin de datos de carcter personal como
un derecho fundamental independiente, desvinculado del derecho a la
intimidad, cuyo contenido est integrado por los principios y derechos que
se contemplan en la LOPD.
Este derecho autnomo e informador de nuestro texto constitucional se
concreta en un poder de disposicin y de control sobre los datos personales
que faculta a la persona para decidir cules de estos datos proporcionar
a un tercero, sea el Estado o un particular, o cules puede este tercero
recabar, y que tambin permite al individuo saber quin posee esos datos
personales y para qu, pudiendo oponerse a su posesin o uso.
Como consecuencia de lo anterior, todo tratamiento de datos de carcter
personal requiere el consentimiento previo e inequvoco del interesado,
interesada o titular de los mismos, principio legitimador en torno al cual se
vertebra la normativa espaola sobre proteccin de datos y que permite
a la persona ejercer el control efectivo del uso de sus datos por parte de
terceros.
A este respecto, la Ley Orgnica de Proteccin de Datos de Carcter
Personal defne el consentimiento del interesado como toda manifestacin
de voluntad, libre, inequvoca, especca e informada, mediante la que el
interesado consienta el tratamiento de datos personales que le conciernen
(art. 3.h). El nuevo Real Decreto 1720/2007 recoge idntica defnicin del
consentimiento en su art. 5.1.d).
De ello se desprende que para que el consentimiento pueda ser
considerado conforme a Derecho deben concurrir necesariamente los
cuatro requisitos enumerados.
A juicio de la Agencia Espaola de Proteccin de Datos la interpretacin
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
55
que ha de darse a estas cuatro notas caractersticas del consentimiento ha
de ser la siguiente:
- Libre
Esto supone que el consentimiento deber haber sido obtenido sin la
intervencin de vicio alguno del consentimiento en los trminos regulados
por el Cdigo Civil (por ejemplo, violencia o intimidacin).
- Especco
Es decir, referido a una determinada operacin de tratamiento y para una
fnalidad determinada, explcita y legtima del responsable del tratamiento,
tal y como impone el artculo 4.1 de la Ley Orgnica de Proteccin de Datos
de Carcter Personal.
- Informado
Esto es, que el afectado o afectada conozca con anterioridad al
tratamiento la existencia del mismo y las fnalidades para las que el mismo
se produce.
En este sentido, el consentimiento del o la titular de los datos deber ir,
en todo caso, precedido de una declaracin del Responsable del Fichero
en la que se informe de manera clara y precisa de la inclusin de sus datos
en un fchero, de los usos que se prev dar a los mismos, de los posibles
destinatarios de los datos, etc., a fn de que aquel o aquella consienta o no
a dar sus datos siendo plenamente consciente de a quin y para qu los
est facilitando.
- Inequvoco
Esto implica que no resulta admisible deducir el consentimiento de
los meros actos realizados por el afectado o afectada (consentimiento
presunto), siendo preciso que exista expresamente una accin u omisin
que implique la existencia del consentimiento.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
56
En interpretacin de la Agencia Espaola de Proteccin de Datos, de las
caractersticas del consentimiento no se infere necesariamente su carcter
expreso en todo caso, razn por la cual en aquellos supuestos en que el
legislador ha pretendido que el consentimiento deba revestir ese carcter,
lo ha indicado expresamente; as sucede en el caso de tratamiento de datos
especialmente protegidos indicando el artculo 7.2 de la Ley Orgnica de
Proteccin de Datos la necesidad de consentimiento expreso y escrito
para el tratamiento de los datos de ideologa, religin, creencias y afliacin
sindical, y el artculo 7.3 la necesidad de consentimiento expreso aunque
no necesariamente escrito para el tratamiento de los datos relacionados
con la salud, el origen racial y la vida sexual. Sobre ello trataremos en el
apartado siguiente.
Por tanto, el consentimiento podr ser tcito, en el tratamiento de datos
que no sean especialmente protegidos, si bien para que ese consentimiento
tcito pueda ser considerado inequvoco ser preciso otorgar al afectado o
afectada un plazo prudencial para que pueda claramente tener conocimiento
de que su omisin de oponerse al tratamiento implica un consentimiento al
mismo.
Por otro lado, el Real Decreto 1720/2007, de 21 de diciembre, por el
que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999,
de 13 de diciembre, de proteccin de datos de carcter personal, hace
referencia a los Principios generales del consentimiento, realizando una
serie de precisiones que habrn de ser observadas a la hora de solicitar el
consentimiento del interesado para el tratamiento de sus datos de carcter
personal:
- El responsable del tratamiento deber obtener el consentimiento
del interesado para el tratamiento de sus datos de carcter personal
salvo en aquellos supuestos en que el mismo no sea exigible con
arreglo a lo dispuesto en las leyes (art. 12.1, prrafo primero).
- La solicitud del consentimiento deber ir referida a un tratamiento
o serie de tratamientos concretos, con delimitacin de la fnalidad
para los que se recaba, as como de las restantes condiciones
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
57
que concurran en el tratamiento o serie de tratamientos (art. 12.1,
prrafo segundo).
- Cuando se solicite el consentimiento del afectado para la cesin
de sus datos, ste deber ser informado de forma que conozca
inequvocamente la fnalidad a la que se destinarn los datos
respecto de cuya comunicacin se solicita el consentimiento y el
tipo de actividad desarrollada por el cesionario. En caso contrario,
el consentimiento ser nulo (art. 12.2).
- Corresponder al responsable del tratamiento la prueba de la
existencia del consentimiento del afectado por cualquier medio de
prueba admisible en derecho (art. 12.3). Esto es, lo que jurdicamente
se denomina carga de la prueba recae, conforme a lo establecido
en el Real Decreto 1720/2007, sobre el responsable del tratamiento.
2.2. Datos Especialmente Protegidos
El art. 7 de la Ley Orgnica 15/1999, confgura bajo la rbrica general de
Datos especialmente protegidos, un rgimen especialmente cualifcado,
con proteccin ms intensa, para aquellos datos personales que
proporcionan una informacin de esferas ntimas del individuo (Sentencia
de la Audiencia Nacional de fecha 12 de abril de 2002, recurso 1271/2000).
De tal manera, el art. 7.2 LOPD establece que Slo con el consentimiento
expreso y por escrito del afectado podrn ser objeto de tratamiento los datos
de carcter personal que revelen la ideologa, aliacin sindical, religin y
creencias.
Asimismo, Los datos de carcter personal que hagan referencia al origen
racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y
cedidos cuando, por razones de inters general, as lo disponga una ley o el
afectado consienta expresamente (art. 7.3 LOPD).
Algunos ejemplos habituales de datos especialmente protegidos que
pueden ser tratados en los centros de enseanza son los siguientes:
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
58
- Los datos psicolgicos contenidos en los informes psicopedag-
gicos, test de inteligencia y conducta, etc. confeccionados por los
orientadores y orientadoras (datos referentes a la salud del alumna-
do).
- El dato del grado de minusvala de determinados alumnos y alumnas
con necesidades educativas especiales.
- Los datos sobre alergias a determinados alimentos de algunos
alumnos y alumnas, para su conocimiento por parte del servicio de
comedor escolar.
- Los datos referentes a determinados alumnos y alumnas que
presenten problemas de salud que les imposibilite el ejercicio fsico.
- El dato del origen racial de algunos alumnos y alumnas.
Sin embargo, el dato relacionado con el hecho de que el alumno o la
alumna curse o no la asignatura de religin no tiene la consideracin de dato
especialmente protegido, ya que, en interpretacin de la Agencia Espaola
de Proteccin de Datos, el hecho mismo de cursar la asignatura de religin
no revela necesariamente que el estudiante profese las creencias a las que
tal asignatura se reere, del mismo modo que el hecho de no cursarla no
revela la inexistencia de esas creencias, sino que tal circunstancia puede
deberse al estudio de la religin en otros foros distintos del escolar. Es decir,
a nuestro juicio, lo nico que revela el dato de optar por cursar la asignatura
de religin sera el inters del alumno por conocer los principios, historia y
preceptos de la misma, sin que ello implique una efectiva confesionalidad
del mismo, a cuya declaracin no podra encontrarse obligado.
2.3. Consentimiento otorgado por personas menores de edad
En el mbito educativo la cuestin del consentimiento se complica,
ya que en la gran mayora de los casos estamos hablando de personas
menores de edad. Surge, por tanto, la inevitable pregunta de si stas gozan
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
59
o no de la capacidad jurdica sufciente para consentir sobre el tratamiento
de sus datos.
Nuestra Ley Orgnica de Proteccin de Datos no hace referencia a esta
cuestin. Dicha falta de previsin legislativa ha provocado que en diversas
ocasiones se haya planteado ante la Agencia Espaola de Proteccin de
Datos qu requisitos debera reunir el consentimiento otorgado por los y las
menores de edad para el tratamiento de sus datos, cuestin que la misma
resolvi en su Memoria 2000.
En la citada Memoria, la AEPD determin que, con carcter general,
deben diferenciarse dos supuestos bsicos: el primero referido a los y las
mayores de catorce aos, a los/las que la Ley atribuye capacidad para
la realizacin de determinados negocios jurdicos, y el consentimiento
que pudieran dar los y las menores de dicha edad. Partiendo de esta
premisa, la Agencia Espaola de Proteccin de Datos elabor la siguiente
argumentacin:
Respecto de los mayores de catorce aos, debe recordarse en primer
trmino, que el artculo 162.1 del Cdigo Civil excepta de la representacin
legal del titular de la patria potestad a los actos referidos a derechos de
la personalidad u otros que el hijo, de acuerdo con las leyes y con sus
condiciones de madurez, pueda realizar por s mismo.
Se plantea entonces si, en el supuesto de mayores de catorce aos, ha
de considerarse que el menor tiene condiciones sucientes de madurez para
prestar su consentimiento al tratamiento de los datos, debiendo, a nuestro
juicio, ser armativa la respuesta, toda vez que nuestro ordenamiento
jurdico viene, en diversos casos, a reconocer a los mayores de catorce
aos la suciente capacidad de discernimiento y madurez para adoptar por
s solos determinados actos de la vida civil. Baste a estos efectos recordar
los supuestos de adquisicin de la nacionalidad espaola por ejercicio
del derecho de opcin o por residencia, que se efectuar por el mayor de
catorce aos, asistido de su representante legal, o la capacidad para testar
(con la nica excepcin del testamento olgrafo) prevista en el artculo 662.1
del Cdigo Civil para los mayores de catorce aos.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
60
Por otra parte, debe recordarse que, segn tiene sealado la Direccin
General de Registros y del Notariado, en resolucin de 3 de marzo de 1989,
no existe una norma que, de modo expreso, declare su incapacidad para
actuar vlidamente en el orden civil, norma respecto de la cual habran de
considerarse como excepcionales todas las hiptesis en que se autorizase
a aqul para obrar por s; y no cabe derivar esa incapacidad ni del artculo
322 del Cdigo Civil, en el que se establece el lmite de edad a partir del
cual se es capaz para todos los actos de la vida civil, ni tampoco de la
representacin legal que corresponde a los padres o tutores respecto de los
hijos menores no emancipados. En resumen, la minora de edad no supone
una causa de incapacitacin (de las reguladas en el artculo 200 del Cdigo
Civil), por lo que aqulla habr de ser analizada en cada caso concreto a
los efectos de calicar la suciencia en la prestacin del consentimiento
en atencin a la trascendencia del acto de disposicin y a la madurez del
disponente.
A mayor abundamiento, y en lo referente a la prestacin del consentimiento
para la cesin, debe recordarse que, conforme dispone el artculo 4.3 de la
Ley Orgnica 1/1996, de 15 de enero, de Proteccin Jurdica del Menor,
se considera intromisin ilegtima en el derecho al honor, a la intimidad
personal y familiar y a la propia imagen del menor, cualquier utilizacin de
su imagen o su nombre en los medios de comunicacin que pueda implicar
menoscabo de su honra o reputacin, o que sea contraria a sus intereses
incluso si consta el consentimiento del menor o de sus representantes
legales. Del tenor de esta disposicin se deriva la posibilidad de que haya
sido el propio menor quien, por s mismo, haya prestado su consentimiento
a la utilizacin de su propia imagen, sin precisar para ello la asistencia de su
representante legal, lo que no hace sino ahondar en la conclusin ya referida
anteriormente, a partir de lo dispuesto en el artculo 162 del Cdigo Civil.
En consecuencia, a tenor de las normas referidas, cabe considerar que
los mayores de catorce aos disponen de las condiciones de madurez
precisas para consentir, por s mismo, el tratamiento automatizado de sus
datos de carcter personal.
En suma, en base a la interpretacin que la Agencia Espaola de
Proteccin de Datos ha realizado del art. 162.1 del Cdigo Civil en conjuncin
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
61
con otra serie de normas, cabe considerar que, con carcter general, los
y las mayores de catorce aos disponen de las condiciones de madurez
precisas para consentir, por s mismos/as, el tratamiento automatizado (y,
por tanto, no automatizado) de sus datos de carcter personal.
Respecto de los y las restantes menores de edad, la AEPD seala que
no puede ofrecerse una solucin claramente favorable a la posibilidad de
que por los mismos pueda prestarse el consentimiento al tratamiento, por
lo que la referencia deber buscarse en el artculo 162.1 del Cdigo Civil,
tomando en cuenta, fundamentalmente, sus condiciones de madurez.
En consecuencia, a la vista de lo anteriormente sealado, ser necesario
recabar el consentimiento de los menores para la recogida de sus datos,
con expresa informacin de la totalidad de los extremos contenidos en
el artculo 5.1 de la Ley, recabndose, en caso de menores de catorce
aos cuyas condiciones de madurez no garanticen la plena comprensin
por los mismos del consentimiento prestado, el consentimiento de sus
representantes legales.
Con respecto a los y las menores de catorce aos que no renan las
condiciones de madurez sufcientes para consentir sobre el tratamiento
de sus datos pueden surgir, adicionalmente, otra serie de cuestiones.
Por ejemplo, qu ocurrira en el caso de los padres separados? Quin
ostentara en dicho supuesto la representacin legal del o la menor para
el tratamiento de sus datos? Dicha cuestin ha sido tratada por la Agencia
de Proteccin de Datos de la Comunidad de Madrid (APDCM), la cual ha
sealado que en los casos de padres separados, como seala el artculo
162 del Cdigo Civil, los padres que ostenten la patria potestad tienen la
representacin legal de sus hijos menores no emancipados. La resolucin
judicial de la separacin es la que establece lo relativo a la patria potestad
y a la guardia y custodia de los hijos, siendo normalmente compartida la
primera, y asignada la segunda a uno de los progenitores. El ejercicio de la
patria potestad es determinante para ostentar el ejercicio de la representacin
legal de los menores....
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
62
De lo anterior se desprende que, en el caso de unos padres separados,
ambos progenitores ostentaran la representacin legal del o la menor para
el tratamiento de sus datos, salvo en el caso concreto de que alguno de ellos
estuviese privado judicialmente de la patria potestad del hijo o hija menor,
en cuyo caso la privacin de la patria potestad implicara su prdida de la
condicin de representante legal, inclusive, como es lgico, para consentir
sobre el tratamiento de los datos de carcter personal del o la menor.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal incorpora, de manera defnitiva,
el criterio interpretativo de la Agencia Espaola de Proteccin de Datos
plasmado en su Memoria 2000, regulando, asimismo, otros aspectos de
importancia en referencia a la captacin de datos de menores:
Artculo 13. Consentimiento para el tratamiento de datos de menores
de edad.
1. Podr procederse al tratamiento de los datos de los mayores de catorce
aos con su consentimiento, salvo en aquellos casos en los que la Ley exija
para su prestacin la asistencia de los titulares de la patria potestad o tutela.
En el caso de los menores de catorce aos se requerir el consentimiento
de los padres o tutores.
2. En ningn caso podrn recabarse del menor datos que permitan
obtener informacin sobre los dems miembros del grupo familiar, o
sobre las caractersticas del mismo, como los datos relativos a la actividad
profesional de los progenitores, informacin econmica, datos sociolgicos
o cualesquiera otros, sin el consentimiento de los titulares de tales datos.
No obstante, podrn recabarse los datos de identidad y direccin del padre,
madre o tutor con la nica nalidad de recabar la autorizacin prevista en el
apartado anterior.
3. Cuando el tratamiento se reera a datos de menores de edad, la
informacin dirigida a los mismos deber expresarse en un lenguaje que
sea fcilmente comprensible por aqullos, con expresa indicacin de lo
dispuesto en este artculo.
4. Corresponder al responsable del chero o tratamiento articular los
procedimientos que garanticen que se ha comprobado de modo efectivo la
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
63
edad del menor y la autenticidad del consentimiento prestado en su caso,
por los padres, tutores o representantes legales.
De tal manera, el apartado 1 del citado artculo 13 sita defnitivamente
la barrera del consentimiento para el tratamiento de los datos de las
personas menores de edad en los catorce aos, sealando que podr
procederse al tratamiento de los datos de los mayores de catorce aos con
su consentimiento, salvo en aquellos casos en los que la Ley exija para su
prestacin la asistencia de los titulares de la patria potestad o tutela y que
en el caso de los menores de catorce aos se requerir el consentimiento
de los padres o tutores.
A partir de este presupuesto terico surge una rica casustica. Este es,
por ejemplo, el caso del tratamiento de los datos de salud de la persona
menor de edad en relacin con la Ley 41/2002, de 14 de noviembre, bsica
reguladora de la autonoma del paciente y de derechos y obligaciones en
materia de informacin y documentacin clnica (en adelante, LAP). La Ley
de Autonoma del Paciente, dentro de sus principios bsicos, establece que
Toda actuacin en el mbito de la sanidad requiere, con carcter general, el
previo consentimiento de los pacientes o usuarios. El consentimiento, que
debe obtenerse despus de que el paciente reciba una informacin adecuada,
se har por escrito en los supuestos previstos en la Ley (art. 2.2 LAP).
Con respecto a las personas menores de edad, la Ley 41/2002 establece
que Se otorgar el consentimiento por representacin cuando el paciente
menor de edad no sea capaz intelectual ni emocionalmente de comprender
el alcance de la intervencin. En este caso, el consentimiento lo dar el
representante legal del menor despus de haber escuchado su opinin si
tiene doce aos cumplidos. Cuando se trate de menores no incapaces ni
incapacitados, pero emancipados o con diecisis aos cumplidos, no cabe
prestar el consentimiento por representacin. Sin embargo, en caso de
actuacin de grave riesgo, segn el criterio del facultativo, los padres sern
informados y su opinin ser tenida en cuenta para la toma de la decisin
correspondiente (art. 9.3.c) LAP).
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
64
Por tanto, cualquier actuacin en el mbito de la salud de los pacientes
menores de edad requerir el consentimiento de sus representantes
legales, salvo en el caso de que tenga los diecisis aos cumplidos y no
haya sido declarado incapaz. De tal manera, parece que, en principio,
el criterio aplicable debera ser el recogido en la Ley de Autonoma del
Paciente (diecisis aos) y no el contemplado en el artculo 13 del Real
Decreto 1720/2007 (catorce aos), ya que es a partir de los diecisis aos
cuando se entiende que el menor dispone de las condiciones de madurez
sufcientes para consentir sobre cualquier actuacin en el mbito de su
salud y sobre el tratamiento de sus datos de carcter personal de manera
conjunta.
De igual manera, el menor o la menor que padezca una enfermedad o
defciencia persistente de carcter fsico o psquico que le impida gobernarse
por s mismo o por s misma podr ser declarado o declarada incapaz por
sentencia judicial, tal y como establecen los artculos 199 a 201 del Cdigo
Civil espaol, en cuyo caso necesitara el complemento de la capacidad
de los titulares de la patria potestad o tutela para poder consentir sobre el
tratamiento de sus datos de carcter personal, con total independencia de
si ha cumplido o no los catorce aos de edad:
Artculo 199.
Nadie puede ser declarado incapaz sino por sentencia judicial en virtud
de las causas establecidas en la Ley.
Artculo 200.
Son causas de incapacitacin las enfermedades o deciencias
persistentes de carcter fsico o psquico que impidan a la persona
gobernarse por s misma.
Artculo 201.
Los menores de edad podrn ser incapacitados cuando concurra en
ellos causa de incapacitacin y se prevea razonablemente que la misma
persistir despus de la mayora de edad.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
65
Por otro lado, segn lo establecido en nuestra Ley Orgnica 15/1999, los
datos de las personas menores de edad no tienen la consideracin de datos
especialmente protegidos como tal, categora reservada, en un principio, a
los datos de carcter personal que revelen la ideologa, afliacin sindical,
religin y creencias, los que hagan referencia al origen racial o tnico, a la
salud y a la vida sexual y los relativos a la comisin de infracciones penales
o administrativas. El Borrador de Reglamento de desarrollo de la Ley
Orgnica 15/1999 lleg a contemplar, en su versin de fecha 24 de octubre
de 2005, la inclusin de los datos de las personas menores de catorce aos
dentro de la categora de datos de nivel medio, si bien dicha posibilidad fue
rehusada con el paso del tiempo. Ahora bien, ello no signifca que los datos
de los menores no pertenezcan a una categora sui generis que podramos
llamar datos de personas especialmente vulnerables, basada en un criterio
subjetivo en funcin de la persona titular de los datos y las especiales
condiciones que le rodean.
Pensemos en lo valioso que puede ser para una empresa con una
poltica comercial agresiva el incorporar a sus fcheros los datos de un
menor al cual poder bombardear durante el resto de su vida con ofertas
y promociones perfectamente adecuadas a su perfl de consumo, seguido
con detenimiento desde su infancia. En este sentido, GISBERT JORD
seala, con gran dosis de acierto, que el sector infantil y juvenil constituye
un punto de creciente atencin en los ltimos aos por parte del marketing
comercial que lo considera un mercado de gran potencial en expansin.
Esta situacin se ha visto agravada con la irrupcin de las nuevas
Tecnologas de la Informacin y las Comunicaciones (cada da que pasa
menos nuevas y ms familiares para todos, especialmente para nios y
adolescentes), conocidas bajo el acrnimo TICs y representadas no
solamente por Internet (entendido ste en su sentido tradicional) sino
tambin por otro tipo de tecnologas emergentes como, por ejemplo,
los telfonos mviles de ltima generacin. Estas nuevas tecnologas
confguran un nuevo espacio universal y anrquico donde el menor facilita
sus datos de carcter personal de manera inconsciente, despreocupada y
casi compulsiva a una multitud de terceros desconocidos sin control alguno.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
66
En efecto, el menor proporciona a lo largo de su infancia y adolescencia
sus datos de carcter personal de manera descontrolada a una multitud de
empresas, entidades y organizaciones sin llegar a ser realmente consciente
de que ello pueda afectar a su propia intimidad e incluso a la de su familia.
En la inmensa mayora de los casos, el menor no slo ignora por completo
su derecho a la proteccin de sus datos de carcter personal y lo que ello
signifca, sino que adems tampoco se siente especialmente preocupado
o molesto a la hora de tener que facilitar sus datos a terceros, como puede
suceder en el caso de los adultos, hacindolo gustoso si a cambio existe la
promesa de un atractivo regalo.
Por otro lado, el desconocimiento del menor es el instrumento perfecto
para obtener a travs de l aquellos datos de sus familiares (padres,
hermanos mayores, etc.) que en circunstancias normales un adulto
probablemente se hubiese negado a facilitar (por ejemplo, datos acerca de
la situacin econmica de la familia o de la ideologa, religin o creencias
de sus padres).
Todo lo anterior justifca, como puede entenderse, la introduccin del
apartado segundo del artculo 13 en el nuevo Real Decreto 1720/2007:
en ningn caso podrn recabarse del menor datos que permitan obtener
informacin sobre los dems miembros del grupo familiar, o sobre las
caractersticas del mismo, como los datos relativos a la actividad profesional
de los progenitores, informacin econmica, datos sociolgicos o
cualesquiera otros, sin el consentimiento de los titulares de tales datos. No
obstante, podrn recabarse los datos de identidad y direccin del padre,
madre o tutor con la nica nalidad de recabar la autorizacin prevista en el
apartado anterior.
En tercer lugar, el citado artculo 13 establece que cuando el tratamiento se
reera a datos de menores de edad, la informacin dirigida a los mismos deber
expresarse en un lenguaje que sea fcilmente comprensible por aqullos, con
expresa indicacin de lo dispuesto en este artculo (apartado 3).
De tal manera, la redaccin del texto para cumplir con el deber de
informacin conforme a lo establecido en nuestra normativa sobre
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
67
proteccin de datos de carcter personal no debera ser la misma en el
caso de que dicha informacin vaya dirigida a un menor que cuando est
orientada hacia una persona adulta. Esta refexin adquiere una mayor
trascendencia debido a la ausencia de un asentamiento frme de una cultura
de la proteccin de datos en nuestra sociedad (al contrario, por ejemplo, que
la cultura de la educacin vial que s est mucho ms asentada, llegando
a estudiarse algunas nociones bsicas en los colegios), lo que origina que,
en la inmensa mayora de los casos, el menor ignore por completo lo que
signifca el derecho a la proteccin de sus datos de carcter personal.
En virtud de lo anterior, se antoja indispensable que cuando se informe
al menor de los extremos contemplados en el artculo 5 de la Ley Orgnica
15/1999 se haga en un lenguaje sencillo y fcilmente comprensible, carente
de conceptos jurdicos abstrusos. De lo contrario, el menor carecera de poder
de disposicin y control alguno sobre sus propios datos de carcter personal,
escaparan a su control porque simplemente no se le est explicando qu
utilizacin se va a hacer de sus datos de manera que l lo entienda.
Finalmente, el apartado 4 del artculo 13 del Real Decreto 1720/2007
seala que corresponder al responsable del chero o tratamiento articular
los procedimientos que garanticen que se ha comprobado de modo efectivo
la edad del menor y la autenticidad del consentimiento prestado en su caso,
por los padres, tutores o representantes legales.
Este apartado debe enlazarse con el artculo 12 apartado 3 del Real
Decreto 1720/2007, que establece que corresponder al responsable del
tratamiento la prueba de la existencia del consentimiento del afectado por
cualquier medio de prueba admisible en derecho.
