A continuación, os ofrecemos las respuestas a aquellas consultas más frecuentes referidas a la adecuación de las Asociaciones de Madres y Padres de Alumnos a la normativa en Protección de Datos de caràcter personal.

Normativa y algunos conceptos

Para garantizar y proteger el tratamiento de los datos personales, las libertades públicas y fundamentales de las personas, su honor e intimidad.

Actualmente, las principales normas reguladoras de esta materia son:

  • la Ley Orgánica 15/1999, de 13 de diciembre, (BOE núm. 298 de 14/12/1999), de Protección de Datos de Carácter Personal (LOPD), y

  • el Real Decreto 1720/2007, de 21 de diciembre, (BOE núm. 17 de 19/01/2008), por el que se aprueba su Reglamento de desarrollo (RLOPD).

Esta es la normativa aplicable en toda adecuación a la legislación de protección de datos.

Un dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, tanto la relativa a su identidad (como nombre y apellidos, domicilio, cuenta corriente, una fotografía o video, la voz, etc…) como la relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)

Los datos de carácter personal sensibles o especialmente protegidos, son datos concernientes a personas físicas relativos a ideología, afiliación sindical, religión, salud, vida sexual, etc…

Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la consideración de datos de carácter personal, por lo tanto, no le será de aplicación el Reglamento de Protección de Datos.

Únicamente se aplica a los datos de personas físicas.

La Asociación que tenga datos de carácter personal deberá adaptarse a la Ley Orgánica de Protección de Datos y se denomina Responsable del fichero.

No. La LOPD prevé que el tratamiento de datos sensibles o especialmente protegidos queda sometido a garantías adicionales según las medidas de seguridad exigibles.

La normativa en PD prevé tres niveles de seguridad distintos (básico, medio y alto), aplicándose uno u otro en función de si el dato es más o menos sensible.

El nivel básico siempre será aplicable a todas las asociaciones que traten datos de caràcter personal.

La determinación del nivel de seguridad aplicable dependerá de los datos que se recojan en cada caso. A título orientativo, los ficheros de las AMPA podrían tener asignado el nivel de seguridad básico.

Básico, de acuerdo con el resto de datos que contenga el fichero.

De acuerdo con la normativa en protección de datos no es exigible aplicar medidas de nivel alto a los datos que, a pesar de tener asignado en principio este nivel, de forma accesoria se incluyan sin tener relación con el fin del fichero o tratamiento.

Es el AMPA puesto que tiene la capacidad para decidir sobre la finalidad, el contenido y el uso del fichero o tratamiento en protección de datos.

Cualquier conjunto organizado de datos de carácter personal, que permita el acceso a los datos de acuerdo a unos criterios determinados, sea cual sea la forma o modalidad de su creación, almacenamiento, organización y acceso.

Cualquier operación o procedimiento técnico que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

El tratamiento de datos en un fichero puede ser de tres tipos:

  • automatizado, conjunto de datos de carácter personal organizado, utilizando herramientas informáticas o electrónicas.

  • no automatizado, conjunto de datos de carácter personal organizado, utilizando el papel como apoyo físico.

  • parcialmente automatizado o mixto, mezcla de ambos tratamientos.

PRINCIPIOS DE LA PROTECCIÓN DE DATOS

Principio de calidad de los datos

Los datos sólo se podrán recoger y tratar cuando sean adecuados, pertinentes y no excesivos, no pudiendo ser usados para finalidades incompatibles para las que fueron recogidos, exactos y actuales, y debiendo ser cancelados cuando hayan dejado de ser necesarios.

Consentimiento

Para el tratamiento de los datos personales se necesita el consentimiento libre, específico, informado e inequivoco del titular de los mismos.

El consentimiento para tratarlos no implica el consentimiento para comunicarlos.

El AMPA ha de tener el consentimiento de los titulares para el tratamiento de sus datos personales.

En todos los formularios o documentos de recogida de datos, ya sean en soporte papel o telemático, se han de incluir en las cláusulas informativas.

Como regla general hace falta el consentimiento del titular para que puedan ser tratados sus datos de carácter personal, salvo en las excepciones previstas por la normativa.

OBLIGACIONES PREVIAS AL TRATAMIENTO DE LOS DATOS

Inscripción de ficheros

Es un requisito previo que se debe cumplir antes de empezar a recoger o tratar datos de carácter personal.

El AMPA debe notificar previamente la existencia del fichero al Registro General de la  Autoridad competente en Protección de Datos, informando de las características generales del fichero.

Igualmente, deben notificarse las modificaciones que se produzcan en el fichero durante su existencia y suprimirlo cuando deje de existir.

Deber de información

Los titulares a los que se soliciten datos personales deberán ser informados previamente de la existencia del fichero, finalidad, destinatarios de la información y de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable del fichero, el AMPA.

En todos los formularios o documentos de recogida de datos, ya sean en soporte papel o telemático, se han de incluir cláusulas informativas con toda la información que exige la normativa en protección de datos.

También se han de incluír cláusulas informativas en los servicios de correo electrónico y redacción del Aviso Legal y Política de protección de datos en la página web o blog y redes sociales.

