[29-01-18] Protección de datos entre administraciones
Pregunta
Año tras año, nos vienen pidiendo los listados del alumnado de la ESO, candidato a ser vacunado, desde el Centro de Salud de esta localidad. Un miembro del personal sanitario, se persona en nuestro Centro sin ninguna acreditación ni autorización o solicitud por parte de la Dirección. Comenta que los necesitan para llamar a las familias y comunicarles si tienen pendiente vacunación de otras campañas.
Los directores y directoras sabemos que debe existir acuerdo de colaboración entre instituciones; pero también sabemos que de un tiempo acá, se han producido denuncias ante la Agencia de Protección de Datos y sanciones por facilitar datos, como la filiación del alumnado, al SAS. Y mis preguntas son:
1.- ¿Existe alguna normativa en la que se especifique obligación por parte de los directores y directoras a la cesión de dichos datos al SAS?
2.- ¿A qué nos exponemos tanto si nos negamos como si autorizamos la cesión de esos datos de nuestros menores?
3.- ¿De quién es la responsabilidad de la cesión de datos de los menores: de la Delegación Territorial o de los directores y directoras?
Gracias anticipadas por su ayuda.
Respuesta
La Consejería de Educación realizó una Guía sobre la protección de datos en los centros escolares en la que se hace referencia de forma muy comprensible a las cuestiones que Vd. nos plantea, y otros aspectos que seguro serán de su interés en esta materia.
En relación con la 1ª pregunta, resulta de aplicación el siguiente precepto de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (BOE núm. 298 de 14 de Diciembre de 1999):
Artículo 21 Comunicación de datos entre Administraciones públicas:
1. Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
En consecuencia, estimamos que el centro debería solicitar la autorización correspondiente a la Delegación Territorial, debiendo existir un protocolo normativo de actuación conjunta entre la Administración Educativa y la Administración Sanitaria al respecto previamente establecido.
Nuestro consejo es que hasta que no se reciban las instrucciones oportunas, no se faciliten datos del alumnado a terceros, sean personal de otra administración o particulares, ya que el consentimiento es un requisito de este derecho fundamental altamente protegido desde el punto de vista jurídico.
En cuanto a la 2º pregunta, sobre responsabilidad, estimamos que estando a la espera de las instrucciones de sus superiores jerárquicos, no hay ninguna, porque efectivamente es mejor adoptar decisiones que protejan este derecho fundamental del alumnado de forma incluso cautelar, y esperar a recibir las ordenes concretas al respecto. De ceder los datos sin autorización sí creemos que podría derivarse la correspondiente responsabilidad disciplinaria correspondiente.
En la pregunta 3º, como criterio general, se atribuye la responsabilidad última a la Secretaría General Técnica de la CEJA, según Orden de 26 de noviembre de 2015, por la que se crean y suprimen los ficheros con datos de carácter personal gestionados por la Consejería de Educación (BOJA 17/12/2015), al determinar lo siguiente:
Disposición adicional única. Inscripción de los ficheros en el Registro General de Protección de Datos:
De conformidad con lo establecido en el artículo 55.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre aprobado en el Real Decreto 1720/2007, de 21 de diciembre, los ficheros relacionados en el Anexo I y II de esta Orden serán notificados por la Secretaría General Técnica de la Consejería de Educación a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de esta Orden en el Boletín Oficial de la Junta de Andalucía.
Si necesita alguna aclaración más al respecto puede remitirla a través de este servicio de consultas de la página web de CC.OO.
Gabinete Técnico de la Federación de Enseñanza de CC.OO Andalucía.