Colegios y protección de datos: los desafíos frente a la nueva Ley de Datos Personales

Esta semana miles de estudiantes regresaron a clases y con ello también se reactivaron múltiples soportes, tanto físicos como digitales, que almacenan y tratan datos personales, como son por ejemplo las carpetas estudiantiles, libros de clases y de asistencia, plataformas académicas e intranets, sistemas de pago, correos electrónicos institucionales y sistemas de casinos y alimentación.

A lo anterior, se suman cámaras de seguridad, uso de planillas compartidas por medio de servicios iCloud, grabaciones de clases virtuales, y los múltiples documentos que constantemente contienen información sobre alumnos, exalumnos, apoderados, profesores, funcionarios, u otras categorías de titulares. Debido a las actividades propiamente tales que se realizan dentro de los colegios, es bastante común que se manejen altos volúmenes de datos, pudiendo algunos de ellos denotar una importante sensibilidad, como, por ejemplo, los relacionados a condiciones de salud, situación socioeconómica, creencias religiosas o incluso orientación sexual.

De esa forma, la vuelta de los alumnos a clases no solamente marca el comienzo de un nuevo ciclo educativo, sino que también implica un tratamiento masivo y múltiple de datos personales, que en numerosos casos son de carácter sensible y refieren a menores de edad. En este contexto, es que se hace necesario implementar medidas técnicas y organizativas apropiadas a la naturaleza, finalidad y riesgos asociados a los tratamientos efectuados, así como establecer controles reforzados, mecanismos de trazabilidad y resguardos efectivos que aseguren el cumplimiento normativo.

En consideración a los distintos asuntos recientemente mencionados, es que a continuación te dejamos los principales desafíos que creemos enfrentarán los colegios de cara a las modificaciones realizadas por la Ley N° 21.719 en la Ley N° 19.628 (la “Ley”):

• Evitar la excesiva recopilación de datos personales: Es muy común que los colegios soliciten más datos de los estrictamente necesarios para prestar los servicios educacionales, vulnerando de esa forma los principios de finalidad y proporcionalidad que se determinan en el artículo 3° de la Ley. Ejemplo de lo anterior son aquellos casos en que los que se requieren certificados médicos para justificar inasistencias o de documentos relativos a la información laboral de los apoderados.
• Conservación y eliminación de los datos personales: En línea con lo anterior, la Ley no establece plazos específicos de conservación, por lo que se hace necesario que los colegios cuenten con un lineamiento respecto los tiempos de conservación de los datos que se alinee con los principios de finalidad y proporcionalidad. Junto a ello, deberán distinguir entre la información que es necesaria retener para cumplimiento de una obligación y almacenarla con técnicas y medidas de seguridad. Respecto la cual no existe una base legítima para retener, deberán implementarse procedimientos de eliminación segura.
• Contar con una base habilitante suficiente para el tratamiento de datos: De acuerdo con las modificaciones determinadas por la Ley, se hace necesario que los colegios cuenten con una base legítima para realizar el tratamiento de los datos de los distintos titulares, con una especial consideración respecto aquellos datos sensibles de los menores de 16 años ya que la Ley considera que podrán tratarse únicamente con el consentimiento de ambos padres o representantes legales o por quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate una normativa.
• Protección de la información personal: Tal cual se menciona en el artículo 16° quáter, la Ley determina que los establecimientos educacionales que traten o administren datos personales de niños, niñas y adolescentes (“NNA”) deben velar por el uso lícito y protección de la información personal que les concierne. De esa forma, y en su calidad de responsable de datos, se hace necesaria la implementación de medidas técnicas y organizativas que se alineen tanto con los datos de los NNA como los demás que se recopilen. 
• Contratación con proveedores y plataformas externas: Por último, los colegios, al actuar como responsables del tratamiento, tendrán un importante desafío respecto la contratación con terceros. En primer lugar, será necesario celebrar un contrato de encargo acorde a lo determinado en el artículo 15° bis y donde se plasme con claridad las prestaciones a realizar por el encargado. Con ello, los colegios deberán preocuparse de que se cumplan con sus deberes de responsabilidad frente a los titulares aun cuando el tratamiento sea efectuado por terceros. En segundo lugar, deberán realizar un análisis y evaluación de las políticas internas de las distintas plataformas que utilicen datos personales de su responsabilidad, esto con la finalidad de evitar riesgos tanto jurídicos como reputacionales. Esta revisión permitirá también supervisar el funcionamiento de los sistemas de los terceros y conocer más sobre sus protocolos ante posibles fugas de información o brechas de seguridad. 

En el año en que entrará en vigor la Ley y en un contexto en donde la privacidad cada vez toma más relevancia, los colegios deben ser ese motor que permita desde ya crear una verdadera cultura en la protección de datos. Para ello, se hace necesario que los responsables cumplan con el marco normativo Proteger los datos de los estudiantes no es solo una obligación legal. Es parte esencial del deber de cuidado que toda comunidad educativa asume.

En definitiva, este año el desafío para los colegios no es solo cumplir “en el papel”, sino que es también integrar la protección de datos en su gestión y actividades diarias, para de esa forma crear una cultura que perdure en el tiempo. El volumen de datos personales que los colegios almacenan, en especial de categoría sensible, motivan a que se cuente con una gobernanza con reglas claras, controles efectivos y una supervisión constante. De esa forma, el cumplimiento de la normativa no es únicamente evitar sanciones, sino fortalecer la confianza de los interesados y asumir, con coherencia, el deber de responsabilidad que implica esta área.