1
00:00:03,140 --> 00:00:08,400
Hola, mi nombre es Nelia Álvarez, soy abogada en el Departamento de Privacidad de EFI HelloFirm

2
00:00:08,400 --> 00:00:12,800
y mi práctica de especialización es privacidad, protección de datos y derecho aplicado a las

3
00:00:12,800 --> 00:00:17,760
tecnologías de la información. En esta sesión hablaremos sobre cuáles son las bases de

4
00:00:17,760 --> 00:00:22,660
legitimación en materia de protección de datos. Debemos entender por base de legitimación la

5
00:00:22,660 --> 00:00:27,760
habilitación que nos autoriza a tratar los datos personales. Todo tratamiento de datos necesita

6
00:00:27,760 --> 00:00:33,100
apoyarse en una base jurídica que lo legitime. Por tanto, contar con una base de legitimación

7
00:00:33,100 --> 00:00:38,679
es un requisito necesario para poder tratar los datos personales. Existen diferentes bases

8
00:00:38,679 --> 00:00:42,920
de legitimación previstas en la normativa de protección de datos. La determinación

9
00:00:42,920 --> 00:00:47,240
de la base que legitime el tratamiento que pretendemos realizar dependerá de la naturaleza,

10
00:00:47,420 --> 00:00:52,920
de la finalidad y del contexto propio del tratamiento de datos previsto. Así, llevar

11
00:00:52,920 --> 00:00:56,820
a cabo el tratamiento de los datos de los alumnos como su nombre puede ser necesario

12
00:00:56,820 --> 00:01:01,320
para gestionar la matrícula y desarrollar la actividad docente. Por tanto, la base de

13
00:01:01,320 --> 00:01:05,719
legitimación sería el cumplimiento de una misión realizada en interés público o el cumplimiento

14
00:01:05,719 --> 00:01:10,500
de obligaciones legales. En este caso, los centros educativos estarían legitimados por la Ley

15
00:01:10,500 --> 00:01:15,739
Orgánica 2.2006, de 3 de mayo, de Educación, para tratar los datos personales de los interesados

16
00:01:15,739 --> 00:01:21,560
en el ejercicio de la función educativa. Asimismo, los centros docentes pueden llevar a cabo otras

17
00:01:21,560 --> 00:01:26,019
actividades que impliquen el tratamiento de datos personales de alumnos y que se legitimen bajo

18
00:01:26,019 --> 00:01:30,640
otras bases de legitimación como la ejecución de un contrato cuando se traten datos personales

19
00:01:30,640 --> 00:01:35,319
para gestionar la inscripción en clases extraescolares o el tratamiento de la imagen

20
00:01:35,319 --> 00:01:39,920
de los alumnos para trasladárselas a las familias o para realizar actividades de difusión del centro,

21
00:01:40,420 --> 00:01:44,040
para lo cual será necesario obtener el consentimiento. El Reglamento General de

22
00:01:44,040 --> 00:01:48,640
Protección de Datos establece en el artículo 6 que el tratamiento sólo será lícito, es decir,

23
00:01:48,859 --> 00:01:53,879
sólo podrá llevarse a cabo si concurre al menos una de las bases de legitimación previstas y que

24
00:01:53,879 --> 00:01:59,379
ahora veremos con detalle. 1. Consentimiento del interesado. En ocasiones, el uso de datos

25
00:01:59,379 --> 00:02:03,439
personales de las personas que pertenecen a la comunidad educativa requiere solicitar su

26
00:02:03,439 --> 00:02:08,379
consentimiento o autorización. Con carácter general, será necesario el consentimiento cuando

27
00:02:08,379 --> 00:02:12,860
se soliciten datos para finalidades distintas a las estrictas de la función educativa,

28
00:02:13,319 --> 00:02:17,860
especialmente cuando éstas sean de carácter voluntario. Para que el consentimiento del

29
00:02:17,860 --> 00:02:23,099
interesado sea válido, debe reunir los siguientes requisitos. Debe ser libre. Para que se considere

30
00:02:23,099 --> 00:02:27,879
libre debe implicar una elección real por parte del interesado. Por ejemplo, no es libre el

31
00:02:27,879 --> 00:02:32,979
consentimiento si el interesado se siente obligado a darlo o si no puede negar o retirar dicho

32
00:02:32,979 --> 00:02:38,599
consentimiento sin sufrir algún perjuicio. Dos, debe ser específico, es decir, se obtiene para

33
00:02:38,599 --> 00:02:43,879
una o varias finalidades del tratamiento de datos en particular previamente definidas. No sería

34
00:02:43,879 --> 00:02:48,580
válido el consentimiento que se presta para el tratamiento de los datos del interesado en general

35
00:02:48,580 --> 00:02:53,419
o, por si acaso, para una finalidad posterior no prevista en el momento de recabar los datos.

36
00:02:54,740 --> 00:02:58,979
Debe ser informado, es decir, se debe dar información específica al interesado

37
00:02:58,979 --> 00:03:02,199
de las condiciones en las que se van a tratar sus datos personales

38
00:03:02,199 --> 00:03:05,180
y de las consecuencias que tiene consentir dicho tratamiento.