A mayor abundamiento, cuando fue publicado el Real Decreto 1720/2007,
se inclua un artculo referido a la Acreditacin del cumplimiento del deber
de informacin (artculo 18). Que estableca:
- El deber de informacin deber llevarse a cabo a travs de un medio
que permita acreditar su cumplimiento, debiendo conservarse
mientras persista el tratamiento de los datos del afectado.
- El soporte en el que conste el cumplimiento debe conservarse,
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
68
pudindose utilizar medios informticos o telemticos, incluso
puede procederse al escaneado de la documentacin.
No obstante, el 15 de julio de 2010 el Tribunal Supremo, a travs
de sus Sentencias 4050/2010 y 4057/2010, anul el precepto entendiendo
que lo que este artculo establece es la obligacin de que la prueba de ese
efectivo cumplimiento conste documentalmente o por medios informticos
o telemticos, considerando que se establece una obligacin adicional, al
margen de la Ley, que ha optado por la libertad de forma (tal como se
establece en el artculo 5 LOPD).
Poniendo en comn todo lo visto, corresponde al responsable del fchero
o tratamiento el cumplimiento de las siguientes obligaciones:
- Articular los procedimientos que garanticen que se ha comprobado
de modo efectivo la edad del menor y la autenticidad del
consentimiento prestado en su caso, por los padres, tutores
o representantes legales. En este sentido, corresponder al
responsable del fchero o tratamiento la prueba de la existencia del
consentimiento del afectado o, en su caso, de sus padres, tutores
o representantes legales por cualquier medio de prueba admisible
en derecho.
- Poder probar el cumplimiento del deber de informacin con el titular
de los datos o con el de sus representantes legales, para el caso de
menores de 14 aos.
El cumplimiento de las citadas obligaciones puede ser una tarea
relativamente sencilla si se solicita el consentimiento informado por escrito
(por ejemplo, a travs del Formulario de Matriculacin), de tal manera que
el padre, madre, tutor o representante legal otorgue a travs de su frma
manuscrita el consentimiento para el tratamiento de los datos de su hijo o
hija menor de catorce aos.
Ahora bien, la cuestin de la obtencin de un consentimiento vlido
para el tratamiento de los datos del o la menor se complica hasta extremos
insospechados en el mbito de las anteriormente citadas Tecnologas de la
Informacin y las Comunicaciones, debido a las caractersticas intrnsecas
del mundo digital que todos tenemos en mente.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
69
En primer lugar, existe un problema serio con respecto al cumplimiento
del principio de calidad de los datos establecido en el art. 4 LOPD, ya que es
muy complicado garantizar la exactitud y veracidad de los datos aportados
por el o la menor. En este sentido, podra darse perfectamente el caso de
que el o la menor no facilitase sus propios datos, sino los de un amigo, un
compaero de clase o alguno de sus hermanos. O bien que manifestase
haber superado la barrera de los catorce aos de edad establecida en el
Real Decreto 1720/2007 para consentir sobre el tratamiento de sus datos
sin ser ello cierto. El problema es, en todo caso, cmo constatarlo.
La complicada cuestin de la obtencin del consentimiento para el
tratamiento de los datos del menor en el mbito de las TICs ha sido obviada
hasta la fecha por nuestro ordenamiento jurdico. Sin embargo, s que ha
sido abordada desde hace unos cuantos aos y con bastante acierto en
el mbito de los Estados Unidos, donde se han estableciendo una serie
de mecanismos para la obtencin del consentimiento, cuya complejidad
y rigurosidad aumenta de manera gradual en funcin de los riesgos que
para la intimidad del menor puedan tener los diferentes tratamientos y usos
que se vayan a hacer de sus datos de carcter personal. Algunos de los
mtodos contemplados en Estados Unidos en orden a la obtencin del
consentimiento del padre, madre, tutor o representante legal del menor para
el tratamiento de sus datos son los siguientes: un escrito frmado por el
padre o representante legal del menor y enviado por medio de correo postal
ordinario o a travs de fax, una llamada telefnica del padre o representante
legal del menor o un mensaje de correo electrnico frmado digitalmente
por el padre o representante legal del menor.
2.4. Limitaciones al principio del consentimiento en los centros de
enseanza pblicos
El derecho a la proteccin de datos de la ciudadana tiene contenidos
distintos cuando se trata de fcheros privados (por ejemplo, el fchero de
clientes de una empresa privada) o a tratamientos en fcheros pblicos
(por ejemplo, el fchero de alumnos y alumnas de un centro de enseanza
de carcter pblico). As, mientras que el responsable del fchero privado
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
70
slo puede alegar en la mayora de las ocasiones una legtima actividad
de negocio protegida por la libertad de empresa (art. 38 Constitucin
Espaola), el titular de un fchero pblico procede a tratamientos de datos de
carcter personal para desarrollar la efectividad de derechos fundamentales
reconocidos en la Constitucin, en nuestro caso la actividad prestacional
de educacin prevista en el art. 27 Constitucin Espaola.
De tal manera, el derecho a la proteccin de datos de carcter personal
del alumnado se ve afectado por ciertas limitaciones cuando lo que est en
juego es garantizar la efectividad del derecho fundamental a la educacin
por parte de los poderes pblicos. En concreto, la Ley Orgnica 15/1999
establece en su art. 6.2 que no ser preciso el consentimiento del afectado
o afectada (en nuestro caso, el alumno, la alumna o su padre, madre o
representante legal si no rene las condiciones de madurez sufcientes)
para la recogida y tratamiento de sus datos de carcter personal cuando
los mismos se recaben para el ejercicio de las funciones propias de las
Administraciones Pblicas en el mbito de sus competencias (la actividad
prestacional de educacin en el caso de un centro educativo pblico).
Asimismo, la Disposicin adicional vigesimotercera de la LOE establece
que la incorporacin de un alumno a un centro docente supondr el
consentimiento para el tratamiento de sus datos y, en su caso, la cesin de
datos procedentes del centro en el que hubiera estado escolarizado con
anterioridad. Por tanto, el mero hecho de la incorporacin del alumno o la
alumna al centro educativo comporta, en principio, el consentimiento para
el tratamiento de sus datos.
En cualquier caso, la excepcin al principio del consentimiento que
plantea la Disposicin adicional vigesimotercera de la LOE queda limitada
exclusivamente a la funcin docente y orientadora del centro, no pudiendo
tratarse los datos del alumnado con fnes diferentes del educativo sin el
consentimiento expreso de los mismos/as o de sus padres, madres o
representantes legales, segn proceda.
Asimismo, el art. 21.1 LOPD establece que Los datos de carcter
personal recogidos o elaborados por las Administraciones Pblicas
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
71
para el desempeo de sus atribuciones no sern comunicados a otras
Administraciones Pblicas para el ejercicio de competencias diferentes
o de competencias que versen sobre materias distintas, salvo cuando la
comunicacin tenga por objeto el tratamiento posterior de los datos con
nes histricos, estadsticos o cientcos. Dicho precepto, interpretado a
sensu contrario, signifca que est habilitada la comunicacin de datos entre
Administraciones Pblicas para el ejercicio de competencias idnticas o que
versen sobre las mismas materias (por ejemplo, Ministerio de Educacin y
Consejera de Educacin), lo cual supone una nueva excepcin al principio
del consentimiento. Ahora bien, habr que atender a las condiciones
particulares de cada cesin de datos entre Administraciones Pblicas para
ver si sera de aplicacin la citada excepcin.
Por otra parte, el Real Decreto 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13
de diciembre, de proteccin de datos de carcter personal, hace referencia
en su artculo 10 a los supuestos que legitiman el tratamiento o cesin de
los datos, sealando, en primer lugar, que los datos de carcter personal
podrn tratarse sin necesidad del consentimiento del interesado cuando
se recojan para el ejercicio de las funciones propias de las Administraciones
pblicas en el mbito de las competencias que les atribuya una norma
con rango de ley o una norma de derecho comunitario (art. 10.3.a). Con
respecto a la cesin de datos de carcter personal entre Administraciones
Pblicas sin contar con el consentimiento del interesado, el art. 10.4.c) del
citado Real Decreto establece que sta ser posible cuando concurra uno
de los siguientes supuestos:
- Tenga por objeto el tratamiento de los datos con fnes histricos,
estadsticos o cientfcos.
- Los datos de carcter personal hayan sido recogidos o elaborados
por una Administracin pblica con destino a otra.
- La comunicacin se realice para el ejercicio de competencias
idnticas o que versen sobre las mismas materias.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
72
3. Principio de Informacin
3.1. Caractersticas del derecho de informacin
Tal y como seala la propia Agencia Espaola de Proteccin de Datos,
el deber de informacin al afectado, previo al tratamiento de sus datos de
carcter personal, es uno de los principios fundamentales sobre los que se
asienta la Ley Orgnica 15/1999 y as viene incluido dentro de su Ttulo II.
En este sentido, la trascendental Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre, ha sealado lo siguiente: son elementos
caractersticos de la denicin constitucional del derecho fundamental a la
proteccin de datos personales los derechos del afectado a consentir sobre
la recogida y uso de sus datos personales y a saber de los mismos.
Y resultan indispensables para hacer efectivo ese contenido el
reconocimiento del derecho a ser informado de quin posee sus datos
personales y con qu n, y el derecho a poder oponerse a esa posesin y
uso requiriendo a quien corresponda que ponga n a la posesin y empleo
de los datos. Es decir, exigiendo del titular del chero que le informe de
qu datos posee sobre su persona, accediendo a sus oportunos registros
y asientos, y qu destino han tenido, lo que alcanza tambin a posibles
cesionarios; y, en su caso, requerirle para que los rectique o los cancele
(Fundamento Jurdico 7).
En concreto, el derecho de informacin queda recogido en el art. 5 de la
Ley Orgnica 15/1999, el cual seala lo siguiente:
Artculo 5. Derecho de informacin en la recogida de datos.
1. Los interesados a los que se soliciten datos personales debern ser
previamente informados de modo expreso, preciso e inequvoco:
a) De la existencia de un chero o tratamiento de datos de carcter
personal, de la nalidad de la recogida de stos y de los destinatarios
de la informacin.
b) Del carcter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
73
c) De las consecuencias de la obtencin de los datos o de la negativa
a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, recticacin,
cancelacin y oposicin.
e) De la identidad y direccin del responsable del tratamiento o, en su
caso, de su representante.
Cuando el responsable del tratamiento no est establecido en el territorio
de la Unin Europea y utilice en el tratamiento de datos medios situados en
territorio espaol, deber designar, salvo que tales medios se utilicen con
nes de trmite, un representante en Espaa, sin perjuicio de las acciones
que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
gurarn en los mismos, en forma claramente legible, las advertencias a que
se reere el apartado anterior.
3. No ser necesaria la informacin a que se reeren las letras b, c y d
del apartado 1 si el contenido de ella se deduce claramente de la naturaleza
de los datos personales que se solicitan o de las circunstancias en que se
recaban.
4. Cuando los datos de carcter personal no hayan sido recabados
del interesado, ste deber ser informado de forma expresa, precisa e
inequvoca, por el responsable del chero o su representante, dentro de los
tres meses siguientes al momento del registro de los datos, salvo que ya
hubiera sido informado con anterioridad, del contenido del tratamiento, de
la procedencia de los datos, as como de lo previsto en las letras a, d y e del
apartado 1 del presente artculo.
5. No ser de aplicacin lo dispuesto en el apartado anterior, cuando
expresamente una ley lo prevea, cuando el tratamiento tenga nes histricos,
estadsticos o cientcos, o cuando la informacin al interesado resulte
imposible o exija esfuerzos desproporcionados, a criterio de la Agencia
Espaola de Proteccin de Datos o del organismo autonmico equivalente,
en consideracin al nmero de interesados, a la antigedad de los datos y a
las posibles medidas compensatorias.
Asimismo, tampoco regir lo dispuesto en el apartado anterior cuando
los datos procedan de fuentes accesibles al pblico y se destinen a la
actividad de publicidad o prospeccin comercial, en cuyo caso, en cada
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
74
comunicacin que se dirija al interesado se le informar del origen de los
datos y de la identidad del responsable del tratamiento as como de los
derechos que le asisten.
La Sala de lo Contencioso-Administrativo de la Audiencia Nacional,
en su Sentencia de 15 de junio de 2001, tambin ha profundizado en el
derecho de informacin establecido en el art. 5 LOPD, sealando lo
siguiente: En primer lugar, debe tenerse en cuenta que nos hallamos ante
la regulacin del derecho de la informacin a la recogida de datos, derecho
importantsimo porque es el que permite llevar a cabo el ejercicio de otros
derechos y as lo valora el texto positivo al pormenorizar su contenido y
establecer la exigencia de que el mismo sea expreso, preciso e inequvoco.
La relevancia del derecho conlleva que su exclusin requiera el mandato
expreso de una norma, acogiendo una interpretacin estricta, vedndose su
extensin mediante articiosas deducciones.
De tal manera, conforme a lo establecido en el art. 5 LOPD, el alumno,
la alumna o su padre, madre o representante legal, cuando as proceda,
deben ser escrupulosamente informados con carcter previo a la recogida
de sus datos (ya sea a travs de los formularios de solicitud de plaza y
matriculacin, de la fcha que el profesorado utiliza para el control de sus
alumnos y alumnas o a travs de cualquier otro canal de recogida) de la
fnalidad para la que stos se recogen, de los destinatarios de la informacin
que faciliten, del carcter obligatorio o facultativo de su respuesta a las
preguntas que les sean planteadas, de las consecuencias de la obtencin
de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar
sus derechos de acceso, rectifcacin, cancelacin y oposicin, as como
de la identidad y direccin del responsable del tratamiento.
La Consejera de Educacin de la Junta de Andaluca, consciente del
deber de informacin recogido en la Ley Orgnica 15/1999, ha diseado
una serie de modelos orientativos de clusulas legales a incorporar en los
impresos y formularios de uso frecuente de los centros de enseanza de
la Junta de Andaluca para la recogida de datos de carcter personal, en
cumplimiento de lo establecido en el art. 5 LOPD.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
75
Recordar, por ltimo, que el tantas veces citado Real Decreto 1720/2007
tambin dedica un Captulo especfco al consentimiento para el tratamiento
de los datos y deber de informacin, sobre el que ya hemos tratado en el
apartado relativo al principio del consentimiento y que pone de manifesto
la intrnseca relacin entre ambos principios, puesto que una de las
caractersticas de todo consentimiento es que debe ser informado. Es
decir, el consentimiento del o la titular de los datos deber ir, en todo caso,
precedido de una declaracin del Responsable del Fichero en la que se
informe de manera clara y precisa de la inclusin de sus datos en un fchero,
de los usos que se prev dar a los mismos, de los posibles destinatarios
de los datos, etc. (requisitos establecidos en el artculo 5 LOPD), a fn de
que aquel o aquella consienta o no a dar sus datos siendo plenamente
consciente de a quin y para qu los est facilitando.
Si la informacin se dirige a menores de edad debe expresarse en un
lenguaje que sea fcilmente comprensible por ellos, segn establece el
artculo 13 Real Decreto 1720/2007.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
76
4. Principio de calidad de los datos
El principio de calidad de los datos es otro de los pilares sobre los que
se asienta la normativa espaola sobre proteccin de datos de carcter
personal. Viene regulado en el Ttulo II de la LOPD, ms concretamente en
su art. 4, que establece lo siguiente:
Artculo 4. Calidad de los datos.
1. Los datos de carcter personal slo se podrn recoger para su tratamiento,
as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes
y no excesivos en relacin con el mbito y las nalidades determinadas,
explcitas y legtimas para las que se hayan obtenido.
2. Los datos de carcter personal objeto de tratamiento no podrn usarse
para nalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos. No se considerar incompatible el tratamiento posterior de
stos con nes histricos, estadsticos o cientcos.
3. Los datos de carcter personal sern exactos y puestos al da de forma
que respondan con veracidad a la situacin actual del afectado.
4. Si los datos de carcter personal registrados resultaran ser inexactos,
en todo o en parte, o incompletos, sern cancelados y sustituidos de ocio
por los correspondientes datos recticados o completados, sin perjuicio de
las facultades que a los afectados reconoce el artculo 16.
5. Los datos de carcter personal sern cancelados cuando hayan dejado
de ser necesarios o pertinentes para la nalidad para la cual hubieran sido
recabados o registrados.
No sern conservados en forma que permita la identicacin del
interesado durante un perodo superior al necesario para los nes en base a
los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinar el procedimiento por el que, por
excepcin, atendidos los valores histricos, estadsticos o cientcos de
acuerdo con la legislacin especca, se decida el mantenimiento ntegro
de determinados datos.
6. Los datos de carcter personal sern almacenados de forma que permitan
el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohbe la recogida de datos por medios fraudulentos, desleales o
ilcitos.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
77
De lo aqu transcrito, podemos afrmar que las obligaciones contenidas
en el art. 4 LOPD se condensan en las siguientes:
- Obligacin de que los datos sean adecuados, pertinentes y no
excesivos con relacin a los fnes para los que se recaben y para los
que se traten posteriormente. Esto es, no deben recogerse datos
de carcter personal ms all de los estrictamente necesarios para
atender a la fnalidad concreta para la cual se solicitan.
Por citar un caso, no tendra sentido que un centro de enseanza
solicitase el dato de confesin religiosa de los padres y madres
para tramitar la solicitud de plaza o la matriculacin de los futuros
alumnos y alumnas, teniendo la consideracin de dato excesivo.
Por otro lado, el informe 368/06 de la Agencia Espaola de Proteccin
de Datos se refere a la conformidad con la LOPD de la creacin de
un sistema de control para gestionar las ausencias y retrasos de los
alumnos de un centro escolar mediante la obtencin de su huella
dactilar, por la que se controlara la entrada y salida de los alumnos
de dicho centro. A tal efecto, se considera que el tratamiento del dato
biomtrico de la huella digital para las fnalidades sealadas puede
resultar contrario al principio de proporcionalidad en el tratamiento,
consagrado por el artculo 4.1 de la LOPD, teniendo en cuenta
los precedentes contenidos en el Documento de Trabajo sobre
biometra, aprobado por el Grupo de trabajo creado por el artculo
29 de la Directiva 95/46/CE, de fecha 1 agosto de 2003, referentes
a decisiones adoptadas en este sentido por las autoridades de
proteccin de datos de Francia y Portugal.
- Obligacin de respetar la fnalidad concreta para la cual han sido
recogidos los datos de carcter personal. Por ejemplo, no tendra
sentido que los datos recabados en la solicitud de plaza de un
alumno o alumna sean utilizados para ofrecerle informacin sobre
una coleccin literaria especfcamente destinada al pblico infantil
y juvenil.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
78
- Obligacin de actualizar los datos y rectifcarlos cuando fueran
inexactos. En este sentido, constituye infraccin de carcter grave,
de acuerdo con lo dispuesto en el artculo 44.3.c) LOPD, Tratar datos
de carcter personal o usarlos posteriormente con conculcacin de
los principios y garantas establecidos en el artculo 4 de esta Ley y
las disposiciones que lo desarrollan, salvo cuando sea constitutivo
de infraccin muy grave.
- Obligacin de cancelar los datos, sin necesidad de solicitud previa
del afectado o afectada, cuando hayan dejado de ser necesarios o
pertinentes para la fnalidad para la cual hubieran sido recabados.
- Obligacin de cumplir con unos determinados deberes ticos en
la recogida de datos de carcter personal. A este respecto, el art.
44.4.a) LOPD establece que constituye una infraccin muy grave
La recogida de datos en forma engaosa y fraudulenta.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal, reproduce, en gran medida, lo
establecido en el artculo 4 de la LOPD, si bien adiciona algunas precisiones
referentes a aspectos formales sobre la actualizacin y puesta al da de los
datos, as como la cancelacin de los mismos cuando hayan dejado de ser
necesarios o pertinentes para la fnalidad para la cual hubieran sido recabados
o registrados:
Artculo 8. Principios relativos a la calidad de los datos.
1. Los datos de carcter personal debern ser tratados de forma leal y lcita.
Se prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos.
2. Los datos de carcter personal slo podrn ser recogidos para
el cumplimiento de nalidades determinadas, explcitas y legtimas del
responsable del tratamiento.
3. Los datos de carcter personal objeto de tratamiento no podrn usarse
para nalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos.
4. Slo podrn ser objeto de tratamiento los datos que sean adecuados,
pertinentes y no excesivos en relacin con las nalidades determinadas,
explcitas y legtimas para las que se hayan obtenido.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
79
5. Los datos de carcter personal sern exactos y puestos al da de
forma que respondan con veracidad a la situacin actual del afectado. Si los
datos fueran recogidos directamente del afectado, se considerarn exactos
los facilitados por ste.
Si los datos de carcter personal sometidos a tratamiento resultaran ser
inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos
de ocio por los correspondientes datos recticados o completados en el
plazo de diez das desde que se tuviese conocimiento de la inexactitud,
salvo que la legislacin aplicable al chero establezca un procedimiento o
un plazo especco para ello.
Cuando los datos hubieran sido comunicados previamente, el
responsable del chero o tratamiento deber noticar al cesionario, en el
plazo de diez das, la recticacin o cancelacin efectuada, siempre que el
cesionario sea conocido.
En el plazo de diez das desde la recepcin de la noticacin, el
cesionario que mantuviera el tratamiento de los datos, deber proceder a la
recticacin y cancelacin noticada.
Esta actualizacin de los datos de carcter personal no requerir
comunicacin alguna al interesado, sin perjuicio del ejercicio de los derechos
por parte de los interesados reconocidos en la Ley Orgnica 15/1999, de 13
de diciembre.
Lo dispuesto en este apartado se entiende sin perjuicio de las facultades
que a los afectados reconoce el ttulo III de este reglamento.
6. Los datos de carcter personal sern cancelados cuando hayan dejado
de ser necesarios o pertinentes para la nalidad para la cual hubieran sido
recabados o registrados.
No obstante, podrn conservarse durante el tiempo en que pueda
exigirse algn tipo de responsabilidad derivada de una relacin u obligacin
jurdica o de la ejecucin de un contrato o de la aplicacin de medidas
precontractuales solicitadas por el interesado.
Una vez cumplido el perodo al que se reeren los prrafos anteriores,
los datos slo podrn ser conservados previa disociacin de los mismos, sin
perjuicio de la obligacin de bloqueo prevista en la Ley Orgnica 15/1999,
de 13 de diciembre, y en el presente reglamento.
7. Los datos de carcter personal sern tratados de forma que permitan
el ejercicio del derecho de acceso, en tanto no proceda su cancelacin.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
80
5. Acceso a los datos por cuenta de terceros
En ciertas ocasiones, los centros de enseanza recurren a los servicios de
terceras empresas o profesionales para cubrir determinadas necesidades.
Pues bien, esta cuestin adquiere una especial trascendencia cuando,
para la prestacin del servicio solicitado, esa tercera empresa o profesional
necesita tener acceso a los datos de carcter personal gestionados en el
centro (por ejemplo, datos del alumnado).
En este sentido, el art. 12.1 de la Ley Orgnica 15/1999 establece
expresamente que no se considerar comunicacin de datos el acceso de
un tercero a los datos cuando dicho acceso sea necesario para la prestacin
de un servicio al responsable del tratamiento.
Ese tercero prestador del servicio es lo que la LOPD denomina encargado
del tratamiento, esto es, la persona fsica o jurdica, autoridad pblica,
servicio o cualquier otro organismo que, slo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento (art. 3.g)
LOPD). Entre los ejemplos ms habituales de encargados del tratamiento
en el mbito de los centros de enseanza, podemos citar los siguientes:
- La empresa prestadora del servicio de comedor escolar, a la cual le
puede ser proporcionado el listado de alumnos y alumnas apuntados
al mismo, incluyendo posibles alergias a determinados alimentos.
- La empresa prestadora del servicio de transporte escolar, a la
cual se facilitan los datos de aquellos alumnos y alumnas que han
solicitado el mismo.
- Las terceras empresas encargadas del desarrollo e imparticin de
las actividades extraescolares del centro de enseanza.
- Terceras empresas prestadoras de servicios de grabacin de datos,
a las cuales se faciliten formularios donde puedan constar datos de
carcter personal del alumnado del centro de enseanza (solicitudes
de plaza, matriculacin, solicitudes de becas, etc.).
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
81
- Terceras empresas a las cuales se encomiende la recogida y
posterior destruccin de toda la documentacin en soporte papel
inservible almacenada en el centro de enseanza.
- El laboratorio fotogrfco al cual se le facilitan el nombre y apellidos
del alumnado del centro de enseanza para confeccionar las orlas
acadmicas.
Aunque, como hemos indicado, estos son slo algunos ejemplos de un
largo etctera, pudiendo darse otros muchos supuestos de encargados de
tratamiento en la casustica particular de cada centro de enseanza.
Asimismo, la propia Ley Orgnica 15/1999 impone en su art. 12 una
serie de obligaciones, con la fnalidad de asegurar que el tratamiento de
datos realizado por la tercera empresa o profesional para la prestacin del
servicio cumpla con los principios y garantas establecidos en la misma:
Artculo 12. Acceso a los datos por cuenta de terceros.
1. No se considerar comunicacin de datos el acceso de un tercero
a los datos cuando dicho acceso sea necesario para la prestacin de un
servicio al responsable del tratamiento.
2. La realizacin de tratamientos por cuenta de terceros deber estar
regulada en un contrato que deber constar por escrito o en alguna otra
forma que permita acreditar su celebracin y contenido, establecindose
expresamente que el encargado del tratamiento nicamente tratar los
datos conforme a las instrucciones del responsable del tratamiento, que no
los aplicar o utilizar con n distinto al que gure en dicho contrato, ni los
comunicar, ni siquiera para su conservacin, a otras personas.
En el contrato se estipularn, asimismo, las medidas de seguridad a que
se reere el artculo 9 de esta Ley que el encargado del tratamiento est
obligado a implementar.
3. Una vez cumplida la prestacin contractual, los datos de carcter
personal debern ser destruidos o devueltos al responsable del tratamiento,
al igual que cualquier soporte o documentos en que conste algn dato de
carcter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
82
otra nalidad, los comunique o los utilice incumpliendo las estipulaciones
del contrato, ser considerado tambin responsable del tratamiento,
respondiendo de las infracciones en que hubiera incurrido personalmente.
