Nivel de seguridad en un fichero para el control del absentismo escolar


Tras el período estival, retomo la actividad en el blog, comentando un reciente Dictamen de la Agencia Vasca de Protección de Datos (AVPD), en el que se analiza el nivel de seguridad de un Fichero de un Ayuntamiento que es utilizado para el control del absentismo escolar (Dictamen CN13-022).

Este Dictamen ha sido emitido tras la consulta de un Ayuntamiento a la AVPD en el que se solicitaba su criterio sobre el nivel de seguridad de un futuro Fichero que, en virtud de la competencia municipal de vigilancia del cumplimiento de la escolaridad obligatoria, contendría esta tipología de datos:

  • Datos del alumno.
  • Datos complementarios.
  • Datos tutores.
  • Direcciones de notificación.
  • Datos de los hermanos/as.
  • Datos académicos.
  • Datos familiares.
  • Datos sociales.
  • Situación escolar.
  • Integración escolar.
  • Relación familia-escuela.
  • Aspectos psicosociales y comunitarios.
  • Relación familia-servicio sociales.
  • Minorías étnicas  (SI/NO).
  • Inmigrante (SI/NO ).

  • Dispone de atención en salud mental (SI/NO).
  • Presenta frecuentes episodios de enfermedad común (SI/NO).

En el Dictamen la AVPD advierte, con acertado criterio, que “la creación de cualquier fichero debe estar necesariamente vinculada al ejercicio de las legítimas competencias atribuidas al responsable del mismo” y considera que esas competencias emanan del artículo 25.2.n de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local que establece como una de las competencias municipales la de “participar en la programación de la enseñanza y cooperar con la Administración educativa en la creación, construcción y sostenimiento de los centros docentes públicos, intervenir en sus órganos de gestión y participar en la vigilancia del cumplimiento de la escolaridad obligatoria“.

A continuación, en el Dictamen, se analiza la posibilidad de existencia de datos especialmente protegidos que pudieran derivar en la implantación de unas medidas de seguridad de nivel alto. La AVPD estima que pueden existir esta tipología de datos (y por tanto se deberán aplicar las medidas de seguridad de nivel alto), por la existencia de datos de raza, datos de salud o incluso datos recabados para fines policiales o relacionados con la violencia de género” en los campos “Minorías étnicas  (SI/NO)”, el campo de observaciones, dentro de “Datos familiares”, “Dispone de atención en salud mental (SI/NO)”, “Presenta frecuentes episodios de enfermedad común (SI/NO)”.

Por tanto, la conclusión del Dictamen parece clara: El Fichero que pretende crear la Entidad Local “debe tener asignado un nivel de seguridad alto, debiendo el  Ayuntamiento implantar las medidas que para los ficheros automatizados de dicho nivel se recogen en los artículos 101 y siguientes del Real Decreto 1720/2007 de 21 de diciembre.”

A pesar de esta claridad en la conclusión, me planteo varias dudas que me gustaría debatir entre los lectores de este post:

Por un lado, ¿El Ayuntamiento cumpliría con el principio de calidad de los datos del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal? ¿No se podría considerar que el tratamiento de esos datos que considera la  AVPD especialmente protegidos son excesivos en relación con la competencia municipal de participar en la vigilancia de la escolaridad obligatoria? ¿Realmente. para cumplir esa competencia. no le bastaría con controlar quien acude y quien no acude a los centros educativos?

Por otro lado, admitiendo que son pertinentes esos datos especialmente protegidos para el cumplimento de su competencia municipal de participar en la vigilancia de la escolaridad obligatoria, ¿no se les podría considerar incidentales o accesorios en dicho tratamiento y poderle aplicar la excepción del artículo 81.5 del Real Decreto 1720/2007 de 21 de diciembre e implantar, por tanto, al menos las medidas de nivel básico? Para poder dar cumplimiento a esa competencia municipal, ¿los datos especialmente protegidos que se van a tratar están directamente relacionados con el cumplimiento de dicha competencia o más bien son un medio para poder llevar a cabo la misma?

En mi opinión, creo que si se se estuvieran tratando esos datos especialmente protegidos de todos los alumnos, se estaría produciendo un tratamiento excesivo de los datos y, por consiguiente, no encajaría  del todo con el principio de calidad del del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Si, únicamente, se produciría un tratamiento de esos datos en determinados alumnos, podría considerarse cómo un tratamiento incidental para poder dar cumplimiento a la competencia municipal de vigilancia de la escolaridad obligatoria. Así, por ejemplo, me planteo el caso de un alumno, con una determinada enfermedad, que le obligaría a acudir al médico periódicamente y no poder asistir a clase todos los días. Está claro que el Ayuntamiento, para cumplir con su competencia municipal podría indagar en el motivo de la no asistencia de ese alumno y los representantes legales podrían informarle sobre su enfermedad al Ayuntamiento y éste tratar ese datos para no volver a solicitar información sobre la no asistencia. Entiendo que en este supuesto, el tratamiento sería incidental, porque el Ayuntamiento realmente no necesita ese dato para poder dar cumplimiento a su competencia.

