El AMPA, del mismo modo que cualquier otra asociación, está considerada como una entidad con personalidad jurídica propia, y al igual que las demás, trata datos, por lo que las asociaciones de padres tampoco están exentas de cumplir con las rigurosas exigencias de la nueva normativa europea de protección de datos. Y como nadie puede escapar del coto de la caza de la implacable GDPR/RGPD (y que así sea, por la seguridad de todos), aquí recogemos las principales responsabilidades que desde el pasado 25 de mayo competen a estas agrupaciones. No obstante, como ya hicimos en el artículo sobre las obligaciones de los colegios con la GDPR, te recordamos que si utilizas TokApp, dispones de asesoramiento jurídico gratuito para resolver todas las dudas que tengas.
El consentimiento informado
Entre los datos con los que trabajan las AMPA se encuentran desde datos de carácter personal, información identificativa de los padres de los alumnos y de éstos, así como otros tipos de datos tales como económicos, profesionales, sociales, etcétera. El tratamiento de los datos de sus integrantes por parte de las AMPA estará amparado por la relación que los vincula y por tanto no se requiere el consentimiento más que en el momento en que los padres acceden a asociarse, aunque sí tendrán que mantenerles al corriente de lo que concierna a su información. Sin embargo, no es legal que, con la intención del AMPA de proponerle a los padres incorporarse a ella, el colegio le facilite teléfonos o direcciones de correo electrónico de contacto sin antes haber obtenido el permiso de los padres.
Valoración del riesgo del tratamiento y las medidas de protección
La GDPR/RGPD obliga a todas las entidades a dar a conocer las medidas de protección tomadas para asegurar los datos y los riesgos que pudieran derivar de su tratamiento: la destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado, lo que se denomina una “violación de seguridad”. Si esto se produjera, se habrá de notificar a la Agencia Española de Protección de Datos o a la autoridad autonómica correspondiente y, naturalmente, comunicar a los interesados.
La comunicación entre los padres miembros
El uso de aplicaciones de mensajería poco fiables, y más específicamente de WhatsApp, está desaconsejado por la propia Agencia Española de Protección de Datos, que insta a emplear plataformas que, como TokApp, garantizan el cumplimiento de la ley al no compartir información confidencial de los usuarios con otras empresas y no exponer al público más datos que los imprescindibles de sus usuarios, algo imprescindible para salvaguardar la propia identidad teniendo en cuenta la facilidad con la que se pueden hacer averiguaciones sobre la vida privada de alguien en Internet, donde todo está conectado (si te interesa saber más sobre cómo proteger tu privacidad, lee nuestro artículo “Todo lo que puedes saber sobre una persona con solo su número de teléfono”).
Cabe aclarar, además, que los chats de grupo de asociaciones, de padres inclusive, no se admiten como “grupos domésticos”. Por consiguiente, cualquier mensaje con información que pudiera ser estimada como personal, privada o íntima es susceptible de vulnerar la ley y suponer una cuantiosa multa a los administradores del chat y a los delegados del AMPA.
El tratamiento de datos de alumnos
En los únicos caso en que las AMPA están autorizadas a tratar datos de alumnos son cuando éstas:
- Gestionan un servicio escolar, como puede ser el transporte o el comedor.
De ser este el caso, pese a que el responsable de los datos de los alumnos continuaría siendo el centro educativo, el AMPA ejercería como encargada de los datos. Ambos organismos tendrían que firmar un contrato que reflejara las garantías pertinentes Sería conveniente también que se llevara un registro de las acciones relativas a esta información, en especial a aquella que pueda entrar dentro de categorías de datos especialmente protegidos, como la ideología, creencias o religión o salud (es también un dato de salud la información sobre alergias alimentarias como la celiaquía o las valoraciones psicopedagógicas).
