Al igual que el mundo muggle tenemos un conjunto organizado de normas que nos permiten convivir en sociedad, suponemos que al otro lado, más allá del andén 9 y 3/4 de la Estación King Cross, también existirá algo parecido, pero hasta que el legislador (autora) no apruebe, y el Boletín Oficial del Estado (editorial) no publique un libro tratando este tema concreto (lo que sería un Best Seller automático dentro de la comunidad jurídica, aunque podría suscitar críticas un tanto encendidas por parte del resto del mundo conocido), deberemos aplicar nuestra particular lupa jurídica no anglosajona para dar una estructura y concreción al tema adecuada y creíble, y a fin de que no sea un texto interminable como la saga completa de libros , ni tan insoportable como buscar todos y cada uno de los Horrocruxes existentes (lo cual denota que Voldemort es un verdadero experto en implementar medidas de seguridad sobre datos de carácter personal), nos centraremos únicamente en una materia: protección de datos (PD) en el centro de enseñanza, y en un único centro: Hogwarts; apuntando los elementos que consideramos más importantes en la materia: datos recabados, consentimiento, deber de secreto, responsable del fichero, acceso a datos escolares, AMPAM, sistemas de control y recomendaciones de seguridad.
Datos recabados
Obviando el particular sistema de correo certificado vía lechuza (sin acuse de recibo) que utiliza el propio Hogwarts, debemos empezar por hablar de los tipos de datos personales (concernientes a una persona física identificada o identificable) que podrán obrar en poder del centro:: identificativos, socio-económicos, académicos, laborales, relativos a circunstancias sociales, especialmente protegidos o sensibles (datos de salud, ideología, afiliación sindical, religión, creencias, vida sexual, origen racial). Con respecto a este último tipo de datos (sensibles) sobre los que deberán aplicarse medidas de seguridad de nivel alto, lo más habitual en Hogwarts es encontrarse dos tipologías:
- Relativos a la salud de los alumnos: minusvalías que impidan empuñar una varita o montar en escoba, intolerancia a las ranas de chocolates o grageas, trastornos cromáticos que impidan diferenciar los diferentes compuestos de las pociones…..
- Relativos a la etnia o religión: a afectos de la concesión de subvenciones o ayudas por minorías desfavorecidas la primera, como el caso de los elfos y la segunda a efectos de valorar si en el centro se debe establecer, por número de alumnos, una clase sobre una de las tres religiones reconocidos, por acuerdos específicos con el Ministerio de Magia, al mismo nivel que la Dumbledoriana: Mortifagismo, Dobbysmo y Lockhartismo.
Con carácter previo a recabar esos datos, el propio Hogwarts deberá dar de alta los ficheros que los van a contener en el registro general de la agencia que dentro del Ministerio de Magia se encargue de la protección de datos. A modo enunciativo podemos destacar los siguientes:
- Admisión de alumnos: matriculaciones, solicitudes de ingreso (tras la denegación de los otros colegios de magia y hechicería).
- Expedientes académicos: calificaciones, control de asistencia, puntos de casas asignados, premios y gratificaciones por cumplir misiones especiales (salvar la piedra filosofal, matar al basilisco, hacer rabiar al profesor Snape…)
- Orientación psicopedagógica mágica.
- Otros en función de los servicios y características del centro: vigilancia llevada a cabo por la pareja de bedeles autorizados: el señor Filch y su mascota, la señora Norris.
- Personal docente: documentación de carácter laboral del profesorado (recursos humanos).
- Personal no docente: mantenimiento del castillo, servicio de lavandería de togas, puesta a punto de escobas, reparación y sustitución de varitas marca Ollivander……
- Proveedores: distribuidores autorizados de material de Quidditch, principalmente.
- Servicios complementarios: servicio de catering mágico, expreso hasta la estación Hogsmeade y carruaje mágico hasta el castillo….
Consentimiento
Partiendo del consabido hecho muggle de que el consentimiento ha de ser:
- Inequívoco: la solicitud y el otorgamiento deben realizarse de manera que no pueda generar ningún tipo de duda.
- Libre: debe ser otorgado por la persona física por su propia voluntad, sin que pueda mediar ningún tipo de coacción o amenazada y en su caso, con la potestad de rechazar el tratamiento de esos datos.
- Específico: el otorgamiento del consentimiento debe circunscribirse a tratamientos y finalidades concretas y lícitas, por tanto, se deberá volver a recabar para cada uso o tratamiento distinto del que originó la autorización por parte del titular de los datos.
- Informado: con carácter previo al recabamiento de los datos, se debe comunicar al titular la identidad y datos de contacto del titular del tratamiento, finalidad, existencia de un fichero….
