N Ó I C (cid:42)(cid:56)(cid:204)(cid:36)(cid:3)(cid:39)(cid:40)(cid:3)(cid:51)(cid:53)(cid:50)(cid:55)(cid:40)(cid:38)(cid:38)(cid:44)(cid:208)(cid:49)(cid:3)(cid:39)(cid:40)(cid:3)(cid:39)(cid:36)(cid:55)(cid:50)(cid:54)(cid:3) A C U (cid:39)(cid:40)(cid:3)(cid:3)(cid:38)(cid:36)(cid:53)(cid:201)(cid:38)(cid:55)(cid:40)(cid:53)(cid:3)(cid:51)(cid:40)(cid:53)(cid:54)(cid:50)(cid:49)(cid:36)(cid:47)(cid:3) D E E (cid:51)(cid:36)(cid:53)(cid:36)(cid:3)(cid:47)(cid:50)(cid:54)(cid:3) D A Í R (cid:38)(cid:40)(cid:49)(cid:55)(cid:53)(cid:50)(cid:54)(cid:3)(cid:39)(cid:40)(cid:3)(cid:40)(cid:49)(cid:54)(cid:40)(cid:102)(cid:36)(cid:49)(cid:61)(cid:36)(cid:3) E J E S N O C GUÍA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA LOS CENTROS DE ENSEÑANZA (LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, Y REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE) CONSEJERÍA DE EDUCACIÓN Isidro Gómez-Juárez Sidera. Experto en Protección de Datos de Carácter Personal. DEA en Derecho de las Nuevas Tecnologías de la Información y las Comunicaciones. Secretaría General Técnica de la Consejería de Educación Francisco Silveira García. Jefe de Sistemas de Información. Elías Fernández Martín. Servicio de Sistemas de Información. Servicio de Legislación, Recursos y Relaciones con la Administración de Justicia de la Consejería de Educación. Revisión: Agenda Activa Edita: Junta de Andalucía Consejería de Educación Secretaría General Técnica ISBN: 978-84-690-6607-2 Depósito Legal: SE-3341-2011 1ª Edición: Octubre 2011 Diseño: RRM Impresión: Coria Gráfi ca, S. L. Aviso importante: Se informa previamente, de modo expreso, preciso e inequívoco, del carácter exclusivamente ilustrativo o informativo de la presente publicación, sin que la misma constituya, en ningún caso o circunstancia, asesoramiento jurídico alguno ni de cualquier otra índole, entrañe interpretación normativa alguna con carácter vinculante, ni prejuzgue el criterio de la Agencia Española de Protección de Datos o cualesquiera de las autoridades autonómicas de protección de datos creadas al amparo del artículo 41 de la LOPD, en el ejercicio de su potestad sancionadora, ni de los juzgados y tribunales correspondientes en el ejercicio de la potestad jurisdiccional que legalmente tienen atribuida. En cualquier caso, siempre habrá que atenerse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD) y en la restante normativa aplicable, debiendo, en todo caso, tenerse en cuenta los aspectos y circunstancias relativos a cada caso concreto. Licencia: Se permite copia y distribución de la totalidad o parte de esta obra sin ánimo de lucro. Toda copia total o parcial deberá citar expresamente los nombres de los autores, de la institución que lo edita (Junta de Andalucía – Consejería de Educación), e incluir la mención “copia literal” en caso de que lo sea. (cid:51)(cid:53)(cid:40)(cid:54)(cid:40)(cid:49)(cid:55)(cid:36)(cid:38)(cid:44)(cid:208)(cid:49) El derecho a la protección de datos: un derecho fundamental del alumnado. La Convención sobre los Derechos del Niño, adoptada por la Asamblea General de las Naciones Unidas el 20 de noviembre de 1989 y aprobada por España mediante Instrumento de Ratificación de 30 de noviembre de 1990, consagró en su artículo 3 el principio jurídico fundamental del interés superior de los niños y niñas: “En todas las medidas concernientes a los niños que tomen las instituciones públicas o privadas de bienestar social, los Tribunales, las autoridades administrativas o los órganos legislativos, una consideración primordial a que se atenderá será el interés superior del niño” (art. 3.1). En este sentido, los Estados partes se comprometieron “a asegurar al niño la protección y el cuidado que sean necesarios para su bienestar, teniendo en cuenta los derechos y deberes de sus padres, tutores u otras personas responsables de él ante la Ley y, con ese fin, tomarán todas las medidas legislativas y administrativas adecuadas” (art. 3.2). El citado principio ha confirmado su solidez a través de la Carta de los Derechos Fundamentales de la Unión Europea, cuyo artículo 24, relativo a los “Derechos del menor”, establece que “en todos los actos relativos a los menores llevados a cabo por autoridades públicas o instituciones privadas, el interés superior del menor constituirá una consideración primordial” (art. 24.2). En nuestro país, la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil, también recoge el principio del interés superior del menor como un principio general que debe primar sobre cualquier otro en su aplicación: “En la aplicación de la presente Ley primará el interés superior de los menores sobre cualquier otro interés legítimo que pudiera concurrir” (art. 2, párrafo primero). Asimismo, la citada Ley establece que será principio rector de la actuación de los poderes públicos, entre otros, “la supremacía del interés del menor” (art. 11.2.a)). Finalmente, es importante recordar que de acuerdo con lo señalado en el artículo 4.1 de la Ley Orgánica 1/1996, “los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen”. 