De tal manera, la relacin entre el responsable del fchero y el encargado
del tratamiento deber regularse contractualmente conforme a lo dispuesto
en el art. 12 LOPD, siendo de destacar, a juicio de la Agencia Espaola de
Proteccin de Datos, las siguientes cuestiones:
a) En lo que atae a los requisitos formales de este tipo de contratos,
el artculo 12.2 impone que la realizacin de tratamientos por
cuenta de terceros deber estar regulada en un contrato que deber
constar por escrito o en alguna otra forma que permita acreditar
su celebracin y contenido, establecindose expresamente que el
encargado del tratamiento nicamente tratar los datos conforme
a las instrucciones del responsable del tratamiento, que no los
aplicar o utilizar con n distinto al que gure en dicho contrato, ni
los comunicar, ni siquiera para su conservacin, a otras personas.
b) Por lo que respecta al periodo de conservacin de los datos,
el artculo 12.3 establece que una vez cumplida la prestacin
contractual, los datos de carcter personal debern ser destruidos
o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algn dato de carcter
personal objeto del tratamiento.
c) En lo referente a la cesin de los datos, de lo establecido en el
artculo 12.2 se desprende que no proceder esa cesin, de forma
que los datos habrn de ser entregados nica y exclusivamente al
responsable del chero.
d) En cuanto a las medidas de seguridad que hayan de ser adoptadas
por quienes realicen trabajos de tratamiento de datos por cuenta de
tercero, habrn de ser, en principio, las mismas que las impuestas al
responsable del chero, tal y como se desprende de lo previsto en
los artculos 9 y 12.2 de la Ley Orgnica.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
83
e) Por ltimo, segn el artculo 12.4, en el caso de que el encargado
del tratamiento destine los datos a otra nalidad, los comunique
o los utilice incumpliendo las estipulaciones del contrato, ser
considerado, tambin, responsable del tratamiento, respondiendo
de las infracciones en que hubiera incurrido personalmente, siendo,
en consecuencia, de aplicacin el rgimen sancionador establecido
en los artculos 43 y siguientes de la Ley, sujetando el primero de
ellos al encargado del tratamiento a dicho rgimen.
En el caso de los centros pblicos de la Junta de Andaluca, el responsable
de los fcheros es, en principio, la Secretara General Tcnica de la Consejera
de Educacin (ver Captulo III, apartado 1 de la presente Gua).
El alcance del artculo 12 de la Ley Orgnica 15/1999 tiene refejo en
la propia Disposicin adicional trigsimo primera de la LEY 30/2007, de
30 de octubre, de Contratos del Sector Pblico, que lleva por rbrica
Proteccin de datos de carcter personal. La citada Ley tiene por objeto
regular la contratacin del sector pblico, a n de garantizar que la misma
se ajusta a los principios de libertad de acceso a las licitaciones, publicidad
y transparencia de los procedimientos, y no discriminacin e igualdad de
trato entre los candidatos, y de asegurar, en conexin con el objetivo de
estabilidad presupuestaria y control del gasto, una eciente utilizacin de
los fondos destinados a la realizacin de obras, la adquisicin de bienes
y la contratacin de servicios mediante la exigencia de la denicin previa
de las necesidades a satisfacer, la salvaguarda de la libre competencia y
la seleccin de la oferta econmicamente ms ventajosa. Es igualmente
objeto de la Ley 30/2007 la regulacin del rgimen jurdico aplicable a
los efectos, cumplimiento y extincin de los contratos administrativos, en
atencin a los nes institucionales de carcter pblico que a travs de los
mismos se tratan de realizar.
De tal manera, la Disposicin adicional trigsimo primera de la Ley
30/2007 establece lo siguiente:
Disposicin adicional trigsimo primera. Proteccin de datos de carcter
personal.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
84
1. Los contratos regulados en la presente Ley que impliquen el tratamiento
de datos de carcter personal debern respetar en su integridad la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal, y su normativa de desarrollo.
2. Para el caso de que la contratacin implique el acceso del contratista
a datos de carcter personal de cuyo tratamiento sea responsable la entidad
contratante, aqul tendr la consideracin de encargado del tratamiento.
En este supuesto, el acceso a esos datos no se considerar comunicacin
de datos, cuando se cumpla lo previsto en el artculo 12.2 y 3 de la Ley
Orgnica 15/1999, de 13 de diciembre. En todo caso, las previsiones del
artculo 12.2 de dicha Ley debern de constar por escrito.
Cuando nalice la prestacin contractual los datos de carcter personal
debern ser destruidos o devueltos a la entidad contratante responsable, o
al encargado de tratamiento que sta hubiese designado.
El tercero encargado del tratamiento conservar debidamente
bloqueados los datos en tanto pudieran derivarse responsabilidades de su
relacin con la entidad responsable del tratamiento.
3. En el caso de que un tercero trate datos personales por cuenta del
contratista, encargado del tratamiento, debern de cumplirse los siguientes
requisitos:
a) Que dicho tratamiento se haya especicado en el contrato rmado
por la entidad contratante y el contratista.
b) Que el tratamiento de datos de carcter personal se ajuste a las
instrucciones del responsable del tratamiento.
c) Que el contratista encargado del tratamiento y el tercero formalicen
el contrato en los trminos previstos en el artculo 12.2 de la Ley
Orgnica 15/1999, de 13 de diciembre.
En estos casos, el tercero tendr tambin la consideracin de encargado
del tratamiento.
Por otro lado, el Real Decreto 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13
de diciembre, de proteccin de datos de carcter personal, profundiza en la
fgura del encargado del tratamiento y en sus relaciones con el responsable
del fchero o tratamiento, realizando algunas matizaciones respecto a lo
establecido en el artculo 12 de la Ley Orgnica 15/1999:
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
85
Artculo 20. Relaciones entre el responsable y el encargado del
tratamiento.
1. El acceso a los datos por parte de un encargado del tratamiento
que resulte necesario para la prestacin de un servicio al responsable no
se considerar comunicacin de datos, siempre y cuando se cumpla lo
establecido en la Ley Orgnica 15/1999, de 13 de diciembre y en el presente
captulo.
El servicio prestado por el encargado del tratamiento podr tener o no
carcter remunerado y ser temporal o indenido.
No obstante, se considerar que existe comunicacin de datos cuando
el acceso tenga por objeto el establecimiento de un nuevo vnculo entre
quien accede a los datos y el afectado.
2. Cuando el responsable del tratamiento contrate la prestacin de un
servicio que comporte un tratamiento de datos personales sometido a lo
dispuesto en este captulo deber velar por que el encargado del tratamiento
rena las garantas para el cumplimiento de lo dispuesto en este Reglamento.
3. En el caso de que el encargado del tratamiento destine los datos a
otra nalidad, los comunique o los utilice incumpliendo las estipulaciones
del contrato al que se reere el apartado 2 del artculo 12 de la Ley Orgnica
15/1999, de 13 de diciembre, ser considerado, tambin, responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente.
No obstante, el encargado del tratamiento no incurrir en responsabilidad
cuando, previa indicacin expresa del responsable, comunique los datos a
un tercero designado por aqul, al que hubiera encomendado la prestacin
de un servicio conforme a lo previsto en el presente captulo.
Asimismo, el Real Decreto 1720/2007 incorpora una importante novedad
que tambin ha sido recogida en la anteriormente citada Ley 30/2007, de
30 de octubre, de Contratos del Sector Pblico: la habilitacin al encargado
del tratamiento para poder subcontratar los servicios con un tercero,
posibilidad en principio no contemplada en la Ley Orgnica 15/1999, ya
que cualquier transmisin de los datos a un tercero que no sea propiamente
el responsable del fchero es considerada cesin y, en base a lo establecido
en el art. 12.2 LOPD, el encargado del tratamiento no puede comunicar
los datos, ni siquiera para su conservacin, a terceros. Ahora bien, dicha
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
86
subcontratacin de servicios debe estar sujeta, de manera inexcusable, a
una serie de requisitos que se recogen en el art. 21 del citado Real Decreto:
Artculo 21. Posibilidad de subcontratacin de los servicios.
1. El encargado del tratamiento no podr subcontratar con un tercero
la realizacin de ningn tratamiento que le hubiera encomendado el
responsable del tratamiento, salvo que hubiera obtenido de ste autorizacin
para ello. En este caso, la contratacin se efectuar siempre en nombre y
por cuenta del responsable del tratamiento.
2. No obstante lo dispuesto en el apartado anterior, ser posible la
subcontratacin sin necesidad de autorizacin siempre y cuando se cumplan
los siguientes requisitos:
a) Que se especiquen en el contrato los servicios que puedan ser
objeto de subcontratacin y, si ello fuera posible, la empresa con la
que se vaya a subcontratar.
Cuando no se identicase en el contrato la empresa con la que se
vaya a subcontratar, ser preciso que el encargado del tratamiento
comunique al responsable los datos que la identiquen antes de
proceder a la subcontratacin.
b) Que el tratamiento de datos de carcter personal por parte del
subcontratista se ajuste a las instrucciones del responsable del
chero.
c) Que el encargado del tratamiento y la empresa subcontratista
formalicen el contrato, en los trminos previstos en el artculo anterior.
En este caso, el subcontratista ser considerado encargado del
tratamiento, sindole de aplicacin lo previsto en el artculo 20.3 de
este reglamento.
3. Si durante la prestacin del servicio resultase necesario subcontratar
una parte del mismo y dicha circunstancia no hubiera sido prevista en el
contrato, debern someterse al responsable del tratamiento los extremos
sealados en el apartado anterior.
De otro lado, el artculo 22 del nuevo Real Decreto realiza algunas
precisiones con respecto a la conservacin de los datos por el encargado
del tratamiento. Como hemos sealado anteriormente, el artculo 12.3 de la
LOPD establece que una vez cumplida la prestacin contractual, los datos
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
87
de carcter personal debern ser destruidos o devueltos al responsable del
tratamiento, al igual que cualquier soporte o documentos en que conste
algn dato de carcter personal objeto del tratamiento, si bien el Real
Decreto 1720/2007 impone al encargado del tratamiento la obligacin de
conservar dichos datos en tanto pudieran derivarse responsabilidades de
su relacin con el responsable del tratamiento:
Artculo 22. Conservacin de los datos por el encargado del tratamiento.
1. Una vez cumplida la prestacin contractual, los datos de carcter personal
debern ser destruidos o devueltos al responsable del tratamiento o al encar-
gado que ste hubiese designado, al igual que cualquier soporte o documentos
en que conste algn dato de carcter personal objeto del tratamiento.
No proceder la destruccin de los datos cuando exista una previsin
legal que exija su conservacin, en cuyo caso deber procederse a la
devolucin de los mismos garantizando el responsable del chero dicha
conservacin.
2. El encargado del tratamiento conservar, debidamente bloqueados,
los datos en tanto pudieran derivarse responsabilidades de su relacin con
el responsable del tratamiento.
Con respecto al cumplimiento de las medidas de seguridad en el
tratamiento de datos de carcter personal, el nuevo Real Decreto 1720/2007
realiza una triple distincin:
1. Que el acceso del encargado del tratamiento a los datos de
carcter personal se realice en los locales del responsable del
fichero o del tratamiento.
2. Que el acceso del encargado del tratamiento a los datos de
carcter personal sea remoto, habindose prohibido al encargado
incorporar tales datos a sistemas o soportes distintos de los del
responsable del fichero o del tratamiento.
3. Que el tratamiento de datos de carcter personal consecuencia
de la relacin de prestacin de servicios sea realizado en los
propios locales del encargado del tratamiento, ajenos a los del
responsable del fichero o del tratamiento.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
88
De tal manera, el Real Decreto 1720/2007 establece que cuando el
responsable del chero o tratamiento facilite el acceso a los datos, a los
soportes que los contengan o a los recursos del sistema de informacin
que los trate, a un encargado de tratamiento que preste sus servicios
en los locales del primero deber hacerse constar esta circunstancia en
el documento de seguridad de dicho responsable, comprometindose
el personal del encargado al cumplimiento de las medidas de seguridad
previstas en el citado documento (art. 82.1 prrafo primero).
Cuando dicho acceso sea remoto habindose prohibido al encargado
incorporar tales datos a sistemas o soportes distintos de los del responsable,
este ltimo deber hacer constar esta circunstancia en el documento de
seguridad del responsable, comprometindose el personal del encargado
al cumplimiento de las medidas de seguridad previstas en el citado
documento (art. 82.1 prrafo segundo).
En tercer lugar, si el servicio fuera prestado por el encargado del
tratamiento en sus propios locales, ajenos a los del responsable del
fchero, de conformidad con lo establecido en el art. 82.2 del Real Decreto
1720/2007, deber elaborar un documento de seguridad en los trminos
exigidos en su artculo 88 o completar el que ya hubiera elaborado, en su
caso, identifcando el fchero o tratamiento y el responsable del mismo e
incorporando las medidas de seguridad a implantar en relacin con dicho
tratamiento.
Finalmente el art. 82.3 seala que en todo caso, el acceso a los datos por
el encargado del tratamiento estar sometido a las medidas de seguridad
contempladas en el Real Decreto 1720/2007.
En aquellos supuestos en que la prestacin de servicios no conlleve el
tratamiento de datos de carcter personal, el contrato de prestacin de
servicios deber, de conformidad con lo establecido en el art. 83 prrafo
segundo del Real Decreto 1720/2007, recoger expresamente la prohibicin
del personal ajeno de acceder a los datos personales y la obligacin de
secreto respecto a los datos que hubiera podido conocer con motivo de la
prestacin del servicio. Este podra ser el caso de las empresas prestadoras
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
89
de servicios de limpieza, cuya prestacin no implica el tratamiento de
datos de carcter personal, pero que, sin embargo, tienen acceso a las
dependencias del centro de enseanza, donde se almacenan los datos de
carcter personal del alumnado, personal docente, etc.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
90
6. Deber de Secreto
La Disposicin adicional vigesimotercera de la Ley Orgnica 2/2006,
de 3 de mayo, de Educacin, establece que el profesorado y el resto del
personal que, en el ejercicio de sus funciones, acceda a datos personales y
familiares o que afecten al honor e intimidad de los menores o sus familias
quedar sujeto al deber de sigilo.
En este sentido, el art. 10 LOPD, bajo la rbrica de Deber de secreto,
determina que El responsable del chero y quienes intervengan en cualquier
fase del tratamiento de los datos de carcter personal estn obligados
al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirn an despus de nalizar sus relaciones con el
titular del chero o, en su caso, con el responsable del mismo.
Esto es, la Ley Orgnica 15/1999 establece en su art. 10 un deber de
secreto para todo aqul o aqulla que tenga acceso a los datos de carcter
personal gestionados en el centro en el desempeo de sus funciones (por
ejemplo, el o la docente que accede al programa de gestin del alumnado
o a sus expedientes acadmicos en soporte papel para el ejercicio de su
actividad profesional). En este sentido, no es necesario que exista una
dependencia laboral, funcionarial o administrativa indefnida para que
la persona con acceso al fchero est sometida al deber de secreto, el
desempeo de cualquier prestacin o trabajo que permita el acceso a datos
de carcter personal (por ejemplo, datos del alumnado del centro) genera
automticamente la obligacin de cumplir con este principio.
De igual manera, no debe confundirse este deber de secreto con el
secreto profesional al que estn sometidas determinadas personas en
funcin de la profesin que ejercen. Este deber de secreto es un deber
genrico que alcanza a cualquier persona que intervenga en el tratamiento
de los datos, ya sea personal docente, psiclogos/as, pedagogos/as,
logopedas y orientadores/as escolares, personal administrativo, conserjes,
personal de limpieza o cualquier otro.
La AEPD, en su Resolucin E/01127/2005, de 7 de septiembre de 2006,
Fundamento de Derecho IV, ha abundado en el contenido del deber de
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
91
secreto establecido en el art. 10 LOPD, sealando lo siguiente:
Dado el contenido del precepto, ha de entenderse que el mismo tiene
como nalidad evitar que, por parte de quienes estn en contacto con los
datos personales almacenados en cheros, se realicen ltraciones de los
datos no consentidas por los titulares de los mismos.
En este sentido, la Sentencia de la Audiencia Nacional, de fecha
18/01/2002, recoge en su Fundamento de Derecho Segundo, segundo
y tercer prrafo: El deber de secreto profesional que incumbe a los
responsables de cheros automatizados, recogido en el artculo 10 de la Ley
Orgnica 15/1999, comporta que el responsable en este caso, la entidad
bancaria recurrente- de los datos almacenados en este caso, los asociados
a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el
deber de guardarlos, obligaciones que subsistirn an despus de nalizar
sus relaciones con el titular del chero automatizado o, en su caso, con el
responsable del mismo (artculo 10 citado). Este deber es una exigencia
elemental y anterior al propio reconocimiento del derecho fundamental
a la libertad informtica a que se refere la STC 292/2000, y por lo que
ahora interesa, comporta que los datos tratados automatizadamente, como
el telfono de contacto, no pueden ser conocidos por ninguna persona o
entidad, pues en eso consiste precisamente el secreto.
Este deber de sigilo resulta esencial en las sociedades actuales cada
vez ms complejas, en las que los avances de la tcnica sitan a la persona
en zonas de riesgo para la proteccin de derechos fundamentales, como
la intimidad o el derecho a la proteccin de los datos que recoge el artculo
18.4 de la CE. En efecto, este precepto contiene un instituto de garanta de
los derechos a la intimidad y al honor y del pleno disfrute de los derechos
de los ciudadanos que, adems, es en s mismo un derecho o libertad
fundamental, el derecho a la libertad frente a las potenciales agresiones
a la dignidad y a la libertad de la persona provenientes de un uso ilegtimo
del tratamiento mecanizado de datos. Este derecho fundamental a la
proteccin de los datos persigue garantizar a esa persona un poder de
control sobre sus datos personales, sobre su uso y destino que impida que
se produzcan situaciones atentatorias con la dignidad de la persona, es
decir, el poder de resguardar su vida privada de una publicidad no querida.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
92
7. Principio de Seguridad
La Ley Orgnica 2/2006, de 3 de mayo, de Educacin, establece
expresamente que en el tratamiento de los datos del alumnado se
aplicarn normas tcnicas y organizativas que garanticen su seguridad
y condencialidad. En este sentido, el art. 9 LOPD, bajo la rbrica de
Seguridad de los datos, establece que el responsable del chero, y, en su
caso, el encargado del tratamiento debern adoptar las medidas de ndole
tcnica y organizativas necesarias que garanticen la seguridad de los datos
de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los
datos almacenados y los riesgos a que estn expuestos, ya provengan de
la accin humana o del medio fsico o natural. Asimismo, el citado artculo
seala que no se registrarn datos de carcter personal en cheros que
no renan las condiciones que se determinen por va reglamentaria con
respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
De tal manera, conforme a lo establecido en la Ley Orgnica 15/1999,
tendr la consideracin de infraccin grave, Mantener los cheros,
locales, programas o equipos que contengan datos de carcter personal
sin las debidas condiciones de seguridad que por va reglamentaria
se determinen (art. 44.3.h). En este sentido, tal y como se seala en la
Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo,
Seccin Primera, nm. Recurso: 1182/2001, de fecha 7 de febrero de 2003,
Fundamento de Derecho Tercero, No basta con la aprobacin formal de
las medidas de seguridad, pues resulta exigible que aqullas se instauren y
pongan en prctica de manera efectiva.
Con respecto al desarrollo reglamentario de las condiciones o medidas
de seguridad a que hacen referencia los artculos 9 y 44.3.h) de la Ley
Orgnica 15/1999, sealar que la normativa espaola sobre Proteccin de
Datos de Carcter Personal se ha caracterizado durante un gran nmero de
aos por un cierto desfase en este sentido. De tal manera, la normativa de
desarrollo de la antigua Ley Orgnica 5/1992, de 29 de octubre, reguladora
del tratamiento automatizado de datos de carcter personal (LORTAD) fue
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
93
aprobada en 1999 (siete aos despus de la publicacin de la misma), que
precisamente fue el mismo ao en que apareci la Ley Orgnica 15/1999,
que derogaba a la anterior. Debido a ello, se opt por mantener vigente la
normativa de desarrollo de la derogada LORTAD, el Real Decreto 994/1999,
de 11 de junio, por el que se aprob el Reglamento de medidas de seguridad
de los fcheros automatizados que contuviesen datos de carcter personal,
dndose la extraa circunstancia de que mientras la Ley Orgnica 15/1999
tena por objeto regular tanto los tratamientos automatizados como no
automatizados de datos de carcter personal, tan slo exista desarrollo
reglamentario de medidas de seguridad para los fcheros automatizados de
datos, quedando un vaco legal para la proteccin de los fcheros manuales
o no automatizados en soporte papel que contuviesen datos de carcter
personal.
Tras ms de ocho aos en la situacin descrita, fnalmente se ha
aprobado el Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13
de diciembre, de proteccin de datos de carcter personal, con entrada
en vigor el 19 de abril de 2008, y que contempla un catlogo defnitivo
de medidas de seguridad aplicables tanto a los fcheros y tratamientos
automatizados como no automatizados de datos de carcter personal.
De tal manera, el Real Decreto 1720/2007 recoge en su Ttulo VIII
toda una serie de medidas de seguridad tcnicas y organizativas que los
centros de enseanza debern adoptar en orden a proteger los datos de
carcter personal gestionados en los mismos. A este respecto, el citado
Real Decreto establece tres niveles de seguridad (bsico, medio y alto),
atendiendo a la naturaleza de la informacin tratada, en relacin con la
mayor o menor necesidad de garantizar la confdencialidad y la integridad
de la informacin.
A continuacin, procedemos a presentar un esquema comparativo de
los niveles de seguridad contemplados en el antiguo Real Decreto 994/1999
y en el nuevo Real Decreto 1720/2007, que deroga al anterior:
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
94
REAL DECRETO 994/1999, DE 11 DE JUNIO
NIVEL BSICO
Todos los cheros que contengan datos de carcter
personal debern adoptar las medidas de seguridad
calicadas como de nivel bsico (art.4.1).
NIVEL BSICO
CUALIFICADO
O NIVEL MEDIO
ATENUADO
Se trata de una categora intermedia, a caballo entre el
nivel bsico y el nivel medio. El Real Decreto 994/1999
no se refere expresamente a l como tal, es un nivel
puesto de relieve por la doctrina que no est ofcialmente
reconocido por la Agencia Espaola de Proteccin de
Datos:
Cuando los cheros contengan un conjunto de datos
de carcter personal sucientes que permitan obtener
una evaluacin de la personalidad del individuo debern
garantizar las medidas de nivel medio establecidas en los
artculos 17, 18, 19 y 20 (art. 4.4).
NIVEL MEDIO
Los cheros que contengan datos relativos a la comisin
de infracciones administrativas o penales, Hacienda
Pblica, servicios nancieros y aquellos cheros cuyo
funcionamiento se rija por el articulo 28 de la Ley Orgnica
5/1992 (actual artculo 29 de la Ley Orgnica 15/1999,
relativo a la Prestacin de servicios de informacin sobre
solvencia patrimonial y crdito), debern reunir, adems
de las medidas de nivel bsico, las calicadas como de
nivel medio (art. 4.2).
NIVEL ALTO
Los cheros que contengan datos de ideologa, religin,
creencias, origen racial, salud o vida sexual as como los
que contengan datos recabados para nes policiales
sin consentimiento de las personas afectadas debern
reunir, adems de las medidas de nivel bsico y medio,
las calicadas como de nivel alto (art. 4.3).
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
95
REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE
NIVEL
BSICO
Todos los cheros o tratamientos de datos de carcter personal
debern adoptar las medidas de seguridad calicadas de nivel
bsico (art. 81.1).
En caso de cheros o tratamientos de datos de ideologa,
aliacin sindical, religin, creencias, origen racial, salud o vida
sexual bastar la implantacin de las medidas de seguridad de
nivel bsico cuando:
a) Los datos se utilicen con la nica nalidad de realizar una
transferencia dineraria a las entidades de las que los afectados
sean asociados o miembros.
b) Se trate de cheros o tratamientos no automatizados en los que
de forma incidental o accesoria se contengan aquellos datos sin
guardar relacin con su nalidad (art. 81.5).
Tambin podrn implantarse las medidas de seguridad de nivel
bsico en los cheros o tratamientos que contengan datos relativos
a la salud, referentes exclusivamente al grado de discapacidad o
la simple declaracin de la condicin de discapacidad o invalidez
del afectado, con motivo del cumplimiento de deberes pblicos
(art. 81.6).
NIVEL
MEDIO
Debern implantarse, adems de las medidas de seguridad de
nivel bsico, las medidas de nivel medio, en los siguientes cheros
o tratamientos de datos de carcter personal:
a) Los relativos a la comisin de infracciones administrativas o
penales.
b) Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley
Orgnica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones
tributarias y se relacionen con el ejercicio de sus potestades
tributarias.
d) Aqullos de los que sean responsables las entidades nancieras
para nalidades relacionadas con la prestacin de servicios
nancieros.
e) Aqullos de los que sean responsables las Entidades Gestoras
y Servicios Comunes de la Seguridad Social y se relacionen con
el ejercicio de sus competencias. De igual modo, aquellos de los
que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
f) Aqullos que contengan un conjunto de datos de carcter
personal que ofrezcan una denicin de las caractersticas o
de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento
de los mismos (art. 81.2).
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
96
NIVEL
MEDIO +
REGISTRO
DE
ACCESOS
(ART. 103)
A los cheros de los que sean responsables los operadores que
presten servicios de comunicaciones electrnicas disponibles al
pblico o exploten redes pblicas de comunicaciones electrnicas
respecto a los datos de trco y a los datos de localizacin, se
aplicarn, adems de las medidas de seguridad de nivel bsico
y medio, la medida de seguridad de nivel alto contenida en el
artculo 103 de este reglamento (art. 81.4).