- Organizan una actividad extraescolar o similar, por ejemplo, viajes de fin de curso:
En este supuesto, si se quisiera mostrar el sitio web del AMPA una página con el listado de los alumnos inscritos en la actividad, tendría que ser esta página de acceso restringido a los padres.
Por el mismo motivo, en caso de publicar imágenes como fotografías o vídeos en la web o las redes, solo podrán hacerlo con el consentimiento previo de todos los interesados.
Derechos de los padres en relación al colegio
Con la anterior ley (la Ley Orgánica de Protección de Datos) la persona frente a la entidad o institución disponía de los llamados derechos “ARCO”, acrónimo de Acceso, Rectificación, Cancelación y Opocisión). Ahora, con la GDPR/RGPD, los padres frente al AMPA o cualquier otra institución tienen más derechos ampliados:
- Acceso
Permite a los titulares de los datos conocer información sobre si sus datos están siendo objeto de tratamiento, con qué finalidad, qué tipo de datos tiene el responsable del tratamiento, su origen (si no proceden de los interesados), y para quiénes están destinados. La información que se proporcione será siempre gratuita. Excepcionalmente, si el centro o la Administración educativa ofreciera un procedimiento para hacer efectivo el derecho de acceso y el afectado exigiese que el mismo se materializase a través de un procedimiento que implique un coste desproporcionado, sería él quien asumiría los gastos.
Está excluido de la documentación accesible el expediente académico, que se rige por otra normativa independiente, salvo si éste comprende datos especialmente protegidos, como información clínica. Si se da esta situación, el colegio habrá de hacer una copia de este apartado para su entrega.
Podrá ejercerse el derecho de acceso una vez cada doce meses, a no ser que se acredite un interés legítimo, solo entonces podrá solicitarse el acceso con anterioridad.
- Rectificación
Permite corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento.
En cuanto a la rectificación de calificaciones de exámenes o trabajos o expediente académico, también está regulada por otra normativa.
- Cancelación
Permite que se supriman los datos que resulten ser inadecuados o excesivos.
La revocación del consentimiento da lugar a la cancelación de los datos cuando su tratamiento esté basado en él.
Sobre los datos del expediente académico, serán cancelados únicamente cuando éste ya no esté en plazo de ser solicitado por los estudiantes, mientras que los de salud pasarán a cancelarse una vez finalizada la escolarización del alumno.
- Oposición
Es el derecho del interesado a que, por motivos relacionados con su situación personal, no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.
- Derecho al olvido
Permite a la persona que lo solicita desaparezca de los sistemas. Este derecho está reconocido para casos graves como el fallecimiento de una persona.
- Derecho a la portabilidad
¿Qué datos tiene de mí el AMPA o el colegio? La GDPR/RGPD define el derecho a la portabilidad, donde la persona que lo solicita puede pedir que todos los datos que tiene la entidad sobre ella misma se le envíen en un formato legible, asequible y fácil de leer (una hoja de cálculo es el ejemplo más claro).
Obligación de contestar a los interesados
Dicha obligación es ineludible, aún incluso cuando no se disponga de los datos sobre los que verse el derecho ejercitado, en cuyo caso habrá que responder en dicho sentido, informándoles del derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
Es necesario el nombramiento de un Delegado de Protección de datos, para un AMPA, y para una Federación de AMPAS.
¿Que requisitos tiene que tener el Delegado?.
Es suficiente la realización del documento de seguridad, a través de la aplicación FACILITA, que pone la agencia a disposición de los usuarios.
Hola, Juan. Se trata de una pregunta para un despacho jurídico. Si eres cliente de TokApp escribe a [email protected] y nuestro Departamento Jurídico se encargará de responder tu consulta. Si todavía no eres cliente y te interesa disfrutar de este y otros servicios, contacta con nosotros.
Por mi parte, como DPO de TokApp, puedo aconsejarte que revises el capítulo GDPR > Capítulo 4 Sección 4 Artículo 37: «Designation of the data protection officer». Como dicen mis compañeros, lo mejor es consultar a un profesional o despacho jurídico sobre como aplicar la normativa en tu organización.