Se debe hacer referencia a la peculiaridad del consentimiento para tratar datos relativos a los menores de edad, diferenciando dos escenarios:
- Menor de 14 años: la potestad de otorgar el consentimiento les corresponde a los padres o tutores legales como manifestación de los deberes otorgados por la legislación civil en favor y representación del menor; lo que supone que el propio Harry Potter hubiera necesitado, al menos los primeros años, el placet o autorización de sus tíos, tutores legales designados en defecto del encarcelado Sirius Black, los cuales parecía tener otra opinión sobre la educación que debería cursar el elegido.
- Mayor de 14 años: se computaría como válido el consentimiento del menor por sí solo, salvo en casos excepcionales en los que la normativa exija la actuación de los padres o tutores legales. Se trata de la edad límite a partir de la cual se considera que el menor tiene un mayor discernimiento, y por lo tanto se debe ampliar su capacidad de obrar: adquisición de nacionalidad, capacidad para testar (salvo testamento ológrafo), tenencia de armas mágicas a una mano, apertura de una cuenta de arrendamiento de cámara acorazada en Gringotts, y potestad para adquirir animales exóticos como unicornios o dragones.
No obstante, existen supuestos exceptuados de requerir el consentimiento:
- Se recojan para el ejercicio de funciones propias del Ministerio de Magia.
- Sean necesarias para el mantenimiento o cumplimiento de una relación contractual o precontractual firmada mágicamente con certificado reconocido basado en varita.
- Sean necesarios para proteger un interés vital: prevención o diagnóstico médico, prestación de asistencia sanitaria por mordedura de animagos o impacto de maldiciones imperdonables….
- Los datos sean tratados para satisfacer un interés legítimo del responsable del fichero, y siempre que se hayan obtenido de fuentes accesibles al público: censo promocional de Grageas Bertie Bott , diarios oficiales de los departamentos del Ministerio de Magia, Boletín oficial del Ministerio de Magia, periódicos de alcance general como el Daily Prophet
Como especialidad destacable en el ámbito educativo tenemos que, de conformidad al sentido común aplicable tanto a muggles como a magos, la mera incorporación de un alumno al centro, supone la obtención de un consentimiento válido para realizar el tratamiento, y en su caso la realizar la cesión, por tanto la potestad de que el nuevo centro pueda solicitar directamente al antiguo centro en el que estuviera escolarizado el menor, los datos que obren en su poder, lo que puede llegar a suponer un problema administrativo y jurisdiccional de primer orden al tener Hogwarts que requerirle al centro muggle todos los datos que obren en su poder, cuando este último no conoce la existencia del primero, y el caso de sea consciente, lo considere un centro educativo reconocido; con la excepción, eso sí, de que exista un tratado bilateral entre el Estado y el Ministerio de Magia.
Deber de secreto
Para poder desarrollar las funciones propias de un centro educativo como Hogwarts, es necesario la intervención de una pluralidad de profesionales, y que a afectos de la confidencialidad podría ser divididos en dos grandes grupos:
- Personal ajeno al centro que no requiera el acceso a datos personales: aquí se enmarcaría todos aquellos profesionales que realizan la prestación de un servicio necesario para el centro, sin ninguna necesidad de acceso a información de carácter personal, como pueden ser los ya referidos servicios de mantenimiento del castillo o de lavandería de togas. Para garantizar esa confidencialidad se debe establecer por contrato la prohibición de acceso a dicho tipo de información y la obligación de secreto con respecto a la que haya podido conocer de manera accidental en el ejercicio ordinario de su trabajo.
- Personal docente y profesionales análogos que requieran por razón de oficio acceso a datos personales: aquí se enmarcarían, junto al conjunto de profesores del centro, el resto de psicólogos u orientadores mágicos, pedagogos, logopedas, educadores sociales del Ministerio, personal sanitario, personal administrativo. A diferencia de los anteriores, tiene una responsabilidad mayor al poder acceder a información personal, por lo que se les deberá aplicar una confidencialidad reforzada y particular denominada sigilo profesional (no incluimos a Hagrid por no poseer una categoría profesional de profesor).
Creación y notificación de ficheros
En el caso concreto que nos ocupa, podemos dictaminar, con poco temor a equivocarnos, que Hogwarts se trata de un centro educativo de titularidad privada, y como tal será el responsable del fichero y el que deberá notificar e inscribir el mismo en el citado registro general del Ministerio.
Acceso a datos escolares (expedientes, calificaciones….)
