Conoce Atico34 - Solicita presupuesto
EducacionSectores

Protección de datos para AMPAs. Obligaciones y requisitos RGPD/LOPDGDD 2024

Las AMPAs, Asociaciones de Madres y Padres de Alumnos de un mismo centro educativo, se crean para participar de forma activa en la educación de sus hijos y en el desempleo de sus labores y actividades, así como en para su gestión interna, recaban y tratan datos de carácter personal de sus miembros. En esta entrada vamos a explicar cómo debe llevarse a cabo la protección de datos para AMPAs, qué obligaciones deben cumplir y cómo deben aplicar la normativa vigente.

Funciones del AMPA

Las Asociaciones de Madres y Padres de Alumnos son agrupaciones de madres, padres o tutores legales de un mismo centro que velan por los intereses de sus hijos. Tienen fuerza operativa, al punto de que pueden influir en la normativa del consejo escolar.

Las funciones del AMPA en los colegios son las siguientes:

  • Prestar ayuda a aquellos padres o tutores legales que necesiten ayuda en relación a la educación de sus hijos.
  • Fomentar el desarrollo de actividades entre los niños, sus padres y madres, y el centro.
  • Conseguir que el resto de padres cooperen en el desarrollo de actividades en el centro educativo.
  • Transmitir al colegio o escuela las necesidades, quejas o reclamaciones de los padres.
  • Brindar ayuda a aquellas familias en situaciones de necesidad, a causa de problemas económicos o hijos con necesidades especiales.
  • Representar a los padres en los consejos escolares o en reuniones puntuales con el centro.
  • Informar a padres o tutores sobre la normativa interna y gestión del centro, así como de los criterios educativos o futuros proyectos.

Como entidades que se rigen por sus propios estatutos, las AMPAs cuentan con un órgano de representación, la Junta Directiva.

La composición de la Junta Directiva puede variar en función de cada asociación, pero siempre tiene que haber un presidente y un secretario. Son opcionales el vicepresidente, vicesecretario, tesorero y los vocales.

Como responsable de la dirección de la asociación, las funciones del presidente del AMPA son:

  • Representar a la asociación en reuniones y asambleas.
  • Convocar las reuniones de la Junta Directiva.
  • Presidir las asambleas de la Junta Directiva y recoger en las actas las decisiones tomadas.
  • Revisar, gestionar y ordenar toda la documentación relativa a la asociación.

El tratamiento de los datos de los alumnos en las Asociaciones de Madres y Padres

Las AMPAs son entidades con personalidad jurídica propia, con un papel importante en la vida educativa de los centros escolares (participan incluso en el Consejo Escolar de los centros públicos). Por ello, entre sus obligaciones legales está llevar a cabo un tratamiento de los datos personales de sus miembros y de los alumnos conforme a la normativa vigente en materia de protección de datos.

Hay que tener en cuenta que un AMPA, en el ejercicio de sus funciones, puede tratar datos de carácter personal tanto de padres o tutores legales como de alumnos, teniendo poder de decisión sobre la finalidad, el uso y el contenido de dichos datos, siendo, por tanto, responsables de su tratamiento.

Protección de Datos en AMPAs. Consulta nuestras tarifas y cumple con la normativa.

tarifas proteccion datos

¿Qué tipos de datos tratan las AMPAs?

En el desempeño de las funciones del AMPA en los colegios, este trata datos de carácter personal tanto de los padres y madres o tutores legales de los alumnos del centro como de los propios alumnos.

Estos datos personales son:

  • Datos identificativos de padres, madres, tutores legales y alumnos
  • De carácter económico
  • De carácter social
  • De carácter profesional
  • Imágenes que permitan la identificación de la persona

En cualquier caso, la naturaleza de los datos personales que puede solicitar el AMPA es muy amplía, pudiendo abarcar desde datos básicos de inscripción hasta datos de salud o creencias.

Estos datos deben ser tratados siempre con el máximo rigor y garantías y atendiendo al principio de mínima conservación de los datos, por lo que se recogerán y se tratarán los datos estrictamente necesarios (calidad de los datos).

tarifas proteccion datos

Normativa de protección de datos que afecta a las AMPAs: RGPD y LOPDGDD

La normativa para el AMPA que regula el tema de protección de datos la encontramos en:

Obligaciones y requisitos LOPDGDD en AMPAs

De la misma forma en que la Ley de Protección de Datos en empresas es obligatoria, las AMPAs, como entidades que manejan y tratan datos de carácter personal también deben cumplir con las obligaciones y requisitos de esta normativa.

