Los centros educativos son infraestructuras críticas en lo que a privacidad se refiere. La gran cantidad de datos de padres, madres y/o tutores/as, así como todo lo relativo a menores y salud, convierten estos lugares en zonas que requieren de una especial protección.
HECHOS
Con fecha de 12 de septiembre de 2018 una madre presenta reclamación ante la Agencia Española de Protección de Datos contra el Centro Educativo «Escuela de Educación Infantil de O Milladoiro». El motivo es la exposición del listado definitivo de alumnos admitidos para el curso 2018/2019 en la fachada principal y acristalada de dicho Centro (así como en su página web). De este modo, cualquier viandante o vecino podía consultar esos datos con total libertad.
Este listado, en cuestión, contenía número de orden, nombres, apellidos y puntuación de un total de 100 alumnos admitidos para el curso escolar (Centro dependiente de la Consejería de Educación, Universidad y Formación Profesional de la Xunta de Galicia, en adelante, «la reclamada»). Además, el Centro Escolar hizo entrega a todas las familias de la clase de una lista con los datos identificativos de los alumnos integrantes del grupo.
La Administración reclamada justificó su conducta en base a que la publicación de los listados de alumnos admitidos y no admitidos estaban legitimada en el cumplimiento de una obligación legal al tratarse de un procedimiento de competencia competitiva (que requiere de una estricta transparencia). Todo ello, sin perjuicio del consentimiento de las personas interesadas al presentar la solicitud de admisión.
INFRACCIÓN COMETIDA
La Agencia Española de Protección de Datos («AEPD») señala que no se discute la licitud del proceso, sino de la conculcación del principio de confidencialidad de la información.
No se discute que los listados de los estudiantes tengan que ser publicados a tenor del artículo 45.1 letra b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Lo que resulta necesario es la adopción de medidas técnicas y organizativas por parte del Centro para proteger la información de los padres, madres y/o tutores/as, así como de todos los/as menores. El establecimiento de procedimientos, pues, que eviten la divulgación de dicha información escolar a terceros ajenos al proceso.
De este modo, se imputa a la reclamada la comisión de una infracción del principio de confidencialidad recogido en el artículo 5.1 letra f) del Reglamento General de Protección de Datos 2016/679 (“RGPD”), tipificada en el artículo 83.5 letra a) del mismo cuerpo legal, y en el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).
SANCIÓN
Se impone a la CONSEJERÍA DE EDUCACIÓN, UNIVERSIDAD Y FORMACIÓN PROFESIONAL una sanción de APERCIBIMIENTO por la infracción de los artículos anteriormente mencionados.
Asimismo, se impone a la Consejería de Educación, Universidad y Formación Profesional de la Xunta de Galicia la adopción de medidas técnicas y organizativas adecuadas para garantizar el principio de confidencialidad.
******************************************
PRINCIPIOS RELATIVOS AL TRATAMIENTO
Artículo 5.1 letra f) RGPD:
«1. Los datos personales serán:
(…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Artículo 5 LOPDGDD:
Artículo 5. Deber de confidencialidad.
«1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.»
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.5 letra a) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…)
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […]».
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00024/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
– LPACAP (Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas).