Al igual que en el mundo muggle se considera uno de los derechos básicos en la protección de datos, junto con la rectificación, cancelación y oposición (A.R.C.O), aquí tiene tal relevancia que podemos distinguir tres tipos:
- Acceso realizado por el propio menor como titular de los datos: para poder valorar si el propio menor puede solicitar el acceder a sus datos se debe recurrir al criterio de la edad para poder dar un consentimiento válido fijado en 14 años. En todo caso, la transmisión de los datos deberá limitarse a aquellos que se refieran al propio menor, no pudiendo, en último término, que un mero alumno pueda solicitar datos de sus compañeros de casa.
- Acceso realizado por los progenitores o tutores del alumno: la patria potestad/tutela que se aplica a los menores que no se encuentren efectivamente emancipados, comprende entre sus facultades la de educarles y procurarles una formación integral, lo que se debe entender, como una habilitación con rango de ley que permite que los mismos puedan conocer los datos académicos de los menores a su cargo, siempre que guarden relación con esos deberes formativos. Esta potestad se circunscribe con exclusiva a los titulares de la patria potestad o tutela, excluyéndose cualquier familiar distinto con independencia de su grado, lo que nos lleva una vez más al caso del alumno más famoso de Hogwarts y sus tíos, destacando que al no encontrarse inhabilitados pueden acceder a los datos de Harry, sin que el propio Dumbledore pueda impedírselo, dejando para otro artículo la cuestión sobre la posible dejación de funciones en su cargo.
- Acceso realizado por cuenta de terceros: supuestos de acceso a datos por terceros para realizar las funciones o servicios contratados (exceptuado de poder considerarse como cesión de datos). Dentro del ámbito educativo, podemos destacar:
-
- Servicio externo de comedor (catering mágico): necesidad de conocer datos personales de carácter medico como alergias y problemas de intolerancia para evitar problemas y sustos inesperados en la cena de gala de apertura del curso académico.
- Servicio de impartición de actividades extraescolares: necesidad de conocer los datos de identificación como nombres y apellidos de los alumnos que cursen clases particulares de defensa contra las artes oscuras, botánica mágica, Quidditch….
Tratamiento de datos por el AMPAM
Las asociaciones de Madres y Padres de Alumnos Magos (AMPAM) se tratan de entidades con personalidad jurídica propia, como cualquier asociación, incardinadas dentro del Consejo Escolar (Órgano de dirección y control conformado por representantes de profesores, alumnos, padres o tutores legales y dirección del centro). Pueden constituirse en centros en los que se impartan educación mágica de nivel infantil, primaria, secundaria, bachillerato, formación profesional, así como otras modalidades no regladas, como las clases impartidas por Hagrid.
Como funciones principales de estas asociaciones tenemos la representación de sus respectivos hijos o menores a su cargo, así como la participación en la gestión educativa como parte interesada, lo que supone la necesidad de crear un fichero privado para recabar datos personales de los padres o tutores asociados, y la subsiguiente adopción de la responsabilidad completa sobre el mismo, pudiendo de manera privada llegar a un acuerdo con el propio Hogwarts para que les ceda una serie de dependencias, cerca de Fluffy, para depositarlos.
Sistemas de control
Como forma de poder controlar los accesos, ausencias o retrasos al centro educativo, se permite la instalación de sistemas de control, de conformidad a sendas notas informativas del propio Hogwarts, nos centraremos en la modalidad basada en huella digital, valorada en firme para evitar el fraude producido por el uso de la magia, desde dos perspectivas:
- Sistema de control al alumno por huella digital: Se trata de una idea extraída de un organismo muggle llamado Grupo del Artículo 29, y que está en período de estudio, aunque parece que el Ministerio se decanta por la misma línea que los legos en magia, al dictaminar que se trataría de una medida desproporcionada y excesiva para comprobar la identidad del alumno, que como menor tiene una protección jurídica reforzada.
- Sistema de control al personal docente/administrativo: en este caso sí que se permitiría como medio de control horario desde la perspectiva laboral al considerarse que la información contenida en la huella digital no contiene ningún dato concreto de la personalidad. La información contenida en dicho dato no contiene ningún aspecto concreto de la personalidad y tan sólo cuando dicha información se vincula a la identidad de una persona es posible identificarla con toda certeza, de modo que los datos que se recaban no pueden considerarse de mayor trascendencia que los relativos a un número personal o una ficha.
Recomendaciones de seguridad
- Limitar a personal autorizado la utilización de hechizos que puedan suponer quiebras de seguridad: Alohomoras, bombardas y similares.
- Incautación del sistema de geolocalización en tiempo real denominado mapa del Merodeador, o al menos creación de un régimen de utilización que especifique, al menos: la creación de un fichero e le que se almacenen esos datos, responsable del fichero, encargado del tratamiento, ejercicio de los derecho A.R.C.O, cesiones y subcontrataciones.
- Impartición de cursos sobre protección de datos por parte de Lord Voldemort y personal de Gringotts.