Ya son unos cuantos procedimientos sancionadores a centros educativos por la implantación de tecnología sin tener en cuenta la normativa de protección de datos de carácter personal. En un post anterior: «La responsabilidad de los centros educativos en la elección de proveedores tecnológicos» ya recogimos el procedimiento sancionador a un centro educativo por la elección de los proveedores tecnológicos; por no formalizar adecuadamente un contrato con Google, incumpliendo el artículo 28 del RGPD, que exige acuerdos claros y detallados con los encargados del tratamiento de datos.
Ahora traemos otro procedimiento sancionador a otro centro educativo por no proporcionar adecuadamente la información necesaria a los padres/madres de los alumnos respecto a la recogida y tratamiento de datos personales de los menores, específicamente en relación con el uso de dispositivos Chromebook y diversas aplicaciones educativas.
La infracción cometida por el centro se centró en la violación del artículo 13 del RGPD, que estipula el deber de informar al interesado cuando se recopilan datos personales directamente de este. En este caso, el centro educativo no informó adecuadamente a los padres sobre cómo se trataban los datos de sus hijos mediante el uso de los Chromebooks y las aplicaciones educativas. Esta falta de transparencia no solo pone en riesgo la privacidad y seguridad de los datos de los menores, sino que también infringe los principios básicos de protección de datos personales establecidos por el RGPD.
Adicionalmente, el procedimiento pone de relieve posibles deficiencias en cumplir con el artículo 28 del RGPD, que trata sobre la relación entre el responsable y el encargado del tratamiento de datos. Este artículo señala que el tratamiento por parte del encargado debe estar regulado por un contrato que especifique las instrucciones del responsable, las medidas técnicas y organizativas aplicadas para asegurar la protección de los datos, y los derechos y obligaciones del responsable. La correcta implementación de este artículo es fundamental para garantizar que cualquier tercero que maneje datos personales lo haga de manera que cumpla con los estándares de protección de datos.
Como se discutió en nuestro post anterior, la elección de proveedores tecnológicos en el ámbito educativo conlleva una responsabilidad significativa. Los centros educativos deben actuar no solo como responsables del tratamiento de datos, garantizando que se cumplan todas las obligaciones del RGPD, sino también como protectores de la privacidad y seguridad de los datos de los estudiantes. Esto implica una rigurosa evaluación de las capacidades de los proveedores para cumplir con la normativa de protección de datos, así como la implementación de medidas técnicas y organizativas adecuadas para asegurar un tratamiento de datos seguro y conforme a la ley.
A modo resumen diremos que los centros educativos deben realizar los siguientes pasos con sus proveedores tecnológicos:
- Elegir proveedores que cumplan con la normativa europea de protección de datos de carácter personal
- Firmar los contratos de encargado de tratamiento correspondientes según el artículo 28 RGPD
- Informar a los padres/madres/alumnos/as sobre el tratamiento que realizan estos proveedores.
- Establecer los procedimientos para el adecuado ejercicio de los derechos de los interesados