NIVEL
ALTO
Adems de las medidas de nivel bsico y medio, las medidas de
nivel alto se aplicarn en los siguientes cheros o tratamientos de
datos de carcter personal:
a) Los que se reeran a datos de ideologa, aliacin sindical,
religin, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se reeran a datos recabados para nes
policiales sin consentimiento de las personas afectadas.
c) Aqullos que contengan datos derivados de actos de violencia
de gnero (art. 81.3).
Una vez encajados en unos u otros niveles cada uno de los fcheros
de datos manejados en el centro de enseanza, se debe proceder a
implementar las medidas de seguridad correspondientes en funcin del nivel
asignado. Sobre la adopcin de las medidas de ndole tcnica, organizativa
y de gestin encaminadas a garantizar la seguridad de los datos de carcter
personal objeto de tratamiento, el Ttulo VIII del Real Decreto 1720/2007 se
basa en un esquema de crculos concntricos. De tal manera, las medidas
de seguridad contempladas en el Real Decreto 1720/2007 tienen carcter
acumulativo, debiendo adoptarse las medidas correspondientes al nivel
aplicable, as como todas aqullas recogidas en los niveles inferiores:
Crculos concntricos de seguridad
Nivel Alto
Nivel Medio
Nivel Bsico
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
97
En el ncleo de este esquema se encontraran las medidas de seguridad
de nivel bsico, aplicables a todos los fcheros o tratamientos de datos de
carcter personal con carcter general.
Asimismo, en caso de fcheros o tratamientos de datos de
ideologa, afliacin sindical, religin, creencias, origen racial, salud o vida
sexual bastar la implantacin de las medidas de seguridad de nivel bsico
cuando:
- Los datos se utilicen con la nica fnalidad de realizar una
transferencia dineraria a las entidades de las que los afectados
sean asociados o miembros. As por ejemplo, bastara aplicar las
medidas de seguridad de nivel bsico sobre aquellos fcheros de
personal que contuviesen el dato de afliacin a un sindicato (dato
especialmente protegido), necesario para el pago de la cuota
sindical a travs de la nmina salarial (por ejemplo, de un docente
afliado a un sindicato).
- Se trate de fcheros o tratamientos no automatizados en los que
de forma incidental o accesoria se contengan aquellos datos sin
guardar relacin con su fnalidad.
Tambin podrn implantarse las medidas de seguridad de nivel bsico
en los fcheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple declaracin
de la condicin de discapacidad o invalidez del afectado, con motivo del
cumplimiento de deberes pblicos. As por ejemplo, sobre un fchero de
personal que contenga el dato del grado de minusvala (dato especialmente
protegido de salud) de un docente con una discapacidad auditiva, dato
cuya declaracin es necesaria para el clculo de las retenciones prevista en
Nivel Bsico
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
98
la legislacin del IRPF, bastara la aplicacin de las medidas de seguridad
de nivel bsico.
Siguiendo con el esquema de crculos concntricos de seguridad, en la
capa intermedia encontraramos las medidas de seguridad de nivel medio,
aplicables a los siguientes fcheros o tratamientos de datos de carcter
personal:
- Los relativos a la comisin de infracciones administrativas o penales.
- Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley
Orgnica 15/1999, de 13 de diciembre (Prestacin de servicios de
informacin sobre solvencia patrimonial y crdito).
- Aqullos de los que sean responsables Administraciones tributarias
y se relacionen con el ejercicio de sus potestades tributarias.
- Aqullos de los que sean responsables las entidades fnancieras para
fnalidades relacionadas con la prestacin de servicios fnancieros.
- Aqullos de los que sean responsables las Entidades Gestoras
y Servicios Comunes de la Seguridad Social y se relacionen con
el ejercicio de sus competencias. De igual modo, aquellos de los
que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
- Aqullos que contengan un conjunto de datos de carcter personal
que ofrezcan una defnicin de las caractersticas o de la personalidad
de los ciudadanos y que permitan evaluar determinados aspectos
de la personalidad o del comportamiento de los mismos.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
99
De tal manera, a los fcheros y tratamientos de datos de carcter personal
que tengan encaje en el nivel medio recogido en el Real Decreto 1720/2007,
le seran de aplicacin las medidas de seguridad tanto de nivel bsico como
de nivel medio.
En lo que respecta a los fcheros de los que sean responsables
los operadores que presten servicios de comunicaciones electrnicas
disponibles al pblico o exploten redes pblicas de comunicaciones
electrnicas respecto a los datos de trfco y a los datos de localizacin, se
aplicarn, adems de las medidas de seguridad de nivel bsico y medio,
la medida de seguridad de nivel alto contenida en el artculo 103 del Real
Decreto 1720/2007, relativa al Registro de accesos.
Finalmente, en la capa externa del esquema de crculos concntricos en
que se basa el Ttulo VIII del Real Decreto 1720/2007, se encontraran las
medidas de seguridad de nivel alto, aplicables a los siguientes fcheros o
tratamientos de datos de carcter personal:
Nivel Medio
Nivel Bsico
Nivel Medio
Registro de Accesos
Nivel Bsico
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
100
- Los que se refieran a datos de ideologa, afiliacin sindical,
religin, creencias, origen racial, salud o vida sexual, con las
excepciones anteriormente sealadas.
- Los que contengan o se refieran a datos recabados para fines
policiales sin consentimiento de las personas afectadas.
- Aqullos que contengan datos derivados de actos de violencia
de gnero.
Volvemos a recordar que las medidas de seguridad contempladas
en el Ttulo VIII del Real Decreto 1720/2007 tienen carcter acumulativo,
de manera que a los datos de carcter personal de nivel alto le son de
aplicacin las medidas de seguridad de nivel bsico, medio y alto.
Recordar, asimismo, que las medidas incluidas en cada uno de los
niveles descritos anteriormente tienen la condicin de mnimos exigibles,
sin perjuicio de las disposiciones legales o reglamentarias especfcas
vigentes que pudieran resultar de aplicacin en cada caso o las que por
propia iniciativa adoptase el responsable del fchero.
Asimismo, el Real decreto 1720/2007 contempla la posibilidad de que,
cuando en un sistema de informacin existan fcheros o tratamientos
que en funcin de su fnalidad o uso concreto, o de la naturaleza de los
datos que contengan, requieran la aplicacin de un nivel de medidas de
Nivel Alto
Nivel Medio
Nivel Bsico
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
101
seguridad diferente al del sistema principal, puedan segregarse de este
ltimo, siendo de aplicacin en cada caso el nivel de medidas de seguridad
correspondiente y siempre que puedan delimitarse los datos afectados y
los usuarios con acceso a los mismos, y que esto se haga constar en el
documento de seguridad.
Las medidas de seguridad contempladas en el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de
carcter personal, se dividen en medidas de carcter general aplicables a
todos los fcheros y tratamientos de carcter personal (automatizados y no
automatizados), medidas aplicables a fcheros y tratamientos automatizados
y medidas aplicables a fcheros y tratamientos no automatizados. A su
vez, dichas medidas se encajan en cada uno de los diferentes niveles
anteriormente comentados (bsico, medio o alto).
Al igual que en el anterior Real Decreto 994/1999, existe la obligacin
por parte del responsable del fchero o tratamiento de elaborar e implantar
un documento, de obligado cumplimiento para el personal con acceso a
los sistemas de informacin, que recoja las medidas de ndole tcnica y
organizativa encaminadas a garantizar la seguridad de los datos de carcter
personal objeto de tratamiento, el llamado Documento de Seguridad.
Sobre el contenido mnimo del citado documento, su actualizacin,
adecuacin a las disposiciones vigentes en materia de seguridad de los
datos de carcter personal y otros aspectos formales del mismo, el artculo
88 del Real Decreto 1720/2007 desgrana en profundidad stas y otras
cuestiones de inters acerca del mismo:
Artculo 88. El documento de seguridad.
1. El responsable del chero o tratamiento elaborar un documento de
seguridad que recoger las medidas de ndole tcnica y organizativa acordes
a la normativa de seguridad vigente que ser de obligado cumplimiento para
el personal con acceso a los sistemas de informacin.
2. El documento de seguridad podr ser nico y comprensivo de todos
los cheros o tratamientos, o bien individualizado para cada chero o
tratamiento. Tambin podrn elaborarse distintos documentos de seguridad
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
102
agrupando cheros o tratamientos segn el sistema de tratamiento utilizado
para su organizacin, o bien atendiendo a criterios organizativos del
responsable. En todo caso, tendr el carcter de documento interno de la
organizacin.
3. El documento deber contener, como mnimo, los siguientes aspectos:
a) mbito de aplicacin del documento con especicacin detallada
de los recursos protegidos.
b) Medidas, normas, procedimientos de actuacin, reglas y estndares
encaminados a garantizar el nivel de seguridad exigido en este
reglamento.
c) Funciones y obligaciones del personal en relacin con el tratamiento
de los datos de carcter personal incluidos en los cheros.
d) Estructura de los cheros con datos de carcter personal y
descripcin de los sistemas de informacin que los tratan.
e) Procedimiento de noticacin, gestin y respuesta ante las
incidencias.
f) Los procedimientos de realizacin de copias de respaldo y
de recuperacin de los datos en los cheros o tratamientos
automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes
y documentos, as como para la destruccin de los documentos y
soportes, o en su caso, la reutilizacin de estos ltimos.
4. En caso de que fueran de aplicacin a los cheros las medidas de
seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas
en este ttulo, el documento de seguridad deber contener adems:
a) La identicacin del responsable o responsables de seguridad.
b) Los controles peridicos que se deban realizar para vericar el
cumplimiento de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el
documento de seguridad deber contener la identicacin de los cheros
o tratamientos que se traten en concepto de encargado con referencia
expresa al contrato o documento que regule las condiciones del encargo,
as como de la identicacin del responsable y del perodo de vigencia del
encargo.
6. En aquellos casos en los que datos personales de un chero o
tratamiento se incorporen y traten de modo exclusivo en los sistemas del
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
103
encargado, el responsable deber anotarlo en su documento de seguridad.
Cuando tal circunstancia afectase a parte o a la totalidad de los cheros o
tratamientos del responsable, podr delegarse en el encargado la llevanza
del documento de seguridad, salvo en lo relativo a aquellos datos contenidos
en recursos propios. Este hecho se indicar de modo expreso en el contrato
celebrado al amparo del artculo 12 de la Ley Orgnica 15/1999, de 13 de
diciembre, con especicacin de los cheros o tratamientos afectados.
En tal caso, se atender al documento de seguridad del encargado al
efecto del cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deber mantenerse en todo momento
actualizado y ser revisado siempre que se produzcan cambios relevantes
en el sistema de informacin, en el sistema de tratamiento empleado, en su
organizacin, en el contenido de la informacin incluida en los cheros o
tratamientos o, en su caso, como consecuencia de los controles peridicos
realizados. En todo caso, se entender que un cambio es relevante cuando
pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del documento de seguridad deber adecuarse, en todo
momento, a las disposiciones vigentes en materia de seguridad de los datos
de carcter personal.
Una novedad importante con respecto al anterior Real Decreto
994/1999, es la posibilidad que ofrece el Real Decreto 1720/2007 de
delegar, en aquellos casos en que la totalidad de los fcheros o tratamientos
del responsable se incorporen y traten de modo exclusivo en los sistemas
del encargado, la llevanza del documento de seguridad en el encargado
del tratamiento, salvo en lo relativo a aquellos datos de carcter personal
contenidos en recursos propios del responsable.
Con respecto a las medidas de seguridad aplicables a los fcheros
automatizados de datos de carcter personal, stas son semejantes a
las contempladas en el Real Decreto 994/1999, de 11 de junio, por el
que se aprueba el Reglamento de medidas de seguridad de los fcheros
automatizados que contengan datos de carcter personal, clasifcndose,
asimismo, en medidas de seguridad de nivel bsico, medio y alto. De manera
sinttica, podemos resumir dichas medidas de seguridad en las siguientes:
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
104
7. 1. Ficheros automatizados.
7. 1. 1. Medidas de seguridad de Nivel Bsico:
- Defnicin y documentacin de las funciones y obligaciones de cada
uno de los usuarios o perfles de usuarios con acceso a los datos de
carcter personal y a los sistemas de informacin.
- Adopcin de las medidas necesarias para que el personal conozca
de una forma comprensible las normas de seguridad que afecten al
desarrollo de sus funciones as como las consecuencias en que pudiera
incurrir en caso de incumplimiento.
- Generacin de un procedimiento de notifcacin y gestin de las
incidencias que afecten a los datos de carcter personal y establecimiento
de un registro en el que se haga constar el tipo de incidencia, el
momento en que se ha producido, o en su caso, detectado, la persona
que realiza la notifcacin, a quin se le comunica, los efectos que se
hubieran derivado de la misma y las medidas correctoras aplicadas.
- Establecimiento de mecanismos de control de acceso a los datos y
recursos por parte de los usuarios.
- Cumplimiento de medidas relativas a la gestin de soportes
que contengan datos de carcter personal (inventariado e
identifcacin, salidas, traslado, destruccin, etc.), entendiendo por
soporte cualquier objeto fsico que almacene o contenga datos o
documentos, u objeto susceptible de ser tratado en un sistema de
informacin y sobre el cual se pueden grabar y recuperar datos.
Dichas medidas son igualmente aplicables a los soportes o
documentos comprendidos y/o anejos a un correo electrnico.
- Implantacin de un mecanismo que permita la identifcacin de
forma inequvoca y personalizada de todo aquel usuario que intente
acceder al sistema de informacin y la verifcacin de que est
autorizado (por ejemplo, usuario y contrasea).
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
105
- Realizacin de copias de respaldo y recuperacin de los datos con
una periodicidad mnima semanal, salvo que en dicho periodo no se
hubiera producido ninguna actualizacin de los datos. Verifcacin
cada seis meses de la correcta defnicin, funcionamiento y
aplicacin de los procedimientos de realizacin de copias de
respaldo y de recuperacin de los datos.
- Prohibicin de realizar con datos reales pruebas anteriores a la
implantacin o modifcacin de los sistemas de informacin que
traten fcheros con datos de carcter personal, salvo que se asegure
el nivel de seguridad correspondiente al tratamiento realizado,
se anote su realizacin en el documento de seguridad y se haya
realizado previamente una copia de seguridad.
7. 1. 2. Medidas de Seguridad de Nivel Medio:
- Cumplimiento de las medidas de seguridad de nivel bsico.
Recordamos, en este sentido, que las medidas de seguridad
contempladas en el Ttulo VIII del Real Decreto 1720/2007
tienen carcter acumulativo, debiendo adoptarse las medidas
correspondientes al nivel aplicable, as como todas aqullas
recogidas en los niveles inferiores.
- Designacin de uno, una o varios, varias responsables de seguridad,
encargados de coordinar y controlar las medidas defnidas en el
documento de seguridad. Esta designacin puede ser nica para
todos los fcheros o tratamientos de datos de carcter personal
o diferenciada segn los sistemas de tratamiento utilizados,
circunstancia que deber hacerse constar claramente en el
documento de seguridad.
- Sometimiento de los sistemas de informacin e instalaciones de
tratamiento y almacenamiento de datos a una auditoria interna o
externa que verifque el cumplimiento del Ttulo VIII del Real Decreto
1720/2007, al menos, cada dos aos. Con carcter extraordinario
deber realizarse dicha auditora siempre que se realicen
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
106
modifcaciones sustanciales en el sistema de informacin que
puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con el objeto de verifcar la adaptacin, adecuacin y
efcacia de las mismas.
- Establecimiento de un sistema de registro de entrada y salida de
soportes, entendiendo por soporte cualquier objeto fsico que
almacene o contenga datos o documentos, u objeto susceptible de
ser tratado en un sistema de informacin y sobre el cual se pueden
grabar y recuperar datos.
- Establecimiento de un mecanismo que limite la posibilidad de intentar
reiteradamente el acceso no autorizado al sistema de informacin.
- Establecimiento de mecanismos de control de acceso fsico a los
lugares donde se hallen instalados los equipos que den soporte a
los sistemas de informacin. Exclusivamente el personal autorizado
en el documento de seguridad podr tener acceso a los mismos.
- Cumplimiento de medidas adicionales con respecto al registro de
incidencias, debiendo consignarse los procedimientos realizados
de recuperacin de los datos, indicando la persona que ejecut el
proceso, los datos restaurados y, en su caso, qu datos ha sido
necesario grabar manualmente en el proceso de recuperacin.
7. 1. 3. Medidas de Seguridad de Nivel Alto:
- Cumplimiento de las medidas de seguridad de nivel bsico y de
nivel medio. Recordamos, en este sentido, que las medidas de
seguridad contempladas en el Ttulo VIII del Real Decreto 1720/2007
tienen carcter acumulativo, debiendo adoptarse las medidas
correspondientes al nivel aplicable, as como todas aqullas
recogidas en los niveles inferiores.
- Identifcacin de los soportes que contengan datos de carcter
personal utilizando sistemas de etiquetado comprensibles y con
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
107
signifcado que permitan a los usuarios con acceso autorizado a
los citados soportes y documentos identifcar su contenido, y que
difculten la identifcacin para el resto de personas. Distribucin de
los mismos cifrando los datos que contengan o bien utilizando otro
mecanismo que garantice que dicha informacin no sea accesible o
manipulada durante su transporte.
- Cifrado de los datos de carcter personal que contengan los
dispositivos porttiles (ordenadores porttiles, PDAs, etc.), cuando
stos se encuentren fuera de las instalaciones que estn bajo el
control del responsable del fchero.
- Conservacin de una copia de respaldo de los datos y de los
procedimientos de recuperacin de los mismos en un lugar
diferente de aquel en que se encuentren los equipos informticos
que los tratan, que deber cumplir en todo caso las medidas de
seguridad exigidas en el Ttulo VIII del Real Decreto 1720/2007, o
utilizando elementos que garanticen la integridad y recuperacin de
la informacin, de forma que sea posible su recuperacin.
- Implementacin de un registro de accesos que deber guardar,
como mnimo, la identifcacin del usuario, la fecha y hora en que se
realiz, el fchero accedido, el tipo de acceso y si ha sido autorizado
o denegado. Revisin, al menos una vez al mes, de la informacin
de control registrada y elaboracin de un informe de las revisiones
realizadas y los problemas detectados.
- Cifrado de los datos de carcter personal, o utilizacin de cualquier
otro mecanismo que garantice que la informacin no sea inteligible
ni manipulada por terceros, cuando se transmitan a travs de redes
pblicas o redes inalmbricas de comunicaciones electrnicas (por
ejemplo, Internet).
Asimismo, el Ttulo VIII del Real Decreto 1720/2007 contempla, con
carcter adicional, otra serie de medidas de seguridad aplicables a cualquier
fchero o tratamiento automatizado de datos de carcter personal, con
independencia del nivel en el cual tengan encaje los mismos:
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
108
- Garantizar un nivel de seguridad equivalente al correspondiente a
los accesos en modo local cuando el acceso a los datos de carcter
personal se realice a travs de redes de comunicaciones, sean o no
pblicas.
- Cuando los datos de carcter personal se almacenen en dispositivos
porttiles o se traten fuera de los locales del responsable de
fchero o tratamiento o del encargado del tratamiento, ser preciso
que exista una autorizacin previa del responsable del fchero o
tratamiento, y en todo caso deber garantizarse el nivel de seguridad
correspondiente al tipo de fchero tratado.
- Aquellos fcheros temporales que se creen exclusivamente para
la realizacin de trabajos temporales o auxiliares debern cumplir
con las medidas de seguridad correspondientes, de conformidad
con el nivel aplicable en base a lo establecido en el Real Decreto
1720/2007. Asimismo, debern ser borrados una vez que hayan
dejado de ser necesarios para los fnes que motivaron su creacin.
En lo que respecta a las medidas de seguridad aplicables a los fcheros
no automatizados que contengan datos de carcter personal, stas se
clasifcan, de manera semejante a las contempladas para los fcheros
automatizados, en medidas de seguridad de nivel bsico, medio y alto:
7. 2. Ficheros no automatizados.
7. 2. 1. Medidas de seguridad de Nivel Bsico:
- Defnicin y documentacin de las funciones y obligaciones de cada
uno de los usuarios o perfles de usuarios con acceso a los datos de
carcter personal y a los sistemas de informacin.
- Adopcin de las medidas necesarias para que el personal conozca
de una forma comprensible las normas de seguridad que afecten
al desarrollo de sus funciones as como las consecuencias en que
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
109
pudiera incurrir en caso de incumplimiento.
- Generacin de un procedimiento de notifcacin y gestin de
las incidencias que afecten a los datos de carcter personal y
establecimiento de un registro en el que se haga constar el tipo
de incidencia, el momento en que se ha producido, o en su caso,
detectado, la persona que realiza la notifcacin, a quin se le
comunica, los efectos que se hubieran derivado de la misma y las
medidas correctoras aplicadas.
- Establecimiento de mecanismos de control de acceso a los datos y
recursos por parte de los usuarios.
- Cumplimiento de medidas relativas a la gestin de documentos que
contengan datos de carcter personal (inventariado e identifcacin,
salidas, traslado, destruccin, etc.), entendiendo por documento todo
escrito, grfco, sonido, imagen o cualquier otra clase de informacin
que puede ser tratada en un sistema de informacin como una unidad
diferenciada.
- El archivo de los documentos deber realizarse de acuerdo con los
criterios previstos en su respectiva legislacin. Estos criterios debern
garantizar la correcta conservacin de los documentos, la localizacin
y consulta de la informacin y posibilitar el ejercicio de los derechos
de oposicin al tratamiento, acceso, rectifcacin y cancelacin. En
aquellos casos en los que no exista norma aplicable, el responsable del
fchero deber establecer los criterios y procedimientos de actuacin
que deban seguirse para el archivo.
- Los dispositivos de almacenamiento de los documentos que contengan
datos de carcter personal debern disponer de mecanismos que
obstaculicen su apertura (por ejemplo, sistema de apertura mediante
llave u otro dispositivo equivalente). Cuando las caractersticas fsicas
de aqullos no permitan adoptar esta medida, el responsable del
fchero o tratamiento adoptar medidas que impidan el acceso de
personas no autorizadas.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
110
- Mientras la documentacin con datos de carcter personal no se
encuentre archivada en dispositivos de almacenamiento dotados de
mecanismos que obstaculicen su apertura, por estar en proceso de
revisin o tramitacin, ya sea previo o posterior a su archivo, la persona
que se encuentre al cargo de la misma deber custodiarla e impedir en
todo momento que pueda ser accedida por persona no autorizada.
7. 2. 2. Medidas de Seguridad de Nivel Medio:
- Cumplimiento de las medidas de seguridad de nivel bsico.
Recordamos, en este sentido, que las medidas de seguridad
contempladas en el Ttulo VIII del Real Decreto 1720/2007
tienen carcter acumulativo, debiendo adoptarse las medidas
correspondientes al nivel aplicable, as como todas aqullas
recogidas en los niveles inferiores.
- Designacin de uno o varios responsables de seguridad, encargados
de coordinar y controlar las medidas defnidas en el documento de
seguridad. Esta designacin puede ser nica para todos los fcheros
o tratamientos de datos de carcter personal o diferenciada segn los
sistemas de tratamiento utilizados, circunstancia que deber hacerse
constar claramente en el documento de seguridad.
- Sometimiento de los fcheros de datos de carcter personal a una
auditoria interna o externa que verifque el cumplimiento del Ttulo
VIII del Real Decreto 1720/2007, al menos, cada dos aos.
7. 2. 3. Medidas de Seguridad de Nivel Alto:
- Cumplimiento de las medidas de seguridad de nivel bsico y de
nivel medio. Recordamos, en este sentido, que las medidas de
seguridad contempladas en el Ttulo VIII del Real Decreto 1720/2007
tienen carcter acumulativo, debiendo adoptarse las medidas
correspondientes al nivel aplicable, as como todas aqullas
recogidas en los niveles inferiores.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
111
- Los armarios, archivadores u otros elementos en los que se
almacenen los fcheros no automatizados con datos de carcter
personal debern encontrarse en reas en las que el acceso est
protegido con puertas de acceso dotadas de sistemas de apertura
mediante llave u otro dispositivo equivalente. Dichas reas debern
permanecer cerradas cuando no sea preciso el acceso a los
documentos incluidos en el fchero.
- La generacin de copias o la reproduccin de los documentos
nicamente podr ser realizada bajo el control del personal autorizado
en el documento de seguridad. Asimismo, deber procederse a la
destruccin de las copias o reproducciones desechadas de forma
que se evite el acceso a la informacin contenida en las mismas o su
recuperacin posterior.
- El acceso a la documentacin se limitar exclusivamente al personal
autorizado. Se debern establecer mecanismos que permitan
identifcar los accesos realizados en el caso de documentos que
puedan ser utilizados por mltiples usuarios.
- Siempre que se proceda al traslado fsico de la documentacin
contenida en un fchero, debern adoptarse medidas dirigidas a
impedir el acceso o manipulacin de la informacin objeto de traslado.
Finalmente, el Ttulo VIII del Real Decreto 1720/2007 contempla, con
carcter adicional, otra serie de medidas de seguridad aplicables a cualquier
fchero o tratamiento no automatizado de datos de carcter personal, con
independencia del nivel en el cual tengan encaje los mismos:
- Cuando los datos de carcter personal se traten fuera de los locales del
responsable de fchero o tratamiento o del encargado del tratamiento,
ser preciso que exista una autorizacin previa del responsable del
fchero o tratamiento, y en todo caso deber garantizarse el nivel de
seguridad correspondiente al tipo de fchero tratado.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
112
- Aquellas copias de documentos que se creen exclusivamente para
la realizacin de trabajos temporales o auxiliares debern cumplir
con las medidas de seguridad correspondientes, de conformidad
con el nivel aplicable en base a lo establecido en el Real Decreto
1720/2007. Asimismo, debern ser destruidos una vez que hayan
dejado de ser necesarios para los fnes que motivaron su creacin.
Aplicacin de los principios de la Ley Orgnica de Proteccin de Datos
113
CUADRO RESUMEN DE MEDIDAS DE SEGURIDAD
NIVEL MEDIDA DE SEGURIDAD AUTOM. NO AUTOM.
