Se considera a las Asociaciones de madres y padres de alumnos (AMPA) como entidades con personalidad jurídica propia. Pertenecen al colectivo de educación y participan en el Consejo Escolar de los colegios públicos por lo que su función dentro de la educación es muy importante.

Estas asociaciones manejan datos personales de los alumnos y de los padres, además de otros datos sociales, profesionales o económicos.

Por ello están sujetas a la normativa de Protección de datos. Y aquí te cuento cómo deben adaptarse al RGPD y a la LOPDGDD.

Normativa

Las AMPAs deben regirse por las siguientes normas de Protección de datos:

  • RGPD, vigente desde el 25 de mayo de 2018.
  • LOPDGDD (Ley Orgánica de Protección de datos y Garantía de Derechos Digitales), aprobada en diciembre de 2018 para adaptar el RGPD en nuestro país.
  • LSSI (Ley de Servicios de la Sociedad de la Información y Comercio electrónico).

Pero también existen otras normas aplicables a estas asociaciones:

Adaptación del AMPA al RGPD

Las AMPAs tratan gran cantidad de datos tanto de alumnos como de padres y ellas deciden sobre la utilización, fines y tipos de datos a recoger de ellos. También recogen datos económicos de colectivos en riesgo de exclusión social y datos de menores, considerados como un colectivo vulnerable. De ahí que guarden las adecuadas medidas de confidencialidad y seguridad de esos datos.

Se consideran, por tanto, responsables del tratamiento de esos datos y están sujetas a las obligaciones establecidas por el RGPD.

Si perteneces a un AMPA, estas son las principales actuaciones que debes realizar para cumplir la normativa de Protección de datos:

  1. Elaborar un Registro de Actividades de tratamiento
  2. Solicitar el consentimiento expreso para tratar los datos
  3. Realizar un Análisis de riesgos
  4. Suscribir el contrato con los encargados de tratamiento
  5. Insertar textos legales en la página web
  6. Notificar los incidentes de seguridad
  7. Facilitar el ejercicio de los derechos ARCO

¿Te parecen muchas cosas?

No te preocupes, a continuación te explico cada una de ellas.

1. Registro de Actividades de tratamiento

En el AMPA es necesario documentar el tipo y la cantidad de datos que se manejan. Ese documento es el Registro de Actividades de tratamiento y debe contener:

  • Clase de datos recopilados
  • Fines para los que van a usarse
  • Personas que acceden a esos datos
  • Si se van a ceder a algún tercero
  • Medidas de seguridad utilizadas en su almacenamiento
  • Medios a través de los que se van a tratar
  • Periodo de tiempo durante el que se conservarán los datos

Es obligatorio tener este Registro de Actividades de tratamiento actualizado y debemos facilitárselo a la AEPD en caso de que nos lo solicite.

Los tratamientos más habituales en un AMPA son:

  • Socios (padres y madres)
  • Alumnos
  • Proveedores
  • Contabilidad

2. Consentimiento

Con la nueva normativa de Protección de datos el Consentimiento expreso es fundamental para poder tratar los datos personales. Por ello debes facilitar a todos los padres y madres un documento en el que se autorice el tratamiento de sus datos y los de sus hijos por parte del AMPA.

En él debes informar claramente de:

  • datos del responsable del tratamiento (AMPA),
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • derechos de los afectados y medios a través de los cuales pueden ejercerlos.

Los padres deben firmar ese documento para poder tratar sus datos y los de sus hijos menores.

3. Análisis de riesgos

Atención porque esta es una nueva exigencia de la normativa que debes tener en cuenta.

El AMPA debe realizar un Análisis de riesgos para evaluar los riesgos que puedan surgir de los tratamientos realizados y, en base a esos riesgos, adoptar las medidas de seguridad necesarias para evitarlos o reducirlos.

En ese análisis de riesgos debe tenerse en cuenta el tipo y características de los datos, la cantidad de afectados, los medios de tratamiento y las cesiones o transferencias realizadas.

En caso de que el riesgo resulte especialmente alto, por tratar una gran cantidad de datos o manejar datos especialmente protegidos, tendrás que realizar una Evaluación de impacto. Con ella se aplicarán las medidas que garanticen la seguridad de esos datos.