En el colegio se niegan a entregar los exámenes de los niños a los padres porque contienen datos protegidos, aunque sí se les permite verlos en el propio centro durante las tutorías trimestrales, lo que para los padres supone no estar al corriente de los resultados de los hijos, no existe una manera de entregar a los padres los exámenes sin que estos contengan datos protegidos, por ejemplo, otrogándoles un número confidencial entre padre y centro?
Hola, Silvia. Planteas una cuestión muy interesante. Lo más básico sería que el colegio envíase la comunicación a través de una plataforma como TokApp que cumpla la legislación y normativa de protección de datos, asegurándose también que solo los padres lo recibiesen. Te recomiendo que amplies más info a través de nuestro asesoramiento legal. Puedes solicitarlo (si tu AMPA o colegio usa TokApp) aquí: https://tokapp.com/soporte/
Muchas gracias por toda la información. Lo cierto es que esta ley supone que los centros también se aseguren de la destrucción de los documentos que contengan esta clase de datos. Hasta hace poco tiempo esto no les resultaba especialmente importante pero ahora es un asunto realmente serio.
Gracias a ti por tu comentario 🙂 Si usas TokApp ya sabes que cualquier ayuda jurídica que necesites estamos para ayudar 🙂 https://tokapp.com/asesoria-ley-de-proteccion-de-datos/ ¡Un saludo!
En un grupo de whatssapp de padres de la clase del colegio, mi consulta es a la hora de enviar las fotografías
¿Se puede hacer fotos de los alumnos de fiestas o excursiones?, ya que todos los padres no pueden acudir a dichos eventos.
Y la seño ¿puede enviar fotos o videos a la delegada y esta enviarlo a su vez a los padres? o se necesita alguna autorización de los padres dando su consentimiento.
Saludos.
¡Hola, Carolina! Aquí te dejamos un artículo que habla justo sobre eso https://tokapp.com/blog/seguridad/podemos-publicar-imagenes-de-nuestros-alumnos/ Si usas TokApp y aun tienes dudas, puedes contactar con nuestro servicio jurídico a través de esta página https://tokapp.com/asesoria-ley-de-proteccion-de-datos/ ¡Un saludo! 🙂
Si la AMPA quiere hacer una revista escolar, debe pedir consentimiento de imagen a todos los alumnos o solamente a aquello que no pertenezcan al AMPA?
Hola, María. La toma de imágenes de los alumnos constituye un tratamiento de datos personales, y entre las obligaciones del responsable del fichero, en este caso el AMPA, está la de obtener el consentimiento de todos los interesados para el tratamiento o cesión de los datos y la de informar sobre los derechos que les asisten, independiente de que pertenezcan a o no al AMPA. Máxime cuando se trata de una posterior difusión a través de una revista
Desde luego afecta a una gran cantidad de sectores. Cualquier empresa, negocio o asociación con datos privados debe tener muy en cuenta todos estos datos.
Soy miembro de la Junta. Es cierto que no puedo enviar ni una foto de un cartel anunciando una actividad al chat de la clase?
Hola, Patricia. Depende de varios factores. ¿Te refieres a enviarlo a través de TokApp? Podemos asesorarte por completo a través de https://tokapp.com/asesoria-proteccion-de-datos-app/
Hola, los del ampa han mandado un email a todos los padres del colegio poniendo los nombres de los padres que han salido y entrado este año. También los que han rechazado entrar en el ampa, ( en este caso nombre de los niños). Mi pregunta es si es legal que publiquen el nombre. Donde esta la ley de protección de datos en ese caso????? Un saludo
Hola. Esa gestión de datos personales la ha llevado a cabo el propio centro. Por favor, ponte en contacto con ellos si no quieres que muestren tus datos personales.
¡Un saludo!