COMN Encargado del tratamiento
COMN
Prestaciones de servicios sin acceso a datos
personales
COMN Delegacin de autorizaciones
COMN
Acceso a datos a travs de redes de
comunicaciones
COMN
Rgimen de trabajo fuera de los locales del
responsable del fchero o encargado del tratamiento
COMN
Ficheros temporales o copias de trabajo de
documentos
BSICO Documento de seguridad
BSICO Funciones y obligaciones del personal
BSICO Registro de incidencias
BSICO Control de acceso
BSICO Gestin de soportes y documentos
BSICO Identifcacin y autenticacin
BSICO Copias de respaldo y recuperacin
BSICO Criterios de archivo
BSICO Dispositivos de almacenamiento
BSICO Custodia de los soportes
MEDIO Responsable de seguridad
MEDIO Auditora
MEDIO Gestin de soportes y documentos
MEDIO Identifcacin y autenticacin
MEDIO Control de acceso fsico
MEDIO Registro de incidencias
ALTO Gestin y distribucin de soportes
ALTO Copias de respaldo y recuperacin
ALTO Registro de accesos
ALTO Telecomunicaciones
ALTO Almacenamiento de la informacin
ALTO Copia o reproduccin
ALTO Acceso a la documentacin
ALTO Traslado de documentacin
RECOMENDACIONE5 PARA EL CORRECTO
TRATAMIENTO DE FICHERO5 NO AUTOMATIZADO5
UE CONTENCAN DATO5 DE CARCTER PER5ONAL
CAPTULO IV
117
1. Introduccin
Si bien es cierto que los centros de enseanza de la Junta de Andaluca
estn siendo objeto de un irreversible proceso de informatizacin que les
permite benefciarse de las ventajas que ofrecen las nuevas Tecnologas de
la Informacin y las Comunicaciones (TICs), no podemos obviar que en los
mismos todava se maneja una gran cantidad de documentacin en formato
papel: los formularios de solicitud de plaza y matriculacin, expedientes
acadmicos, informes psicopedaggicos y test de inteligencia y conducta
elaborados por los orientadores y orientadoras, fchas manejadas por el
profesorado, listados de diversa naturaleza, etc. Esta circunstancia debe
hacernos refexionar acerca de la necesidad de proteger, al igual que los
datos de carcter personal automatizados, la documentacin en papel
que contenga informacin concerniente a personas fsicas identifcadas o
identifcables (por ejemplo, alumnado del centro).
En este sentido, debemos sealar que la normativa espaola sobre
Proteccin de Datos de Carcter Personal se ha caracterizado durante
un gran nmero de aos por un cierto desfase en este sentido. De tal
manera, la normativa de desarrollo de la antigua Ley Orgnica 5/1992,
de 29 de octubre, reguladora del tratamiento automatizado de datos de
carcter personal (LORTAD) fue aprobada en 1999 (siete aos despus de
la publicacin de la misma), que precisamente fue el mismo ao en que
apareci la Ley Orgnica 15/1999, que derogaba a la anterior. Debido a ello,
se opt por mantener vigente la normativa de desarrollo de la derogada
LORTAD, el Real Decreto 994/1999, de 11 de junio, por el que se aprob el
Reglamento de medidas de seguridad de los fcheros automatizados que
contuviesen datos de carcter personal, dndose la extraa circunstancia
de que mientras la Ley Orgnica 15/1999 tena por objeto regular tanto los
tratamientos automatizados como no automatizados de datos de carcter
personal, tan slo exista desarrollo reglamentario de medidas de seguridad
para los fcheros automatizados de datos, quedando un vaco legal para la
proteccin de los fcheros manuales o no automatizados en formato papel
que contuviesen datos de carcter personal.
Recomendaciones para el tratamiento de cheros no automatizados
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
118
A la espera de la aprobacin del desarrollo reglamentario de la Ley
Orgnica 15/1999, que contemplase un catlogo de medidas de seguridad
aplicables a los fcheros no automatizados que contuviesen datos de carcter
personal, la Agencia Espaola de Proteccin de Datos entendi que deban
trasladarse las medidas contempladas para los fcheros automatizados de
datos tambin a los no automatizados, en la medida que fuera posible:
En lo que se reere a la aplicacin de las medidas de seguridad exigidas
por el Reglamento debe formularse una aclaracin respecto a su aplicacin
en los cheros no automatizados.
El artculo 1 del Reglamento delimita su mbito de aplicacin
estableciendo que ser aplicable nicamente a los cheros automatizados.
Esta delimitacin resultaba congruente con el sistema de garantas
contemplado en la Ley Orgnica 5/1992, de 29 de octubre (LORTAD),
en cuyo desarrollo fue aprobado, y que slo era de aplicacin a cheros
automatizados.
La vigente LOPD presenta como una de sus principales novedades la
ampliacin de su mbito de aplicacin que ahora alcanza los datos de
carcter personal registrados en soporte fsico que los hace susceptibles
de tratamiento y a toda modalidad de uso posterior de estos datos...
(art. 2). Incluye, por tanto, los datos en soporte papel siempre que estn
estructurados como cheros.
La Disposicin Transitoria Tercera de la LOPD mantiene la vigencia de las
normas reglamentarias preexistentes, entre las que se cita el Reglamento de
Medidas de Seguridad, en cuanto no se oponga a la nueva Ley.
La previsin del Reglamento de aplicarse slo a los cheros automatizados
se opone a la vigente LOPD, al haberse ampliado su mbito de aplicacin,
como se ha expuesto, por lo que debe considerarse derogada.
En consecuencia, desde la entrada en vigor de la LOPD, resulta aplicable
dicho Reglamento a los cheros en soporte no automatizado que se hubieran
creado con posterioridad a la entrada en vigor de la Ley Orgnica, el 14 de enero
119
Recomendaciones para el tratamiento de cheros no automatizados
de 2000. Los cheros en soportes no automatizados que existieran antes de
dicha fecha dispondrn, a estos efectos, del perodo de adaptacin establecido
en la Disposicin Adicional Primera (que naliza en octubre de 2007).
No obstante, cuando resulte de aplicacin el Reglamento de Medidas
de Seguridad, conforme a los criterios expuestos, slo debern implantarse
las medidas de seguridad que, pese a estar previstas para tratamientos
automatizados, por su naturaleza sean tambin aplicables a cheros no
automatizados como, por ejemplo, la elaboracin e implantacin del
Documento de Seguridad.
Ahora bien, la aplicacin analgica de las medidas de seguridad previstas
para los fcheros automatizados de datos a los fcheros no automatizados
que contuviesen datos de carcter personal no era algo sencillo, ya que se
trataba de medidas especialmente concebidas para un entorno basado en
la tecnologa digital.
Tras ms de ocho aos en la situacin descrita, fnalmente se ha
aprobado el Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13
de diciembre, de proteccin de datos de carcter personal, con entrada
en vigor el 19 de abril de 2008, y que contempla un catlogo defnitivo
de medidas de seguridad aplicables tanto a los fcheros y tratamientos
automatizados como no automatizados de datos de carcter personal.
De tal manera, el Real Decreto 1720/2007 recoge en el Captulo IV de
su Ttulo VIII toda una serie de medidas de seguridad que los centros de
enseanza debern adoptar en orden a proteger los datos de carcter
personal gestionados en sus fcheros manuales o no automatizados
en formato papel. En este sentido, el citado Real Decreto entiende por
fchero no automatizado todo conjunto de datos de carcter personal
organizado de forma no automatizada y estructurado conforme a criterios
especcos relativos a personas fsicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aqul centralizado,
descentralizado o repartido de forma funcional o geogrca (art. 5.1.n).
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
120
A este respecto, el Captulo IV del Ttulo VIII del Real Decreto 1720/2007
establece tres niveles de seguridad distintos (bsico, medio y alto),
atendiendo a la naturaleza de la informacin tratada, en relacin con la mayor
o menor necesidad de garantizar la confdencialidad y la integridad de los
datos de carcter personal contenidos en los fcheros no automatizados.
Recordar asimismo que, conforme a lo establecido en la Ley Orgnica
15/1999, tendr la consideracin de infraccin grave, Mantener los
cheros, locales, programas o equipos que contengan datos de carcter
personal sin las debidas condiciones de seguridad que por va reglamentaria
se determinen (art. 44.3.h)). En este sentido, tal y como se seala en la
Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo,
Seccin Primera, nm. Recurso: 1182/2001, de fecha 7 de febrero de 2003,
Fundamento de Derecho Tercero, No basta con la aprobacin formal de
las medidas de seguridad, pues resulta exigible que aqullas se instauren y
pongan en prctica de manera efectiva.
121
Recomendaciones para el tratamiento de cheros no automatizados
2. Recomendaciones sobre proteccin de la documentacin
en formato papel
2.1. Indicaciones Generales
Por encima de cualquier otra consideracin, los centros de enseanza
deben ser conscientes de la importancia de preservar la integridad y
confdencialidad de los documentos en formato papel que contengan
datos de carcter personal y evitar su prdida, destruccin o accesos
no autorizados a los mismos, frente a los riesgos de una prdida de
informacin defnitiva volver a generar un documento idntico o recuperar
la informacin en l contenida es una tarea infnitamente ms compleja que
en el mundo digital, ya que aqu no existe la posibilidad de realizar copias de
seguridad o accesos indebidos de terceros a la informacin que puedan
contener los documentos.
Por lo tanto, es un factor importante para cualquier centro educativo tener
bien documentado el procedimiento de generacin, uso y destruccin de
los documentos en formato papel que contengan informacin concerniente
a personas fsicas identifcadas o identifcables, as como el conjunto
de medidas adoptadas para garantizar la integridad, confdencialidad y
disponibilidad de los mismos, su archivo y gestin y las condiciones de
acceso a la informacin que contengan.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
122
En este sentido, el art. 106 del Real Decreto 1720/2007, relativo a los
Criterios de archivo, establece que El archivo de los soportes o documentos
se realizar de acuerdo con los criterios previstos en su respectiva
legislacin. Estos criterios debern garantizar la correcta conservacin de
los documentos, la localizacin y consulta de la informacin y posibilitar el
ejercicio de los derechos de oposicin al tratamiento, acceso, recticacin
y cancelacin. En aquellos casos en los que no exista norma aplicable, el
responsable del chero deber establecer los criterios y procedimientos de
actuacin que deban seguirse para el archivo.
A este respecto, el Real Decreto 1720/2007 entiende por documento
todo escrito, grco, sonido, imagen o cualquier otra clase de informacin
que puede ser tratada en un sistema de informacin como una unidad
diferenciada (por ejemplo, un informe psicopedaggico o un formulario de
solicitud de plaza) y por soporte el objeto fsico que almacena o contiene
datos o documentos, u objeto susceptible de ser tratado en un sistema de
informacin y sobre el cual se pueden grabar y recuperar datos (art. 5.2
letras f) y ) respectivamente).
2.2. Niveles de Seguridad establecidos en el REAL DECRETO
1720/2007
Con respecto a las medidas de seguridad que se vayan a adoptar para
proteger los fcheros no automatizados que contengan datos de carcter
personal, es muy importante tener en cuenta que no todos los documentos
contienen el mismo tipo de informacin. En este sentido, el Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin
de datos de carcter personal, establece diferentes niveles de seguridad en
funcin del tipo de datos de que estemos hablando:
Nivel Bsico
Aplicable a cualquier fchero que contenga datos de carcter personal,
esto es, cualquier informacin concerniente a personas fsicas identifcadas
o identifcables. As por ejemplo, tendran cabida dentro de esta categora el
123
Recomendaciones para el tratamiento de cheros no automatizados
nombre y apellidos de los alumnos y alumnas, el nmero de su Documento
Nacional de Identidad, direccin, telfono, fecha y lugar de nacimiento, sexo,
datos de familia, historial de estudiante, califcaciones, etc. El dato acerca
de si un alumno o alumna del centro de enseanza es adoptado o adoptada
tambin tendra encaje en el nivel bsico de medidas de seguridad, lo cual
no es obstculo para que dicha informacin sea tratada con una especial
sensibilidad, por las posibles consecuencias que podra tener para el menor
su revelacin a terceros malintencionados.
Asimismo, en caso de fcheros o tratamientos de datos de ideologa,
afliacin sindical, religin, creencias, origen racial, salud o vida sexual
bastar la implantacin de las medidas de seguridad de nivel bsico cuando:
- Los datos se utilicen con la nica fnalidad de realizar una
transferencia dineraria a las entidades de las que los afectados
sean asociados o miembros. As por ejemplo, bastara aplicar las
medidas de seguridad de nivel bsico sobre aquellos fcheros de
personal que contuviesen el dato de afliacin a un sindicato (dato
especialmente protegido), necesario para el pago de la cuota
sindical a travs de la nmina salarial (por ejemplo, de un docente
afliado a un sindicato).
- Se trate de fcheros o tratamientos no automatizados en los que
de forma incidental o accesoria se contengan aquellos datos sin
guardar relacin con su fnalidad.
Tambin podrn implantarse las medidas de seguridad de nivel bsico
en los fcheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple declaracin
de la condicin de discapacidad o invalidez del afectado, con motivo del
cumplimiento de deberes pblicos. As por ejemplo, sobre un fchero de
personal que contenga el dato del grado de minusvala (dato especialmente
protegido de salud) de un docente con una discapacidad auditiva, dato
cuya declaracin es necesaria para el clculo de las retenciones prevista en
la legislacin del IRPF, bastara la aplicacin de las medidas de seguridad
de nivel bsico.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
124
Nivel Medio
Aplicable a los siguientes fcheros o tratamientos de datos de carcter
personal:
- Los relativos a la comisin de infracciones administrativas o penales.
- Aquellos cuyo funcionamiento se rija por el artculo 29 de la Ley
Orgnica 15/1999, de 13 de diciembre (Prestacin de servicios de
informacin sobre solvencia patrimonial y crdito).
- Aqullos de los que sean responsables Administraciones tributarias
y se relacionen con el ejercicio de sus potestades tributarias.
- Aqullos de los que sean responsables las entidades fnancieras para
fnalidades relacionadas con la prestacin de servicios fnancieros.
- Aqullos de los que sean responsables las Entidades Gestoras
y Servicios Comunes de la Seguridad Social y se relacionen con
el ejercicio de sus competencias. De igual modo, aquellos de los
que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social.
- Aqullos que contengan un conjunto de datos de carcter personal
que ofrezcan una defnicin de las caractersticas o de la personalidad
de los ciudadanos y que permitan evaluar determinados aspectos
de la personalidad o del comportamiento de los mismos.
Como puede deducirse, en el caso de un centro de enseanza, la adopcin
de las medidas de seguridad de nivel medio slo ser necesaria en aquellos
supuestos en que el fchero en cuestin contenga un conjunto de datos de
carcter personal que ofrezcan una defnicin de las caractersticas o de la
personalidad de los alumnos y alumnas del centro (o, en su caso, de otro
tipo de personas fsicas, por ejemplo, de los docentes, si bien ste es un
supuesto mucho ms improbable) y que permitan evaluar determinados
aspectos de la personalidad o del comportamiento de los mismos. En este
125
Recomendaciones para el tratamiento de cheros no automatizados
sentido, la Real Academia Espaola de la Lengua defne la personalidad,
entre otras acepciones, como el conjunto de cualidades que constituyen a
la persona o sujeto inteligente.
De tal manera, los informes psicopedaggicos elaborados por los
orientadores y orientadoras podran encajar dentro del nivel medio defnido
en el Real Decreto 1720/2007, ya que contienen un conjunto de datos
de carcter personal que ofrecen una defnicin de las caractersticas o
de la personalidad de los alumnos y alumnas del centro y que permiten
evaluar determinados aspectos de la personalidad o del comportamiento
de los mismos. Ahora bien, los datos psicolgicos tienen, como veremos, la
consideracin de datos de salud, debiendo adoptarse, en su consecuencia,
las medidas de seguridad de nivel alto defnidas en el Real Decreto
1720/2007 (el nivel alto prevalece sobre los restantes).
Que las medidas de seguridad a adoptar sean las de nivel medio, se
desprende del Informe del Gabinete Jurdico de la Agencia Espaola de
Proteccin de Datos (Informe 0572/2009) que establece: Esta Agencia ha
venido sealando respecto a la interpretacin que debe darse al artculo
81.2.f) que de dicho precepto se desprende que su nalidad es someter a
criterios de seguridad ms rigurosos aquellos cheros que permitan obtener
una informacin adicional sobre el afectado, obteniendo as un perl de
situacin econmica o familiar o de sus aciones, preferencias, etc. As, se
encontrarn comprendidos en dicho artculo todos los cheros que contengan
datos a partir de los cuales puedan deducirse cualquiera de las facetas antes
mencionadas o, como sucede en el presente caso, se incluyan datos relativos
al rendimiento acadmico que permitan deducir un perl de estudios.
Nivel Alto
Aplicable a los siguientes fcheros o tratamientos de datos de carcter
personal:
- Los que se referan a datos de ideologa, afliacin sindical, religin,
creencias, origen racial, salud o vida sexual, con las excepciones
anteriormente sealadas.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
126
- Los que contengan o se referan a datos recabados para fnes
policiales sin consentimiento de las personas afectadas.
- Aqullos que contengan datos derivados de actos de violencia de
gnero.
En principio, podemos pensar que estas categoras de datos estn
exclusivamente reservadas para centros sanitarios y hospitalarios,
sindicatos, partidos polticos, confesiones religiosas, fuerzas y cuerpos de
seguridad, centros de atencin a la mujer maltratada, etc.: nada ms lejos
de la realidad.
Como ya hemos indicado, los orientadores y orientadoras suelen
confeccionar informes psicopedaggicos, test de inteligencia y conducta,
etc. Para su elaboracin, es necesario recabar una serie de informacin
concerniente a cada uno de los alumnos y alumnas del centro, incluyendo
datos psicolgicos.
Con respecto a la naturaleza de los datos psicolgicos, la cuestin radica
en delimitar si procede su inclusin dentro del concepto de datos referentes
a la salud de las personas. Si bien la Ley Orgnica se refere expresamente a
los datos de salud, considerndolos expresamente protegidos y limitando la
posibilidad de su recopilacin y cesin, no establece un concepto concreto
de este tipo de datos. En este sentido, la Agencia Espaola de Proteccin
de Datos ha entendido que los datos psicolgicos deben ser considerados,
a los efectos de la aplicacin de la LOPD, como datos relativos a la salud de
las personas, habida cuenta que, o bien conciernen directamente a la salud
mental del individuo o bien se encuentran estrechamente relacionados con
la salud.
En consecuencia, la AEPD entiende que los datos de carcter psicolgico
han de ser considerados datos especialmente protegidos referentes a la
salud de las personas, regulados en el artculo 7.3 LOPD.
De hecho, el Informe 0572/2009, del Gabinete Jurdico de la Agencia
Espaola de Proteccin de Datos, referente a las medidas de seguridad
127
Recomendaciones para el tratamiento de cheros no automatizados
aplicables a los fcheros con datos acadmicos, dice textualmente: No
obstante, debe indicarse que si el chero contuviera datos referentes al
perl psicolgico de los afectados y que hicieran referencia a la existencia
de anomalas o especialidades de la personalidad del sujeto, habr de
considerarse que el chero contiene datos relacionados con la salud de las
personas, siendo entonces de aplicacin lo dispuesto en el artculo 81.3.a)
del Reglamento 1720/2007, que exige la adopcin sobre estos cheros de
las medidas de seguridad de nivel alto, adems de las medidas de nivel
bsico y medio.
Por tanto, de acuerdo a la interpretacin de la AEPD, el nivel de
proteccin que correspondera a los datos contenidos en los informes
psicopedaggicos en formato papel sera nivel alto.
El Real Decreto 1720/2007 s recoge, a diferencia de la Ley Orgnica
15/1999, una defnicin de Datos de carcter personal relacionados con la
salud, entendiendo por tales las informaciones concernientes a la salud
pasada, presente y futura, fsica o mental, de un individuo. En particular, se
consideran datos relacionados con la salud de las personas los referidos a
su porcentaje de discapacidad y a su informacin gentica (art. 5.1.g)).
A este respecto, cabe citar las siguientes normas autonmicas:
- El Decreto 213/1995, de 12 de septiembre, por el que se regulan los
Equipos de Orientacin Educativa.
- La Orden de 23 de julio de 2003, por la que se regulan determinados
aspectos sobre la organizacin y el funcionamiento de los Equipos
de Orientacin Educativa.
- El Reglamento Orgnico de los Institutos de Educacin Secundaria,
aprobado por Decreto 200/1997, de 3 de septiembre, que establece
la composicin y funciones de los Departamentos de Orientacin,
as como las funciones de los orientadores u orientadoras.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
128
- La Orden de 27 de julio de 2006, por la que se regulan determinados
aspectos referidos a la organizacin y funcionamiento del
departamento de orientacin en los Institutos de Educacin
Secundaria.
Sobre los Equipos de Orientacin Educativa, el Decreto 213/1995 los
defne como unidades bsicas de orientacin psicopedaggica que,
mediante el desempeo de funciones especializadas en las reas de
orientacin educativa, atencin a los alumnos y alumnas con necesidades
educativas especiales, compensacin educativa y apoyo a la funcin tutorial
del profesorado, actan en el conjunto de los centros de una zona (art. 1).
En lo que respecta a los Departamentos de Orientacin, el Reglamento
Orgnico de los Institutos de Educacin Secundaria asigna a los mismos la
funcin de elaborar la propuesta del Plan de Orientacin y Accin Tutorial, as
como un conjunto de funciones relacionadas con la orientacin acadmica,
psicopedaggica y profesional, con la evaluacin psicopedaggica de los
alumnos y alumnas que la requieran y con el apoyo a la Accin Tutorial,
todo ello en el marco de la atencin a las diversas aptitudes, intereses y
motivacin del alumnado.
Por citar un ejemplo, el expediente acadmico de un alumno o una
alumna con necesidades educativas especiales puede contener el
certifcado del grado de su minusvala, copia de su historia clnica y el
dictamen de escolarizacin, adems de los informes psicopedaggicos
elaborados por los orientadores y orientadoras, todos ellos considerados
datos especialmente protegidos.
Al margen de los datos psicolgicos, en un centro de enseanza pueden
encontrarse toda otra serie de datos relativos a la salud del alumnado en
formato papel. As por ejemplo, si en el comedor escolar disponen de fchas
en papel donde fguren alergias a determinados alimentos de algunos alumnos
y alumnas estaramos ante datos de salud catalogados como de nivel alto.
En idntica situacin estaramos si en el centro de enseanza se dispusiera
de informacin sobre determinados alumnos y alumnas que presenten
problemas de salud que les imposibilite el ejercicio fsico, por ejemplo.
129
Recomendaciones para el tratamiento de cheros no automatizados
Igualmente, cabe la posibilidad de que algn centro de enseanza
maneje informacin sobre el origen racial de algunos alumnos y alumnas.
Sealar que, en este caso, tambin estaramos ante datos catalogados de
nivel alto.
Finalmente, queda la incgnita de si el hecho de cursar la asignatura
de religin, o el hecho de no cursarla, suponen la revelacin de un dato
protegido por el derecho fundamental a la libertad religiosa, consagrado por
el artculo 16.1 de la Constitucin, es decir, si ese dato revela efectivamente
las convicciones religiosas de la persona a la que se refere y, por tanto,
merece la catalogacin de dato especialmente protegido. Segn la AEPD,
el hecho mismo de cursar la asignatura de religin no revela necesariamente
que el estudiante profese las creencias a las que tal asignatura se refere,
del mismo modo que el hecho de no cursarla no revela la inexistencia de
esas creencias, sino que tal circunstancia puede deberse al estudio de la
religin en otros foros distintos del escolar. Es decir, a juicio de la AEPD,
lo nico que revela el dato de optar por cursar la asignatura de religin
sera el inters del alumno o la alumna por conocer los principios, historia y
preceptos de la misma, sin que ello implique una efectiva confesionalidad
del mismo o la misma, a cuya declaracin no podra encontrarse obligado
u obligada.
En defnitiva, segn la AEPD, el dato relacionado con el hecho de que
el alumno o la alumna curse la asignatura de religin, no vinculada a la
participacin del alumno o la alumna en un rito relacionado con una religin
determinada (lo que s implicara que el individuo profesa dicha creencia
religiosa) no puede ser considerado por s mismo un dato que revele
inmediatamente las creencias religiosas del afectado o la afectada, por lo
que el dato de opcin por la asignatura de Religin no tendra la naturaleza
de especialmente protegido.
En su consecuencia, un documento en formato papel que contenga el
dato relativo a la opcin por la asignatura de religin debe encajarse dentro
del nivel bsico contemplado en el Real Decreto 1720/2007.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
130
2.3. Medidas de seguridad
Una vez encajados en cada uno de los niveles descritos los distintos
fcheros no automatizados de datos de carcter personal objeto de
tratamiento en el centro de enseanza, se debe proceder a la implementacin
de las medidas de seguridad correspondientes en funcin del nivel
asignado y que se recogen, como ya hemos indicado, en el Captulo IV del
Ttulo VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de
diciembre, de proteccin de datos de carcter personal. stas se clasifcan,
de manera semejante a las contempladas para los fcheros automatizados,
en medidas de seguridad de nivel bsico, medio y alto. Asimismo, tienen
carcter acumulativo, debiendo adoptarse las medidas correspondientes al
nivel aplicable, as como todas aqullas recogidas en los niveles inferiores.
Una primera medida inexcusable y comn a todos los niveles citados
sera la de documentar detalladamente el conjunto de medidas de ndole
tcnica y organizativa acordes a la normativa de seguridad vigente que ser
de obligado cumplimiento para el personal con acceso a la informacin
contenida en los documentos en formato papel. La documentacin por
escrito de esta serie de medidas dara lugar a la generacin de lo que, en
trminos de la normativa sobre proteccin de datos de carcter personal,
se conoce formalmente como Documento de Seguridad.
Nivel Bsico
Con respecto a las medidas de seguridad tendentes a proteger los
documentos que contengan nicamente datos de nivel bsico, stas no deben
ser especialmente gravosas, ya que se trata de datos que efectivamente
revisten su importancia pero no tienen la trascendencia de otro tipo de datos
especialmente protegidos (por ejemplo, datos relativos a la salud del alumnado).
