Tras el período estival, retomo la actividad en el blog, comentando un reciente Dictamen de la Agencia Vasca de Protección de Datos (AVPD), en el que se analiza el nivel de seguridad de un Fichero de un Ayuntamiento que es utilizado para el control del absentismo escolar (Dictamen CN13-022).
Este Dictamen ha sido emitido tras la consulta de un Ayuntamiento a la AVPD en el que se solicitaba su criterio sobre el nivel de seguridad de un futuro Fichero que, en virtud de la competencia municipal de vigilancia del cumplimiento de la escolaridad obligatoria, contendría esta tipología de datos:
- Datos del alumno.
- Datos complementarios.
- Datos tutores.
- Direcciones de notificación.
- Datos de los hermanos/as.
- Datos académicos.
- Datos familiares.
- Datos sociales.
- Situación escolar.
- Integración escolar.
- Relación familia-escuela.
- Aspectos psicosociales y comunitarios.
- Relación familia-servicio sociales.
- Minorías étnicas (SI/NO).
-
Inmigrante (SI/NO ).
- Dispone de atención en salud mental (SI/NO).
-
Presenta frecuentes episodios de enfermedad común (SI/NO).
En el Dictamen la AVPD advierte, con acertado criterio, que «la creación de cualquier fichero debe estar necesariamente vinculada al ejercicio de las legítimas competencias atribuidas al responsable del mismo» y considera que esas competencias emanan del artículo 25.2.n de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local que establece como una de las competencias municipales la de «participar en la programación de la enseñanza y cooperar con la Administración educativa en la creación, construcción y sostenimiento de los centros docentes públicos, intervenir en sus órganos de gestión y participar en la vigilancia del cumplimiento de la escolaridad obligatoria«.
A continuación, en el Dictamen, se analiza la posibilidad de existencia de datos especialmente protegidos que pudieran derivar en la implantación de unas medidas de seguridad de nivel alto. La AVPD estima que pueden existir esta tipología de datos (y por tanto se deberán aplicar las medidas de seguridad de nivel alto), por la existencia de «datos de raza, datos de salud o incluso datos recabados para fines policiales o relacionados con la violencia de género» en los campos «Minorías étnicas (SI/NO)», el campo de observaciones, dentro de “Datos familiares”, «Dispone de atención en salud mental (SI/NO)», «Presenta frecuentes episodios de enfermedad común (SI/NO)».
Por tanto, la conclusión del Dictamen parece clara: El Fichero que pretende crear la Entidad Local «debe tener asignado un nivel de seguridad alto, debiendo el Ayuntamiento implantar las medidas que para los ficheros automatizados de dicho nivel se recogen en los artículos 101 y siguientes del Real Decreto 1720/2007 de 21 de diciembre.»
A pesar de esta claridad en la conclusión, me planteo varias dudas que me gustaría debatir entre los lectores de este post:
Por un lado, ¿El Ayuntamiento cumpliría con el principio de calidad de los datos del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal? ¿No se podría considerar que el tratamiento de esos datos que considera la AVPD especialmente protegidos son excesivos en relación con la competencia municipal de participar en la vigilancia de la escolaridad obligatoria? ¿Realmente. para cumplir esa competencia. no le bastaría con controlar quien acude y quien no acude a los centros educativos?
Por otro lado, admitiendo que son pertinentes esos datos especialmente protegidos para el cumplimento de su competencia municipal de participar en la vigilancia de la escolaridad obligatoria, ¿no se les podría considerar incidentales o accesorios en dicho tratamiento y poderle aplicar la excepción del artículo 81.5 del Real Decreto 1720/2007 de 21 de diciembre e implantar, por tanto, al menos las medidas de nivel básico? Para poder dar cumplimiento a esa competencia municipal, ¿los datos especialmente protegidos que se van a tratar están directamente relacionados con el cumplimiento de dicha competencia o más bien son un medio para poder llevar a cabo la misma?
