Les APIMA i el compliment obligatori de l’RGPD

Traducció del web:
https://protecciondatos-lopd.com/empresas/proteccion-datos-ampa/#Proteccion_de_datos_en_las_AMPA

Des que el passat 25 de Major va passar a ser d’obligat compliment el RGPD, totes les entitats integrades en la nostra societat, incloses les APIMA, que tractin dades de caràcter personal han d’adaptar-se.

Les APIMA són les Associacions de Mares i Pares d’Alumnes d’un mateix centre d’ensenyament. Es creen per participar de manera activa en l’educació dels seus fills.

En aquest article intentarem simplificar aquelles qüestions més rellevants de la legislació sobre associacions de pares i mares d’alumnes.

Intentarem respondre a les preguntes que més preocupen als membres de les comunitats educatives on s’integren i on presten els seus diferents funcions i obligacions de l’APIMA.

En aquest article parlem de:

  • Normativa que afecta el APIMA
  • Protecció de dades en les APIMA
  • Funcions de l’APIMA
  • Obligacions el RGPD
    1. Documentals
    2. Formals o d’operativa
  • Preguntes freqüents
    1. He de cedir necessàriament les meves dades o els dels meus fills a l’APIMA del seu centre escolar?
    2. ¿La APIMA donar-me garanties en relació a la protecció de les dades que em demana?
    3. Puc pertànyer a l’APIMA havent-me negat a facilitar dades personals per no estar d’acord amb algun aspecte de la seva política o procedir a això?
    4. Pot utilitzar el APIMA imatges dels meus fills en les seves publicacions?
    5. Cal que el APIMA designi DPO? Podria ser el mateix que el de l’escola?
    6. Quin tipus de dades poden sol·licitar-me per ser membre?
    7. Quins són els meus drets com a soci de l’APIMA en relació a l’RGPD?
    8. L’APIMA pot conservar dades quan ja no es pertany a la mateixa?

 

1) Normativa que afecta l’APIMA

Les normes que regulen el tema de protecció de dades en associacions de pares d’alumnes són:

  • Reglament (UE) 2016/679 de Parlament europeu i de el Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa a el tractament de dades personals ia la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46 / CE (Reglament general de protecció de dades).
  • LOPD 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, encara vigent fins a l’aprovació de la nova llei que adapti el RGPD.
  • Reial decret llei 5/2018 de mesures urgents per a l’adaptació de el Dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades.
  • Reial Decret 1533/1986, de 11 de juliol, pel qual es regulen les associacions de pares d’alumnes.
  • Llei Orgànica 8/1985 de 3 de juliol, reguladora de el dret a l’educació, i
  • Llei Orgànica 2/2006, de 3 de maig, d’educació, modificada per Llei Orgànica 8/2013, de 9 de desembre, per a la millora de la qualitat educativa.

 

2) Protecció de dades en les APIMA

El primer que hem de tenir clar, és que aquest tipus d’agrupacions per la seva pròpia naturalesa, recullen i manegen dades de caràcter personal.

Aquestes dades són competència de col·lectius considerats vulnerables com són els menors d’edat, i també a pares, mares o tutors legals.

Per això, s’ha de tenir especial cura tant en la forma en què recullen i tracten les dades com en les garanties que presten.

És per això que resulta imprescindible tenir en compte tres aspectes fonamentals:

  1. La forma en què es recullen les dades. S’ha de garantir la seva confidencialitat i veracitat. A més de comptar amb el degut consentiment.
  2. La destinació que es dona a les dades recollides. Estrictament ha de circumscriure a les funcions i tasques pròpies de l’APIMA. Aquestes funcions han d’atendre el benefici dels menors per als quals es constitueixen.
  3. El principi d’informació. Els titulars han d’estar informats pel responsable de tots els aspectes relatius al tractament de les dades.

A més del principi d’informació, regeix el principi de transparència. Aquest principi entra en joc en el cas de:

  • possibles incidències que puguin afectar l’emmagatzematge o tractament de les dades
  • filtracions o accessos no autoritzats per part de tercers
  • circumstàncies que hagin pogut comprometre a qualsevol nivell les dades que se’ls hagin confiat

En tot cas cal tenir en compte la pràcticament nul·la professionalització dels responsables elegits en les APIMA, el que afegeix un important risc potencial en el desenvolupament de les seves funcions pel que fa a l’adequat compliment de la norma en tots els seus aspectes.