4. Contratos con Encargados del tratamiento

Es posible que pienses que en tu AMPA no hay ningún Encargado de tratamiento, que no se ceden los datos a nadie.

¿Estás seguro?

Probablemente se gestionen actividades extraescolares desde el AMPA para las que se contrata una empresa externa. O contrates una empresa de transportes para realizar una excursión. Pues estos son encargados del tratamiento ya que tienen acceso a los datos de los alumnos para prestar el servicio contratado.

Por lo tanto, aparte de elaborar un registro de actividades de tratamiento, debes tener también una lista de esas empresas externas con las que contratas la prestación de algún servicio y garantizar que también cumplan la normativa obligatoria.

Para ello debes firmar con esos terceros un contrato de encargo de tratamiento donde se regulen las obligaciones de estos para proteger los datos personales a los que accedan.

¿Sabes cuál es el contenido mínimo de este contrato?

En el contrato de encargo de tratamiento debe incluirse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento,
  • tipo de datos a los que se va a acceder,
  • afectados por ese acceso, y
  • obligaciones y derechos del responsable y del encargado del tratamiento.

5. Página web

Si el AMPA dispone de una página web, en ella debes incluir todos los textos legales exigidos por la LSSI y el RGPD:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Te explico cada uno de ellos.

Aviso legal

Este es el texto que identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Este texto debe insertarse en un lugar visible de la página web.

Política de privacidad

Uno de los textos más importantes de toda página web es la política de privacidad. En ella informas a tus usuarios sobre la manera en la que vas a tratar sus datos personales.

El contenido de la política de privacidad debe ser:

  • Información sobre el tratamiento de datos que se va a realizar
  • Finalidad de ese tratamiento
  • Destinatarios de los datos personales
  • Base de legitimación para realizar el tratamiento
  • Plazo de conservación de los datos
  • Datos de contacto del responsable del tratamiento
  • Procedimiento de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad

Este texto también debes incluirlo en un lugar visible de la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. A través de ellas se analizan las visitas que reciben las páginas web o se muestra publicidad dinámica.

Si en tu web incluyes este tipo de archivos, es obligatorio que cumplas con la ley de cookies.

La norma que regula las cookies es la LSSI. En ese texto debe informarse sobre las cookies que usa la página, su duración y la finalidad de las mismas.

6. Notificar incidentes de seguridad

El RGPD establece una nueva obligación para responsables y encargados del tratamiento que las AMPA también deben cumplir: la notificación de cualquier incidente de seguridad que afecte a los datos personales.

¿Sabes qué significa esto?

Pues que en el caso de que sufras algún ataque en los sistemas informáticos donde almacenas los datos de los padres y alumnos y esos datos sean robados, debes comunicarlo en un plazo de 72 horas.

¿A quién?

A la AEPD y, en caso de que afecte a los derechos y libertades de los titulares de esos datos, a ellos mismos.

7. Derechos ARCOPOL

Los padres y madres de los alumnos disponen de una serie de derechos que pueden ejercer en cualquier momento y de manera sencilla y gratuita.

Vamos a analizar cada uno de esos derechos.

Acceso

El derecho de acceso posibilita a los titulares de los datos conocer si estos se están tratando, qué datos son los que tiene el responsable del tratamiento, de dónde los ha cogido, para qué los va a utilizar y cuáles son sus destinatarios.

No obstante, no se permite que los padres accedan al expediente académico de sus hijos. Esto se rige por otra normativa específica, salvo que en ese expediente se incluya información sensible como datos de salud. En ese caso, esa información sí se les facilitará.

Rectificación

A través del derecho de rectificación los titulares pueden corregir errores existentes en sus datos para garantizar que la información es correcta.

La rectificación de notas de trabajos o exámenes también está regulada por otra normativa.

Cancelación

Con la cancelación podemos solicitar la eliminación de nuestros datos cuando sean incorrectos o excesivos.

En caso de revocar el consentimiento otorgado al tratamiento, esto supone la cancelación de los datos.

La cancelación de los datos del expediente académico solo se producirá cuando los estudiantes ya no puedan solicitarlo. Los datos de salud del alumno se cancelarán una vez finalizada la escolarización del mismo.