Además, y de acuerdo a la normativa, el AMPA maneja datos que competen a colectivos vulnerables, como son los menores edad, por lo que se debe tener un especial cuidado tanto en la forma en la que se recogen y tratan los datos como en las garantías prestan.

Es por ello que resulta imprescindible tener en cuenta tres aspectos fundamentales:

  • La forma en la que se recogen los datos. Se debe garantizar su confidencialidad y veracidad. Además de contar con el debido consentimiento.
  • El destino que se da a los datos recogidos. Estrictamente debe circunscribirse a las funciones y obligaciones del AMPA. Estas funciones del AMPA deben atender al beneficio de los menores para los que se constituyen.
  • El principio de información. Los titulares deben de estar informados por el responsable de todos los aspectos relativos al tratamiento de los datos.

Además del principio de información, rige el principio de transparencia. Este principio entra en juego en el caso de:

  • Posibles incidencias que puedan afectar al almacenamiento o tratamiento de los datos.
  • Filtraciones o accesos no autorizados por parte de terceros.
  • Circunstancias que hayan podido comprometer a cualquier nivel los datos que se les hayan confiado.

En todo caso hay que tener en cuenta la prácticamente nula profesionalización de los responsables elegidos en el AMPA de los colegios, lo que añade un importante riesgo potencial en el desarrollo de sus funciones en cuanto al adecuado cumplimiento de la norma en todos sus aspectos.

Obligaciones y requisitos RGPD para AMPAs

Las obligaciones y requisitos que establece el RGPD para el AMPA tienen un doble carácter, por un lado tiene obligaciones documentales y, por otro lado, operativas y de funcionamiento.

Las obligaciones documentales son aquellas relacionadas con la elaboración de documentos e informes necesarios para documentar la correcta aplicación de la normativa de protección de datos, como pueden ser el registro de actividades de tratamiento o el análisis de riesgos.

Mientras que las obligaciones operativas y de funcionamiento son aquellas medidas que debe aplicar el AMPA para adecuar su funcionamiento a las exigencias del RGPD.

¿Cómo aplicar la normativa de Protección de datos en las Asociaciones de Madres y Padres de Alumnos?

A la hora aplicar estas normativas el AMPA debe contemplar el cumplimiento de las una serie de obligaciones y requisitos.

Protección de datos para AMPA

Registro de Actividades de Tratamiento

Dentro de las obligaciones documentales que recaen sobre el AMPA está la realización del registro de actividades de tratamiento.

Por cada tratamiento de datos personales que hace el AMPA, es necesario crear un registro, que debe estar siempre actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos), en caso de que esta lo solicite.

El registro de actividades de tratamiento es una lista que nos ofrece información detallada, pero concisa de los tratamientos de datos personales y que deben contener, como mínimo:

  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Datos identificativos del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
  • Categorías de interesados
  • Categorías de datos personales
  • Categorías de destinatarios de los datos
  • Cesión de datos a terceros o transferencias internacionales (si las hay)
  • Plazo de conservación de los datos
  • Descripción general de las medidas de seguridad aplicadas

Consentimiento

Para el tratamiento de datos, es necesario recabar el consentimiento expreso de los interesados, es decir, de los padres, madres, tutores legales y alumnos cuyos datos se vayan a tratar. El consentimiento debe ser, además, informado,

Cuando los datos personales son de miembros del AMPA, este consentimiento habrá sido recabado mediante una cláusula incluida en el documento de adhesión correspondiente.

En el caso de que los datos personales a tratar no sean de miembros del AMPA, se podrá recabar este consentimiento empleando un documento de consentimiento que el interesado debe firmar.

Tanto la cláusula que se incluya en el documento de adhesión como la información del documento de consentimiento, contendrán los siguientes elementos:

  • Los datos del responsable del tratamiento
  • Finalidad del tratamiento
  • Plazo de conservación de los datos
  • Legitimación para el tratamiento
  • Destinatarios de los datos, si los hay
  • En su caso, destinatarios de transferencias de datos internacionales
  • Dónde y cómo ejercer los derechos ARCO.