3) Funcions de l’APIMA

Les Associacions de Mares i Pares d’Alumnes són agrupacions de mares, pares o tutors legals d’un mateix centre que vetllen pels interessos dels seus fills. Tenen força operativa, a al punt que poden influir en la normativa del consell escolar.

Les funcions de l’APIMA a les escoles són les següents:

  • Donar ajuda a aquells pares o tutors legals que necessitin ajuda en relació a l’educació dels seus fills.
  • Fomentar el desenvolupament d’activitats entre els nens, els seus pares i mares, i el centre.
  • Aconseguir que la resta de pares cooperin en el desenvolupament d’activitats en el centre educatiu.
  • Transmetre a l’escola o escola les necessitats, queixes o reclamacions dels pares.
  • Donar ajuda a aquelles famílies en situacions de necessitat, a causa de problemes econòmics o fills amb necessitats especials.
  • Representar els pares en els consells escolars o en reunions puntuals amb el centre.
  • Informar pares o tutors sobre la normativa interna i gestió de centre, així com dels criteris educatius o futurs projectes.

Com a entitats que es regeixen pels seus propis estatuts, les APIMAS compten amb un òrgan de representació, la Junta Directiva.

La composició de la Junta Directiva pot variar en funció de cada associació, però sempre hi ha d’haver un president i un secretari. Són opcionals el vicepresident, vicesecretari, tresorer i els vocals.

Com a responsable de la direcció de les associació, les funcions de president de l’APIMA són:

  1. Representar a l’associació en reunions i assemblees.
  2. Convocar les reunions de la Junta Directiva.
  3. Presidir les assemblees de la Junta Directiva i recollir en les actes les decisions preses.
  4. Revisar, gestionar i ordenar tota la documentació relativa a l’associació.

 

4) Obligacions el RGPD

El compliment de la nova normativa comporta una sèrie d’obligacions tant documentals com d’operativa i funcionament:

a) Documentals

Els documents de protecció de dades per APIMAS necessaris per complir adequadament la norma serien els següents:

  1. Document de Seguretat, que resumeix els aspectes essencials de la Política de l’entitat en matèria de protecció de dades.
  2. Registre d’Activitats de tractament, que substitueix l’anterior obligació d’inscripció de fitxers en l’Agència Espanyola de Protecció de Dades.
  3. Anàlisi de Riscos, que determina el nivell de risc de cada un dels Tractaments que el APIMA pugui utilitzar en el desenvolupament de les seves funcions.
  4. En cas de ser necessari, i d’acord al que estableix el RGPD, l’Avaluació d’Impacte.

b) Formals o d’operativa

Cal adequar el funcionament a la nova norma, el que suposa prendre, entre altres, les següents mesures:

  • Cal actualitzar els texts i referències legals utilitzats, comprovant que facin sempre referència a normativa vigent.
  • Els usuaris del servei han de subscriure els consentiments adequats i que reuneixin tots els requisits legals.
  • Si hi ha empleats directes de l’APIMA, aquests han de signar la documentació en relació a les garanties preceptives i necessàries.
  • Si es disposa de pàgina web, els texts legals que contingui han d’actualitzar d’acord amb la norma.
  • S’ha de designar als encarregats de Tractament de Dades que tinguin accés potencial o efectiu a dades que ha recollit el propi APIMA.
  • Caldrà tenir en compte les elementals mesures de seguretat tant informàtica com per a qualsevol altre tipus de suport.

La norma més conté altres importants novetats:

  • Atorga funcions noves a figures ja existents, com els encarregats.
  • Crea figures noves, com el Delegat de Protecció de Dades (DPO).
  • Elimina l’obligació d’inscripció dels fitxers a l’AEPD.
  • Determina noves responsabilitats en cas d’incidències durant la gestió de les dades.

5) Preguntes freqüents

  1. a) He de cedir necessàriament les meves dades o els dels meus fills a l’APIMA del seu centre escolar?

No.

La pertinença a aquest tipus d’associacions és de caràcter voluntari.