Oposición

Con este derecho el interesado puede solicitar que no se traten o se finalice el tratamiento de sus datos personales por razones referidas a su situación personal.

Olvido

Este derecho al olvido supone el borrado de toda la información de la persona solicitante de la red.

Portabilidad

El derecho de portabilidad consiste en la solicitud por parte del interesado al AMPA de facilitarle todos los datos que tienen sobre él en un formato asequible, legible y sencillo de leer.

Tratamiento por el AMPA de los datos de los alumnos

Existen dos supuestos en los que el AMPA está autorizado a tratar los datos de los alumnos:

  • Para gestionar un servicio escolar (por ejemplo, el comedor o el transporte): en este caso el AMPA actúa como encargado del tratamiento y el responsable de los datos es el colegio. Es necesario firmar entre ellos el correspondiente contrato de encargado del tratamiento donde se recojan las adecuadas garantías para proteger esos datos. Y el AMPA establecerá los distintos tratamientos que va a realizar de esos datos.
  • Para organizar actividades extraescolares: en este caso, si el AMPA va a publicar en su página web la lista de alumnos inscritos en esa actividad, el acceso debe estar restringido únicamente a los padres. Y si se publican en redes sociales o en la web fotografías o vídeos de esas actividades, es necesario el consentimiento de los padres.

Plantillas

Te dejo todos los documentos necesarios para adaptar el AMPA a la normativa de Protección de datos:

Preguntas frecuentes

¿Qué datos puede pedirme el AMPA para ser miembro?

Son muy variados los datos que puede solicitar el AMPA a sus miembros. Esos datos pueden ir desde la información básica hasta datos sensibles o económicos. Pero, en cualquier caso, la asociación debe garantizar la protección de esos datos.

El RGPD recoge el principio de minimización de los datos según el cual, deben recopilarse únicamente los datos necesarios para la finalidad de ese tratamiento. Y esos datos se almacenarán con las adecuadas medidas de seguridad.

¿Puede el AMPA publicar fotos de mis hijos sin consentimiento?

Rotundamente No. No se podrán publicar ni vídeos ni fotografías de los menores realizadas en el centro educativo ni en actividades propias del AMPA sin el consentimiento expreso de los padres o tutores.

Los propios menores podrán dar su consentimiento a partir de los 14 años.

¿Puede el colegio facilitar información de los alumnos al AMPA?

No. Los centros educativos únicamente pueden facilitar información de los alumnos al AMPA si tienen el consentimiento expreso de los padres o tutores o de los alumnos, si son mayores de 14 años.

El colegio debe solicitar ese consentimiento informando a los afectados sobre la finalidad para la que se va a facilitar esa información.

¿Puede un miembro del AMPA pedir información que afecte a otros miembros?

Para que un miembro del AMPA pueda obtener información sobre otros miembros es necesario que estos hayan sido informados sobre esa posibilidad y hayan dado su consentimiento para ello.

El hecho de formar parte del AMPA implica el consentimiento de aceptación de su política de funcionamiento y si en ella se establece la posibilidad de que cualquier miembro que lo solicite pueda disponer de un listado de todos los componentes de la asociación, el hecho de que se le facilite será legítimo.

¿El AMPA puede usar WhatsApp para comunicarse con los miembros?

, puede utilizar este servicio de mensajería instantánea para enviar comunicaciones a sus miembros. Pero si van a enviarse datos personales a través de este sistema, es necesario el consentimiento de los afectados.

Espero que te haya quedado claro lo que tienes que hacer para adaptar el AMPA a la normativa de Protección de datos. Y, si tienes dudas, coméntamelas. Estaré encantada de ayudarte.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola, tu post es super interesante. Pertenezco al ampa de un cole concertado, y la directiva del cole nos pide datos sobre una actividad que hicimos por el verano, datos economicos y de los niños y los adultos que la hicieron. Pueden pedirnos eso??? Yo creo que el ampa y el colegio son dos cosas muy diferentes, y que no debemos por ley de entregarselo.

    1. Buenos días Laura, si esa actividad no está relacionada con el colegio no tienen porqué pedir esos datos. No tienen la obligación de facilitárselos.