39
00:03:06,400 --> 00:03:12,520
El consentimiento debe ser inequívoco, es decir, debe obtenerse mediante una clara acción afirmativa por parte del interesado.

40
00:03:12,979 --> 00:03:17,560
Por ejemplo, no sería válido el consentimiento tácito u obtenido a través de una casilla

41
00:03:17,560 --> 00:03:22,180
previamente marcada o derivado de una acción de la que el interesado no es plenamente consciente.

42
00:03:23,020 --> 00:03:26,539
Cuando el tratamiento afecta a menores de edad, la normativa aplicable establece un

43
00:03:26,539 --> 00:03:30,360
límite de edad para que el consentimiento pueda ser otorgado directamente por el menor

44
00:03:30,360 --> 00:03:31,199
de forma válida.

45
00:03:31,979 --> 00:03:35,919
La Ley Orgánica de Protección de Datos establece la edad mínima en 14 años.

46
00:03:36,479 --> 00:03:40,740
Pero la futura Ley de Protección de Menores en Entornos Digitales elevará este límite

47
00:03:40,740 --> 00:03:42,039
a los 16 años de edad.

48
00:03:42,520 --> 00:03:46,979
Por lo tanto, salvo en los casos en los que el tratamiento afecte a menores que

49
00:03:46,979 --> 00:03:50,740
superen el límite de edad previsto, el consentimiento para el tratamiento de

50
00:03:50,740 --> 00:03:54,860
surdatos debe ser otorgado por los progenitores o tutores legales o, en

51
00:03:54,860 --> 00:03:58,580
definitiva, por aquellos que ostenten la patria potestad. ¿Cuándo se debe recoger

52
00:03:58,580 --> 00:04:03,379
el consentimiento y en qué condiciones? Es necesario obtener el consentimiento

53
00:04:03,379 --> 00:04:06,919
de los alumnos o, en su caso, de sus progenitores, tutores o titulares de la

54
00:04:06,919 --> 00:04:10,319
patria potestad cuando el tratamiento de los datos esté destinado a una

55
00:04:10,319 --> 00:04:15,879
finalidad que sea distinta o exceda de la función docente y no pueda legitimarse mediante la

56
00:04:15,879 --> 00:04:20,180
ejecución de un contrato entre el centro y el interesado. Por ejemplo, la publicación de

57
00:04:20,180 --> 00:04:24,939
fotografías de los alumnos en la web del centro o el tratamiento de datos realizado para enviar

58
00:04:24,939 --> 00:04:29,279
información institucional o publicidad de actividades realizadas por el centro. A la hora

59
00:04:29,279 --> 00:04:34,040
de obtener el consentimiento en estos casos es imprescindible informar con claridad de cada una

60
00:04:34,040 --> 00:04:37,980
de las finalidades de los tratamientos que se pretenden realizar, permitiendo que sean los

61
00:04:37,980 --> 00:04:43,180
interesados quienes consientan de forma específica y separada a aquellas que sí consideren y pudiendo

62
00:04:43,180 --> 00:04:48,019
negar y revocar o revocar el consentimiento para las demás finalidades para las cuales éste se

63
00:04:48,019 --> 00:04:52,980
solicita, si así lo desean. Por otro lado, es necesario que se pueda acreditar que el consentimiento

64
00:04:52,980 --> 00:04:57,860
sea prestado y debe ser revocable en cualquier momento. En segundo lugar, la relación contractual.

65
00:04:58,180 --> 00:05:01,959
Esta es otra de las bases que justifica el tratamiento de los datos en base a la existencia

66
00:05:01,959 --> 00:05:06,560
de una relación contractual o la aplicación de medidas precontractuales entre el centro y el

67
00:05:06,560 --> 00:05:11,139
interesado. Existen servicios en los centros educativos que no derivan directamente de su

68
00:05:11,139 --> 00:05:17,079
función docente y orientadora, pero que pueden ser ofertados como un complemento. Por ejemplo,

69
00:05:17,300 --> 00:05:21,639
el tratamiento de los datos para la participación de los alumnos en algunas actividades extraescolares

70
00:05:21,639 --> 00:05:28,060
o servicios adicionales como transporte, aula matinal u otras iniciativas similares. En tercer

71
00:05:28,060 --> 00:05:33,019
lugar, la obligación legal. El tratamiento de datos también podrá y de hecho deberá realizarse

72
00:05:33,019 --> 00:05:37,220
cuando sea necesario para el cumplimiento de una obligación legal exigible al responsable del

73
00:05:37,220 --> 00:05:42,519
tratamiento, en este caso al centro. En el contexto educativo, esta base de legitimación es la que

74
00:05:42,519 --> 00:05:46,800
resulta aplicable con carácter general para cumplir las obligaciones previstas en la Ley

75
00:05:46,800 --> 00:05:51,839
Orgánica de Educación o en normativa relacionada. Los datos personales tratados para el cumplimiento

76
00:05:51,839 --> 00:05:57,379
de obligaciones legales deben ser los estrictamente necesarios para esta función, no pudiendo

