El Informe Jurídico 0399/2008 de la Agencia Española de Protección de Datos (AEPD) aborda las cuestiones legales que debe considerar un Centro Público de Orientación Educativa y Psicopedagógica (E.O.E.P.) para adecuarse a la normativa de protección de datos, específicamente la Ley Orgánica 15/1999.
El informe comienza determinando si el E.O.E.P. se considera un centro docente según la Ley Orgánica de Educación 2/2006. Se concluye que sí, dado que el centro acoge a alumnado con necesidades específicas de apoyo educativo y cumple con las finalidades educativas y orientadoras establecidas por la ley.
En cuanto a la protección de datos, el informe especifica que, al ser un centro público, debe aprobarse una Disposición de Carácter General que contenga todas las previsiones del artículo 20 de la Ley Orgánica 15/1999 y registrarse en el Registro General de Protección de Datos. La responsabilidad de esta notificación recae en la Consejería de Educación, ya que el centro es un órgano dependiente de la Administración Autonómica.
El informe también analiza la disposición adicional vigésimo tercera de la Ley Orgánica de Educación, que permite a los centros docentes recabar datos personales necesarios para la función educativa y orientadora. Se establece que no es necesario el consentimiento de los alumnos o sus padres para el tratamiento de estos datos, siempre que se ajusten a las finalidades educativas.
Además, se detalla la obligación de informar a los interesados sobre la existencia del fichero, la finalidad del tratamiento, el carácter obligatorio o facultativo de la respuesta, las consecuencias de la obtención o negativa de los datos, y los derechos de acceso, rectificación, cancelación y oposición.
En cuanto a la cesión de datos, el informe aclara que la incorporación de un alumno a un centro docente implica el consentimiento para el tratamiento y cesión de sus datos, pero solo en los términos establecidos por la legislación de protección de datos. La cesión de listados o censos de alumnos a otras administraciones debe ajustarse a los principios de adecuación, pertinencia y no excesividad.
Finalmente, se abordan las medidas de seguridad que deben adoptarse para garantizar la protección de los datos, especialmente aquellos relacionados con la salud, que requieren medidas de nivel alto. También se menciona la conservación de los datos, que debe ajustarse a los plazos establecidos por la normativa aplicable y la Ley Orgánica 15/1999.
El informe concluye con una referencia a las sanciones que pueden aplicarse en caso de incumplimiento de la normativa de protección de datos por parte de las Administraciones Públicas, destacando el procedimiento y las medidas correctivas que puede dictar el Director de la AEPD.