De todas formas la  conclusión general a la que llega la AVPD  en su Dictamen CN13-022 es lógica ya que “sobre el papel”, se estarían tratando datos especialmente protegidos y, entiendo que, el Ayuntamiento, en caso de ser requerido debería justificar, en primer lugar, el tratamiento no excesivo de estos datos y, en su caso, el carácter incidental o accesorio de los mismos en su tratamiento.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

About these ads

4 Responses to “Nivel de seguridad en un fichero para el control del absentismo escolar”


  1. 1 ruthbenitoabog 05/09/2013 en 13:39

    Bonita cuestión, Gontzal.

    Entiendo que si por “participar en la vigilancia de la escolaridad obligatoria” podemos englobar, no sólo supervisar quién acude y quién no, y con qué frecuencia falta a clase, sino también el estudio de las posibles causas que hay detrás del absentismo escolar a fin de que posteriormente se adopten, aislada o conjuntamente con otras administraciones u organismos, medidas paliativas atacando o solucionando directamente la raíz del problema, esos datos que de otro modo podrían llegar a considerarse como excesivos, a mí me parecería que no tienen nada de incidentales (no se recogerían de forma accesoria sino principal, con una intención de ser obtenidos esos concretos datos y para una concreta finalidad), y por lo tanto estaría completamente de acuerdo con el dictamen de la AVPD.

    Pero como digo, en mi opinión, esto requiere que se interprete en un sentido amplio eso de participar en la vigilancia de la escolaridad obligatoria.

    Gracias por compartir siempre asuntos tan interesantes.

    Abrazo.

    • 2 Gontzal 05/09/2013 en 13:56

      Hola Ruth!!

      Gracias por comentar. Cómo decía en el post la conclusión de la AVPD es lógica, con los datos que le han facilitado. Ahora bien, quizás eche de menos un análisis de la pertinencia de los datos, pero, siendo sinceros, eso no le preguntaron, así que entiendo su respuesta.

      La “vía de la incidentalidad” entiendo que de buenas a primeras sería difícil de justificar y más si se recogen (o se preveen recoger) los datos especialmente protegidos para todos los alumnos. De todas maneras ahí queda una justificación….

      Por cierto, me ha encantado tu “añusgo-post” y tu mano a mano con Héctor….

      Un saludo

  2. 3 fjavier_sempere 06/09/2013 en 10:50

    Hola!

    Interesante cuestión. Coincido con Ruth, lo vería admisible si:

    1.- Se quiere estudiar la situación y después hay una actuación de los servicios sociales, en base a la competencia local de vigilar el absentismo como cita el informe.

    2.- Exista una norma con rango legal, en virtud de la cual, haya que prestar una serie de servicios a un determinado colectivo.

    Por ejemplo, la Ley 4/2002, de 27 de junio, de creación de la Creación de la Mesa para la Integración y Promoción del pueblo gitano de la Comunidad de Madrid, reconoce las necesidades educativas especiales de la etnia gitana en su artículo 4:

    c) Educación, en todo lo relativo al desarrollo de acciones complementarias para apoyar la integración del alumnado gitano (programas específicos de mediación, seguimiento escolar y apoyo, en colaboración con entidades sociales; fomento de la incorporación temprana del alumnado gitano a la educación infantil; programas dirigidos a la mejora del rendimiento del alumnado gitano en educación primaria; acciones orientadas a apoyar la transición del alumnado a la educación secundaria obligatoria.

    Si por el contrario la finalidad es controlar si “A” acude o no a clase, no veo necesidad de recabar esos datos personales.

    Tampoco creo que sean incidentales, que dicho sea de paso, lo de “incidental” da más problemas de interpretación que otra caso, como el resto de excepciones que ha recogido el reglamento de la lopd. Más que ayudar, dan problemas como digo.

    Salu2.

    • 4 Gontzal 06/09/2013 en 13:42

      Hola Javier!

      Muchas gracias por tu interesante aportación. Y sí, lo de incidental, es bastante opinable e interpretable, pero como está en la parte dispositiva del Reglamento, es posible interpretarlo para defender posiciones jurídicas en supuestos de hecho determinados y, obviamente, siempre que el Responsable del Fichero esté interesado en defender esa posición jurídica.

      Saludos.


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

  1. Derecho de las TIC
  2. jsolerabogado

Última entrada del Blog de Jesús Soler: jsolerabogado

Simplificación Administrativa en la AGE.

Hace una semana se publicó en el BOE la Resolución de 7 de octubre de 2014, de la Secretaría de Estado de Administraciones Públicas, por la que se publica el Acuerdo del Consejo de Ministros, de 19 de septiembre de 2014, por el que se toma conocimiento del Manual de simplificación administrativa y reducción de cargas […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Fotos captadas por el público asistente a una carrera popular

Continuando con el post anterior, en el cual comenzábamos a analizar las implicaciones jurídicas del tratamiento de datos, y fundamentalmente de imágenes en las carreras populares, dejamos a un lado la perspectiva del organizador, y en ésta entrada nos centramos en la cuestión de las fotos tomadas por el público asistente. Desde el punto de […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: