Asociaciones de padres de alumnos

Las Asociaciones de Madres y Padres de Alumnos de un mismo centro de enseñanza, son entidades que manejan datos personales tanto de sus miembros como de terceros (como pueden ser ciertos proveedores), por ello también tienen la obligación de cumplir con la normativa vigente de protección de datos. En esta entrada vamos a explicar los principales aspectos relativos a la ley de protección en este tipo de asociaciones.

El tratamiento de los datos de los alumnos

Estas asociaciones son entidades con personalidad jurídica propia, con un papel importante en la vida educativa de los centros escolares (participan incluso en el Consejo Escolar de los centros públicos). Por ello, entre sus obligaciones legales está llevar a cabo un tratamiento de los datos personales de sus miembros y de los alumnos conforme y respetar la ley de protección de datos en el AMPA.

Hay que tener en cuenta que, en el ejercicio de sus funciones, puede tratar datos de carácter personal tanto de padres o tutores legales como de alumnos, teniendo poder de decisión sobre la finalidad, el uso y el contenido de dichos datos, siendo, por tanto, responsables de su tratamiento.

¿Qué tipos de datos tratan estas asociaciones?

Son datos de carácter personal identificativos de padres o tutores legales y alumnos, además, también pueden tratar datos personales de carácter económico, profesionales o sociales, incluidas también imágenes de las actividades que se puedan llevar a cabo en el centro y permitan identificar a las personas que aparecen en ellas.

Pero los datos personales donde más cuidado deben poner estas asociaciones respecto al cumplimiento normativo, es respecto a aquellos correspondientes a los menores de edad, puesto que se les considera un colectivo vulnerable.

Además, respecto a los datos personales de los alumnos del centro, solo podrán llevar a cabo un tratamiento cuando:

  • Gestionen un servicio escolar (comedor, transporte escolar…), en cuyo caso, el responsable del tratamiento seguirá siendo el centro educativo y la asociaciones de madres y padres ejercerá como encargado del tratamiento. Sería necesario, además, firmar un contrato entre centro y asociación que contenga todas las garantías necesarias.
  • Organicen actividades extraescolares o similares.

¿Cómo pueden recoger datos personales?

Dado el carácter especial de los datos personales de los menores, así como los datos personales de padres o tutores legales, deben recoger estos datos estableciendo todas las garantías de confidencialidad y veracidad, así como contar con el consentimiento expreso de los interesados, una obligación que bajo ningún concepto puede obviarse.

Además, el consentimiento expreso debe quedar por escrito o, como mínimo, registrado en algún tipo de documento físico o digital. Se entiende que el interesado ya está dando el consentimiento expreso para el tratamiento de sus datos (cláusula que debe estar recogida en el documento de adhesión correspondiente). Así, cuando los datos personales a tratar no pertenezcan a miembros de la asociación o sus hijos, será siempre necesario recabar el consentimiento expreso del interesado.

Así mismo, los datos personales recogidos y su tratamiento debe quedar legitimado por las funciones y tareas que desempeña la asociación, además de limitar su uso y tratamiento a los fines para los que han sido recabados y para los que se ha dado el citado consentimiento expreso.

También se debe informar a los interesados (los titulares de los datos) de todos los aspectos relacionados con el tratamiento que se dará a sus datos; esta información debe darse con carácter previo a la obtención del consentimiento, ser clara y comprensible.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

¿Qué tipo de datos se pueden publicar?

Puede publicar en ciertos casos datos personales de alumnos y/o familiares cuando para ello cuenten con el consentimiento expreso de los mismos, previa información sobre la finalidad de la publicación.

Estas publicaciones se realizan, normalmente, en la página web o en sus redes sociales, y los datos que se publican son los nombres de los alumnos e imágenes y vídeos de actividades escolares o extraescolares en los que puedan aparecer y ser reconocibles alumnos y/o sus familiares.

En el caso de los alumnos, además, la edad mínima para poder dar su consentimiento para estas publicaciones es de 14 años, por debajo de esa edad, son ambos progenitores o el tutor legal del menor, los que deben dar el consentimiento.

Requisitos

A la hora de cumplir con la protección de datos se deben contemplar los siguientes requisitos:

  • Elaborar un registro de actividades de tratamiento; este documento, que siempre debe estar actualizado y a disposición de la AEPD (Agencia Española de Protección de Datos) debe incluir detalladamente la siguiente información:
    • Base jurídica sobre la que se legitima el tratamiento
    • Fines del tratamiento
    • Personas afectadas
    • Categoría de datos afectados
    • Categorías de destinatarios de los datos (si existen cesiones o transferencias internacionales de datos a terceros)
    • Plazo para la supresión de los datos (si se puede dar)
    • Medidas de seguridad aplicadas
  • Contar, como ya dijimos, con el consentimiento expreso para el tratamiento de los datos. Para ello, se puede recurrir a un documento que contenga la siguiente información y que los interesados deben firmar:
    • Datos del responsable del tratamiento (que como hemos visto, será el AMPA)
    • Finalidad del tratamiento
    • Tiempo de conservación de los datos
    • Destinatarios de los datos, si los hay (cesión de datos a terceros)
    • Si se efectuarán transferencias internacionales de datos y sus destinatarios
    • Dónde y cómo pueden ejercer los interesados sus derechos ARCO
  • Llevar a cabo un análisis de riesgos de protección de datos con carácter previo al tratamiento de los datos, que sirva para determinar los posibles riesgos a los que pueden quedar expuestos los datos personales por su almacenamiento y tratamiento y las medidas de seguridad necesarias para garantizar su protección.
    • Si de este análisis se desprende que los datos a tratar son de categorías especiales (aquellos relacionados con los derechos fundamentales y libertades de los interesados), también es necesario realizar una EIPD (evaluación de impacto de protección de datos). Teniendo en cuenta que la asociación tratará con datos de menores, esta evaluación es prácticamente obligatoria.
  • Firmar el contrato con los encargados de tratamiento en caso de cesión de datos a terceros.
  • Si cuenta con una página web, en ella debe incluir los textos legales web correspondientes (política de privacidad, aviso legal y cookies), en un lugar visible y de fácil acceso. Además, estos textos deben ser claros y comprensibles.
  • Si se producen brechas de seguridad, se debe informar por un lado a la AEPD en un plazo no superior a 72 horas, y a los propios interesados cuyos datos se hayan visto afectados.
  • En caso de tratar datos personales de categorías especiales o que puedan poner en riesgo los derechos y libertades de los interesados, será necesario nombrar a un delegado de protección de datos (DPO), que puede ser un miembro de la propia asociación, siempre que cuente con conocimientos sobre protección de datos y la legislación aplicable, o contratarlo a un servicio externo.
  • Informar de dónde y cómo pueden ejercer los derechos ARCO (acceso, rectificación, cancelación, oposición, derecho al olvido y a la portabilidad).
  • Así mismo, está obligada a responder a los interesados sobre cuestiones relacionadas con los derechos anteriores y sus datos personales.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.