En mi opinión, creo que si se se estuvieran tratando esos datos especialmente protegidos de todos los alumnos, se estaría produciendo un tratamiento excesivo de los datos y, por consiguiente, no encajaría del todo con el principio de calidad del del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Si, únicamente, se produciría un tratamiento de esos datos en determinados alumnos, podría considerarse cómo un tratamiento incidental para poder dar cumplimiento a la competencia municipal de vigilancia de la escolaridad obligatoria. Así, por ejemplo, me planteo el caso de un alumno, con una determinada enfermedad, que le obligaría a acudir al médico periódicamente y no poder asistir a clase todos los días. Está claro que el Ayuntamiento, para cumplir con su competencia municipal podría indagar en el motivo de la no asistencia de ese alumno y los representantes legales podrían informarle sobre su enfermedad al Ayuntamiento y éste tratar ese datos para no volver a solicitar información sobre la no asistencia. Entiendo que en este supuesto, el tratamiento sería incidental, porque el Ayuntamiento realmente no necesita ese dato para poder dar cumplimiento a su competencia.
De todas formas la conclusión general a la que llega la AVPD en su Dictamen CN13-022 es lógica ya que «sobre el papel», se estarían tratando datos especialmente protegidos y, entiendo que, el Ayuntamiento, en caso de ser requerido debería justificar, en primer lugar, el tratamiento no excesivo de estos datos y, en su caso, el carácter incidental o accesorio de los mismos en su tratamiento.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Bonita cuestión, Gontzal.
Entiendo que si por «participar en la vigilancia de la escolaridad obligatoria» podemos englobar, no sólo supervisar quién acude y quién no, y con qué frecuencia falta a clase, sino también el estudio de las posibles causas que hay detrás del absentismo escolar a fin de que posteriormente se adopten, aislada o conjuntamente con otras administraciones u organismos, medidas paliativas atacando o solucionando directamente la raíz del problema, esos datos que de otro modo podrían llegar a considerarse como excesivos, a mí me parecería que no tienen nada de incidentales (no se recogerían de forma accesoria sino principal, con una intención de ser obtenidos esos concretos datos y para una concreta finalidad), y por lo tanto estaría completamente de acuerdo con el dictamen de la AVPD.
Pero como digo, en mi opinión, esto requiere que se interprete en un sentido amplio eso de participar en la vigilancia de la escolaridad obligatoria.
Gracias por compartir siempre asuntos tan interesantes.
Abrazo.
Hola Ruth!!
Gracias por comentar. Cómo decía en el post la conclusión de la AVPD es lógica, con los datos que le han facilitado. Ahora bien, quizás eche de menos un análisis de la pertinencia de los datos, pero, siendo sinceros, eso no le preguntaron, así que entiendo su respuesta.
La «vía de la incidentalidad» entiendo que de buenas a primeras sería difícil de justificar y más si se recogen (o se preveen recoger) los datos especialmente protegidos para todos los alumnos. De todas maneras ahí queda una justificación….
Por cierto, me ha encantado tu «añusgo-post» y tu mano a mano con Héctor….
Un saludo
Hola!
Interesante cuestión. Coincido con Ruth, lo vería admisible si:
1.- Se quiere estudiar la situación y después hay una actuación de los servicios sociales, en base a la competencia local de vigilar el absentismo como cita el informe.
2.- Exista una norma con rango legal, en virtud de la cual, haya que prestar una serie de servicios a un determinado colectivo.
Por ejemplo, la Ley 4/2002, de 27 de junio, de creación de la Creación de la Mesa para la Integración y Promoción del pueblo gitano de la Comunidad de Madrid, reconoce las necesidades educativas especiales de la etnia gitana en su artículo 4:
c) Educación, en todo lo relativo al desarrollo de acciones complementarias para apoyar la integración del alumnado gitano (programas específicos de mediación, seguimiento escolar y apoyo, en colaboración con entidades sociales; fomento de la incorporación temprana del alumnado gitano a la educación infantil; programas dirigidos a la mejora del rendimiento del alumnado gitano en educación primaria; acciones orientadas a apoyar la transición del alumnado a la educación secundaria obligatoria.
Si por el contrario la finalidad es controlar si «A» acude o no a clase, no veo necesidad de recabar esos datos personales.
Tampoco creo que sean incidentales, que dicho sea de paso, lo de «incidental» da más problemas de interpretación que otra caso, como el resto de excepciones que ha recogido el reglamento de la lopd. Más que ayudar, dan problemas como digo.
Salu2.
Hola Javier!
Muchas gracias por tu interesante aportación. Y sí, lo de incidental, es bastante opinable e interpretable, pero como está en la parte dispositiva del Reglamento, es posible interpretarlo para defender posiciones jurídicas en supuestos de hecho determinados y, obviamente, siempre que el Responsable del Fichero esté interesado en defender esa posición jurídica.
Saludos.