El IP emitió una sanción a la escuela y a su responsable (director) por violar el principio de protección de datos por diseño y por defecto. La escuela dio al proveedor externo de catering escolar acceso a todo el registro del estudiante en el sistema de información, aunque solo el nombre y apellido del estudiante serían suficientes para registrar las comidas. El Tribunal de Distrito de Maribor confirmó la decisión del tribunal de primera instancia y rechazó la solicitud de protección judicial contra la decisión sobre el delito menor. El Tribunal destacó que al aplicar adecuadamente el principio de protección de datos desde el diseño y por defecto, la escuela podría evitar el uso indebido posterior, incluida la modificación no autorizada de los datos por parte de un contratista externo e incluso un posible fraude.
Durante el proceso de inspección, el IP encontró que la escuela había proporcionado al proveedor externo de catering escolar (y al procesador bajo el contrato de procesamiento de datos) acceso a todo el registro del estudiante en su sistema de información, incluidos los datos sobre el monto del subsidio, el número de comidas recibidas, el saldo del crédito y otros datos personales, aunque solo se requerían el nombre y el apellido del estudiante para realizar la tarea (registrar la recepción de las comidas). Tal conducta, tanto a juicio del IP como a juicio del tribunal, constituye una clara violación del principio de protección de datos desde el diseño y por defecto.
El ejemplo pone de relieve la especificidad del entorno escolar, donde el tratamiento de datos personales de niños y estudiantes requiere un cuidado especial. Los sistemas de información se utilizan a menudo en las escuelas para numerosos y diversos fines (desde la gestión de la documentación escolar hasta la organización de las comidas). Precisamente por la complejidad de estas soluciones, es esencial que los centros educativos, al establecer una cooperación con proveedores externos, determinen claramente el alcance de los datos a los que proporcionan acceso a los proveedores y, mediante la aplicación de las medidas adecuadas, garanticen el estricto cumplimiento del principio de volumen mínimo de datos, independientemente de si los sistemas de información que utilizan lo permiten por defecto (previamente, de antemano), o si deben integrarse (incluirse en) el tratamiento predeterminado o garantizar que se deshabiliten las funcionalidades que no tienen base legal o son incompatibles con los fines del tratamiento.
El IP ha emitido directrices especiales para el uso coherente de soluciones de información en la educación. Estas directrices proporcionan apoyo práctico a las escuelas en la correcta implementación de medidas técnicas y organizativas de acuerdo con las normas de protección de datos personales. Están disponibles en el sitio web de IP: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-za-skladno-uporabo-informacijskih-rešitev-v-šolstvu
Las normas de protección de datos personales exigen que los responsables del tratamiento procesen los datos personales de forma lícita, justa y transparente. Uno de los fundamentos fundamentales de la protección de datos personales son los principios de protección de datos desde el diseño y por defecto, establecidos en el artículo 25 del Reglamento General de Protección de Datos. Ambos principios enfatizan que los responsables del tratamiento deben, al diseñar y seleccionar los medios de procesamiento de datos, prever y garantizar medidas técnicas y organizativas apropiadas que aseguren un alto nivel de protección de los datos personales de las personas.
La clave de cualquier tratamiento es respetar el principio de minimización de datos, que estipula que sólo se pueden tratar los datos estrictamente necesarios para un fin específico y legítimo. Por tanto, los responsables del tratamiento de datos personales deben identificar y abordar adecuadamente todos los riesgos para los derechos de las personas ya en la fase de planificación, y especialmente en la fase de uso de un servicio, aplicación o sistema de información, ya que es la única manera de garantizar el cumplimiento de los requisitos de protección de datos personales y prevenir posibles violaciones.