Las AMPAs, Asociaciones de Madres y Padres de Alumnos de un mismo centro de enseñanza, son entidades que manejan datos personales tanto de sus miembros como de terceros (como pueden ser ciertos proveedores), por ello también tienen la obligación de cumplir con la normativa vigente de protección de datos.
El tratamiento de los datos de los alumnos en las Asociaciones de Madres y Padres
Las AMPAs son entidades con personalidad jurídica propia, con un papel importante en la vida educativa de los centros escolares (participan incluso en el Consejo Escolar de los centros públicos). Por ello, entre sus obligaciones legales está llevar a cabo un tratamiento de los datos personales de sus miembros y de los alumnos conforme a la normativa vigente en materia de protección de datos.
Hay que tener en cuenta que un AMPA, en el ejercicio de sus funciones, puede tratar datos de carácter personal tanto de padres o tutores legales como de alumnos, teniendo poder de decisión sobre la finalidad, el uso y el contenido de dichos datos, siendo, por tanto, responsables de su tratamiento.
¿Qué tipos de datos tratan las AMPAs?
Los datos que tratan las AMPAs son datos de carácter personal identificativos de padres o tutores legales y alumnos, además, también pueden tratar datos personales de carácter económico, profesionales o sociales, incluidas también imágenes de las actividades que se puedan llevar a cabo en el centro y permitan identificar a las personas que aparecen en ellas.
Pero los datos personales donde más cuidado deben poner las AMPAs respecto al cumplimiento normativo, es respecto a aquellos correspondientes a los menores de edad, puesto que se les considera un colectivo vulnerable.
Además, respecto a los datos personales de los alumnos del centro, las AMPAs solo podrán llevar a cabo el tratamiento de datos cuando:
- Gestionen un servicio escolar (comedor, transporte escolar…), en cuyo caso, el responsable del tratamiento seguirá siendo el centro educativo y el AMPA ejercerá como encargado del tratamiento. Sería necesario, además, firmar un contrato entre centro y AMPA que contenga todas las garantías necesarias.
- Organicen actividades extraescolares o similares.
¿Cómo puede recoger datos personales?
Dado el carácter especial de los datos personales de los menores, así como los datos personales de padres o tutores legales, el AMPA debe recoger estos datos estableciendo todas las garantías de confidencialidad y veracidad, así como contar con el consentimiento expreso de los interesados, una obligación que bajo ningún concepto puede obviarse.
Además, el consentimiento expreso debe quedar por escrito o, como mínimo, registrado en algún tipo de documento físico o digital. Se entiende que al asociarse al AMPA, el interesado ya está dando el consentimiento expreso para el tratamiento de sus datos (cláusula que debe estar recogida en el documento de adhesión correspondiente). Así, cuando los datos personales a tratar no pertenezcan a miembros del AMPA o sus hijos, será siempre necesario recabar el consentimiento expreso del interesado.
Así mismo, los datos personales recogidos y su tratamiento debe quedar legitimado por las funciones y tareas que desempeña el AMPA, además de limitar su uso y tratamiento a los fines para los que han sido recabados y para los que se ha dado el citado consentimiento expreso.
También se debe informar a los interesados (los titulares de los datos) de todos los aspectos relacionados con el tratamiento que se dará a sus datos; esta información debe darse con carácter previo a la obtención del consentimiento, ser clara y comprensible.
¿Qué tipo de datos pueden publicar las asociaciones AMPA?
El AMPA puede publicar en ciertos casos datos personales de alumnos y/o familiares cuando para ello cuenten con el consentimiento expreso de los mismos, previa información sobre la finalidad de la publicación.
Estas publicaciones se realizan, normalmente, en la página web del AMPA o en sus redes sociales, y los datos que se publican son los nombres de los alumnos e imágenes y vídeos de actividades escolares o extraescolares en los que puedan aparecer y ser reconocibles alumnos y/o sus familiares.
