¡Pide presupuesto en 2 min! ✓
AsociacionesSectores

Protección de Datos en Asociaciones y Ong’s

5 Mins read

Cualquier entidad que trate datos personales de clientes, empleados, proveedores, socios, etc, debe cumplir lo dispuesto en el RGPD y la LOPDGDD. En esta guía nos centramos en cómo cumplir con la protección de datos en asociaciones y ONGs. ¿Qué hay que hacer para adaptar una asociación sin ánimo de lucro a esta normativa?

¿Deben cumplir las asociaciones con la ley de protección de datos?

Aunque no tengan ánimo de lucro, las asociaciones y ONGs tratan datos personales de socios, voluntarios, donantes y todas aquellas personas o entidades que colaboren con ellas. Esto significa que, al igual que cualquier empresa o entidad con fines comerciales, también deben cumplir con la normativa de protección de datos.

Normativa de protección de datos aplicable a asociaciones sin ánimo de lucro

Las normas que regulan la protección de datos en asociaciones sin ánimo de lucro son:

  • A nivel europeo, el Reglamento General de Protección de Datos 2016/679.
  • A nivel nacional,
    • Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
    • LOPDGDD: Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales
    • Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
    • Ley 34/2002, de 11 de julio que regula las transacciones mediante medios electrónicos.

¿Cómo cumplir las normativas RGPD y LOPD en asociaciones?

Para cumplir con la ley de protección de datos en asociaciones es necesario seguir una serie de requisitos, los cuales vemos a continuación.

normativa proteccion datos asociaciones

Deber de informar

En el momento de la recogida de datos de carácter personal, se debe de informar al interesado de forma clara y concisa de:

  • qué datos se van a tratar,
  • durante cuánto tiempo,
  • base jurídica…

Con la LOPD esté requisito ya existía, el RGPD lo que ha hecho es reforzarlo. Tampoco se pueden pedir más datos de los necesarios para llevar a cabo la finalidad. Y en el caso de que se vayan a ceder los datos personales a proveedores, bancos, Agencia Tributaria o cualquier otro tercero, debe de informarse al interesado.

Además, en el caso de que se vayan a producir transferencias internacionales de los datos se debe de informar claramente al interesado. Y establecer mejores garantías para trabajar con esos datos fuera de la Unión Europea.

Solicitar el consentimiento expreso

Una de ls novedades más importante para la protección de datos en una asociación es la relativa al consentimiento. La LOPD entendía que el consentimiento era necesario, pero se consideraban válidos tres tipos de consentimiento, de forma tácita, expresa o presunta.

Con el RGPD esto se modifica y solamente se admite el consentimiento expreso. Lo que conlleva a que todos aquellos consentimientos que se hubieran recabado en base a la ley antigua (por consentimiento tácito o presunto) no serán válidos y se tendrán que recoger a través de un consentimiento expreso.

Firmar contratos con Encargados de tratamiento

En caso de tener proveedores con acceso a los datos de usuarios, colaboradores, donantes, benefactores, etc, deben firmar un acuerdo de gestión de tratamiento de datos. Estos terceros ajenos a la asociación u ONG, van a ser denominados como encargados de tratamiento. Y deben de cumplir con las directrices fijadas en el nuevo reglamento. Por ejemplo, si se firma un convenio de colaboración entre una empresa y la asociación para que la primera pueda acceder a los datos personales de los socios.

Firmar contratos con empleados

Si la asociación cuenta con personal a su servicio, bien como empleados, colaboradores, voluntarios, etc., es necesario recopilar un documento firmado, donde se recoja la confidencialidad en el tratamiento de los datos personales de los usuarios y beneficiarios.

En aquellos supuestos donde exista acceso a los tratamientos de datos protegidos por contraseña, es recomendable que estas se actualicen.

Si en la asociación u ONG se realiza un tratamiento de datos sensibles (salud, condenas penales, biométricos, de menores…) se debe especificar:

  • protocolo a seguir en los casos en los que se pretenda acceder a estos datos,
  • qué permisos serán necesarios y
  • cómo se va a producir la destrucción de los datos personales.

tarifas proteccion datos

Textos de la página web

En caso de que la asociación tenga una página web, ésta debe de actualizar sus textos legales al RGPD. Estos son el aviso legal, la política de privacidad y la política de cookies.