Además en las cláusulas informativas se puede incluir el consentimiento y comunicación de los datos e informar sobre los Derechos de Imagen.

OBLIGACIONES DURANTE EL TRATAMIENTO DE LOS DATOS

Deber de secreto y confidencialidad

El responsable del fichero así como todas las personas que intervengan en cualquier fase del tratamiento de los datos personales (Presidente/a, tesorero/a, secretario/a, miembros de las comisiones del AMPA, trabajadores, colaboradores, etc) están obligados al secreto profesional respecto de los mismos. Esta obligación subsiste aún después de finalizar la tarea en el AMPA.

En este caso, se pueden firmar Acuerdos de Confidencialidad en donde se establezcan las instrucciones del AMPA respecto a la protección de los datos personales.

Sí. Los miembros de la Junta son responsables delegados del Responsable del fichero, es decir, el AMPA.

Comunicación de los datos

Los datos sólo podrán ser comunicados a terceras personas con el consentimiento previo del titular de los datos para el cumplimiento de fines directamente relacionados con las funciones del responsable del fichero, es decir, el AMPA.

En todos los formularios o documentos de recogida de datos, ya sean en soporte papel o telemático, se han de incluir en las cláusulas informativas.

Como norma general los datos personales sólo pueden ser cedidos a terceras personas o entidades con el consentimiento del titular, salvo en las excepciones previstas por la normativa.

Estas cesiones de datos también requeriran en todo caso el consentimiento del titular, por lo que no podrían llevarse a cabo sin su autorización, aunque redunden en su beneficio.

En este caso, esta tercera persona sería el Encargado del tratamiento y en este supuesto no se considerará comunicación de datos, por tanto no es necesario solicitar el consentimiento de los titulares para la comunicación de sus datos.

Ahora bien la normativa en protección de datos exige que en estos casos se firme con el tercero un contrato en donde deberán constar por escrito como se tratarán los datos de los titulares conforme a las instrucciones del AMPA y las medidas de seguridad que el tercero esta obligado a implementar.

Sí, Toda información que contenga datos personales y que se realice a través de la página web o blog del AMPA y por tanto, dirigida a una pluralidad de usuarios, tiene la consideración de cesión o comunicación de datos a los efectos de la normativa en protección de datos.

Incluir el nombre, apellido y cargo de los miembros de la Junta y colaboradores en la página web o blog del AMPA, todo y que es comunicación, no necesita el consentimiento ya que son considerados delegados responsables del Responsable del fichero, es decir, el AMPA y han de haber firmado un Acuerdo de Confidencialidad en virtud del deber de secreto.

Siempre se ha de tener en cuenta la finalidad. La finalidad de las actas de las asambleas no es mostrar los datos personales de sus asistentes sinó los acuerdos adoptados en la misma a partir de la votación de los asistentes en número.

Cuando las actas incluyen los datos personales de los asistentes y se hacen publicas, su difusión constituye un tratamiento de datos sometido a la normativa en protección de datos y su publicación únicamente es posible si se cuenta con el consentimiento o los datos no se pueden, en ningún caso, vincular con el titular de los datos (ejemplo: el número de socio)

Caso distinto es incluir el nombre, apellido y cargo de los miembros de la Junta y colaboradores ya que son considerados delegados responsables del Responsable del fichero, es decir, el AMPA y han de haber firmado un Acuerdo de Confidencialidad en virtud del deber de secreto.

Otorgar y atender los derechos ARCO (acceso, rectificación, cancelación y oposición)

Las personas titulares de los datos y formando parte de su derecho a la información, pueden ejercer los derechos ARCO para obtener información de sus datos personales sometidos a tratamiento, modificar los datos inexactos e incompletos, solicitar la cancelación de los mismos e incluso impedir el tratamiento de los mismos.

Sí, el AMPA siempre ha de responder de forma expresa y dentro del plazo establecido por la normativa en protección de datos, tanto si ha tratado o no información del titular de los datos que ejerce el derecho.

Medidas de seguridad

El AMPA ha de elaborar un Documento de Seguridad en el cual quedarán recogidas las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal evitando su alteración, pérdida y el tratamiento o acceso no autorizado.

RÉGIMEN SANCIONADOR

El incumplimiento de la normativa de protección de datos puede dar lugar a una serie de responsabilidades a las cuales el responsable del fichero y el encargado del tratamiento están sujetos.

La Autoridad competente es el organismo público que se encarga de velar por el cumplimiento de la normativa en protección de datos. La LOPD le encomienda funciones inspectoras y sancionadores, entre otras, puediendo imponer sanciones por incumplimiento cuyas cuantías oscilan entre los 900 € y los 600.000 €.

Cumplir con todas las obligaciones establecidas en la normativa en protección de datos.

Por la complejidad técnica de la normativa sobre protección de datos personales y por la peculiaridad de las Asociaciones de Madres y Padres de Alumnos, se aconseja solicitar los servicios de un profesional para la adecuada implantación de la normativa en protección de datos, adoptando las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal en la gestión interna del día a día del AMPA.