En el caso de los alumnos, además, la edad mínima para poder dar su consentimiento para estas publicaciones es de 14 años, por debajo de esa edad, son ambos progenitores o el tutor legal del menor, los que deben dar el consentimiento.
Requisitos del AMPA en materia de protección de datos
A la hora de cumplir con la protección de datos para el AMPA, esta debe contemplar los siguientes requisitos:
- Elaborar un registro de actividades de tratamiento; este documento, que siempre debe estar actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos) debe incluir detalladamente la siguiente información:
- Base jurídica sobre la que se legitima el tratamiento
- Fines del tratamiento
- Personas afectadas
- Categoría de datos afectados
- Categorías de destinatarios de los datos (si existen cesiones o transferencias internacionales de datos a terceros)
- Plazo para la supresión de los datos (si se puede dar)
- Medidas de seguridad aplicadas
- Contar, como ya dijimos, con el consentimiento expreso para el tratamiento de los datos. Para ello, se puede recurrir a un documento que contenga la siguiente información y que los interesados deben firmar:
- Datos del responsable del tratamiento (que como hemos visto, será el AMPA)
- Finalidad del tratamiento
- Tiempo de conservación de los datos
- Destinatarios de los datos, si los hay (cesión de datos a terceros)
- Si se efectuarán transferencias internacionales de datos y sus destinatarios
- Dónde y cómo pueden ejercer los interesados sus derechos ARCO
- Llevar a cabo un análisis de riesgos de protección de datos con carácter previo al tratamiento de los datos, que sirva para determinar los posibles riesgos a los que pueden quedar expuestos los datos personales por su almacenamiento y tratamiento y las medidas de seguridad necesarias para garantizar su protección.
- Si de este análisis se desprende que los datos a tratar son de categorías especiales (aquellos relacionados con los derechos fundamentales y libertades de los interesados), también es necesario realizar una EIPD (evaluación de impacto de protección de datos). Teniendo en cuenta que el AMPA tratará con datos de menores, esta evaluación es prácticamente obligatoria.
- Firmar el contrato con los encargados de tratamiento en caso de cesión de datos a terceros.
- Si el AMPA cuenta con una página web, en ella debe incluir los textos legales web correspondientes (política de privacidad, aviso legal y cookies), en un lugar visible y de fácil acceso. Además, estos textos deben ser claros y comprensibles.
- Si se producen brechas de seguridad, el AMPA debe informar por un lado a la AEPD en un plazo no superior a 72 horas, y a los propios interesados cuyos datos se hayan visto afectados.
- En caso de tratar datos personales de categorías especiales o que puedan poner en riesgo los derechos y libertades de los interesados, será necesario nombrar a un delegado de protección de datos (DPO), que puede ser un miembro del propio AMPA, siempre que cuente con conocimientos sobre protección de datos y la legislación aplicable, o contratarlo a un servicio externo.
- Informar de dónde y cómo pueden ejercer los derechos ARCO (acceso, rectificación, cancelación, oposición, derecho al olvido y a la portabilidad).
- Así mismo, el AMPA está obligada a responder a los interesados sobre cuestiones relacionadas con los derechos anteriores y sus datos personales.
Posibles sanciones
No cumplir con la normativa de protección de datos en el AMPA puede suponer la imposición de sanciones por parte de la AEPD.
El RGPD establece una cuantía máxima de 20 millones de euros, dependiendo de la gravedad de la infracción.
Por su parte, la LOPDGDD gradúa las infracciones en muy graves, graves y leves y las sanciones se aplican en función a estos criterios, siempre con referencia a la cuantía establecida en el RGPD.
La imposición de las sanciones y la cuantía correspondiente, depende de factores como la gravedad de la infracción, la intencionalidad o negligencia que la ha provocado, las medidas de seguridad que existieran para evitar una brecha de seguridad o si se ha informado o no tanto a la AEPD como a los interesados de la misma.
¿Necesitas ayuda?
Escríbenos a info@legalglobal.es
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/