La política de privacidad funciona como una especie de modelo de documento de protección de datos en la asociación. El aviso legal sienta as bases legales para el tratamiento, mientras que la política de cookies determina cómo y para qué se usan los datos recogidos del navegador del usuario.

Además, para cumplir la protección de datos en asociaciones hay que establecer las correspondientes casillas para que los interesados acepten el tratamiento de sus datos en el momento en que introducen sus datos en los formularios de contacto y de suscripción a la newsletter. Estas casillas nunca deben de estar premarcadas.

Análisis de riesgos

Se eliminan los niveles de seguridad (nivel básico, medio y alto).

Tras la realización del registro de actividades de tratamiento, se debe realizar un análisis de riesgos. En él se valora la categoría de datos que se manejan y la forma de protección adecuada para garantizar la seguridad de los mismos.

Además, en aquellas empresas que manejen datos de carácter personal considerados por el Reglamento europeo como datos especialmente protegidos, no solo tendrán que realizar el análisis de riesgos. También deberán de contar con una evaluación de impacto.

Este documento permite evaluar de manera anticipada los potenciales riesgos a los que están expuestos los datos personales que se manejan. Y determinar las medidas de seguridad más adecuadas para ellos.

Notificación de brechas de seguridad

Cualquier brecha de seguridad debe ser comunicada a la autoridad competente nacional, es decir, a la AEPD, en un plazo máximo de 72 horas desde que se tenga conocimiento. En los casos en que se vulneren de forma grave los derechos de los interesados, también se deberá de informar a los propios interesados.

Delegado de Protección de Datos

La LOPDGDD establece los tipos de organizaciones que deben contar de forma obligatoria con un Delegado de Protección de Datos, y las asociaciones sin ánimo de lucro y ONGs no están entre ellas.

Sin embargo, la normativa también señala que deberían tener un DPO todas aquellas organizaciones que traten datos personales a gran escala, o que realicen un tratamiento de datos personales sensibles. Por tanto, si la asociación cumple con alguno de estos requisitos, SÍ debería contar con un Delegado de Protección de Datos.

Sanciones por incumplir la normativa de protección de datos en una asociación

Las multas por no cumplir la protección de datos en asociaciones se endurecen, llegando incluso a los 20 millones de euros o al 4% de la facturación global anual en caso de ser una empresa.

Las sanciones dependen de la gravedad de la infracción, el perjuicio causado o su prolongación a lo largo del tiempo. Así, podemos distinguir entre:

  • Sanciones para infracciones Leves: multa de hasta 40.000 €
  • Sanciones Graves: multa de 40.001 € a 300.000 €
  • Sanciones Muy Graves: multa entre 300.001 € y 20.000.000 €

Esperamos haberte ayudado a comprender los requisitos que establece la normativa de protección de datos en asociaciones.

¿Tienes una asociación? Podemos ayudarte

En Grupo Atico34 llevamos más de 12 años ayudando a cumplir la LOPD en asociaciones.

Nuestro departamento jurídico está formado por abogados expertos que te brindarán un servicio personalizado y un asesoramiento continuo.

Hay numerosos ejemplos de sanciones por no cumplir la protección de datos, también en asociaciones sin ánimo de lucro y ONGs. No querrás pasar a engrosar esta lista, ¿verdad?

Ofrecemos servicios de protección de datos para asociaciones a la mejor relación calidad precio. Ponte en nuestras manos y asegúrate de que cumples con la normativa. Si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




About author
Graduada en Derecho por la Universidad de León y Máster en Abogacía por la Universidad de Oviedo. Especializada en realizar adaptaciones y auditorías conforme a la normativa de protección de datos para todo tipo de empresas y sectores.
Articles
Related posts
ProfesionalesSectores

Protección de datos y administración de fincas 2021

10 Mins read
Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y…
AsociacionesSectores

Protección de datos en hermandades: Aplicación y cumplimiento

9 Mins read
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales…
SanidadSectores

Protección de datos en Farmacias. Cumple la normativa en 2021

10 Mins read
La Ley de Protección de Datos lleva ya varios años en vigor, pero todavía siguen surgiendo dudas respecto a su aplicación y…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.