Protección de Datos en centros educativos: ¿Las escuelas necesitan ajustar su mantenimiento de registros? ¿Qué información se considera delicada? ¿Puedo transportar datos de la escuela en un dispositivo portátil?
Los datos personales comprenden cualquier información que pueda ayudar a identificar a una persona o su familia. En los registros escolares, este sería su nombre, su dirección, sus datos de contacto, sus registros disciplinarios, así como sus notas e informes de progreso. En lo que respecta a las escuelas, una categoría especial de datos más delicados incluyen los datos biométricos de los estudiantes (huellas dactilares, fotos), creencias religiosas (religión, la exclusión de un estudiante de la clase de religión), salud (enfermedades, intolerancias, alergias) o requisitos dietéticos (que pueden insinuar su religión o salud). Los datos en esta categoría pueden representar un riesgo para las personas y, por lo tanto, solo pueden procesarse bajo cier
tas condiciones. Es probable que las escuelas no puedan usarlo sin el consentimiento de los padres.
En la Protección de Datos en centros educativos se destaca la importancia de dos roles, que pueden ser individuos o entidades: un controlador de datos determina los medios y propósitos de procesamiento de datos, mientras que un procesador de datos maneja los datos en nombre del controlador. Cada una de estas partes tiene diferentes responsabilidades legales. La escuela generalmente será el «controlador«, por lo que debe asegurar un contrato claro con el «procesador«. Un procesador puede adoptar diversas formas: desde un fotógrafo hasta una empresa de trituración, una plataforma de aprendizaje en línea o una pieza de software. Cualquier operación que realicen estas entidades en la generación de datos como procesamiento, incluso si está automatizada: recopilarla, almacenarla, recuperarla, destruirla, etc.
Con la entrada del Reglamento General de Protección de Datos, las escuelas deben designar un Oficial de Protección de Datos (DPO). Su trabajo es monitorear las políticas de la escuela, proporcionar capacitación, realizar auditorías y más. Pero las escuelas no deben contar con el Oficial de Protección de Datos para descubrir todas las fallas en su sistema. El personal solo debe almacenar datos personales en el equipo escolar, usar contraseñas seguras y tomar medidas para evitar el acceso de terceros al equipo como configurar sus dispositivos para que se bloqueen automáticamente después de cinco minutos. Si los datos personales se descargan en medios extraíbles, como una memoria USB, deben estar encriptados y protegidos con contraseña, y mantenerse alejados de otros usuarios.
Las escuelas deben emitir un aviso de privacidad a los padres a través del folleto, un boletín informativo, un informe, carta o un correo electrónico: en él, deben indicar los datos que recopilan, la razón por la que los recopilan y los terceros que tienen acceso a ellos. Tenga en cuenta que, bajo RGPD, los padres y los estudiantes pueden solicitar ver los datos que se tienen sobre ellos.