Los centros educativos, en el ejercicio de sus funciones, están autorizados a recoger, manejar, tratar y comunicar datos de carácter personal de su alumnado, pero también de madres y padres, empleados, proveedores y otros colectivos, no pudiendo recoger ni tratar más datos que los estrictamente necesarios para la finalidad que se persiga en cada caso.

Estos datos están protegidos por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Por ello, para un uso correcto de los datos de carácter personal en los centros educativos, debemos tener en cuenta que:

• El manejo de los datos personales mencionados debe hacerse con la debida diligencia y el mayor respeto a la privacidad y la intimidad de las personas, teniendo presente, en el caso de menores, su interés y su protección.
• Los centros educativos y las administraciones de las que dependen son los responsables de la custodia y el tratamiento de dichos datos, y tienen la obligación de formar a su personal sobre cómo llevarlos a cabo.
• Cualquier persona o entidad contratada por un centro educativo, pero que no forme parte de su organización, se considera encargada del tratamiento, aunque la responsabilidad sigue recayendo en el centro y en la administración competente.
• En el ejercicio de las funciones propias de los centros educativos (matriculación, enseñanza, actividades), no es preciso el consentimiento de los titulares de los datos, aunque los responsables del tratamiento deben informarles de forma comprensible sobre todo lo referido a los mismos (finalidad, licitud, obligatoriedad, destinatarios, derechos de los interesados e identidad del responsable), utilizando un lenguaje claro y sencillo.
• Para finalidades distintas a la función educativa se necesita el consentimiento de quien posea la titularidad de los datos, debiendo informarle previamente de cada finalidad por separado y con claridad, y especificando la posibilidad de ejercer el derecho de oposición.
• Existen datos personales especialmente sensibles (aquellos que revelen ideología, afiliación sindical o creencias, los que hagan referencia al origen racial, la salud y la vida sexual, los que se refieran a la comisión de infracciones penales o administrativas y los datos biométricos y genéticos), que requieren que se les preste una atención especial y se adopten las medidas técnicas y organizativas necesarias para evitar lesionar derechos y libertades al llevar a cabo su tratamiento.
• Las Administraciones educativas y los centros dependientes de las mismas deben conocer las características de las aplicaciones que vayan a utilizar para desempeñar sus funciones (política de privacidad, condiciones de uso), rechazando las que no cumplan los requisitos necesarios o no ofrezcan información al respecto.
• En el trabajo docente solo se deben utilizar las herramientas que el centro educativo o la administración correspondiente pongan a disposición de su personal.
• La comunicación con los progenitores de cada estudiante debe llevarse a cabo usando los medios dispuestos por el centro educativo o la administración competente, contando como excepciones solo aquellas circunstancias en las que el interés superior del menor estuviera comprometido (accidentes, enfermedades).

Todo esto debe estar bajo el control del Delegado de Protección de Datos del centro educativo, figura obligatoria que se ocupa de informar, asesorar y supervisar que se cumple la normativa aplicable, resolver posibles reclamaciones y actuar como interlocutor con los interesados y con la Agencia Española de Protección de Datos.