En cap cas es pot dotar-la de caràcter obligatori, tampoc es pot obligar a ningú a cedir les seves dades a les mateixes, amb independència de l’ús que vagi a donar-se d’aquesta informació.

L’associat de l’APIMA ha de ser informat dels seus drets i obligacions en tot cas.

Tots els membres de l’APIMA han de tenir relació directa amb els menors escolaritzats al centre.

b) ¿La APIMA donar-me garanties en relació a la protecció de les dades personals que em demana?

Sí, com a la resta d’operadors que manegen dades personals, i en concret dades de col·lectius considerats vulnerables.

La responsabilitat i conseqüències en cas d’irregularitats són iguals a les de qualsevol altre operador.

Qualsevol dels cedents o titulars de les dades pot exigir:

  • garanties de compliment de la normativa vigent, inclosa la de protecció de dades

que es prenguin les mesures previstes

  • acudir davant les autoritats competents, en el cas que entengui que els seus drets han estat vulnerats o desatesos d’alguna manera en la forma d’operar d’aquest tipus d’agrupacions.

c) Puc pertànyer a l’APIMA havent-me negat a facilitar dades personals per no estar d’acord amb algun aspecte de la seva política o procedir a això?

No.

Si no autoritza de forma expressa, informada i fefaent el consentiment, no es podrà prestar el servei que s’ofereix pel APIMA.

La pertinença implicarà necessàriament el tractament d’aquest tipus de dades.

d) Pot utilitzar el APIMA imatges dels meus fills en les seves publicacions?

No.

Ni en les activitats pròpies, ni en aquelles que es realitzen en les instal·lacions de el centre educatiu es podran utilitzar imatges o altres dades.

Perquè el APIMA pugui fer servir aquestes imatges, ha de demanar el consentiment previ dels interessats i / o representants legals.

El consentiment serà necessari quan, a les imatges, el menor pugui ser identificat o se li mostri sense pixelar, de front o sense edició de les fotografies.

La simple pertinença a una comunitat educativa, no faculta a cap dels membres que la componen per tractar cap dada personal sense aquest tipus d’autoritzacions.

Les autoritzacions són imprescindibles en el cas de col·lectius vulnerables com el cas de menors.

La majoria d’edat a l’efecte de l’RGPD s’ha fixat en els 14 anys.

e) Cal que el APIMA designi DPO? Podria ser el mateix que el de l’escola?

D’acord amb el que regula totes les instàncies competents fins a la data, aquesta figura no és de caràcter preceptiu.

L’obligació de comptar amb un DPO dependrà de l’volum de dades o el caràcter específic dels mateixos.

Aquesta persona, per qüestions ètiques i de tipus deontològic, no podria en cap cas coincidir amb la mateixa que pogués tenir el centre educatiu propi de l’APIMA.

Aquesta figura pot ser designada entre els mateixos membres de l’APIMA, si disposen de la formació necessària.

f) Quin tipus de dades poden sol·licitar-me per ser membre?

La naturalesa de les dades personals sol·licitades per les les APIMA pot ser molt àmplia.

Pot abastar des dades bàsiques d’inscripció fins a dades de salut o creences.

Les dades sol·licitades han de ser tractats sempre amb el màxim rigor i garanties.

Atendrà sempre a el principi de mínima conservació de les dades, de manera que es recolliran i es tractaran les dades estrictament necessàries.

Aquestes dades han de ser conservades el mínim temps possible, i en tot cas amb les degudes mesures de seguretat per a cada cas concret.

g) Quins són els meus drets com a soci de l’APIMA en relació a l’RGPD?

Els drets continguts en la norma serien els següents:

  • Accés
  • Rectificació
  • Cancel·lació
  • Limitació
  • Portabilitat
  • Oposició

Cal informar dels mateixos i establir un canal per als seus exercici.

Sempre que s’exerceixi qualsevol d’ells l’usuari ha d’estar degudament identificat.

L’exercici ha de ser gratuït en totes les seves fases i sempre ha d’estar designada una persona responsable.

h) L’APIMA pot conservar dades quan ja no es pertany a la mateixa?

Els terminis màxims de conservació de les dades has d’estar fixats per endavant.

No haurien de superar els períodes legals necessaris per a la prestació de servei.

Tot ells sense perjudici de l’exercici de drets per part de la titular de el dret.