Las AMPAs, Asociaciones de Madres y Padres de Alumnos de un mismo centro educativo, se crean para participar de forma activa en la educación de sus hijos y en el desempleo de sus labores y actividades, así como en para su gestión interna, recaban y tratan datos de carácter personal de sus miembros. En esta entrada vamos a explicar cómo debe llevarse a cabo la protección de datos para AMPAs, qué obligaciones deben cumplir y cómo deben aplicar la normativa vigente.
En este artículo hablamos de:
- Funciones del AMPA
- El tratamiento de los datos de los alumnos en las Asociaciones de Madres y Padres
- ¿Qué tipos de datos tratan las AMPAs?
- Normativa de protección de datos que afecta a las AMPAs: RGPD y LOPDGDD
- Obligaciones y requisitos LOPDGDD en AMPAs
- Obligaciones y requisitos RGPD para AMPAs
- ¿Cómo aplicar la normativa de Protección de datos en las Asociaciones de Madres y Padres de Alumnos?
- Posibles sanciones por incumplir con la normativa
- ¿Necesitáis cumplir con la Ley de Protección de datos en el AMPA? Habla con uno de nuestros expertos
Funciones del AMPA
Las Asociaciones de Madres y Padres de Alumnos son agrupaciones de madres, padres o tutores legales de un mismo centro que velan por los intereses de sus hijos. Tienen fuerza operativa, al punto de que pueden influir en la normativa del consejo escolar.
Las funciones del AMPA en los colegios son las siguientes:
- Prestar ayuda a aquellos padres o tutores legales que necesiten ayuda en relación a la educación de sus hijos.
- Fomentar el desarrollo de actividades entre los niños, sus padres y madres, y el centro.
- Conseguir que el resto de padres cooperen en el desarrollo de actividades en el centro educativo.
- Transmitir al colegio o escuela las necesidades, quejas o reclamaciones de los padres.
- Brindar ayuda a aquellas familias en situaciones de necesidad, a causa de problemas económicos o hijos con necesidades especiales.
- Representar a los padres en los consejos escolares o en reuniones puntuales con el centro.
- Informar a padres o tutores sobre la normativa interna y gestión del centro, así como de los criterios educativos o futuros proyectos.
Como entidades que se rigen por sus propios estatutos, las AMPAs cuentan con un órgano de representación, la Junta Directiva.
La composición de la Junta Directiva puede variar en función de cada asociación, pero siempre tiene que haber un presidente y un secretario. Son opcionales el vicepresidente, vicesecretario, tesorero y los vocales.
Como responsable de la dirección de la asociación, las funciones del presidente del AMPA son:
- Representar a la asociación en reuniones y asambleas.
- Convocar las reuniones de la Junta Directiva.
- Presidir las asambleas de la Junta Directiva y recoger en las actas las decisiones tomadas.
- Revisar, gestionar y ordenar toda la documentación relativa a la asociación.
El tratamiento de los datos de los alumnos en las Asociaciones de Madres y Padres
Las AMPAs son entidades con personalidad jurídica propia, con un papel importante en la vida educativa de los centros escolares (participan incluso en el Consejo Escolar de los centros públicos). Por ello, entre sus obligaciones legales está llevar a cabo un tratamiento de los datos personales de sus miembros y de los alumnos conforme a la normativa vigente en materia de protección de datos.
Hay que tener en cuenta que un AMPA, en el ejercicio de sus funciones, puede tratar datos de carácter personal tanto de padres o tutores legales como de alumnos, teniendo poder de decisión sobre la finalidad, el uso y el contenido de dichos datos, siendo, por tanto, responsables de su tratamiento.
Protección de Datos en AMPAs. Consulta nuestras tarifas y cumple con la normativa.
¿Qué tipos de datos tratan las AMPAs?
En el desempeño de las funciones del AMPA en los colegios, este trata datos de carácter personal tanto de los padres y madres o tutores legales de los alumnos del centro como de los propios alumnos.
Estos datos personales son:
- Datos identificativos de padres, madres, tutores legales y alumnos
- De carácter económico
- De carácter social
- De carácter profesional
- Imágenes que permitan la identificación de la persona
En cualquier caso, la naturaleza de los datos personales que puede solicitar el AMPA es muy amplía, pudiendo abarcar desde datos básicos de inscripción hasta datos de salud o creencias.
Estos datos deben ser tratados siempre con el máximo rigor y garantías y atendiendo al principio de mínima conservación de los datos, por lo que se recogerán y se tratarán los datos estrictamente necesarios (calidad de los datos).
Normativa de protección de datos que afecta a las AMPAs: RGPD y LOPDGDD
La normativa para el AMPA que regula el tema de protección de datos la encontramos en:
- Reglamento General de Protección de Datos (RGPD); Reglamento (UE) 2016/679.
