| Informe | 2009-0477 |
| Enlace | 📋 |
El Informe 0477/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las medidas de seguridad que deben aplicarse a un campus virtual utilizado por una entidad educativa para gestionar actas de evaluación, calificaciones, observaciones académicas y servicios de correo electrónico y mensajería. El informe subraya la importancia de proteger los datos personales de los alumnos, especialmente cuando se publican en internet.
La publicación de datos personales de los alumnos en una página web accesible al público se considera una cesión o comunicación de datos, lo cual requiere el consentimiento informado de los afectados o de sus padres, en el caso de menores de 14 años. El informe hace hincapié en que cualquier divulgación de información personal debe cumplir con los principios fundamentales de protección de datos y recomienda implementar mecanismos de acceso restringido, como el uso de nombres de usuario y contraseñas.
El informe también destaca la necesidad de una evaluación cuidadosa antes de publicar fotos de los alumnos en internet, asegurando que se obtenga el consentimiento adecuado y que se informe a los padres sobre el uso de dichas imágenes. La AEPD ha publicado recomendaciones específicas para la protección de datos de los menores, advirtiendo sobre los riesgos de publicar fotos que puedan identificar a los niños.
En cuanto a la seguridad del campus virtual, el informe señala que deben adoptarse medidas de seguridad de nivel medio, según lo establecido en el artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999. Estas medidas incluyen el control de acceso, la identificación y autenticación de usuarios, y la protección de la información durante su transmisión. El cifrado de datos es obligatorio solo cuando se tratan datos sujetos a medidas de seguridad de nivel alto, aunque puede ser adoptado voluntariamente por el responsable del fichero.
El informe concluye que el responsable del campus virtual debe asegurar que los usuarios accedan únicamente a los datos que les corresponden y que se implementen mecanismos robustos para proteger la información personal de los alumnos. Además, se recomienda seguir las disposiciones legales y reglamentarias específicas que puedan ser aplicables en cada caso, así como adoptar medidas adicionales por propia iniciativa para garantizar una mayor seguridad.