7 Conforme a lo establecido en el artículo 18 de la Constitución Española de 1978, enmarcado dentro de la Sección 1ª del Capítulo Segundo del Título I, que lleva por rúbrica “De los derechos fundamentales y de las libertades públicas”, los derechos al honor, a la intimidad personal y familiar y a la propia imagen tienen el rango de fundamentales. Asimismo, el apartado 4 del citado artículo establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. El art. 18.4 CE, circunscrito dentro de un precepto dedicado a la protección de la intimidad entendida en sentido amplio, ha sido el eje vertebrador en torno al cual se ha cimentado la normativa española de protección de datos hasta la aparición de la trascendental Sentencia 292/2000, de 30 de noviembre de 2000, del Tribunal Constitucional, que consagró el derecho a la protección de datos de carácter personal como un derecho fundamental autónomo e independiente del derecho a la intimidad. El contenido del derecho fundamental a la protección de datos consiste, tal y como señala la propia Sentencia 292/2000 en su fundamento jurídico séptimo, “en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”. De tal modo, este derecho autónomo e informador de nuestro texto constitucional está integrado por los principios y derechos que se contemplan en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la cual, a su vez, ha sido objeto de desarrollo reglamentario a través del Real Decreto 1720/2007, de 21 de diciembre. Hay que subrayar que el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea también confiere al derecho a la protección de datos de carácter personal el rango de derecho fundamental, estableciendo que “toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan” (art. 8.1). Por otro lado, si bien los datos de las personas menores de edad no tienen la consideración jurídica de “datos especialmente protegidos” 8 conforme a lo establecido en nuestra normativa nacional de protección de datos de carácter personal, parte de la doctrina entiende que forman parte de una categoría sui generis que podría denominarse “datos de personas especialmente vulnerables”, basada en un criterio subjetivo en función de las personas titulares de los datos y las especiales condiciones que les rodean. Fruto de la preocupación en relación a los menores, el referido Real Decreto 1720/2007 dedica su artículo 13 a regular de forma específica las cuestiones relativas al consentimiento para el tratamiento de sus datos. Siguiendo un camino similar, el Grupo de Protección de Datos del artículo 29, órgano europeo consultivo en materia de protección de datos y privacidad, también ha emitido, en fecha 11 de febrero de 2009, un “Dictamen sobre la protección de los datos personales de los niños (Directrices generales y especial referencia a las escuelas)”, con el objetivo de analizar los principios generales que se aplican a la protección de los datos de los niños y niñas, así como explicar su pertinencia en un sector crítico específico como el de los datos escolares. El citado documento debe considerarse en el contexto de la iniciativa general de la Comisión Europea que se describe en la Comunicación “Hacia una Estrategia de la Unión Europea sobre los Derechos de la Infancia”: Al contribuir a este objetivo general, pretende reforzar el derecho fundamental de los niños y las niñas a la protección de datos personales, eligiéndose el ámbito escolar por ser uno de los más importantes de la vida del menor, en el que se desarrolla una parte considerable de sus actividades cotidianas, y por la naturaleza confidencial de gran parte de los datos que se tratan en las instituciones de enseñanza. Asimismo, el referido Dictamen se basa en el convencimiento de que la educación y la responsabilidad son instrumentos cruciales para la protección de los datos de los niños y niñas. En este sentido, el Grupo del artículo 29 ha señalado que “un niño es un ser humano en el más amplio sentido de la palabra. Por este motivo, debe disfrutar de todos los derechos de la persona, incluido el derecho a la protección de los datos personales. Ahora bien, el niño se encuentra en una situación particular que es preciso considerar desde dos perspectivas: estática