- Detalles
- Escrito por Francisco
Sin duda esto traerá una avalancha de empresas especializadas en el tratamiento de datos que os visitarán. Algunas incluso, asegurarán estar homologadas y se representantes de la Agencia de Protección de Datos.
Esto ya pasó la anterior vez, y fue motivo de que esta Federación escribiese a la Agencia de Protección de datos a este respecto. (Carta a la AEPD)
En ella nos hacíamos las siguientes preguntas:
- ¿Están obligadas las AMPAS a realizar las inscripción de sus ficheros de asociados?
- ¿Están obligadas las AMPAS ha declarar los programas informáticos utilizados?
- ¿Existen empresas homologadas por la AEPD para la realización de estas declaraciones o como inspectores del cumplimiento?
- ¿El uso de todas las AMPAS de un programa informático sobre un sistema de Base de Datos común "FAPACUCO", obliga a declarar estas bases de datos por indiviso cada AMPA, o la declaración por parte de la FAPA del sistema informático, incluía la legalidad de todas las AMPAS asociadas que la usan?
La contestación de la AEPD fue clara y relevante. (Contestación de la AEPD). En ella aclara determinados puntos:
- No existen empresas homologadas para la realización de estas actuaciones o declaraciones. El uso de su nombre o de actuar en su nombre (el de la AEAP) es ilegal y fraudulento, siendo obligación comunicarlo de inmediato a la AEAP.
- De usar todos un mismo sistema informático, alojado en un mismo sitio y este a su vez declarado, con cumplimiento de todas las medidas de seguridad establecidas para su clasificación (BAJA), hace que cumplan todas las asociaciones que hagan uso de él.
- La recogida de los datos del interesado, si deben cumplir con los preceptos de Ley, como autorización expresa, conocimiento de finalidad, derecho a acceso y responsable del fichero, pero las obligaciones del tratamiento quedan unificadas en el Responsable del Fichero, la FAPA.
¿Entonces estando Asociado a CONFAPA o FAPA, y utilizando FAPACUCO, que tengo que hacer para cumplir con los preceptos de la LEY?
En este caso debemos distinguir dos maneras de introducir los datos en el sistema:
a) Con una ficha de papel solicitud que rellena y que luego nosotros tecleamos en el programa con el fin de prestar servicios, (comedor, viajes de estudios, otras).
En este caso se debe crear una solicitud de asociado que cumpla con las nuevas normas de la LOPD, que en cuanto al interesado poco varía, su consentimiento de ser tratados sus datos, los del alumno (aquí establece la Ley que los menores que están protegidos especialmente, no se requiere una autorización expresa de la Patria Potestad cuando están destinados a servicios de apoyo y beneficio del alumno), donde se almacenan los datos, como pueden acceder, como pueden corregir sus datos, el derecho al "olvido" y poco más, ya que no existen otras finalidades, no son comerciales, y no existe cesión de datos a ninguna otra entidad de tratamiento de datos.
No es necesario comunicarle al interesado los datos que obran de él, salvo que lo solicite, ya que son los mismo que el facilita y autoriza expresamente en su solicitud. Distinto sería que el sistema dispusiese de otros datos del interesado obtenidos por interoperabilidad o intercambio de información con otras bases.
b) Los datos son introducidos por el propios interesado desde la WEB de asociarse o de pago telemático.
En este caso es el propio interesado el que introduce los datos, por lo que implícitamente está autorizando su tratamiento de los datos. Esto no excluye la obligación de poner un ICONO grande y claro, para que lea la declaración de protección de datos, donde figuran sus derechos, donde están sus datos, la finalidad, como acceder a ellos y el derecho a "olvido". Marcará un check que nos garantizará haber leído esta obligación y que a su vez actúa como un consentimiento.
Conforme se vayan aclarando dudas a este respecto iremos actualizando el blog en la sección de LORTAD, aunque ahora es LOPD.