- Ley Orgánica Protección de Datos y Garantía de Derechos Digitales (LOPDGDD o LOPD) de 3/2018, de 5 de diciembre.
- Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
- Real Decreto 1533/1986, de 11 de julio, por el que se regulan las asociaciones de padres de alumnos.
- Ley Orgánica 8/1985 de 3 de julio, reguladora del derecho a la educación, y
- Ley Orgánica 2/2006, de 3 de mayo, de educación, modificada por Ley Orgánica 8/2013, de 9 de diciembre, para la mejora de la calidad educativa.
Obligaciones y requisitos LOPDGDD en AMPAs
De la misma forma en que la Ley de Protección de Datos en empresas es obligatoria, las AMPAs, como entidades que manejan y tratan datos de carácter personal también deben cumplir con las obligaciones y requisitos de esta normativa.
Además, y de acuerdo a la normativa, el AMPA maneja datos que competen a colectivos vulnerables, como son los menores edad, por lo que se debe tener un especial cuidado tanto en la forma en la que se recogen y tratan los datos como en las garantías prestan.
Es por ello que resulta imprescindible tener en cuenta tres aspectos fundamentales:
- La forma en la que se recogen los datos. Se debe garantizar su confidencialidad y veracidad. Además de contar con el debido consentimiento.
- El destino que se da a los datos recogidos. Estrictamente debe circunscribirse a las funciones y obligaciones del AMPA. Estas funciones del AMPA deben atender al beneficio de los menores para los que se constituyen.
- El principio de información. Los titulares deben de estar informados por el responsable de todos los aspectos relativos al tratamiento de los datos.
Además del principio de información, rige el principio de transparencia. Este principio entra en juego en el caso de:
- Posibles incidencias que puedan afectar al almacenamiento o tratamiento de los datos.
- Filtraciones o accesos no autorizados por parte de terceros.
- Circunstancias que hayan podido comprometer a cualquier nivel los datos que se les hayan confiado.
En todo caso hay que tener en cuenta la prácticamente nula profesionalización de los responsables elegidos en el AMPA de los colegios, lo que añade un importante riesgo potencial en el desarrollo de sus funciones en cuanto al adecuado cumplimiento de la norma en todos sus aspectos.
Obligaciones y requisitos RGPD para AMPAs
Las obligaciones y requisitos que establece el RGPD para el AMPA tienen un doble carácter, por un lado tiene obligaciones documentales y, por otro lado, operativas y de funcionamiento.
Las obligaciones documentales son aquellas relacionadas con la elaboración de documentos e informes necesarios para documentar la correcta aplicación de la normativa de protección de datos, como pueden ser el registro de actividades de tratamiento o el análisis de riesgos.
Mientras que las obligaciones operativas y de funcionamiento son aquellas medidas que debe aplicar el AMPA para adecuar su funcionamiento a las exigencias del RGPD.
¿Cómo aplicar la normativa de Protección de datos en las Asociaciones de Madres y Padres de Alumnos?
A la hora aplicar estas normativas el AMPA debe contemplar el cumplimiento de las una serie de obligaciones y requisitos.
Registro de Actividades de Tratamiento
Dentro de las obligaciones documentales que recaen sobre el AMPA está la realización del registro de actividades de tratamiento.
Por cada tratamiento de datos personales que hace el AMPA, es necesario crear un registro, que debe estar siempre actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos), en caso de que esta lo solicite.
El registro de actividades de tratamiento es una lista que nos ofrece información detallada, pero concisa de los tratamientos de datos personales y que deben contener, como mínimo:
- Legitimación del tratamiento
- Finalidad del tratamiento
- Datos identificativos del responsable del tratamiento y, en su caso, del encargado del tratamiento y del DPO
- Categorías de interesados
- Categorías de datos personales
- Categorías de destinatarios de los datos
- Cesión de datos a terceros o transferencias internacionales (si las hay)
- Plazo de conservación de los datos
- Descripción general de las medidas de seguridad aplicadas
Consentimiento
Para el tratamiento de datos, es necesario recabar el consentimiento expreso de los interesados, es decir, de los padres, madres, tutores legales y alumnos cuyos datos se vayan a tratar. El consentimiento debe ser, además, informado,
Cuando los datos personales son de miembros del AMPA, este consentimiento habrá sido recabado mediante una cláusula incluida en el documento de adhesión correspondiente.
En el caso de que los datos personales a tratar no sean de miembros del AMPA, se podrá recabar este consentimiento empleando un documento de consentimiento que el interesado debe firmar.