77
00:05:57,379 --> 00:06:03,300
tratarse con fines diferentes del educativo sin obtener el consentimiento expreso. En cuarto

78
00:06:03,300 --> 00:06:07,879
lugar, la protección de intereses vitales. Los centros educativos podrán utilizar los datos

79
00:06:07,879 --> 00:06:12,879
personales de los alumnos u otros empleados para proteger intereses vitales de una persona cuando

80
00:06:12,879 --> 00:06:16,920
ésta no está en condición de consentir el tratamiento. Por ejemplo, si se produce una

81
00:06:16,920 --> 00:06:21,819
urgencia o un accidente que requiera tratar los datos de los alumnos. En quinto lugar, el cumplimiento

82
00:06:21,819 --> 00:06:26,459
de una misión de interés público. Junto con el cumplimiento de obligaciones legales, esta es la

83
00:06:26,459 --> 00:06:30,600
base jurídica principal para el uso de datos por parte de los centros educativos. Por la función

84
00:06:30,600 --> 00:06:35,259
docente se considera una función realizada en interés público. En este sentido, la disposición

85
00:06:35,259 --> 00:06:40,500
adicional XXIII de la Ley Orgánica de Educación prevé expresamente que los centros docentes podrán

86
00:06:40,500 --> 00:06:44,439
recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función

87
00:06:44,439 --> 00:06:50,040
educativa e igualmente los padres o tutores y los propios alumnos deberán colaborar en la obtención

88
00:06:50,040 --> 00:06:55,420
de la información que resulta necesaria para la función docente y orientadora. Por lo tanto,

89
00:06:55,420 --> 00:07:00,040
la Ley Orgánica de Educación habilita a los centros a recabar los datos personales necesarios

90
00:07:00,040 --> 00:07:04,779
para esta función docente y orientadora de los alumnos en referencia con características o

91
00:07:04,779 --> 00:07:09,319
condiciones personales, desarrollo y resultado de su escalarización y demás circunstancias

92
00:07:09,319 --> 00:07:14,839
cuyo conocimiento sea necesario para educar y orientar a los alumnos. Por último, el interés

93
00:07:14,839 --> 00:07:20,360
legítimo. El tratamiento de los datos por parte de centros educativos privados o concertados también

94
00:07:20,360 --> 00:07:25,240
podrá habilitarse cuando pueda existir un interés legítimo del centro en llevar a cabo el tratamiento

95
00:07:25,240 --> 00:07:29,319
siempre y cuando éste prevalezca sobre los derechos y libertades de los interesados.

96
00:07:29,819 --> 00:07:33,860
La aplicación de esta base jurídica de legitimación requiere que se lleve a cabo un análisis

97
00:07:33,860 --> 00:07:38,480
previo para asegurar que el tratamiento es necesario, idóneo y proporcional para alcanzar

98
00:07:38,480 --> 00:07:39,939
dicho interés legítimo perseguido.

99
00:07:40,779 --> 00:07:45,100
Este interés legítimo como base de legitimación no resultaría aplicable en centros públicos

100
00:07:45,100 --> 00:07:49,779
en los que el tratamiento de datos personales se realiza mayoritariamente para la persecución

101
00:07:49,779 --> 00:07:52,439
de intereses públicos o el cumplimiento de obligaciones legales.

102
00:07:53,279 --> 00:07:56,939
Estas dos bases de legitimación, el interés público y el cumplimiento de obligaciones legales,

103
00:07:57,339 --> 00:08:02,459
son la habilitación más frecuente en el entorno educativo, también para centros educativos privados y concertados,

104
00:08:02,759 --> 00:08:08,699
sin perjuicio de que otras actividades que excedan de la función meramente docente requieran poder apudir a otra habilitación

105
00:08:08,699 --> 00:08:13,199
como la ejecución de un contrato o la necesaria solicitud del consentimiento, como hemos visto.

106
00:08:13,740 --> 00:08:19,139
Si bien los centros son quienes deben determinar la base de legitimación que resulte adecuada para cada tratamiento,

107
00:08:19,139 --> 00:08:24,339
es importante conocer y comprender que todo tratamiento de datos personales debe realizarse

108
00:08:24,339 --> 00:08:29,600
bajo alguno de estos supuestos. Por ejemplo, al cumplimentar formularios en los que se soliciten

109
00:08:29,600 --> 00:08:34,519
datos deberá aparecer una cláusula informativa en la que se indique para qué se tratan los datos y

110
00:08:34,519 --> 00:08:39,899
cuál es el supuesto, es decir, la base de legitimación que permite su recogida. Por ello,

111
00:08:40,100 --> 00:08:45,100
si se detecta que se están recogiendo o tratando datos sin una base de habilitación clara o se

112
00:08:45,100 --> 00:08:49,320
prevé iniciar una actividad que implique el tratamiento de datos personales, es importante

113
00:08:49,320 --> 00:08:53,940
ponerlo en conocimiento de la persona responsable del centro para poder revisar su adecuación.

114
00:08:54,639 --> 00:08:55,600
Gracias por vuestra atención.