Entre dichas medidas, cabe citar, a modo de ejemplo, las siguientes:
- Cada una de las personas que trabajan en el centro de enseanza
deben tener perfectamente delimitadas sus funciones y obligaciones,
de tal manera que slo tengan acceso a aquellos documentos
131
Recomendaciones para el tratamiento de cheros no automatizados
imprescindibles para el ejercicio de su actividad concreta, ya sea
personal docente, de administracin, servicios o cualquier otro. En
este mismo sentido, en el documento de seguridad debe constar una
relacin detallada de todo el personal con posibilidad de acceso.
- Asimismo, se debern adoptar las medidas necesarias para que las
personas que trabajan en el centro de enseanza conozcan de una
forma comprensible las normas de seguridad que afecten al desarrollo
de sus funciones as como las consecuencias en que pudiera incurrir
en caso de incumplimiento.
- Generar un procedimiento de notifcacin y gestin de las incidencias
que afecten a los datos de carcter personal contenidos en fcheros
no automatizados (por ejemplo, la prdida de una de las llaves de
apertura del lugar donde se almacenen los documentos) y establecer
un registro en el que se haga constar el tipo de incidencia, el momento
en que se ha producido, o en su caso, detectado, la persona que realiza
la notifcacin, a quin se le comunica, los efectos que se hubieran
derivado de la misma y las medidas correctoras aplicadas.
- Establecer un mecanismo que permita controlar las salidas y
traslado de cualquier clase de documento que contenga datos de
carcter personal, con la fnalidad de que no se produzca ninguna
salida de datos del centro sin la autorizacin previa de la Direccin
del mismo.
- Los dispositivos donde se almacenen los documentos que contengan
los datos de carcter personal (por ejemplo, un armario o archivador
donde se guarden las fchas del alumnado) deben disponer de algn
mecanismo que obstaculice su apertura (por ejemplo, una cerradura
con llave o un candado).
Como es lgico pensar, nicamente deben disponer de una copia de la
citada llave aquellas personas que, en el desarrollo de sus funciones,
necesiten tener acceso a la informacin contenida en los documentos.
Por citar un ejemplo, carecera de sentido que una persona encargada
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
132
de la limpieza del centro dispusiera de una copia de la misma.
- Mientras la documentacin con datos de carcter personal no se
encuentre archivada en dispositivos de almacenamiento dotados de
mecanismos que obstaculicen su apertura (por ejemplo, el expediente
acadmico de un alumno que est siendo objeto de revisin), la persona
que se encuentre al cargo de la misma deber custodiarla e impedir en
todo momento que pueda ser accedida por persona no autorizada.
Nivel Medio
En lo referente a las medidas de seguridad que han de implantarse en el nivel
medio recogido en el Real Decreto 1720/2007, sealar que, en principio, deben
adoptarse todas las contempladas para el nivel bsico, aadiendo, adems, las
que a continuacin se relacionan:
- Designacin de uno, una o varios, varias Responsables de Seguridad
que se encargue de coordinar y controlar las medidas de seguridad
encaminadas a proteger la documentacin en formato papel que
contenga datos de carcter personal. La persona ms idnea para
asumir esta funcin coordinadora es, sin lugar a dudas, alguien que
tenga un conocimiento profundo del funcionamiento interno del centro
en su conjunto.
- Someterse a auditoras, al menos bienales, de verifcacin de
cumplimiento de la normativa sobre proteccin de datos de carcter
personal. Dichas auditoras pueden ser realizadas por personal externo
o bien por personal del propio centro con conocimientos slidos sobre
la normativa.
Nivel Alto
En tercer lugar, con respecto a los documentos en formato papel que
contengan datos especialmente protegidos, quedando enmarcados por
tanto dentro del nivel alto establecido en el Real Decreto 1720/2007, debern
adoptarse las siguientes medidas de seguridad, con carcter adicional a las
anteriormente sealadas para los niveles bsico y medio:
133
Recomendaciones para el tratamiento de cheros no automatizados
- Los armarios, archivadores u otros elementos en los que se almacenen
los fcheros no automatizados con datos de carcter personal debern
encontrarse en reas en las que el acceso est protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo
equivalente. Dichas reas debern permanecer cerradas cuando no sea
preciso el acceso a los documentos incluidos en el fchero. Asimismo,
las llaves de acceso a dichas reas nicamente deben estar en poder
de aquellas personas que, en el desarrollo de sus funciones, necesiten
tener acceso a la informacin contenida en los documentos.
- La generacin de copias o la reproduccin de los documentos (por
ejemplo, el informe psicopedaggico de un alumno o alumna del
centro) nicamente podr ser realizada bajo el control del personal del
centro de enseanza expresamente autorizado en el documento de
seguridad. Asimismo, deber procederse a la destruccin de las copias
o reproducciones desechadas de forma que se evite el acceso a la
informacin contenida en las mismas o su recuperacin posterior.
- El acceso a la documentacin en formato papel se limitar
exclusivamente a las personas autorizadas que trabajan en el centro
de enseanza. Se debern establecer mecanismos que permitan
identifcar los accesos realizados en el caso de documentos que
puedan ser utilizados por mltiples usuarios.
- Siempre que se proceda al traslado fsico de documentacin
en formato papel que contenga datos de carcter personal
especialmente protegidos, debern adoptarse medidas dirigidas
a impedir el acceso o manipulacin de la informacin objeto de
traslado.
Finalmente, el Ttulo VIII del Real Decreto 1720/2007 contempla, con
carcter adicional, otra serie de medidas de seguridad aplicables a cualquier
fchero o tratamiento no automatizado de datos de carcter personal, con
independencia del nivel en el cual tengan encaje los mismos:
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
134
- Cuando los datos de carcter personal se traten fuera de los locales
del responsable de fchero o tratamiento (por ejemplo, la correccin de
los exmenes que contienen datos del alumnado fuera del centro, en
casa del docente), ser preciso que exista una autorizacin previa del
responsable del fchero o tratamiento, y en todo caso deber garantizarse
el nivel de seguridad correspondiente al tipo de fchero tratado.
- Aquellas copias de documentos que se creen exclusivamente para
la realizacin de trabajos temporales o auxiliares debern cumplir
con las medidas de seguridad correspondientes, de conformidad
con el nivel aplicable en base a lo establecido en el Real Decreto
1720/2007. Asimismo, debern ser destruidos una vez que hayan
dejado de ser necesarios para los fnes que motivaron su creacin.
Recordar, asimismo, que las medidas incluidas en cada uno de los
niveles descritos anteriormente tienen la condicin de mnimos exigibles,
sin perjuicio de las disposiciones legales o reglamentarias especfcas
vigentes que pudieran resultar de aplicacin en cada caso o las que por
propia iniciativa adoptase el responsable del fchero.
En este ltimo sentido, proponemos la implantacin de medidas de
seguridad adicionales tendentes a evitar o disminuir el riesgo de catstrofes
como fuego o incendios, inundaciones o cualquier otra contingencia que
pueda ocasionar una prdida defnitiva de la informacin archivada en
formato papel, entre las cuales cabe citar las siguientes:
- Instalacin de detectores de humo.
- Provisin de extintores de incendios.
- Utilizacin de armarios o archivadores metlicos, para evitar
incendios.
- La sala o dependencia destinada al archivo y gestin de los
documentos no debe estar ubicada en un stano o planta baja, ya
que el riesgo de inundacin es mayor.
135
Recomendaciones para el tratamiento de cheros no automatizados
- Procurar unas condiciones de temperatura y humedad adecuadas.
- Buena ventilacin, para evitar gases, humo y polvo.
- Fumigacin peridica de la sala o dependencia destinada al archivo
y gestin de los documentos, para evitar la aparicin de insectos
biblifagos.
Finalmente, todo el personal autorizado que tenga acceso a
los documentos en formato papel debe frmar un compromiso de
confdencialidad con el centro en relacin a dicha documentacin, en el
cual se responsabilice personalmente de cumplir con la normativa sobre
proteccin de datos. Esta recomendacin entronca directamente con el
deber de secreto que recoge el art. 10 LOPD para todo aqul que tenga
acceso a datos de carcter personal en el desempeo de sus funciones.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
136
3. Recomendaciones sobre destruccin de la documentacin
El principio de calidad de los datos establecido en la Ley Orgnica
15/1999 impone que los datos de carcter personal debern ser cancelados
cuando hayan dejado de ser necesarios o pertinentes para la fnalidad para
la cual hubieran sido recabados o registrados y que no sern conservados
en forma que permita la identifcacin del interesado durante un perodo
superior al necesario para los fnes en base a los cuales hubieran sido
recabados o registrados. Es decir, en el caso de un documento en formato
papel que contenga datos de carcter personal que ya no sean necesarios
para la fnalidad que motiv su recogida, ste salvo norma especfca en
contrario debe ser destruido. Adems, ello debe hacerse de tal manera que
sea imposible la identifcacin de las personas cuyos datos constaran en el
mismo.
En este sentido, el artculo 92 del nuevo Real Decreto 1720/2007, de 21
de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter
personal, relativo a la Gestin de soportes y documentos, establece
que siempre que vaya a desecharse cualquier documento o soporte que
contenga datos de carcter personal deber procederse a su destruccin o
borrado, mediante la adopcin de medidas dirigidas a evitar el acceso a la
informacin contenida en el mismo o su recuperacin posterior.
Asimismo, el artculo 112 del citado Real Decreto 1720/2007, que lleva
por rbrica Copia o reproduccin, seala que la generacin de copias
o la reproduccin de los documentos nicamente podr ser realizada
bajo el control del personal autorizado en el documento de seguridad y
que deber procederse a la destruccin de las copias o reproducciones
desechadas de forma que se evite el acceso a la informacin contenida en
las mismas o su recuperacin posterior.
Ahora bien, surge entonces la pregunta: cul es el procedimiento
correcto para destruir documentos en formato papel que contengan
informacin concerniente a personas fsicas identifcadas o identifcables,
de manera que se evite el acceso a la informacin contenida en los mismos
137
Recomendaciones para el tratamiento de cheros no automatizados
o su recuperacin posterior? En principio, ni la Ley Orgnica 15/1999 ni el
Real Decreto 1720/2007 establecen nada al respecto.
Frente a la citada falta de previsin legislativa, podemos tomar como
gua el Documento sobre Recomendaciones para la destruccin fsica
de documentos de archivo en papel de la Administracin General del
Estado, aprobado por la Comisin Superior Califcadora de Documentos
Administrativos, en sesin de 27 de noviembre de 2003, el cual, si bien
no resulta de aplicacin directa a los centros de enseanza de la Junta
de Andaluca, puede servir de excelente apoyo para orientar a los mismos
a la hora de destruir cualquier tipo de documentacin en formato papel
que contenga informacin concerniente a personas fsicas identifcadas o
identifcables con las garantas de confdencialidad debidas.
En concreto, el Documento a que hacemos referencia contiene una serie
de previsiones referentes al almacenamiento, transporte y destruccin de
la documentacin que se vaya a eliminar, as como respecto al tema de
las garantas en caso de que se contrate una empresa especializada en
servicios de destruccin de documentos.
En primer lugar, se hace referencia a la cuestin del correcto
almacenamiento de la documentacin que va a ser destruida. En este
sentido, se realizan las siguientes recomendaciones:
- Los documentos que vayan a ser eliminados deben estar protegidos
hasta el momento de su destruccin fsica.
- El lugar o los contenedores donde se almacenen los documentos
que se vayan a eliminar requerirn medidas de seguridad efcaces
frente a posibles intromisiones exteriores. No deben permanecer
al descubierto en el exterior de los edifcios. Tampoco deben
amontonarse en lugares de paso, ni en locales abiertos.
- Se deben guardar en locales o contenedores que dispongan de
mecanismos de cierre que garanticen su seguridad.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
138
A este respecto, debemos destacar muy especialmente la necesidad de
que los documentos se almacenen debidamente protegidos, para evitar que
se aprovechen para reciclado, para escribir por detrs, hacer cuadernos de
notas o simplemente que alguien no autorizado acceda a la informacin
que los mismos pudieran contener.
Con respecto al tema de los contenedores, existe la posibilidad de
utilizar unos contenedores especiales (los hay de diferentes capacidades)
con abertura como los buzones y que permiten echar papel, pero de los que
no se pueden extraer documentos, cuya llave suele estar en posesin de la
empresa externa que los recoge y sustituye para proceder a la destruccin
de los documentos.
En segundo lugar, se prevn una serie de recomendaciones para el caso
de que la documentacin sea objeto de transporte hacia un lugar distinto
donde va a llevarse a cabo su destruccin. Sealar, en este sentido, que
el artculo 92.3 del nuevo Real Decreto 1720/2007, relativo a la gestin
de documentos, establece que en el traslado de la documentacin se
adoptarn las medidas dirigidas a evitar la sustraccin, prdida o acceso
indebido a la informacin durante su transporte. Asimismo, su artculo 114
seala que siempre que se proceda al traslado fsico de la documentacin
contenida en un chero, debern adoptarse medidas dirigidas a impedir
el acceso o manipulacin de la informacin objeto de traslado. Las
previsiones del Documento sobre Recomendaciones para la destruccin
fsica de documentos de archivo en papel de la Administracin General del
Estado encajan perfectamente con esta flosofa, sealando lo siguiente:
- El transporte, en su caso, hasta el lugar donde vaya a llevarse a
cabo la destruccin debe garantizar que durante el traslado no se
produzcan sustracciones, prdidas ni fltraciones de informacin.
- Todas las operaciones de recogida, carga y descarga de los
documentos o sus contenedores, as como la conduccin de los
vehculos que los transportan, deben ser realizadas por personal
debidamente autorizado y fcilmente identifcable.
139
Recomendaciones para el tratamiento de cheros no automatizados
- Los documentos deben ser llevados directamente al lugar donde
est prevista la destruccin, en vehculos cerrados que recorran el
trayecto sin paradas ni interrupciones.
Aadir a este respecto nicamente que, en algunos casos, el transportista
no tiene llave de los contenedores que transporta, a fn de asegurar
totalmente la confdencialidad de los documentos durante su traslado.
Seguidamente, el Documento se refere a lo que sera el proceso de
destruccin de la documentacin propiamente dicho. Este quiz sea el
apartado ms interesante del mismo. A este respecto, se establecen las
siguientes recomendaciones:
- La destruccin debe ser inmediata y hacer imposible la
reconstruccin de los documentos y la recuperacin de cualquier
informacin contenida en ellos.
- Los documentos no deben depositarse en contenedores, al
descubierto ni en paquetes, cajas o legajos, junto con el resto de
los desechos. Siguen siendo perfectamente legibles y permanecen
en la va pblica durante un tiempo indeterminado, al alcance de
cualquier persona.
- Entregarlos o venderlos como papel usado para su reciclaje, sin
destruccin previa, tampoco es un mtodo seguro. El receptor o
comprador de papel usado normalmente realizar una seleccin,
descartando lo que considere intil, sin que el responsable de
los documentos sepa cual ser el destino del papel que no se
considere apto para el reciclaje. Por otra parte, puede almacenar
intacto, durante un tiempo indeterminado y sin ninguna medida de
seguridad, el material reciclable en espera de reunir una cantidad
sufciente de papel de un mismo tipo o color.
- El enterramiento de los documentos no supone la desaparicin
inmediata de la informacin. Antes al contrario, se ha comprobado
que el papel se conserva ms tiempo enterrado que si se dejase al
aire libre.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
140
- La incineracin acaba con
la informacin, pero resulta
peligroso para el entorno, puede
perjudicar al medio ambiente e
impide el reciclaje.
- El mtodo ms adecuado es la
trituracin mediante corte en
tiras o cruzado, previa a la venta
para reciclaje. El papel se hace
tiras o partculas, cuyo tamao
se elegir en funcin del nivel
de proteccin requerido por la
informacin contenida en los
documentos a destruir.
Llegados a este punto haremos una pequea parada para matizar el
tema de la trituracin de documentos. La mayor parte de los proveedores
de mquinas destructoras de papel o de servicios de destruccin de
documentos utilizan la norma DIN 32757 como referencia para indicar los
niveles de seguridad ofrecidos. Dicha norma establece cinco grados de
seguridad y determina el tamao mximo de las tiras o partculas en funcin
de ese nivel:
- Nivel 1: Tiras de un mximo de 12 mm de ancho. Documentos
generales que deben hacerse ilegibles.
- Nivel 2: Tiras de un mximo de 6 mm de ancho. Documentos
internos que deben hacerse ilegibles.
- Nivel 3: Tiras de un mximo de 2 mm. de ancho / Partculas de un
mximo de 4 x 80 mm. Documentos confdenciales.
- Nivel 4: Partculas de un mximo de 2 x 15 mm. Documentos de
importancia vital para la organizacin que deben mantenerse en
secreto.
141
Recomendaciones para el tratamiento de cheros no automatizados
- Nivel 5: Partculas de un mximo de 0,8 x 12 mm. Documentos
clasifcados, para los que rigen exigencias de seguridad muy
elevadas.
Como puede apreciarse, los niveles que establece la norma DIN 32757
no se corresponden con los niveles ni con las categoras de datos que
establece nuestra vigente normativa sobre proteccin de datos de carcter
personal. Entendemos que lo ms interesante sera hacer a este respecto
una equiparacin de niveles, que podra ser, a modo de ejemplo, de la
siguiente manera:
- Nivel bsico Real Decreto 1720/2007: Niveles 1 y 2 norma DIN
32757.
- Niveles medio Real Decreto 1720/2007: Nivel 3 norma DIN 32757.
- Nivel alto Real Decreto 1720/2007: Niveles 4 y 5 norma DIN 32757.
Una matizacin ms al respecto: puestos a elegir, entendemos que es
mejor la destruccin en partculas que en tiras, ya que si estamos ante hojas
apaisadas (tipo Excel, por ejemplo) las tiras se podran leer e incluso, con
cierta dosis de paciencia, alguien podra llegar a reconstruir el documento.
Finalmente, el Documento sobre Recomendaciones para la destruccin
fsica de documentos de archivo en papel de la Administracin General del
Estado hace referencia al tema de las garantas en caso de que se contrate
una empresa especializada en servicios de destruccin de documentos
(opcin que puede resultar aconsejable en funcin del volumen de
documentacin y de los medios tcnicos exigidos). En este sentido, la
empresa prestadora del servicio se debe comprometer a:
- Garantizar la destruccin de los documentos en sus instalaciones y
con medios propios, sin subcontratos que conlleven el manejo de
los documentos por parte de otras empresas sin conocimiento del
responsable de los documentos.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
142
- Permitir que, siempre que lo estime conveniente, un representante
del responsable de los documentos presencie la destruccin de los
documentos y compruebe las condiciones en que se realiza y los
resultados.
- Certifcar la destruccin de los documentos, dejando constancia del
momento y de la forma de destruccin.
A este respecto, nos gustara matizar lo siguiente: el centro de enseanza
ha de ser plenamente consciente de que, al externalizar la destruccin
de la documentacin, est facilitando una gran cantidad de informacin
concerniente a personas fsicas identifcadas o identifcables a un tercero
con personalidad jurdica distinta para que pueda prestarle el citado servicio,
debiendo frmarse, en su consecuencia, un contrato con el mismo en el
sentido del artculo 12 de la LOPD. En dicho contrato se debern recoger,
como mnimo, las instrucciones fjadas por el responsable del fchero para
la prestacin del servicio, la fnalidad del tratamiento (la destruccin fsica
de la documentacin) y la imposibilidad de la comunicacin de los datos
a terceros distintos del prestador. Asimismo, en el contrato se habrn de
estipular las medidas de seguridad que el tercero deber implantar para la
prestacin del servicio.
En referencia a la posibilidad de que un representante del responsable
de los documentos pueda presenciar personalmente el proceso de
destruccin, sealar que algunas empresas especializadas suelen entregar
un vdeo del mismo al responsable. Si bien entendemos que la idea del
vdeo es positiva, es interesante que cuanto menos en alguna ocasin est
presente un representante del centro cuya documentacin est siendo
objeto de destruccin, a fn de presenciar el proceso in situ.
Asimismo, resaltar la importancia de exigir a la empresa prestadora del
servicio un certifcado de garanta de destruccin de la documentacin
que acredite la completa eliminacin de la misma. Incluso sera interesante
que en el contrato que se frme con la empresa prestadora del servicio se
especifcase el tamao mximo de las partculas resultado de la trituracin,
en milmetros.
143
Recomendaciones para el tratamiento de cheros no automatizados
Para fnalizar, un ltimo apunte sobre el proceso de destruccin de la
documentacin: se puede sopesar la posibilidad de que a lo largo del citado
proceso se incorporen algunos controles adicionales que puedan mejorar la
seguridad del mismo, tales como los siguientes:
- Designar un Responsable de Seguridad que asuma formalmente
las funciones de coordinar y controlar el proceso de destruccin
de los documentos, al menos para el caso de que se trate de
documentacin que contenga datos de nivel medio o alto. Esta
persona podra ser tambin quien asistiese de manera presencial
a los procesos de destruccin de la documentacin por parte de la
empresa externa, en su caso.
- Disear un procedimiento de gestin y resolucin de incidencias
que puedan surgir durante el proceso de destruccin de los
documentos (por ejemplo, el depsito de documentacin que vaya
a ser eliminada en un lugar que no est debidamente protegido).
RECOMENDACIONE5 PARA EL CORRECTO
TRATAMIENTO DE LA5 IMCENE5 DEL ALUMNADO
POR LO5 CENTRO5 DE EN5EANZA
CAPTULO V
147
1. Introduccin
La informatizacin de los centros docentes lleva intrnsecamente
aparejada la aparicin de nuevas formas de tratamiento de las imgenes
del alumnado: la creacin de pginas web con informacin sobre los
centros en los cuales se incluyen imgenes del alumnado o la instalacin
de cmaras de videovigilancia en los mismos, se unen ahora a otra serie
de cuestiones que pueden afectar a la intimidad del alumnado, como la
confdencialidad de su expediente acadmico o de los informes elaborados
por los orientadores y orientadoras de los centros.
Por encima de cualquier otra consideracin, los centros de enseanza
deben ser plenamente conscientes de que el alumnado es titular de dos
derechos fundamentales que hay que respetar: el derecho a su intimidad
y el derecho a la proteccin de sus datos de carcter personal. Ambos
derechos estn regulados por la LEY ORGNICA 1/1982, de 5 de mayo,
de proteccin civil del derecho al honor, a la intimidad personal y familiar
y a la propia imagen y la LEY ORGNICA 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal, respectivamente.
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
148
2. Uso de sistemas de cmaras y videocmaras en el centro
de enseanza
2.1. Exposicin general de la cuestin
De un tiempo a esta parte, un gran nmero de centros educativos
han optado por instalar cmaras de videovigilancia en el interior de los
mismos (puertas de acceso, patios, pasillos, etc.). Esta medida ha venido
acompaada, como caba esperar, de una cierta polmica, ya que parte
de la comunidad educativa entiende que podra afectar a algunos de sus
derechos fundamentales constitucionalmente reconocidos (intimidad,
honor, propia imagen). De igual manera, tambin podra afectar a su derecho
a la proteccin de datos de carcter personal reconocido en la Sentencia
del Tribunal Constitucional 292/2000, de 30 de noviembre.
En lo referente a la posible vulneracin del derecho a la proteccin de
datos de los miembros de la comunidad educativa como consecuencia de
la instalacin de cmaras de videovigilancia, conviene aqu recordar que,
conforme a lo establecido en el artculo 2.a) de la Directiva 95/46/CE, del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a
la proteccin de las personas fsicas en lo que respecta al tratamiento de
datos personales y a la libre circulacin de estos datos, se entiende por
dato personal toda informacin sobre una persona fsica identicada o
identicable; se considerar identicable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un nmero
de identicacin o uno o varios elementos especcos, caractersticos de su
identidad fsica, siolgica, psquica, econmica, cultural o social .
Atendiendo a la citada defnicin, que considera dato de carcter personal
toda informacin sobre una persona fsica identicada o identicable, las
imgenes grabadas en los centros educativos se ajustarn a este concepto
siempre que permitan la identifcacin de las personas que aparecen en
dichas imgenes (alumnado, profesorado, personal de administracin y
servicios, etc.). La propia Directiva 95/46/CE en su Considerando 14 lo
afrma expresamente al sealar:
149
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
(14) Considerando que, habida cuenta de la importancia que, en el
marco de la sociedad de la informacin, reviste el actual desarrollo de las
tcnicas para captar, transmitir, manejar, registrar, conservar o comunicar
los datos relativos a las personas fsicas constituidos por sonido e imagen,
la presente Directiva habr de aplicarse a los tratamientos que afectan a
dichos datos.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal, tambin considera la imagen
como un dato de carcter personal, al defnir como tal cualquier informacin
numrica, alfabtica, grca, fotogrca, acstica o de cualquier otro tipo
concerniente a personas fsicas identicadas o identicables (art. 5.1.f)).
Partiendo de esta premisa, contamos con cuatro importantes
documentos de referencia:
- El DICTAMEN 4/2004 relativo al tratamiento de datos personales
mediante vigilancia por videocmara del Grupo del artculo 29
sobre proteccin de datos, adoptado el 11 de febrero de 2004,
fruto de los trabajos preparatorios plasmados en el DOCUMENTO
DE TRABAJO (WP 67), relativo al tratamiento de datos personales
mediante vigilancia por videocmara, del Grupo del artculo 29
sobre proteccin de datos, adoptado el 25 de noviembre de 2002.
- La INSTRUCCIN 1/2006, de 8 de noviembre, de la Agencia
Espaola de Proteccin de Datos, sobre el tratamiento de datos
personales con fnes de vigilancia a travs de sistemas de cmaras
o videocmaras, cuyo mbito de aplicacin es el tratamiento de
datos personales de imgenes de personas fsicas identifcadas
o identifcables, con fnes de vigilancia a travs de sistemas de
cmaras y videocmaras.
- La INSTRUCCIN 1/1996, de 1 de marzo, de la Agencia Espaola
de Proteccin de Datos, sobre fcheros automatizados establecidos
con la fnalidad de controlar el acceso a los edifcios, cuyo objeto
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
150
de regulacin son los datos de carcter personal tratados de forma
automatizada que son recabados por los servicios de seguridad
con la fnalidad de controlar el acceso a los edifcios pblicos y
privados, as como a establecimientos, espectculos, certmenes
y convenciones, debiendo entenderse comprendidos los datos
constituidos por sonido e imagen, como los de vigilancia por
videocmara.
