Existe en nuestro país un sector de actividad compuesto por entidades de diferentes características todas ellas relacionadas con la educación y la formación a las que se le exige una serie de obligaciones importantes en materia de protección de datos. Entre otras podemos mencionar las academias de enseñanza, colegios de primaria, ludotecas, institutos de secundaria, universidades, centros infantiles, autoescuelas, centros formativos y de oposiciones …
Todos ellos mantienen una casuística especial a la hora de afrontar la LOPD debido al gran abanico de variantes que pueden presentar en cuanto la recogida de datos personales de clientes, relaciones con terceros, alumnos, padres y/o tutores, campañas comerciales, comunicaciones, etc.
Debido a estas cuestiones no deben «bajar la guardia» a la hora de tratar ningún dato personal, tal y como comprobaremos a continuación:
El artículo 27 de la Constitución Española garantiza a todos los ciudadanos el derecho a la educación, por lo que basado en este derecho fundamental todos hemos tenido en mayor o menor medida el acceso a una educación o formación a través de distintas entidades o centros.
El proceso de matriculación, en cualquiera de nuestras etapas educativas, precisó de la recogida y tratamiento de datos de carácter personal nuestros o nuestros familiares. En muchas ocasiones, entre esos datos personales se encontraban algunos especialmente protegidos, como los que abordan circunstancias sociales, datos de salud, religión, etc..
Igualmente, en el desarrollo de dichas actividades educativas en ocasiones han participado o intervenido terceras personas, ajenas a los responsables del fichero y a los interesados. Por ejemplo, todos en alguna ocasión hemos accedido a grabar, con nuestro propio equipo, las actuaciones de navidad de nuestros hijos en sus centros escolares, o también los hemos apuntado a cualquiera de las actividades extraescolares que el centro subcontrataba con empresas especializadas.
También es muy común recibir comunicaciones comerciales relacionadas con formación de centros de estudios, academias, y universidades, aunque en ocasiones no estemos seguros de haber solicitado información sobre ningún curso de Aplicación de productos Fitosanitarios (por ejemplo).
En la presente entrada queremos recoger tres ejemplos de procedimientos sancionadores para entidades relacionadas con la enseñanza, con objeto de estar sobre aviso para no «tropezar en esas mismas piedras»:
Usar imágenes de menores sin consentimiento paterno para publicidad: Procedimiento Nº PS/00477/2010 , RESOLUCIÓN: R/00330/2011
En este caso podemos observar una academia de música que utilizó imágenes captadas en un evento con alumnos de la escuela , para el diseño y publicación de folletos informativos y publicitarios de la propia escuela. Dichos folletos informativos fueron buzoneados por la localidad, todo ello sin contar con el consentimiento expreso e inequívoco de los padres del menor de edad. Esta práctica supuso un infracción grave, no obstante la AEPD disminuyó la sanción a tenor de la falta de intencionalidad por parte de la entidad fijándola en una multa de 601,01 euros (seiscientos un euros con un céntimo) por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma.
Envío de comunicaciones comerciales sin consentimiento AAPP/00006/2004, RESOLUCIÓN: R/00680/2004
En este caso no se impone sanción económica por que el responsable es una Administración Pública, en concreto una centro de formación diplomático adscrito al ministerio de asuntos exteriores, en la que se denuncia por parte del afectado la cesión de datos a terceras entidades universitarias que nada tienen que ver con la empresa responsable del fichero a la que el afectado facilitó sus datos personales.
Tampoco se pudo acreditar que el responsable del fichero tuviese el consentimiento de los afectados para ceder los datos a otros centros universitarios, por lo que finalmente se determina por parte de la AEPD que la entidad infringe el art. 11 de la LOPD, donde se indica que los datos personales sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Sanción por no cumplir con el principio de información, ni tener los ficheros inscritos en el Registro General de la AEPD. Procedimiento nº PS/00302/2007 RESOLUCION R/00916/2007
En este caso se trata de un centro universitario de formación que recabó datos de carácter personal en el proceso de matriculación de alumnos o contacto de interesados sin informar a los mismos de los extremos establecidos en el art. 5 de la LOPD, es decir que no informaba a los alumnos de que sus datos personales iban a ser incorporados a un fichero titularidad del centro, ni de la finalidad para la cual se recogían, ni de la posibilidad o forma de ejercitar los derechos ARCO.
Además el centro de formación no tenia inscritos los ficheros en el Registro General de la Agencia Española de Protección de Datos en el momento de inicio de las actuaciones inspectoras, por lo que también incumple con el art. 26.1 de la LOPD.
Por todo ello la AEPD resolvió imponer al centro de formación universitario y profesional, por las infracciones de los art. 5.1 y 26.1 de la LOPD, tipificadas como leves en los art. 44.2.d y 44.2.c) de dicha Ley, dos multas de 601.01 euros, por cada una de dicha infracciones.
Por todo ello la AEPD resolvió imponer al centro de formación universitario y profesional, por las infracciones de los art. 5.1 y 26.1 de la LOPD, tipificadas como leves en los art. 44.2.d y 44.2.c) de dicha Ley, dos multas de 601.01 euros, por cada una de dicha infracciones.
José Luis Fernández Peña
Auditor / Consultor en GrupoIWI Protección de Datos