Tanto la cláusula que se incluya en el documento de adhesión como la información del documento de consentimiento, contendrán los siguientes elementos:
- Los datos del responsable del tratamiento
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Legitimación para el tratamiento
- Destinatarios de los datos, si los hay
- En su caso, destinatarios de transferencias de datos internacionales
- Dónde y cómo ejercer los derechos ARCO.
Análisis de riesgos
Las normas para el AMPA en materia de protección de datos establecen la obligación de llevar un análisis de riesgos con carácter previo al tratamiento de datos personales.
Este análisis debe servir para determinar qué posibles riesgos o amenazas (destrucción, pérdida, filtración…) pueden suponer para la confidencialidad de los datos dichos tratamientos. Y sobre la base de las conclusiones extraídas, implantar las medidas técnicas y organizativas de seguridad necesarias para garantizar dicha protección.
Si de este análisis de riesgos, además, se concluyera también que existen riesgos que ponen en peligro los derechos y libertades de los interesados (por ejemplo, porque se tratan datos sensibles), será necesario realizar una evaluación de impacto.
Contratos con Encargados del tratamiento
Se debe firmar el contrato con el encargado del tratamiento RGPD cuando el AMPA deba ceder los datos personales que haya recabado a terceros, es decir, con proveedores contratados por el AMPA que puedan tener acceso potencial o efectivo a estos datos.
Además, hay que tener en cuenta que si el AMPA se encarga de gestionar servicios para el colegio, como puede ser el comedor o el transporte escolar, en estos casos, el AMPA será encargado del tratamiento (siendo el responsable del tratamiento el propio centro).
Página web
Si el AMPA dispone de su propia página web, debe incluir en ella, de manera fácilmente accesible, los textos legales correspondientes:
- Aviso legal
- Política de privacidad
- Política de cookies (si la web genera cookies propias o de terceros)
La información aquí suministrada debe ser clara, comprensible y estar disponible desde cualquier punto de la web.
Notificar incidentes de seguridad
La Ley de Protección de Datos establece la obligación de notificar los incidentes de seguridad a la autoridad de control competente (en España la AEPD) y los interesados cuyos datos hayan podido verse afectados.
El plazo máximo para proceder a esta notificación es de 72 horas tras tener noticia de la brecha de seguridad.
Derechos ARCO
La normativa también obliga a las AMPAs a informar a los interesados sobre sus derechos de protección de datos, es decir, informar sobre dónde y cómo pueden ejercer los siguientes derechos:
- Acceso
- Rectificación
- Cancelación
- Limitación
- Portabilidad
- Oposición
Es necesario informar de los mismos y establecer un canal para su ejercicio.
Siempre que se ejerza cualquiera de ellos el usuario debe estar debidamente identificado.
El ejercicio debe ser gratuito en todas sus fases y siempre tiene que estar designada una persona responsable.
Posibles sanciones por incumplir con la normativa
El uso de datos personales sin consentimiento por parte del AMPA, no solo implica la posibilidad de recibir una denuncia de protección de datos, sino que también pueden conllevar importantes sanciones.
El RGPD establece sanciones para aquellas entidades que no cumplen con las obligaciones en materia de protección de datos, con una cuantía máxima de 20 millones de euros, en función de la gravedad de la infracción y el número de personas afectadas.
Si bien las sanciones de la LOPD remiten al RGPD, la norma nacional gradúa las infracciones en muy graves, graves y leves para aplicar diferentes tipos de sanciones, atendiendo a una serie de factores que permiten determinar el grado de gravedad de las infracciones, como puede ser la intencionalidad, la negligencia, la existencia o no de medidas de seguridad adecuadas, la duración en el tiempo o el número de personas afectadas.
Para evitar que un miembro del AMPA o una tercera persona se pregunte cómo denunciar al AMPA por haber infringido la Ley de Protección de Datos, es fundamental cumplir con las obligaciones que exige la normativa y que hemos ido viendo a lo largo de esta guía.
¿Necesitáis cumplir con la Ley de Protección de datos en el AMPA? Habla con uno de nuestros expertos
Como ya mencionamos más arriba, cumplir con todas las obligaciones del RGPD y la LOPDGDD puede ser una tarea compleja para quien no tiene conocimientos en la materia, que suele ser lo habitual para muchos de los miembros que forman parte del AMPA. Eso por no mencionar la necesidad de mantenerse al día respecto a modificaciones y actualizaciones de la ley.
Si tu AMPA necesita adaptarse y cumplir con la normativa vigente de protección de datos, ponte en contacto con uno de los expertos de Grupo Atico34, contamos con personal cualificado que puede ayudarte en cualquier proceso de adaptación y evaluación.
Quizás también puede interesarte nuestra guía sobre protección de datos para abogados.