- El DOCUMENTO DE TRABAJO 1/08, sobre la proteccin de datos
personales de los nios (Directrices generales y el caso especial de
los colegios) del Grupo del artculo 29 sobre proteccin de datos,
adoptado el 18 de febrero de 2008.
Estos cuatro documentos giran en torno a un mismo concepto: la
consideracin de la imagen relativa a una persona identifcada o identifcable
como un dato de carcter personal lleva aparejada la indisoluble aplicacin
de los principios de proteccin de datos establecidos en la Directiva 95/46/
CE y en la Ley Orgnica 15/1999, que es transposicin de la misma. En
este sentido, la propia Instruccin 1/2006 seala expresamente que la
seguridad y la vigilancia, elementos presentes en la sociedad actual, no son
incompatibles con el derecho fundamental a la proteccin de la imagen como
dato personal, lo que en consecuencia exige respetar la normativa existente
en materia de proteccin de datos,
para de esta manera mantener la
conanza de la ciudadana en el
sistema democrtico.
Asimismo, los citados textos
inciden con fuerza en la necesidad
de que la instalacin de cmaras
de videovigilancia sea una medida
proporcional en relacin con el
bien jurdico que se quiere proteger
(no olvidemos que estamos
ante la limitacin de un derecho
fundamental).
151
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
En el mbito concreto de la Comunidad Autnoma de Madrid, cabe citar
la Instruccin 1/2007, de 16 de mayo, de la Agencia de Proteccin de Datos
de la Comunidad de Madrid, sobre el tratamiento de datos personales a
travs de sistemas de cmaras o videocmaras en el mbito de los rganos
y Administraciones Pblicas de la Comunidad de Madrid, elaborada a
partir de las reuniones de trabajo mantenidas con diferentes sectores de
las Administraciones Pblicas madrileas. En este sentido, los Centros
Educativos y la propia Administracin Educativa informaron a la Agencia de
sus experiencias e inquietudes en el marco de una reunin especfcamente
programada a dicho fn, que cont con la presencia de los Directores y
Jefes de Estudio de distintos Centros Pblicos de educacin primaria y
secundaria de la Comunidad de Madrid.
Dicha Instruccin establece que debern implantarse unas medidas
de seguridad reforzadas cuando se realicen tratamientos de imgenes
realizados mediante sistemas de cmaras o videocmaras que, de manera
directa y especfca, se dirijan a la captacin y tratamiento de imgenes de
personas menores de edad (por ejemplo, imgenes del alumnado de un
centro de enseanza).
Si bien la citada Instruccin no es directamente aplicable a los centros
de enseanza de la Junta de Andaluca s que es profundamente reveladora
de la trascendencia de adoptar las garantas adecuadas en relacin al
tratamiento de las imgenes del alumnado.
2.2. Proporcionalidad de la medida
El Dictamen 4/2004 del Grupo del artculo 29 sobre proteccin de datos
seala expresamente que el circuito cerrado de televisin y otros sistemas
similares de vigilancia por videocmara slo podrn utilizarse con carcter
subsidiario, es decir: con nes que realmente justiquen el recurso a tales
sistemas.
En idntico sentido se manifesta la Instruccin 1/2006, la cual establece
que en relacin con la instalacin de sistemas de videocmaras, ser
necesario ponderar los bienes jurdicos protegidos. Por tanto, toda instalacin
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
152
deber respetar el principio de proporcionalidad, lo que en denitiva supone,
siempre que resulte posible, adoptar otros medios menos intrusivos a la
intimidad de las personas, con el n de prevenir interferencias injusticadas
en los derechos y libertades fundamentales. En consecuencia, el uso
de cmaras o videocmaras no debe suponer el medio inicial para llevar a
cabo funciones de vigilancia por lo que, desde un punto de vista objetivo, la
utilizacin de estos sistemas debe ser proporcional al n perseguido, que en
todo caso deber ser legtimo.
Siguiendo esta lnea argumental, la Instruccin 1/2006 recuerda que
para comprobar si una medida restrictiva de un derecho fundamental
supera el juicio de proporcionalidad, es necesario constatar si cumple
los tres siguientes requisitos o condiciones: si tal medida es susceptible
de conseguir el objetivo propuesto (juicio de idoneidad); si, adems, es
necesaria, en el sentido de que no exista otra medida ms moderada para
la consecucin de tal propsito con igual ecacia (juicio de necesidad); y,
nalmente, si la misma es ponderada o equilibrada, por derivarse de ella
ms benecios o ventajas para el inters general que perjuicios sobre otros
bienes o valores en conicto (juicio de proporcionalidad en sentido estricto).
Trasladando estas premisas bsicas a la problemtica concreta de los
centros de enseanza, debemos sealar que la instalacin de cmaras de
videovigilancia ha de ser, en todo caso, una medida proporcional en relacin
con la infraccin que se pretenda evitar. De tal manera, la instalacin de
videocmaras no tendra justifcacin si, por ejemplo, se realiza con la
fnalidad controlar una infraccin menor, como la prohibicin de fumar en
el centro.
En el caso de que la instalacin de cmaras de videovigilancia fuera, por
ejemplo, controlar determinados actos como robos y daos materiales, el
principio de proporcionalidad recogido en el Dictamen 4/2004 nos indica
que se pueden utilizar estos sistemas cuando otras medidas de prevencin,
proteccin y seguridad, de naturaleza fsica o lgica, que no requieran
captacin de imgenes (por ejemplo, la utilizacin de puertas blindadas para
combatir el vandalismo, la instalacin de puertas automticas y dispositivos
de seguridad, sistemas combinados de alarma, sistemas mejores y ms
153
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
potentes de alumbrado nocturno en las calles, etc.) resulten claramente
insucientes o inaplicables en relacin con los nes legtimos mencionados
anteriormente. Por lo tanto, con anterioridad a la instalacin en el centro de
enseanza de cmaras de videovigilancia debera procederse a la puesta
en prctica de otra serie de medidas tendentes a evitar los actos citados
que no supongan la limitacin de derechos fundamentales de los miembros
de la comunidad educativa y slo en el caso de que stas fracasen sopesar
el sistema de videovigilancia como ltimo recurso.
En este ltimo sentido, el art. 4.2 de la Instruccin 1/2006 establece que
slo se considerar admisible la instalacin de cmaras o videocmaras
cuando la nalidad de vigilancia no pueda obtenerse mediante otros medios
que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para
la intimidad de las personas y para su derecho a la proteccin de datos de
carcter personal.
Para fnalizar, debemos citar el Decreto 19/2007, de 23 de enero, por
el que se adoptan medidas para la promocin de la Cultura de Paz y la
Mejora de la Convivencia en los Centros Educativos sostenidos con fondos
pblicos, basado en el principio de intervencin preventiva, a travs de
la puesta en marcha de medidas y actuaciones que favorezcan la mejora
del ambiente socioeducativo de los centros, las prcticas educativas y la
resolucin pacfca de los confictos.
No obstante lo anterior, el art. 3.2.c) del citado Decreto establece que,
para la consecucin de los objetivos del mismo, se deber Dotar a los
centros educativos de los recursos que les permitan mejorar la seguridad de
las personas que trabajan en ellos, as como de sus instalaciones.
Ahora bien, los centros de enseanza han ser conscientes de que no
debe hacerse un uso masivo de las cmaras de videovigilancia como
una medida habitual, debiendo atenderse siempre a las circunstancias
particulares y concretas de cada caso en orden a determinar si la medida a
adoptar supera o no el correspondiente juicio de proporcionalidad.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
154
2.3. Aplicacin de los principios de proteccin de datos conforme a lo
establecido en la Instruccin 1/2006
En el presente apartado, nos centraremos en la aplicacin de los
principios que vertebran la normativa sobre proteccin de datos de carcter
personal en base a lo establecido en la INSTRUCCIN 1/2006, aplicable
al tratamiento de datos personales de imgenes de personas fsicas
identifcadas o identifcables, con fnes de vigilancia a travs de sistemas
de cmaras y videocmaras.
- Principio de informacin
En este sentido, el art. 3 de la Instruccin 1/2006, que lleva por rbrica
Informacin, establece lo que a continuacin se detalla:
Los responsables que cuenten con sistemas de videovigilancia debern
cumplir con el deber de informacin previsto en el artculo 5 de La Ley
Orgnica 15/1999, de 13 de diciembre. A tal n debern:
a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo
ubicado en lugar sucientemente visible, tanto en espacios abiertos
como cerrados y
b) Tener a disposicin de los/las interesados/as impresos en los que se
detalle la informacin prevista en el artculo 5.1 de la Ley Orgnica
15/1999.
El contenido y el diseo del distintivo informativo indicado en el apartado
a) del art. 3 debe ajustarse a lo previsto en el apartado 1 del Anexo de la
Instruccin 1/2006 (ver ANEXO II de la presente Gua).
En lo referente a los impresos a que hace referencia el apartado b) del
art. 3, la Agencia Espaola de Proteccin de Datos tambin ha diseado
el modelo correspondiente, del cual facilitamos la versin destinada a las
Administraciones Pblicas, entre las cuales se englobaran los centros de
enseanza pblicos (ver ANEXO II de la presente Gua).
155
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
- Principio del consentimiento
Conforme a lo establecido en el art. 2.1 de la Instruccin 1/2006, slo
ser posible el tratamiento de los datos objeto de la presente instruccin,
cuando se encuentre amparado por lo dispuesto en el artculo 6.1 y 2 y
el artculo 11.1 y 2 de la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal.
La postura de la Agencia en este sentido es que debe existir la necesidad
de legitimacin para que el tratamiento de los datos de carcter personal
sea lcito. Esto supone por tanto que o se obtiene el consentimiento de
cada uno de los interesados o se cumplen los requisitos que la legislacin
en la materia establecen para que el tratamiento sea legtimo. La AEPD
considera que el tratamiento de imgenes se encuentra amparado en el
artculo 5.1.e) de la Ley de Seguridad Privada. De este modo, dado que
la Ley permite la instalacin y mantenimiento de equipos de seguridad
privados legitima a quienes adquieran de estos dispositivos para tratar los
datos personales derivados de la captacin de las imgenes, siendo dicho
tratamiento conforme a lo previsto en la LOPD. Vase El Informe Jurdico
0650/2009 de la AEPD.
- Principio de calidad de los datos
A este respecto, el art. 4.1 de la Instruccin 1/2006 seala que
de conformidad con el artculo 4 de la Ley Orgnica 15/1999 de 13 de
diciembre, de Proteccin de Datos de Carcter Personal, las imgenes
slo sern tratadas cuando sean adecuadas, pertinentes y no excesivas en
relacin con el mbito y las nalidades determinadas, legtimas y explcitas,
que hayan justicado la instalacin de las cmaras o videocmaras.
Asimismo, los datos debern ser cancelados en el plazo mximo de un
mes desde su captacin (art. 6 Instruccin 1/2006).
- Principio de seguridad de los datos
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
156
En este sentido, el art. 9 de la Instruccin 1/2006 establece lo siguiente:
El responsable deber adoptar las medidas de ndole tcnica y
organizativas necesarias que garanticen la seguridad de los datos y eviten
su alteracin, prdida, tratamiento o acceso no autorizado.
Asimismo cualquier persona que por razn del ejercicio de sus
funciones tenga acceso a los datos deber de observar la debida reserva,
condencialidad y sigilo en relacin con las mismas.
El responsable deber informar a las personas con acceso a los datos
del deber de secreto a que se reere el apartado anterior.
2.4. Aplicacin de los principios de proteccin de datos conforme a lo
establecido en la Instruccin 1/1996
Como hemos sealado anteriormente, el objeto de regulacin de la
Instruccin 1/1996 son los datos de carcter personal tratados de forma
automatizada que son recabados por los servicios de seguridad con la
fnalidad de controlar el acceso a los edifcios pblicos y privados. En el
presente apartado, iremos desgranando cada uno de los principios de la
normativa sobre proteccin en base a lo establecido en la citada Instruccin.
- Principio de informacin
A este respecto, la Instruccin 1/1996 seala que la recogida de las
imgenes deber realizarse de conformidad con lo establecido en el artculo
5 de la Ley Orgnica 5/1992 (entindase esta mencin hecha ahora a la Ley
Orgnica 15/1999, que derog a la antigua LORTAD), y, en concreto, deber
informarse de la existencia de un chero automatizado, de la nalidad
de la recogida de los datos, de los destinatarios de la informacin, del
carcter obligatorio de su respuesta, de las consecuencias de la negativa
a suministrarlos, de la posibilidad de ejercitar los derechos de acceso,
recticacin o cancelacin y de la identidad y direccin del responsable del
chero (Norma Tercera).
Con el objeto de que los centros de enseanza de la Junta de Andaluca
cumplan correctamente con lo establecido en la Norma Tercera de la
157
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
Instruccin 1/1996, hemos preparado un modelo orientativo de aviso
informativo que deber ubicarse a la entrada de todos aquellos centros que
dispongan de un sistema de cmaras o videocmaras con la fnalidad de
controlar el acceso al mismo (ver ANEXO II de la presente Gua).
- Principio del consentimiento
La Norma Cuarta de la Instruccin 1/1996 establece que las imgenes no
podrn ser objeto de cesin fuera de los casos expresamente establecidos
en la ley, salvo consentimiento del afectado.
- Principio de calidad de los datos
En lo tocante a este particular, las Normas Cuarta y Quinta de
la Instruccin 1/1996 establecen los datos personales as obtenidos no
podrn ser utilizados para otros nes y debern ser destruidos cuando
haya transcurrido el plazo de un mes, contado a partir del momento en que
fueron recabados.
- Principio de seguridad de los datos
Finalmente, la Norma Sexta de la Instruccin 1/1996 seala que el
responsable del chero garantizar la adopcin de las medidas tcnicas
y organizativas necesarias para la seguridad de los datos y que impidan el
acceso no autorizado a los cheros creados para dichos nes.
2.5. Medidas de seguridad
Los fcheros de imgenes captadas por sistemas de videovigilancia
con fnes de seguridad debern adoptar medidas de seguridad de nivel
bsico, en los trminos previstos en los artculos 81.1 y 89 a 94 del Decreto
1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley
15/1999.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
158
2.6. Observaciones realizadas por el Grupo del artculo 29 sobre
proteccin de datos en su Documento de trabajo 1/08
Llegados a este punto, nos gustara hacer referencia a las observaciones
realizadas por el Grupo del artculo 29 sobre proteccin de datos en su
Documento de trabajo 1/08, sobre la proteccin de datos personales de los
nios (Directrices generales y el caso especial de los colegios), adoptado el
18 de febrero de 2008, en referencia a la utilizacin de circutos cerrados de
televisin (CCTV) en los centros docentes:
Existe una tendencia creciente a usar circutos cerrados de televisin
(CCTV) en los colegios por motivos de seguridad. No existe una solucin
vlida recomendada para todos los aspectos de la vida escolar y para todas
las zonas de los colegios.
La capacidad del circuto cerrado de televisin (CCTV) para afectar a las
libertades personales supone que su instalacin en los colegios exige un
cuidado especial. Esto supone que slo debera instalarse cuando sea necesario
y si no est disponible otro medio menos intrusivo de lograr el mismo objetivo.
La decisin de instalar un circuto cerrado de televisin (CCTV) deber estar
precedida de un debate exhaustivo entre los profesores, los progenitores y
los representantes de los alumnos, teniendo en cuenta los objetivos indicados
para la instalacin y la adecuacin de los sistemas propuestos.
Existen lugares donde la seguridad es de la mayor importancia, por lo que
puede justicarse ms fcilmente la instalacin de CCTV, por ejemplo, en las
entradas y salidas de los colegios, as como otros lugares donde circulan las
personas (no slo la poblacin del colegio, sino tambin personas que visitan
las instalaciones escolares por el motivo que sea).
La eleccin de la ubicacin de las cmaras de CCTV deber ser siempre
pertinente, adecuada y no excesiva en relacin con el objeto del tratamiento. Por
ejemplo, en algunos pases, el uso de cmaras de CCTV fuera del horario escolar
se consider adecuado en relacin con los principios de proteccin de datos.
159
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
Por otro lado, en la mayora de las dems partes del colegio, el derecho a la
intimidad de los alumnos (as como el de los profesores y otros trabajadores del
colegio) y la libertad esencial a la enseanza, prevalecen sobre la necesidad de
vigilancia por CCTV permanente.
ste es especialmente el caso en las aulas, donde la vigilancia por video
puede interferir no slo en la libertad de los alumnos de aprender y expresarse,
sino tambin en la libertad de ensear. Lo mismo se aplica a las zonas de ocio,
gimnasios y vestuarios, donde la vigilancia puede interferir con el derecho a la
intimidad.
Estas observaciones tambin se basan en el derecho al desarrollo de la
personalidad, que poseen todos los nios. De hecho, la concepcin en desarrollo
de su propia libertad puede verse comprometida si asumen desde una edad
temprana que es normal estar vigilado por CCTV. Esto es an ms cierto si se
utilizan webcams o dispositivos similares para la vigilancia remota de los nios
durante sus horas de colegio.
En cualquier caso en que est justicado el uso de CCTV, los nios, el resto
de la poblacin del colegio y los representantes debern estar informados de la
existencia de la vigilancia, del responsable del tratamiento y de sus objetivos. La
informacin dirigida a los nios deber ser adecuada a su nivel de entendimiento.
Las autoridades escolares debern revisar regularmente la justicacin y la
pertinencia del sistema de CCTV para decidir si debe mantenerse o no.
Los representantes de los nios debern estar informados en consecuencia.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
160
3. Publicacin de imgenes del alumnado en la pgina web
del centro de enseanza
La difusin de las Tecnologas de la Informacin y las Comunicaciones
(TICs) entre los centros de enseanza ha propiciado que muchos de ellos
dispongan de su propia pgina web, en las cuales se suele verter nutrida
informacin acerca del mismo, incluyendo en ocasiones imgenes del
alumnado del centro en momentos distintos de su actividad escolar.
En este sentido, los centros de enseanza deben ser plenamente
conscientes de la necesidad de contar con el consentimiento previo e
informado del alumno, la alumna o el padre, la madre o de su representante
legal (en el caso de que aqul no rena las condiciones de madurez
sufcientes ) a la hora de llevar a cabo actividades de este tipo que pueden
afectar a su intimidad (entendida sta en un sentido amplio).
A este respecto, son dignos de mencin dos casos acaecidos en Catalua
y en la Comunidad de Madrid. En el primero de los casos, un grupo de
antiguos alumnos de un colegio de Reus (Tarragona) iniciaron una campaa
de disconformidad con la inclusin de imgenes suyas en la pgina web
del centro aludiendo al derecho a preservar su intimidad. Algunos meses
despus, el departamento de Ensenyament de la Generalitat decidi adoptar
una resolucin en virtud de la cual los centros educativos de Catalua no
pueden mostrar ninguna foto del alumnado en sus pginas web sin contar
con el consentimiento previo de sus padres, madres o representantes
legales, ofreciendo incluso a los centros un modelo con el cual recoger el
consentimiento para tal fnalidad. La aprobacin de dicha resolucin tuvo
su fundamento legal en el reconocimiento del derecho fundamental a la
propia imagen en el art. 18.1 de la Constitucin, desarrollado a travs de
la Ley Orgnica 1/1982, de 5 de mayo, de proteccin civil del derecho al
honor, a la intimidad personal y familiar y a la propia imagen.
En este sentido, la Ley Orgnica 1/1982, establece que no se apreciar
la existencia de intromisin ilegtima en el mbito protegido cuando estuviere
expresamente autorizada por la Ley o cuando el titular del derecho hubiere
otorgado al efecto su consentimiento expreso (art. 2.2 L.O. 1/1982).
161
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
Asimismo, seala que el consentimiento de los menores e incapaces
deber prestarse por ellos mismos si sus condiciones de madurez lo
permiten, de acuerdo con la legislacin civil (art. 3.1 L.O. 1/1982), lo cual
es un condicionante que tambin debe ser tenido muy en cuenta por los
centros de enseanza.
En el segundo de los casos citados, el padre de un alumno de un colegio
pblico de la Comunidad de Madrid compareci ante el Defensor del Menor
manifestando su preocupacin por la aparicin de la imagen del alumnado
en la pgina web del centro, sin que mediara autorizacin de sus padres.
Al igual que en el
caso anterior, se tom
en consideracin el
derecho fundamental
a la propia imagen
regulado a travs de la
Ley Orgnica 1/1982.
De acuerdo con lo
establecido en el art.
2.2 de la citada Ley, la
facultad de disponer
de la imagen de una persona requiere del consentimiento expreso de su
titular. El Defensor del Menor entendi aqu que, an admitiendo un inters
educativo o cultural, ese inters no pareca tener un carcter tan relevante
que le hiciera prevalecer sobre el derecho del alumnado a su propia imagen.
En base a lo anteriormente expuesto, el Defensor del Menor formul
una Recomendacin a la direccin del centro para que se adoptaran las
medidas oportunas dirigidas a evitar en el futuro la difusin de la imagen
de los y las menores de edad matriculados en el mismo, sin recabar
previamente el consentimiento del o la propio/a menor titular del derecho,
si tuviera sufciente madurez o, en caso contrario, de su padre, madre o
representante legal, con conocimiento previo del Ministerio Fiscal y, as
mismo, se llevasen a cabo las acciones oportunas para subsanar la omisin
de tal requisito, en la difusin que se estaba produciendo a travs de la
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
162
pgina web del centro. Dicha resolucin fue plenamente aceptada por el
centro educativo.
No obstante todo lo anterior, la Ley Orgnica 1/1982, de 5 de mayo, de
proteccin civil del derecho al honor, a la intimidad personal y familiar y a la
propia imagen no es la nica norma que protege la imagen del o la menor,
ya que sta es tambin un dato de carcter personal digno de proteccin
conforme a lo establecido en la Ley Orgnica 15/1999 (nuestra tantas veces
citada LOPD).
De tal manera, la Sentencia de la Audiencia Nacional de 24-01-2003,
relativa al tratamiento de datos de carcter personal a travs de imgenes
captadas por una webcam y su transmisin a travs de Internet, declar en
su Fundamento de Derecho Segundo que el artculo 3.a) de la Ley Orgnica
15/1999 ofrece una denicin amplia de datos de carcter personal pues
reere este concepto a cualquier informacin concerniente a personas
fsicas identicadas o identicables. Por su parte el artculo 1.4 del Real
Decreto 1332/1994, de 20 de junio -que, aunque dictado en desarrollo de la
ya derogada Ley Orgnica 5/1992, continua estando en vigor de conformidad
con la disposicin transitoria tercera de la Ley Orgnica 15/1999
1
- considera
datos de carcter personal a toda informacin numrica, alfabtica grca,
fotogrca, acstica o de cualquier otro tipo, susceptible de recogida,
registro, tratamiento o transmisin concerniente a una persona fsica
identicada o identicable, aadiendo expresamente que, an con todo,
la formulacin del artculo 3.a) de la LOPD es de tal amplitud que aunque
no hubiese existido la mencionada especicacin reglamentaria habra que
considerar incluidos en aqulla los datos consistentes en imgenes.
En la misma Sentencia, la Audiencia Nacional seal que no cabe
duda de que la emisin de las imgenes a travs de Internet conlleva su
cesin o la puesta de las mismas a disposicin de un destinatario mltiple e
indeterminado (Fundamento de Derecho Tercero). Precisin perfectamente
aplicable a la publicacin de imgenes del alumnado a travs de la pgina
web de un centro de enseanza.
1 Actualmente no es as, puesto que el Reglamento de Desarrollo de la LOPD (RD 1720/2007) ha derogado el Real
Decreto 1332/1994, si bien, en su artculo 5.1.f), defne dato de carcter personal de un modo casi coincidente con
el establecido en dicho Real Decreto: Cualquier informacin numrica, alfabtica, grfca, fotogrfca, acstica o de
cualquier otro tipo concerniente a personas fsicas identifcadas o identifcables.
163
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
Por ltimo, la Sentencia de la Audiencia Nacional de 24-01-2003, precis
en su Fundamento de Derecho Cuarto que, si bien la Ley Orgnica 15/1999
no requiere que el consentimiento para el tratamiento de las imgenes
se preste por escrito o con formalidades determinadas, s exige que el
consentimiento de los afectados sea inequvoco. Es decir, para proceder
a la publicacin de imgenes de los alumnos y alumnas a travs de la pgina
web de un centro de enseanza es necesario el consentimiento previo e
inequvoco de cada uno de ellos (o de sus padres, madres o representantes
legales, en funcin de sus condiciones de madurez).
Asimismo, las imgenes publicadas no deben ser contrarias al honor del
alumnado. Por tanto, las fotografas que vayan a ser objeto de publicacin
en la Red han de realizarse en un entorno y con la vestimenta adecuadas a
la fnalidad legtima para la cual se van a utilizar, evitando cualquier otro uso
desviado o inadecuado de las mismas. No podemos olvidar que publicar
las imgenes del alumnado en Internet supone, como hemos indicado,
su puesta a disposicin a un destinatario mltiple e indeterminado y la
salvaguarda de los y las menores ha de estar por encima de cualquier otro
condicionante.
Como es obvio, idnticas consideraciones debern tenerse en cuenta a la
hora de hacer pblica en la Red no ya slo sus imgenes, sino cualquier otro
tipo de informacin concerniente al alumnado del centro educativo (nombre
y apellidos, centro en el que estudia, curso, edad, califcaciones, etc.), ya
que ello implicara su cesin a un destinatario mltiple e indeterminado.
Sobre este particular, el Documento de Trabajo 1/08, sobre la proteccin
de datos personales de los nios (Directrices generales y el caso especial de
los colegios) del Grupo del artculo 29 sobre proteccin de datos, adoptado
el 18 de febrero de 2008, seala lo siguiente:
Sitios web de los colegios.
