Sanción a centros educativos: la AEPD resalta la responsabilidad de entidades de enseñanza por el cumplimiento del RGPD

La Agencia Española de Protección de Datos (AEPD) ha responsabilizado a un centro educativo de Jaén por la vulneración de privacidad causada por una de sus docentes. Según la decisión publicada el 26 de septiembre de 2023, una profesora ha divulgado en clase el contenido de un correo electrónico enviado por el padre de una de las alumnas presentes, de forma que la identificaba, solicitando que se le asignase una tutoría porque se sentía “abandonada, desatendida, despreciada e insultada a veces” en el colegio.

Según la Agencia, la infracción se evidencia por el hecho de que la profesora “no mantuvo la información conocida en el círculo de finalidad propio y reservado de la materia educativa y del equipo docente de que se trata, dándolo a conocer a toda la clase a través de comentarios y revelando la esencia de su contenido a todos los alumnos”.

Considerando la infracción y su naturaleza grave, en razón del tipo de datos psicológicos divulgados y los posibles impactos psíquicos a la alumna, la AEPD ha condenado el centro educativo al pago de una multa de 15.000 euros, sin perjuicio de las posibles reparaciones por daños morales que los tutores de la menor puedan pleitear en la esfera civil ante el Poder Judicial.

Las instituciones educativas son responsables por el tratamiento de datos personales de distintas naturalezas para finalidades diversas, lo que conlleva la necesidad de un abordaje amplio y coherente de adecuación.

Por ejemplo, sería indisociable a la efectiva prestación de sus servicios el tratamiento de datos identificativos de alumnos, padres o tutores (como nombres, domicilio, información de contacto y documentos), imagen y voz divulgadas en su página web o captados por grabación de video aulas, datos de comportamiento (como lista de alumnos admitidos o beneficiarios de becas, notas, asignaturas elegidas y la evolución del aprendizaje), datos financieros y, en algunos casos, datos especialmente protegidos (como información sobre discapacidades, tratamiento médico que reciba en la enfermería del centro o datos recabados en procedimientos de atención a denuncias de acoso y discriminación).

Así, es fundamental que, además de la implementación de políticas internas, la publicación de documentos de transparencia, gestión de canales para el ejercicio de derechos y el registro de los consentimientos necesarios, los centros educativos establezcan prácticas de formación y concienciación de sus empleados, especialmente educadores, sobre formas de proteger la privacidad del alumnado y los impactos que una infracción al RGPD y a la Ley Orgánica de Educación puede representar en su trayectoria personal y profesional.