Análisis de riesgos

Las normas para el AMPA en materia de protección de datos establecen la obligación de llevar un análisis de riesgos con carácter previo al tratamiento de datos personales.

Este análisis debe servir para determinar qué posibles riesgos o amenazas (destrucción, pérdida, filtración…) pueden suponer para la confidencialidad de los datos dichos tratamientos. Y sobre la base de las conclusiones extraídas, implantar las medidas técnicas y organizativas de seguridad necesarias para garantizar dicha protección.

Si de este análisis de riesgos, además, se concluyera también que existen riesgos que ponen en peligro los derechos y libertades de los interesados (por ejemplo, porque se tratan datos sensibles), será necesario realizar una evaluación de impacto.

Contratos con Encargados del tratamiento

Se debe firmar el contrato con el encargado del tratamiento RGPD cuando el AMPA deba ceder los datos personales que haya recabado a terceros, es decir, con proveedores contratados por el AMPA que puedan tener acceso potencial o efectivo a estos datos.

Además, hay que tener en cuenta que si el AMPA se encarga de gestionar servicios para el colegio, como puede ser el comedor o el transporte escolar, en estos casos, el AMPA será encargado del tratamiento (siendo el responsable del tratamiento el propio centro).

Página web

Si el AMPA dispone de su propia página web, debe incluir en ella, de manera fácilmente accesible, los textos legales correspondientes:

  • Aviso legal
  • Política de privacidad
  • Política de cookies (si la web genera cookies propias o de terceros)

La información aquí suministrada debe ser clara, comprensible y estar disponible desde cualquier punto de la web.

Notificar incidentes de seguridad

La Ley de Protección de Datos establece la obligación de notificar los incidentes de seguridad a la autoridad de control competente (en España la AEPD) y los interesados cuyos datos hayan podido verse afectados.

El plazo máximo para proceder a esta notificación es de 72 horas tras tener noticia de la brecha de seguridad.

Derechos ARCO

La normativa también obliga a las AMPAs a informar a los interesados sobre sus derechos de protección de datos, es decir, informar sobre dónde y cómo pueden ejercer los siguientes derechos:

  • Acceso
  • Rectificación
  • Supresión
  • Limitación
  • Portabilidad
  • Oposición

Es necesario informar de los mismos y establecer un canal para su ejercicio.

Siempre que se ejerza cualquiera de ellos el usuario debe estar debidamente identificado.

El ejercicio debe ser gratuito en todas sus fases y siempre tiene que estar designada una persona responsable.

Posibles sanciones por incumplir con la normativa

El uso de datos personales sin consentimiento por parte del AMPA, no solo implica la posibilidad de recibir una denuncia de protección de datos, sino que también pueden conllevar importantes sanciones.

El RGPD establece sanciones para aquellas entidades que no cumplen con las obligaciones en materia de protección de datos, con una cuantía máxima de 20 millones de euros, en función de la gravedad de la infracción y el número de personas afectadas.

Si bien las sanciones de la LOPD remiten al RGPD, la norma nacional gradúa las infracciones en muy graves, graves y leves para aplicar diferentes tipos de sanciones, atendiendo a una serie de factores que permiten determinar el grado de gravedad de las infracciones, como puede ser la intencionalidad, la negligencia, la existencia o no de medidas de seguridad adecuadas, la duración en el tiempo o el número de personas afectadas.

Para evitar que un miembro del AMPA o una tercera persona se pregunte cómo denunciar al AMPA por haber infringido la Ley de Protección de Datos, es fundamental cumplir con las obligaciones que exige la normativa y que hemos ido viendo a lo largo de esta guía.

¿Necesitáis cumplir con la Ley de Protección de datos en el AMPA? Habla con uno de nuestros expertos

Como ya mencionamos más arriba, cumplir con todas las obligaciones del RGPD y la LOPDGDD puede ser una tarea compleja para quien no tiene conocimientos en la materia, que suele ser lo habitual para muchos de los miembros que forman parte del AMPA. Eso por no mencionar la necesidad de mantenerse al día respecto a modificaciones y actualizaciones de la ley.

Si tu AMPA necesita adaptarse y cumplir con la normativa vigente de protección de datos, ponte en contacto con uno de los expertos de Grupo Atico34, contamos con personal cualificado que puede ayudarte en cualquier proceso de adaptación y evaluación.

Quizás también puede interesarte nuestra guía sobre protección de datos para abogados.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.