y dinámica. Desde el punto de vista estático, el niño es una persona que todavía no ha alcanzado la madurez física y psicológica. Desde el punto 9 de vista dinámico, se encuentra en un proceso de desarrollo físico y mental que le convertirá en adulto. Los derechos del niño y su ejercicio -incluido el derecho a la protección de datos- deben expresarse teniendo presentes ambas perspectivas”. De igual manera, entiende que el principio jurídico fundamental que debe regir el tratamiento de los datos de los menores es el interés superior de los mismos, consagrado en la citada Convención de las Naciones Unidas sobre los Derechos del Niño: “La justificación de este principio es que una persona que todavía no ha alcanzado la madurez física y psicológica necesita más protección que otras personas. Su finalidad es mejorar las condiciones del niño y reforzar el derecho de éste a desarrollar su personalidad. Todas las instituciones, públicas o privadas, que toman decisiones sobre los niños, deben respetar este principio”. Asimismo, “hay que reconocer que para alcanzar un nivel adecuado de atención a los niños, los datos personales de éstos deben ser tratados exhaustivamente y por diversas partes. Este tratamiento tendrá lugar principalmente en los sectores del Estado del bienestar: educación, seguridad social, sanidad, etc. Pero esto no es incompatible con la intensificación de una protección adecuada en estos sectores sociales, a pesar de que hay que extremar el cuidado cuando se produce el intercambio de datos sobre los niños”. Por último, es necesario recordar que la propia Ley Orgánica 2/2006, de 3 de mayo, de Educación, en consonancia con la consolidación del derecho fundamental a la protección de datos de carácter personal, dedica una disposición adicional específica a los datos personales del alumnado, a la cual se remite la Ley 17/2007, de 10 de diciembre, de Educación de Andalucía, publicada en el BOJA núm. 252, de 26 de diciembre de 2007. En suma, el derecho a la protección de datos de carácter personal se confirma como un derecho fundamental de todo el alumnado, objeto de creciente atención por parte de nuestros legisladores y de los organismos de la Unión Europea. Con el objetivo de contribuir a su difusión, asentamiento y respeto en los centros de enseñanza de la Junta de Andalucía, se elabora la presente guía. 10 (cid:44)(cid:49)(cid:39)(cid:44)(cid:38)(cid:40) I. EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. . . . 23 II. NORMATIVA VIGENTE SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL APLICABLE A LOS CENTROS DE ENSEÑANZA . . . . 31 1. Normativa general. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 1.1. Plazos de adecuación. . . . . . . . . . . . . . . . . . . . . . . . . 38 1.1.1. LEY ORGÁNICA 15/1999, de 13 de diciembre. . . . . . . . . . . . . 38 1.1.2. REAL DECRETO 1720/2007, de 21 de diciembre. . . . . . . . . . . 39 2. Normativa sectorial . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 3. Enlaces a la principal normativa sobre protección de datos de carácter personal aplicable a los centros de enseñanza . . . . . . . . 45 3.1. Normativa de la Unión Europea. . . . . . . . . . . . . . . . . . . . 45 3.2. Normativa nacional general. . . . . . . . . . . . . . . . . . . . . . 45 3.3. Normativa nacional y autonómica sectorial . . . . . . . . . . . . . . 46 III. APLICACIÓN DE LOS PRINCIPIOS DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS AL ÁMBITO EDUCATIVO . . . . . . . . . . . . . . . . . . . . . . 47 1. Principio de Publicidad . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2. Principio del Consentimiento . . . . . . . . . . . . . . . . . . . . . . . 54 2.1. Características del consentimiento . . . . . . . . . . . . . . . . . . 54 2.2. Datos Especialmente Protegidos . . . . . . . . . . . . . . . . . . . 57 2.3. Consentimiento otorgado por personas menores de edad . . . . . . 58 2.4. Limitaciones al principio del consentimiento en los centros de enseñanza públicos . . . . . . . . . . . . . . . . . . . . . . . . 69 3. Principio de Información . . . . . . . . . . . . . . . . . . . . . . . . . 72 3.1. Características del derecho de información. . . . . . . . . . . . . . 72 4. Principio de calidad de los datos . . . . . . . . . . . . . . . . . . . . . 76 5. Acceso a los datos por cuenta de terceros . . . . . . . . . . . . . . . . 80 6. Deber de Secreto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 7. Principio de Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 92 7.1. Ficheros automatizados . . . . . . . . . . . . . . . . . . . . . . . 104 7.2. Ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . 108 13