Buenas prácticas de seguridad para la gestión de documentación (papel) en los centros públicos educativos

A pesar de que cada día se tiende más a la digitalización de la información, aun es frecuente en los centros educativos trabajar con documentos que contienen datos personales. En algunos casos, estos documentos pueden incluir datos de categoría especial como los relativos a la salud del alumnado (información sobre enfermedades crónicas, alergias alimentarias, informes psicopedagógicos; etc.). Estos datos, por su especial sensibilidad, merecen una especial protección.

A continuación recordamos las principales normas y buenas prácticas a tener en cuenta para proteger la documentación que contenga datos personales de cara a garantizar su seguridad y evitar el acceso no autorizado a estos, su sustracción o la manipulación de la información por terceros:

Se trabajas con documentos en papel no los dejes a la vista en las mesas de trabajo, ni los olvides en la impresora o fotocopiadora, especialmente en caso de que estas sean de uso compartido.

Los documentos deben permanecer guardados en armarios cerrados con llave situados en estancias (despachos de dirección, secretaría, jefatura de estudios, administración y orientación) que también permanecerán cerradas con llave. El acceso la estas estancias y armarios debe ser restringido y controlado.

Mientras la documentación no esté archivada, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de esta deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Cada persona usuaria será responsable de garantizar la confidencialidad y seguridad general de la información que extraiga del archivo hasta su retorno a este, poniendo especial cuidado en aquellos puestos de trabajo con atención al público o con tránsito de personal ajeno al centro.

Cuando te ausentes de tu puesto y al final de la jornada, deja la documentación guardada también bajo llave.

La documentación con datos personales no debe salir del centro, pero si fuera imprescindible, debes protegerla con alguna medida de seguridad (guardarla en una cartera o carpeta cerrada; evitar que se pueda identificar su contenido; no dejarla a la vista de terceros en vehículos o transportes; tratar de llevarla directamente a su destino sin paradas adicionales custodiándola con el máximo cuidado; en su caso, hacer entrega al contado a la persona destinataria en sobre cerrado y recaudando el correspondiente recibo o por correo certificado con acuse de recibo; etc.).

Las entradas y particularmente las salidas de documentación que contenga datos personales de categoría especial, sobre todo en el caso de requerimientos de información de terceros (Fuerzas y cuerpos de seguridad; informes solicitados por las familias del alumnado...), deberán ser convenientemente inscritas.

No descartes en la basura documentos que contengan datos personales por poco relevantes que puedan parecer. Utiliza mecanismos de destrucción segura cómo destructoras de papel adecuadas o, en su caso los contenedores de destrucción. No dejes los documentos con datos personales para destruir en cajas abiertas ni en papeleras o bolsas junto al resto de los desechos, ya que siguen siendo legibles y pueden llegar a la vía pública durante un tiempo indeterminado, al alcance de cualquiera persona. No los uses tampoco como papel reciclado. La destrucción, en la medida del posible, debe ser inmediata.

En caso de que el centro educativo estime conveniente contratar una empresa de destrucción documental, puntualmente o con carácter permanente, deberá ponerlo en conocimiento previamente del/de la delegado/la de protección de datos de la Consellería. La secretaría general técnica de la Consellería firmará el pertinente contrato de encargo del tratamiento incluyendo medidas específicas para el contratista a fin de garantizar la seguridad en todo proceso.

La persona que ejerce la secretaría del centro será la encargada, por delegación de la dirección, de la custodia documental, por lo que, siguiendo el dispuesto en la normativa vigente en materia de protección de datos, las pautas de la Consellería y las indicaciones de la dirección del centro, asegurará la gestión adecuada de la documentación, particularmente en lo relativo a las “entradas” y “salidas” de esta y a su correcto almacenaje en las dependencias del centro.

Cualquier incidente relacionado con el uso de la documentación, incluida su pérdida o su destrucción sin que se garantice su confidencialidad, deberá ser comunicada de contado a la Consellería, como responsable del tratamiento, a través de la figura del delegado de protección de datos, a fin de que este pueda adoptar las medidas necesarias para gestionar el incidente.

En caso de duda, puedes consultar el Protocolo de protección de datos vigente para los centros educativos o dirigir tu consulta al/a la delegado/la de protección de datos de la Consellería a través del formulario de contacto que puedes encontrar en https://www.xunta.gal/delegados-de-proteccion-de-datos .