La Agencia Española de Protección de Datos ha publicado hace poco en su web un Documento del Grupo de Trabajo del Artículo 29 (pdf), órgano consultivo de la UE sobre protección de datos, con determinadas recomendaciones acerca de la privacidad de los menores de edad, con especial referencia a los colegios.

Al margen de las cuestiones clave de dicho documento, que Jorge Campanillas ha destacado, y aprovechando que estoy terminando la implantación de esta normativa en un colegio concertado de educación infantil, primaria y secundaria, añadiré algo desde la práctica.

Lo mejor del documento es que se insiste en que lo principal es el interés superior del niño, lo que en la legislación española se refleja en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, que afortunadamente permite matizar las limitaciones establecidas en la normativa sobre protección de datos. Por tanto, si es necesario, deben comentarse las circunstancias familiares o de salud física y mental del niño en las reuniones del claustro de profesores, en la medida en que afectan a su desarrollo educativo y personal, y naturalmente el personal de comedor debe conocer si un alumno es alérgico a determinados alimentos aún cuando no se trate de médicos o personal de salud. Esto no significa que pueda incumplirse el deber de secreto, pero la situación de los colegios es delicada porque a ellos les corresponde la vigilancia y cuidado del alumnado a su cargo, y esto supone que manejan información confidencial y sensible, no sólo de salud sino de religión o, por ejemplo, sobre su situación familiar (en casos de separación y divorcio deben saber cuál de los padres tiene la guarda y custodia del menor, lo que les obliga a solicitar la correspondiente resolución judicial, al igual que cuando existe una orden de alejamiento), debiendo extremar las medidas (por ejemplo por medio de cámaras de videovigilancia) precisamente en interés del menor y por la responsabilidad que asumen.

Existen, por otro lado, más cesiones de datos de las que cabe pensar a primera vista. Lo más evidente es que la información académica se transmita a los organismos autonómicos o estatales correspondientes en materia de educación (depende de las competencias transferidas), así como a otros centros en caso de traslado de alumnos, procedimiento que está regulado. En estos casos el centro de origen tiene un cierto margen de discrecionalidad, pudiendo comunicarse no sólo las cuestiones puramente formativas sino también lo que considere relevante sobre su progreso y problemas de adaptación o conducta.

Todo esto sin tener en cuenta que hay que tener precaución en la grabación y publicación de imágenes y su difusión, especialmente por Internet, así como en la publicación de calificaciones escolares en tablones, por ejemplo.

En el caso de centros concertados aún es más complejo, pues los módulos del concierto obligan a dar cuenta a la Administración no sólo de los ingresos y gastos en general, o el número de alumnos inscritos (pudiendo lógicamente requerir documentación que lo corrobore), sino de los profesores en concreto contratados, incluyendo sus datos bancarios, relación laboral, categoría profesional,…

La actualización de los ficheros y las medidas es imprescindible, primero porque cambian con frecuencia, pero además porque, como acertadamente señala el documento del G29, aún cuando en caso de menores de edad (menores de 14 años según el criterio de la Agencia, que ahora recoge el nuevo Reglamento de Protección de Datos) el consentimiento lo ejercitan sus representantes legales, una vez sean capaces de prestarlo por sí solos, deberá solicitárseles directamente pues aquél es inválido ya.

Debido al tipo de datos que se manejan es importante deslindar correctamente los ficheros por finalidades, determinando en concreto los usuarios que pueden acceder a cada uno. En general, los ficheros más habituales que puede tener un colegio serían los relativos a su gestión económica, contable y administrativa, personal, gestión académica o educación, orientación de alumnos, videovigilancia y servicio médico-comedor.

Por último, debo indicar que sobre esta materia se publicó no hace mucho el libro La Protección de Datos en los Centros de Enseñanza, elaborado por dos abogados del despacho Sánchez-Crespo. Sin perjuicio de la competencia de dicho despacho, que no pongo en duda, este libro en concreto me pareció decepcionante. Dado que lo compré por Internet, no descubrí hasta que lo tenía en mis manos que saltados prólogos, agradecimientos y generalidades sobre protección de datos, que ya me las sé, hasta la página 67 no comienza a hablar sobre las particularidades de los centros de enseñanza, funciones y actividades del centro, y los datos y tratamientos implicados en cada caso, lo que es correcto, pero no profundiza ni soluciona ninguna cuestión práctica, y así entretiene hasta la página 115 que sigue con las medidas de seguridad, generales de cualquier entidad, así que también me las salté. Todavía quedaba libro y a mí algo de esperanza, pero a partir de ahí hasta el final no encontré más que varios anexos de conceptos básicos (otra vez) y normativa, que por otro lado también conocía, así como el Plan Sectorial de oficio a la enseñanza reglada no universitaria, estupendo estudio sobre la situación de centros de enseñanza realizado por la Agencia en 2005, que es lo que más merece la pena del libro. Total, que de 460 páginas, tan sólo 48 se referían a la materia en concreto (no voy a tener en cuenta los añadidos que no son de los autores). Está muy bien, con esa base reciclable todavía se puede escribir un libro sobre protección de datos en residencias o geriátricos, para agencias de viajes o campos de golf, por decir algo.