CN13-020 DICTAMEN QUE SE EMITE EN RELACIÓN A LA APLICACIÓN DE LA LOPD EN LAS RELACIONES DE LA COMUNIDAD EDUCATIVA DE UN CENTRO PÚBLICO DE ENSEÑANZA. ANTECEDENTES PRIMERO: Con fecha 8 de abril de 2013, mediante correo electrónico, tiene entrada en esta Agencia Vasca de Protección de Datos escrito solicitando respuesta a las siguientes dudas: “Cesión de datos de nuestro alumnado: ¿podemos dar teléfonos, e-mails, direcciones…a los responsables de las AMPAS? - Notas: ¿Se pueden publicar las notas del alumnado en los expositores que son públicos con nombres y apellidos o hay que hacerlo sólo haciendo figurar el DNI? - Datos personales: Los datos de salud que los tutores recogen de sus alumnos ¿cómo han de tratarse? ¿cómo se informa de ellos en el caso de que vayan al comedor? - Correos electrónicos y página web: ¿cuál es el tratamiento adecuado? - ¿Cuáles son los datos que hay que proteger especialmente? Me habéis mencionado una guía adaptada a centros educativos privados que tienen en la Comunidad de Madrid. ¿Podríais mandarme la referencia?” SEGUNDO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. CONSIDERACIONES I Con carácter previo, a las cuestiones concretas planteadas, conviene dejar constancia del contenido de la disposición adicional vigésimo tercera de la Ley Orgánica 2/2006, de 3 de c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 [email protected] - www.avpd.es mayo, de Educación (LOE), referente a los datos personales de los alumnos, que establece: “1. Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos. 2. Los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información a la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad, en los términos establecidos en la legislación sobre protección de datos. En todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso. 3. En el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad y confidencialidad. El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedará sujeto al deber de sigilo. 4. La cesión de los datos, incluidos los de carácter reservado, necesarios para el sistema educativo, se realizará preferentemente por vía telemática y estará sujeta a la legislación en materia de protección de datos de carácter personal, y las condiciones mínimas serán acordadas por el Gobierno con las Comunidades Autónomas en el seno de la Conferencia Sectorial de Educación”. Igualmente, cabe recordar que, en cualquier caso, el centro debe tratar los datos de acuerdo con los principios fundamentales recogidos en los artículos 4, 5, 6, 7, 9, 10 y 11 de la LOPD: calidad de los datos, información (incluir la cláusula informativa en la recogida de los datos), consentimiento (solicitar con carácter general el consentimiento de los titulares de los datos, con especial cuidado de los datos especialmente protegidos del artículo 7), seguridad de los datos y confidencialidad o deber de secreto. II Expuesto el marco normativo a tener en cuenta en nuestro análisis, la primera cuestión planteada es la relativa a si los datos administrativos de todo el alumnado (teléfono, emails, direcciones…) se pueden facilitar a la AMPAS. La cesión de datos es un tratamiento definido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), concretamente en el artículo 3 i) como “toda revelación de datos realizada a una persona distinta del interesado.” El régimen general de la cesión de datos se regula en el artículo 11 de la LOPD, que dispone en su apartado primero que “Los datos de carácter personal objeto del tratamiento 2 sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, pero no será necesario el consentimiento del afectado, entre otros motivos, “cuando la cesión está autorizada en una Ley” [artículo 11.2 a)]. Las asociaciones de madres y padres de alumnos (AMPAS) son entidades con personalidad jurídica propia e independiente del centro de enseñanza y dado que no existe ley que habilite la cesión de datos del alumnado a dicha asociación, la misma requerirá el consentimiento previo e informado del alumnado o, en su caso, de sus tutores o representantes legales. El consentimiento para el tratamiento de datos de menores de edad está regulado en el artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, que establece: “Artículo 13. Consentimiento para el tratamiento de datos de menores de edad 1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. 2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior. 3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo. 4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales”. III En segundo lugar, se consulta sobre si se pueden publicar las notas del alumnado en los expositores que son públicos con nombre y apellidos o hay que hacerlo sólo haciendo figurar el DNI. Con independencia de lo que a continuación señalaremos y de conformidad con la definición de dato de carácter personal de la LOPD y de su Reglamento de desarrollo, cabe recordar que el número del DNI ostenta el carácter de dato de carácter personal, puesto que está destinado a identificar a su titular. De este modo, el uso del nombre y apellidos del alumnado o la utilización del DNI a que se refiere la consulta, implicaría un tratamiento de estos datos personales. 