La protección de datos de carácter personal en menores de edad en el ámbito educativo
La protección de los datos personales de los menores de edad es un tema interesante a tratar, ya que según lo dispuesto en el Reglamento General de Protección de Datos (en adelante “RGPD”) no tendrán consideración de categoría especial de datos personales, por lo que no entrarán dentro de los supuestos previstos en el artículo 9 del RGPD.
Si bien, y de acuerdo con lo dispuesto en el considerando 38 del RGPD, los menores de edad deben ser merecedores de una protección especifica de sus datos personales. En relación con lo anterior, el artículo 7 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante “LOPDGDD”) tiene a su vez en cuenta la necesaria protección sobre el tratamiento de los datos personales de menores, en dicho artículo se hace referencia o más bien se regula el consentimiento para el tratamiento de los datos de menores. Pues se establece que el tratamiento de los datos de carácter personal de un menor de edad podrá fundarse en su consentimiento siempre y cuando éste sea mayor de 14 años, salvo que la ley aplicable exija la asistencia de los titulares de la patria potestad o tutela.
¿y que ocurre si se trata de un menor de catorce años? Pues bien, de acuerdo con lo dispuesto en el artículo 7.2 de la LOPDGDD, el tratamiento de los datos personales de menores de catorce años, basado en el consentimiento, únicamente será licito si consta el del titular de la patria potestad o tutela.
Esta distinción o barrera legal de edad que se ha interpuesto se debe a que en la edad de 14 años o más se considera que existe una madurez suficiente para que éste pueda comprender la finalidad del tratamiento y por lo tanto poder dar su consentimiento, salvo, como bien se ha comentado con anterioridad, que sea necesaria la asistencia de los padres o tutores. Cabe destacar, que la información dada a los menores por los responsables de los tratamientos debe ser clara y comprensible de acuerdo con su edad.
En este punto podríamos centrar nuestra atención en el tratamiento de los datos personales de menores en el ámbito educativo y su legitimación para el tratamiento de tales datos. De acuerdo con la Ley Orgánica de Educación (En adelante la “LOE”), los centros docentes están legitimados para el tratamiento de los datos en el ejercicio de la función educativa.
¿Qué datos pueden tratar y cómo? Los datos deben ser tratados de manera licita, leal y transparente, sin tratarse más datos personales de los estrictamente necesarios para la finalidad que se pretende, dichos datos deberán ser exactos y actualizados, por lo que se deberán suprimir o actualizar cuando no sean correctos.
Lo anterior aplicado a los centros docentes se traduce en que no será necesario, por ejemplo, recoger los datos relativos al lugar de nacimiento de los progenitores de los alumnos. En cuanto a la exactitud de los datos, en el supuesto de que estos sean recabados mediante formulario se presumirán exactos y finalmente y en cuento a la finalidad del tratamiento, si los datos recabados tienen como finalidad la matriculación, estos no podrán ser utilizados con una finalidad distinta de ésta, salvo que se haya recabado el consentimiento de los alumnos o de sus padres.
¿Qué datos pueden ser recabados por los centros educativos? La LOE legitima a los centros docentes educativos a la recogida de datos tales como: Origen y ambiente familiar y social, características personales, desarrollo y resultados de escolarización y los datos necesarios para educar y orientar a los alumnos. Por lo que puede ser necesario que dentro de esta lista de datos mencionada con anterioridad se encuentren datos de carácter especial, como pueden ser datos de salud. Sin perjuicio de lo anterior dichos datos únicamente podrán ser usados para fines educativos, teniendo la obligación tanto el profesorado como el resto de los empleados, de guardar secreto sobre dichos datos (artículo 5 LOPDGDD)
Por lo que existen muchos supuestos en los que el consentimiento del interesado sea necesario para el tratamiento de los datos, de manera que dicho consentimiento deberá haber sido obtenido de forma previa a su recogida y por lo tanto tratamiento. El consentimiento ha de ser inequívoco y específico, correspondiendo al centro o a la Administración educativa acreditar su existencia.
Sin perjuicio de lo anterior, para los datos que hagan referencia al origen racial, a la salud y a la vida sexual el consentimiento ha de ser expreso, y en el caso de que los datos revelan ideología, afiliación sindical, religión o creencias el consentimiento ha de prestarse por escrito.
El RGPD no exige que dicho consentimiento deba ser prestado por escrito, pero exige una declaración o una clara acción afirmativa del interesado, no siendo válido el consentimiento tácito.