Un nmero creciente de colegios crean sitios web dirigidos a los
alumnos/estudiantes y sus familias, y dichos sitios web se convierten en
la herramienta principal para las comunicaciones externas. Los colegios
deben ser conscientes de que divulgar informacin personal justica un
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
164
cumplimiento ms riguroso de los principios fundamentales de proteccin
de datos, en concreto, la proporcionalidad y minimizacin de los datos;
adicionalmente, se recomienda la puesta en marcha de mecanismos de
acceso restringido con vistas a proteger la informacin personal en cuestin
(es decir, conexin con nombre de usuario y contrasea).
Fotos de los nios.
Con frecuencia, los colegios estn tentados de publicar (en la prensa
o en internet) fotos de sus alumnos. Debe prestarse especial atencin a la
publicacin por parte de los colegios de fotos de sus alumnos en Internet.
Siempre debe hacerse una evaluacin del tipo de foto, la pertinencia de
su publicacin y su objetivo. Los nios y sus representantes deben ser
conscientes de su publicacin y deber obtenerse el consentimiento previo
del representante (o del nio, si ya es maduro).
La Consejera de Educacin de la Junta de Andaluca, consciente
de toda esta problemtica, ha decidido disear modelos orientativos de
solicitud del consentimiento para la publicacin de imgenes del alumnado
en la pgina web del centro de enseanza (ver ANEXO II de la presente
Gua), as como modelos orientativos de solicitud del consentimiento para
la publicacin de otro tipo de datos de carcter personal de los alumnos
y alumnas en la pgina web del centro de enseanza (ver ANEXO I de la
presente Gua), que sirvan de utilidad a los centros de enseanza.
165
Recomendaciones para el correcto tratamiento de las imgenes del alumnado
4. Enlaces a la normativa especca sobre tratamiento de
imgenes
4.1. Normativa de la Unin Europea
- DICTAMEN 4/2004, relativo al tratamiento de datos personales
mediante vigilancia por videocmara, del Grupo del artculo 29 sobre
proteccin de datos, adoptado el 11 de febrero de 2004. Disponible
en el apartado de Proteccin de Datos del Sitio Web de la Comisin
Europea:
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/
wp89_es.pdf
- DOCUMENTO DE TRABAJO 1/08, sobre la proteccin de datos
personales de los nios (Directrices generales y el caso especial de
los colegios) del Grupo del artculo 29 sobre proteccin de datos,
adoptado el 18 de febrero de 2008. Disponible en el Sitio Web de la
Agencia Espaola de Proteccin de Datos:
https://www.agpd.es/upload/Canal_Documentacion/Internacional/
wp_29/menores_es.pdf
- DOCUMENTO DE TRABAJO (WP 67), relativo al tratamiento de
datos personales mediante vigilancia por videocmara, del Grupo del
artculo 29 sobre proteccin de datos, adoptado el 25 de noviembre
de 2002. Disponible en el apartado de Proteccin de Datos del Sitio
Web de la Agencia Espaola de Proteccin de Datos:
http://www.agpd.es/portalweb/canaldocumentacion/docu_grupo_
trabajo/wp29/2002/common/pdfs/Documento-de-trabajo-relativo-
al-tratamiento-de-datos-personales-mediante-vigilancia-por-videoc-
aa-m.pdf
4.2. Normativa nacional
- LEY ORGNICA 1/1982, de 5 de mayo, de proteccin civil del derecho
al honor, a la intimidad personal y familiar y a la propia imagen.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
166
ht t p: / / www. boe. es/ aeboe/ consul t as/ bases_dat os/ doc.
php?id=BOE-A-1982-11196
- INSTRUCCIN 1/2006, de 8 de noviembre, de la Agencia Espaola
de Proteccin de Datos, sobre el tratamiento de datos personales con
fnes de vigilancia a travs de sistemas de cmaras o videocmaras.
ht t p: / / www. boe. es/ aeboe/ consul t as/ bases_dat os/ doc.
php?id=BOE-A-2006-21648
- INSTRUCCIN 1/1996, de 1 de marzo, de la Agencia Espaola de
Proteccin de Datos, sobre fcheros automatizados establecidos
con la fnalidad de controlar el acceso a los edifcios.
http://www.boe.es/diario_boe/txt.php?id=BOE-A-1996-5697
- Orden de 26 de abril de 2010, por la que se regulan los fcheros
automatizados con datos de carcter personal gestionados por
la Consejera de Educacin en el mbito de la videovigilancia en
centros educativos. (BOJA 91, de 12 de mayo).
http://juntadeandalucia.es/boja/boletines/2010/91/d/updf/d20.pdf
PRECUNTA5 FRECUENTE5 5OBRE LA APLICACION DE LA
NORMATIVA DE PROTECCION DE DATO5 DE CARCTER
PER5ONAL EN LO5 CENTRO5 DE EN5EANZA
CAPTULO VI
169
1. El derecho a la proteccin de datos
1.1. Qu es el derecho a la proteccin de datos de carcter personal?
La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre,
consagr el derecho a la proteccin de datos de carcter personal como
un derecho fundamental independiente, desvinculado del derecho a la
intimidad, cuyo contenido est integrado por los principios y derechos que
se contemplan en la LOPD.
Este derecho autnomo e informador de nuestro texto constitucional se
concreta en un poder de disposicin y de control sobre los datos personales
que faculta a la persona para decidir cules de estos datos proporcionar
a un tercero, sea el Estado o un particular, o cules puede este tercero
recabar, y que tambin permite al individuo saber quin posee esos datos
personales y para qu, pudiendo oponerse a su posesin o uso.
Como consecuencia de lo anterior, todo tratamiento de datos de carcter
personal requiere el consentimiento previo e inequvoco del interesado o
titular de los mismos, principio legitimador en torno al cual se vertebra la
normativa espaola sobre proteccin de datos y que permite a la persona
ejercer el control efectivo del uso de sus datos por parte de terceros.
2. Inscripcin de cheros
2.1. Quin es el responsable de noticar los cheros en el Registro
General de Proteccin de Datos en el caso de los centros de enseanza
pblica?
En el caso de los centros de enseanza pblica, se plantea la duda de si
ha de ser el propio centro de enseanza o la Consejera de la cual depende
quien deba proceder a la adopcin de la disposicin de carcter general
sealada en el art. 20 LOPD y la posterior publicacin de la misma en el
Boletn Ofcial del Estado o Diario ofcial correspondiente, as como a la
consiguiente notifcacin de sus fcheros a fn de lograr su inscripcin en el
Registro General de Proteccin de Datos.
Preguntas frecuentes sobre la aplicacin de la Normativa
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
170
Dicha cuestin ha sido resuelta por la Agencia Espaola de Proteccin
de Datos en su Informe Jurdico 143/2004, indicando lo siguiente:
la obligacin de noticacin corresponder al responsable del chero,
denido por el artculo 3 d) de la Ley Orgnica 15/1999 como Persona
fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo,
que decida sobre la nalidad, contenido y uso del tratamiento.
Para determinar a quin corresponde la obligacin de proceder a
la adopcin de la correspondiente disposicin de carcter general y la
consiguiente noticacin del tratamiento al Registro General del Proteccin
de Datos resulta imprescindible delimitar si el consultante es un rgano
incardinado en la Administracin Autonmica o si el mismo posee
personalidad jurdica independiente de la misma.
En el primer supuesto, el Centro no sera sino un mero usuario del
chero, cuyo responsable sera la Administracin educativa autonmica, de
forma que la obligacin de noticacin correspondera a la Consejera de
Educacin, debiendo hacerse referencia al Centro educativo nicamente
como lugar de ubicacin del chero. En caso contrario, el responsable del
chero sera el propio Centro, correspondiendo al mismo la noticacin del
tratamiento al Registro de esta Agencia.
En este sentido, la Consejera de Educacin de la Junta de Andaluca
ha creado la ORDEN de 20 de julio de 2006, por la que se regulan los
fcheros automatizados con datos de carcter personal gestionados por
la Consejera de Educacin en el mbito de los sistemas Sneca y Pasen,
publicada en el BOJA nm. 156, de fecha 11 de agosto de 2006.
171
Preguntas frecuentes sobre la aplicacin de la Normativa
3. mbito de aplicacin de la normativa
3.1. Los cheros de un centro docente concertado, se rigen por lo
establecido para los cheros de titularidad pblica o por el contrario
les es de aplicacin el rgimen de cheros de titularidad privada?
Segn lo establecido en el art. 108 de la Ley Orgnica 2/2006, de 3 de
mayo, de Educacin (en adelante, LOE), los centros docentes se clasifcan
en pblicos y privados. De tal manera, son centros pblicos aquellos cuyo
titular sea una Administracin Pblica y son centros privados aquellos cuyo
titular sea una persona fsica o jurdica de carcter privado.
En cuanto a los centros concertados, a efectos de lo establecido en la
LOE, debemos entender por tales los centros privados acogidos al rgimen
de conciertos legalmente establecido (de hecho, la propia Ley Orgnica
2/2006 los denomina centros privados concertados. La frma de un
concierto educativo implica que los centros privados concertados impartan
enseanzas en rgimen de gratuidad y la aplicacin de similares normas que
las dispuestas para los centros pblicos en lo que afecta a la admisin de
alumnos, rganos de gobierno y participacin, as como normas especfcas
en lo que afecta a la contratacin y despido del profesorado.
Por otra parte, el Captulo I del Ttulo IV de la LOPD, que regula los
fcheros de titularidad pblica, se refere expresamente los fcheros de las
Administraciones Pblicas. Por tanto, en principio, los fcheros de datos de
carcter personal tratados en los centros privados concertados debern
acogerse al rgimen establecido para los fcheros de titularidad privada
(como tambin se establece en el artculo 5.1.l) del Real Decreto 1720/2007,
por el que se aprueba del Reglamento de desarrollo de la LOPD). Ello con
independencia de que la prestacin del servicio pblico de la educacin se
realice tambin a travs de los centros privados concertados (adems de
los centros pblicos).
Con respecto al fchero de personal de los centros privados concertados,
hay que tener en cuenta que es la propia Administracin quien abona
los salarios al personal docente. Ahora bien, dichas remuneraciones son
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
172
realizadas en concepto de pago delegado y en nombre de la entidad de
carcter privado titular del centro, ya que es esta ltima quien ostenta la
condicin de empleador en la relacin laboral. Por tanto, el citado fchero
deber regirse, de igual forma, por el rgimen establecido para los fcheros
de titularidad privada. Sealar, por ltimo, que para poder realizar dichos
abonos, el titular del centro debe facilitar a la Administracin las nminas
correspondientes, as como sus eventuales modifcaciones, debiendo,
por ende, informarse de esta comunicacin de datos a los interesados o
interesadas (el personal docente del centro privado concertado).
3.2. Sera aplicable la LOPD a los informes psicopedaggicos
realizados por los orientadores y orientadoras sobre un procesador de
textos?
Por lo general, los orientadores y orientadoras no manejan fcheros de
datos de carcter personal en el sentido coloquial del trmino, utilizando
como nica herramienta informtica el procesador de textos para la
redaccin de informes psicopedaggicos y otros documentos propios del
ejercicio de su actividad profesional.
La pregunta que se plantea, pues, es si el conjunto de dichos documentos
de texto conformaran un fchero conforme a lo establecido en nuestra LOPD.
En este sentido, debemos sealar que el concepto de fchero, a efectos
de lo establecido en la Ley Orgnica 15/1999, parte esencialmente de que
exista un conjunto organizado de datos de carcter personal empleado por
el Responsable del fchero para el cumplimiento de una fnalidad especfca:
Art. 3.b) Fichero: todo conjunto organizado de datos de carcter personal,
cualquiera que fuere la forma o modalidad de su creacin, almacenamiento,
organizacin y acceso.
En su consecuencia, lo relevante para considerar si estamos en
presencia de un fchero ser la individualizacin de los datos que contiene,
con independencia de las caractersticas del sistema de informacin
dispuesto para su tratamiento y almacenamiento. Por tanto, en principio, un
173
Preguntas frecuentes sobre la aplicacin de la Normativa
conjunto de documentos de texto ordenados alfabticamente en funcin de
los apellidos y nombre del alumnado, creados para la fnalidad especfca de
prestar el servicio de orientacin psicopedaggica por parte del centro, podra
tener la consideracin de fchero a los efectos de la Ley Orgnica 15/1999.
Un aspecto muy importante a tener en cuenta es que, en tanto en cuanto
los documentos en cuestin contengan datos psicolgicos, considerados
como datos de salud por la Agencia Espaola de Proteccin de Datos,
debern implementarse las medidas de seguridad contempladas en el
Real Decreto 1720/2007 para los fcheros que contengan datos de carcter
personal catalogados de nivel alto. En este sentido, plantea especiales
difcultades el establecimiento del Registro de accesos contemplado en
el art. 103 del citado Real Decreto.
En este sentido, a juicio de la AEPD, el aspecto esencial a tener en
consideracin en estos casos ser el que la informacin almacenada en
el registro de accesos permita identicar inequvocamente qu persona ha
tenido acceso a qu informacin contenida en el chero en cada momento,
a n de que, en caso de ser necesario reconstruir cundo y cmo se produjo
una determinada revelacin de un dato, sea posible identicar la persona
que pudo conocerlo en ese momento concreto.
Por ello, depender de las aplicaciones informticas con que cuente el
responsable del chero dar una u otra solucin, de forma que, en caso de
que ante la cuestin de quin conoci un determinado dato en un concreto
momento, sea posible efectuar esa reconstruccin.
3.3. Si en un centro de enseanza se realizan encuestas annimas
entre el alumnado y sus familiares para realizar un estudio sobre salud
y hbitos alimentarios, sera aplicable la normativa sobre proteccin
de datos de carcter personal al supuesto concreto?
No. En este sentido, el art. 2.1 LOPD seala que La presente Ley Orgnica
ser de aplicacin a los datos de carcter personal registrados en soporte
fsico que los haga susceptibles de tratamiento, y a toda modalidad de uso
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
174
posterior de estos datos por los sectores pblico y privado; defnindose el
concepto de dato de carcter personal en el artculo 3.a) de la citada LOPD
como Cualquier informacin concerniente a personas fsicas identicadas
o identicables.
De igual manera, la Audiencia Nacional, en su sentencia de 08/03/2002,
ha sealado que no hay datos de carcter personal, y por tanto no es
posible aplicar la Ley de Proteccin de Datos a los llamados datos
disociados y as el mismo artculo 3 de la Ley, pero en su apartado f), dene
como Procedimiento de disociacin: Todo tratamiento de datos personales
de modo que la informacin que se obtenga no pueda asociarse a persona
determinada o determinable.
Y aade la citada sentencia: Procedimiento de disociacin que consiste
en eliminar la conexin entre el dato y la persona, en despersonalizar el
dato, actuando como barrera que impide la identicacin y entraando en
denitiva un elemento protector de la intimidad o privacidad del afectado.
Sin embargo, para que exista dato de carcter personal (en contraposicin
con dato disociado) no es imprescindible una plena coincidencia entre el
dato y una persona concreta, sino que es suciente con que tal identicacin
pueda efectuarse sin esfuerzos desproporcionados, tal y como se desprende
del mencionado artculo 3 de la Ley, en sus apartados a) y f) y tambin
del Considerando 26 de la invocada Directiva 95/46/CE que expresamente
seala que, para determinar si una persona es identicable, hay que
considerar el conjunto de los medios que puedan ser razonablemente
utilizados por el responsable del tratamiento o por cualquier otra persona,
para identicar a dicha persona; que los principios de la proteccin no se
aplicarn a aquellos datos hechos annimos de manera tal que ya no sea
posible identicar al interesado; que los cdigos de conducta con arreglo
al art. 27 pueden constituir un elemento til para proporcionar indicaciones
sobre los medios gracias a los cuales los datos pueden hacerse annimos y
conservarse de forma tal que impida identicar al interesado.
En su consecuencia, dado que las encuestas realizadas en el centro
de enseanza son annimas, en principio, no sera aplicable la normativa
175
Preguntas frecuentes sobre la aplicacin de la Normativa
vigente sobre proteccin de datos de carcter personal, al no ser posible
identifcar a travs de las mismas (salvo que se recurriese a medios
desproporcionados, como la utilizacin de los servicios especializados
de un graflogo) a las personas que las han cumplimentado y, por tanto,
relacionarlas con sus hbitos alimentarios.
3.4. En un centro de enseanza disponen de cmaras de vigilancia, si
bien slo se utilizan para el visionado en tiempo real de las imgenes
captadas, sin proceder a su grabacin o conservacin. Sera
aplicable en este supuesto la Instruccin 1/2006, de 8 de noviembre,
de la Agencia Espaola de Proteccin de Datos, sobre el tratamiento
de datos personales con nes de vigilancia a travs de sistemas de
cmaras o videocmaras?
S. En este sentido, el artculo 1 apartado 1 de la Instruccin 1/2006
comprende, dentro de su mbito objetivo de aplicacin, la grabacin,
captacin, transmisin, conservacin, y almacenamiento de imgenes,
incluida su reproduccin o emisin en tiempo real, as como el tratamiento
que resulte de los datos personales relacionados con aqullas.
Por tanto, la citada Instruccin es aplicable a cualquier centro de
enseanza que disponga de cmaras, videocmaras o cualquier otro
medio tcnico anlogo o sistema que permita el visionado en tiempo real
de las imgenes del alumnado, personal docente, etc. . Otra cosa es que
no exista la obligacin de inscribir el fchero de videovigilancia, puesto que,
tal como dice la Instruccin en su artculo 7: 2. No se considerar chero
el tratamiento consistente exclusivamente en la reproduccin o emisin de
imgenes en tiempo real.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
176
4. Principio del consentimiento
4.1. A partir de qu edad puede una persona consentir sobre el
tratamiento de sus datos?
Todo tratamiento de datos de carcter personal requiere el consentimiento
previo e inequvoco del interesado, interesada o titular de los mismos,
principio legitimador en torno al cual se vertebra la normativa espaola
sobre proteccin de datos y que permite a la persona ejercer el control
efectivo del uso de sus datos por parte de terceros.
Ahora bien, en el mbito educativo esta cuestin se complica, ya que
en la gran mayora de los casos estamos hablando de personas menores
de edad. Surge, por tanto, la inevitable pregunta de si stas gozan o no de
la capacidad jurdica sufciente para consentir sobre el tratamiento de sus
datos.
La Agencia Espaola de Proteccin de Datos seala, respecto al
consentimiento de los menores de edad, que deben diferenciarse dos
supuestos bsicos:
1. Los y las mayores de catorce aos, a los que la Ley atribuye
capacidad para la realizacin de determinados negocios
jurdicos.
2. El consentimiento que pudieran dar los y las menores de dicha
edad.
Respecto de los y las mayores de catorce aos, la AEPD recuerda que el
artculo 162.1 del Cdigo Civil excepta de la representacin legal del titular
de la patria potestad a los actos referidos a derechos de la personalidad
u otros que el hijo, de acuerdo con las leyes y con sus condiciones de
madurez, pueda realizar por s mismo.
De tal modo, la AEPD entiende que las personas mayores de catorce
aos renen las condiciones sufcientes de madurez para prestar
177
Preguntas frecuentes sobre la aplicacin de la Normativa
su consentimiento al tratamiento de los datos, toda vez que nuestro
ordenamiento jurdico viene, en diversos casos, a reconocer a los y las
mayores de catorce aos la sufciente capacidad de discernimiento y
madurez para adoptar por s solos/as determinados actos de la vida civil
(adquisicin de la nacionalidad espaola por ejercicio del derecho de opcin
o por residencia, capacidad para testar, etc.).
Respecto de los y las restantes menores de edad, la AEPD entiende que
no puede ofrecerse una solucin claramente favorable a la posibilidad de
que por los/las mismos/as pueda prestarse el consentimiento al tratamiento,
por lo que la referencia deber buscarse en el artculo 162.1 del Cdigo
Civil, tomando en cuenta, fundamentalmente, sus condiciones de madurez.
En consecuencia, ser necesario recabar el consentimiento de los
y las menores para la recogida de sus datos, con expresa informacin
de la totalidad de los extremos contenidos en el artculo 5.1 de la Ley,
recabndose, en caso de menores de catorce aos cuyas condiciones
de madurez no garanticen la plena comprensin por los mismos del
consentimiento prestado, el consentimiento de sus representantes legales.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre,
de proteccin de datos de carcter personal incorpora, de manera defnitiva,
el criterio interpretativo de la Agencia Espaola de Proteccin de Datos
plasmado en su Memoria 2000, regulando, asimismo, otros aspectos de
importancia en referencia a la captacin de datos de menores:
Artculo 13. Consentimiento para el tratamiento de datos de menores
de edad.
1. Podr procederse al tratamiento de los datos de los mayores de catorce
aos con su consentimiento, salvo en aquellos casos en los que la Ley exija
para su prestacin la asistencia de los titulares de la patria potestad o tutela.
En el caso de los menores de catorce aos se requerir el consentimiento
de los padres o tutores.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
178
2. En ningn caso podrn recabarse del menor datos que permitan
obtener informacin sobre los dems miembros del grupo familiar, o
sobre las caractersticas del mismo, como los datos relativos a la actividad
profesional de los progenitores, informacin econmica, datos sociolgicos
o cualesquiera otros, sin el consentimiento de los titulares de tales datos.
No obstante, podrn recabarse los datos de identidad y direccin del padre,
madre o tutor con la nica nalidad de recabar la autorizacin prevista en el
apartado anterior.
3. Cuando el tratamiento se reera a datos de menores de edad, la
informacin dirigida a los mismos deber expresarse en un lenguaje que
sea fcilmente comprensible por aqullos, con expresa indicacin de lo
dispuesto en este artculo.
4. Corresponder al responsable del chero o tratamiento articular los
procedimientos que garanticen que se ha comprobado de modo efectivo la
edad del menor y la autenticidad del consentimiento prestado en su caso,
por los padres, tutores o representantes legales.
De tal manera, el apartado 1 del citado artculo 13 sita defnitivamente
la barrera del consentimiento para el tratamiento de los datos de las
personas menores de edad en los catorce aos, sealando que podr
procederse al tratamiento de los datos de los mayores de catorce aos con
su consentimiento, salvo en aquellos casos en los que la Ley exija para su
prestacin la asistencia de los titulares de la patria potestad o tutela y que
en el caso de los menores de catorce aos se requerir el consentimiento
de los padres o tutores.
4.2. Puede un centro de enseanza publicar en su pgina web
imgenes del alumnado sin su consentimiento previo?
No. En este sentido, conviene recordar que, conforme a lo establecido
en el artculo 2.a) de la Directiva 95/46/CE, se entiende por dato personal
toda informacin sobre una persona fsica identicada o identicable; se
considerar identicable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un nmero de identicacin
o uno o varios elementos especcos, caractersticos de su identidad fsica,
179
Preguntas frecuentes sobre la aplicacin de la Normativa
siolgica, psquica, econmica, cultural o social. Atendiendo a la citada
defnicin, que considera dato de carcter personal toda informacin sobre
una persona fsica identicada o identicable, las imgenes publicadas
en la pgina web se ajustarn a este concepto siempre que permitan la
identifcacin de los alumnos y alumnas del centro de enseanza.
Por tanto, de conformidad con lo establecido en los arts. 6.1 y 11.1 de
la LOPD, la publicacin de las imgenes del alumnado en la pgina web
del centro de enseanza requerir el consentimiento previo e inequvoco de
los mismos o bien de sus padres, madres o representantes legales, si no
reuniesen las condiciones de madurez sufcientes.
Asimismo, la Ley Orgnica 1/1982, de 5 de mayo, de proteccin civil
del derecho al honor, a la intimidad personal y familiar y a la propia imagen,
establece que no se apreciar la existencia de intromisin ilegtima en el
mbito protegido cuando estuviere expresamente autorizada por la Ley o
cuando el titular del derecho hubiere otorgado al efecto su consentimiento
expreso (art. 2.2 L.O. 1/1982). De lo cual se infere que es necesario contar
con el consentimiento expreso de los alumnos y alumnas o bien de sus
padres, madres o representantes legales, si no reuniesen las condiciones
de madurez sufcientes, para la publicacin de sus imgenes en la pgina
web del centro de enseanza.
Gua de Proteccin de Datos de carcter personal para los Centros de Enseanza
180
4.3. Puede el alumno o alumna negarse a que sus padres conozcan
sus calicaciones?
No. Esta cuestin fue planteada a la Agencia Espaola de Proteccin de
Datos en 2004, ms concretamente si deba prevalecer la voluntad de un
alumno de catorce aos que no quera que se facilitasen sus califcaciones
acadmicas a sus padres o tutores, sobre la pretensin de stos de acceder
a dicha informacin, no pudiendo en dicho caso el centro de enseanza
atender la citada solicitud de los padres o tutores. Asunto que la AEPD
resolvi en su Informe 466/2004, de la siguiente manera:
En cuanto a la posibilidad de ceder los datos acadmicos de los
menores a sus padres o tutores sin el consentimiento de dichos menores
afectados, ante todo, deber considerarse que la comunicacin de los datos
al representante legal supone una cesin de datos de carcter personal,
denida por el artculo 3 i) de la Ley como Cesin o comunicacin de datos:
Toda revelacin de datos realizada a una persona distinta del interesado.
Respecto de las cesiones, el artculo 11.1 prev taxativamente que
los datos de carcter personal objeto del tratamiento slo podrn ser
comunicados a un tercero para el cumplimiento de nes directamente
relacionados con las funciones legtimas del cedente y del cesionario con
el previo consentimiento del interesado. Este consentimiento slo se ver
exceptuado en los supuestos contenidos en el artculo 11.2 de la Ley, entre
los que se encuentra la posibilidad de que una norma con rango de Ley
habilite la cesin.
Pues bien, de acuerdo con lo dispuesto por el artculo 154 del vigente
Cdigo Civil:
Los hijos no emancipados estn bajo la potestad del padre y de la madre.
La patria potestad se ejercer siempre en benecio de los hijos, de acuerdo
con su personalidad, y comprende los siguientes deberes y facultades:
1. Velar por ellos, tenerlos en su compaa, alimentarlos, educarlos
y procurarles una formacin integral.
181
Preguntas frecuentes sobre la aplicacin de la Normativa
2. Representarlos y administrar sus bienes (......).