3 En efecto, la publicación de las calificaciones académicas del alumnado en tablones o expositores públicos junto a esos datos identificativos supone una cesión de datos conforme a la definición ofrecida en el apartado anterior. Por lo tanto, ante la inexistencia de norma con rango de ley que permita esa publicación en centros no universitarios, también en este caso, sería necesario consentimiento previo e informado del alumnado o, en su caso, de sus tutores o representantes legales. IV Respecto al tratamiento de los datos de salud que se recogen del alumnado o de su tutores o representantes legales y a la información que se ofrece al servicio de comedor, en el caso de que sea relevante para ello, hemos de comenzar señalando que los “datos de salud”, “datos relativos a la salud” o “datos de carácter personal relacionados con la salud” son definidos en el artículo 5.1 g) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD como “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.” Estos datos son objeto de especial protección desde la perspectiva del derecho fundamental a la protección de datos de carácter personal, dado que un tratamiento inadecuado de esos datos podría causar graves perjuicios a su titular. La especial protección conferida a los datos de salud por las normas internacionales y comunitarias tienen reflejo en la LOPD que establece un régimen jurídico específico contenido básicamente en el apartado 3 del artículo 7, artículo dedicado a los “datos especialmente protegidos” merecedores del más alto nivel de protección por afectar a los aspectos más íntimos de la personalidad, situándose en un plano en el que confluyen dos derechos fundamentales: el de intimidad y de protección de datos de carácter personal. De acuerdo con tal apartado: “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”. Como ya hemos indicado, la LOE prevé que los centros docentes puedan recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Estos datos pueden referirse al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos, y los padres o tutores y los propios alumnos deben colaborar en la obtención de esa información. Asimismo, la Ley 7/1982, de 30 de junio, reguladora de la salud escolar del País Vasco, establece que los padres o tutores del alumno, al inicio de la vida escolar de éste, deben cumplimentar un cuestionario de antecedentes que se adjuntará a la ficha médico-escolar que acompañará al expediente médico-escolar en caso de traslado de centro, y que cada profesor encargado de la tutoría estará, obligado a cumplimentar los datos psicopedagógicos del comportamiento del alumno. 4 Por lo tanto, no existe objeción legal alguna para que el personal del centro educativo (profesores u orientadores) recabe del alumnado o, en su caso, de sus tutores o representantes legales datos de salud que tengan como finalidad el ejercicio de la función educativa (por ejemplo, datos de discapacidades que imposibiliten el ejercicio físico o datos psicológicos para llevar a cabo las adaptaciones y diversificaciones curriculares que precisa el alumno), o la conservación y fomento de la salud del escolar en sus vertientes física, mental y social. Ahora bien, ambas normas limitan el alcance de la recopilación de datos a las finalidades antes mencionadas, evitando con ello que se proceda a una recopilación masiva de datos que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados. Estos límites están en consonancia con el principio de calidad de los datos del artículo 4 de la LOPD que señala que: “Los datos de carácter personal sólo se podrán recoger para su tratamiento así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”. Este principio está desarrollado en el artículo 8 del Reglamento de desarrollo de la LOPD, y debe considerarse como un criterio de racionalidad y proporcionalidad en el manejo de la información. Así, en el ámbito objeto de la consulta, implicaría que todos los profesores no puedan acceder a todos los datos del alumnado, más aún, no podría admitirse un acceso generalizado del profesor a todos los datos de sus alumnos, debiendo restringirse dicho acceso a aquellos datos que sean necesarios para el cumplimiento de sus funciones; esto es, no podrían tratarse datos con fines diferentes del educativo o del inicialmente previsto en salud escolar sin consentimiento expreso del afectado o, en