El Informe 0179/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento de datos personales en el ámbito educativo.
En primer lugar, se analiza si es necesario el consentimiento de los padres para la creación de cuentas de correo electrónico para alumnos de al menos diez años en el marco de un programa que promueve el uso de nuevas tecnologías en las aulas. La AEPD señala que, aunque la legislación de protección de datos no se aplica directamente a la creación de cuentas de correo, sí es relevante para el tratamiento de los datos personales que estas cuentas implican. Según la Ley Orgánica 15/1999, el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, salvo que la ley disponga lo contrario. En este caso, dado que la creación de las cuentas es necesaria para el cumplimiento de los objetivos educativos, se considera que el tratamiento de datos es legítimo sin necesidad de consentimiento, siempre y cuando los datos se utilicen exclusivamente para fines educativos y bajo la responsabilidad de la administración educativa o del centro escolar. Sin embargo, si los proveedores de servicios de correo electrónico utilizan los datos para fines distintos, como publicidad, se requeriría el consentimiento de los padres o tutores, especialmente para menores de catorce años.
En segundo lugar, el informe se centra en la responsabilidad del tratamiento de datos en el uso de una aplicación informática alojada en los servidores de la administración autonómica por parte de centros privados y concertados. La AEPD establece que, aunque la administración autonómica proporciona la infraestructura, los centros privados y concertados son responsables del tratamiento de los datos que gestionan a través de la aplicación. Esto se basa en la doctrina previa de la AEPD, que diferencia entre los sistemas informáticos proporcionados por la administración y los ficheros de datos gestionados por los centros. La administración actúa como encargada del tratamiento, debiendo cumplir con las normativas de protección de datos, mientras que los centros son los responsables del tratamiento de los datos que manejan.
En resumen, el informe subraya la importancia de cumplir con la legislación de protección de datos en el ámbito educativo, diferenciando claramente las responsabilidades entre la administración y los centros educativos, y asegurando que cualquier tratamiento de datos se realice de manera legítima y conforme a las finalidades educativas establecidas.