su caso, de su tutor o representante legal. Por otro lado, el acceso a la información por parte del profesorado debe regirse siempre por la obligación de reserva, tal y como señala el artículo 10 de la LOPD cuando regula el deber de secreto para los intervinientes en el tratamiento de los datos al prescribir que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” Además, el tratamiento de datos de carácter personal que realice el centro deberá ajustarse a las previsiones del artículo 9 de la LOPD y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (seguridad de los datos). Finalmente, respecto a la posibilidad de recabar datos de salud para el servicio de comedor, hemos de considerar que conforme estipula la Orden de 22 de marzo de 2000, del Consejero de Educación, Universidades e Investigación, por la que se regulan los comedores escolares de los centros docentes públicos no universitarios de la Comunidad Autónoma del País Vasco en los niveles de enseñanza obligatorios y Educación Infantil (2.º ciclo), la prestación del servicio de comedor escolar se realizará a través del propio centro docente recibiendo la denominación de comedor de gestión directa, aunque 5 excepcionalmente, mientras la prestación cambió a gestión directa, el servicio de comedor se pudo ofrecer a través de entes autorizados de derecho privado en los términos del Capítulo III de la citada Orden. Por lo tanto, se trata de un servicio complementario que ofrece el centro, con menús que se elaboran en función de las necesidades dietéticas del alumnado, aunque se permite la existencia de menús diferenciados (menú vegetariano y menú no cerdo) y, en casos suficientemente justificados, dietas especiales (intolerancias, alergias y enfermedad). La circular de la Viceconsejera de Administración y Servicios por la que se emiten instrucciones para el funcionamiento de comedores escolares en régimen de gestión directa, a partir del curso escolar 2012/2013, en su Anexo X “Dietas especiales”, señala que. “El centro no podrá solicitar a la empresa ningún menú especial si no va debidamente documentado: solicitud del padre/madre/tutor, certificado médico correspondiente a cada grupo y protocolo de actuación en caso de ingesta por error. El tratamiento de estos datos deberá salvaguardar lo establecido en la Ley 15/1999 de protección de datos de carácter personal”. Por lo tanto, los usuarios del comedor o sus tutores o representantes legales deberán facilitar los datos que puedan afectar a la prestación de ese servicio (alergias, intolerancias, condición de diabético, celíaco,…) y consentir su tratamiento, si quieren que los menús se adapten a sus necesidades y evitar riesgos de salud alimentaria. V Para responder a la pregunta sobre el tratamiento y cesión de datos en la página web o mediante correos electrónicos, resulta conveniente constatar que las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, por la que se regula la protección de datos de carácter personal (LOPD) y en el artículo 5.1 f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, que considera como dato de carácter personal la información gráfica o fotográfica. El tratamiento de datos personales se define en el apartado c) del artículo 3 como las “Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”, por lo que cualquier tratamiento que se realice con imágenes (captación, almacenamiento, cesión, etc.) debe respetar los principios básicos de la protección de datos. Así, la remisión mediante correo electrónico o la publicación en la página web del colegio de fotos e imágenes de los alumnos constituye una cesión o comunicación de datos de carácter personal, conforme a la definición del artículo 3 j) de la LOPD. En consecuencia, según lo estipulado en el artículo 11.1 de la LOPD, la toma de fotografías o imágenes del alumnado y su publicación en Internet o la remisión a otra persona mediante correo electrónico requieren el consentimiento del afectado o, en su caso, de sus tutores o representantes legales. 6 En cualquier caso, al tratarse de un colectivo especialmente protegido (menores) y con independencia de que en todo caso se informe a los niños y a los padres de tal circunstancia para que pueda manifestar su oposición a la captación de las imágenes, se sugiere que se pondere la pertinencia de la publicación de la foto o imagen frente al objetivo que se pretende alcanzar con ella, ya que se identifica a menores en un contexto determinado, con el riesgo que ello pudiera conllevar. Si finalmente se difunden y publican en la página web, se aconseja que se adopten medidas que impidan su visualización generalizada, poniendo en marcha mecanismos de acceso restringido como, por ejemplo, la conexión con nombre de usuario y contraseña. En Vitoria-Gasteiz, a 1 de julio de 2013 7