¡Pide presupuesto en 2 min! ✓
AsociacionesSectores

Protección de Datos en Asociaciones y Ong’s

7 Mins read

Las asociaciones sin ánimo de lucro y las ONGs están obligadas a cumplir con la legislación de Protección de Datos al igual que cualquier otra entidad e institución que maneje datos de carácter personal.

Debemos de tener en cuenta que es frecuente en las asociaciones y ONGs tratar con datos que el RGPD clasifica como datos especialmente protegidos. Se consideran datos especialmente protegidos los datos relativos a los menores de edad, datos biométricos, datos de condenas o infracciones penales, datos de salud…

También se van a tratar con los datos personales, tales como nombre, apellidos, teléfono, correo electrónico, de usuarios de la página web, empleados  (datos identificativos, datos académicos), cámaras de videovigilancia.

Legislación aplicable

Las normas que regulan la protección de datos para asociaciones son:

  • A nivel europeo, el Reglamento General de Protección de Datos 2016/679.
  • A nivel nacional,
    • Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
    • LOPDGDD: Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales
    • Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
    • Ley 34/2002, de 11 de julio que regula las transacciones mediante medios electrónicos.

Diferencias entre el RGPD y la antigua LOPD

El Reglamento europeo de Protección de Datos introduce una serie de novedades respecto a la LOPD del 99. Con estas nuevas directrices se pretende dotar de mayor seguridad y de más garantía los datos personales que las entidades recaban y manejan.

Las novedades que se introducen son las siguientes:

  • Realizar un Registro de actividades de tratamiento
  • Elaborar un análisis de riesgos
  • Nombrar un DPD
  • Notificar las brechas de seguridad
  • Nuevos derechos de los afectados
  • Disponer del consentimiento de clientes
  • Cumplir el deber de información

1. Registro de actividades de tratamiento

Se elimina la obligación por parte del responsable del tratamiento de inscribir los ficheros en la AEPD. En su lugar, se debe de realizar un registro de las actividades de tratamiento de los datos que se recojan a nivel interno, donde se deben de reflejar:

  • Colectivos de los que se tratan datos
  • Finalidad del tratamiento
  • Categorías de los datos
  • Cómo se almacenan
  • Por cuánto tiempo
  • Si se ceden a terceros
  • Si se realizan transferencias internacionales
  • Quien es la persona responsable

2. Análisis de riesgos

Se eliminan los niveles de seguridad (nivel básico, medio y alto).

Tras la realización del registro de actividades de tratamiento, se debe realizar un análisis de riesgos. En él se valora la categoría de datos que se manejan y la forma de protección adecuada para garantizar la seguridad de los mismos.

Además, en aquellas empresas que manejen datos de carácter personal considerados por el Reglamento europeo como datos especialmente protegidos, no solo tendrán que realizar el análisis de riesgo.

También deberán de contar con una evaluación de impacto. Este documento permite evaluar de manera anticipada los potenciales riesgos a los que están expuestos los datos personales que se manejan. Y determinar las medidas de seguridad más adecuadas para ellos.

3. Delegado de Protección de Datos

En determinados casos va a ser obligatorio contar con una persona especializada en protección de datos, un DPO, ya sea de la propia asociación o un profesional externo que se encargue de comprobar que se está cumpliendo con la normativa.

A falta de normativa nacional, sabemos que el DPD va a ser obligatorio en aquellas entidades donde se realicen tratamientos de datos de volumen considerable y que además impliquen un seguimiento para elaborar perfiles o poder adoptar decisiones sobre los afectados. También será obligatorio cuando se traten datos especialmente protegidos.

4. Brechas de seguridad

Cuando se produzca una brecha de seguridad, esta debe de ser comunicada a la autoridad competente nacional, es decir, a la AEPD, en un plazo máximo de 72 horas desde que se tenga conocimiento. En los casos en que se vulneren de forma grave los derechos de los interesados, también se deberá de informar a los propios interesados.

5. Nuevos derechos

Se crean nuevos derechos que se unen a los derechos ARCO. Los derechos que se añaden son el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos.

6. Consentimiento

La novedad más importante y que más nos afecta es la relativa al consentimiento. La LOPD entendía que el consentimiento era necesario, pero se consideraban válidos tres tipos de consentimiento, de forma tácita, expresa o presunta.

Con el RGPD esto se modifica y solamente se admite el consentimiento expreso. Lo que conlleva a que todos aquellos consentimientos que se hubieran recabado en base a la ley antigua (por consentimiento tácito o presunto) no serán válidos y se tendrán que recoger a través de un consentimiento expreso.

7. Información

En el momento de la recogida de datos de carácter personal, se debe de informar al interesado de forma clara y concisa de:

  • qué datos se van a tratar,
  • durante cuánto tiempo,
  • base jurídica…

Con la LOPD esté requisito ya existía, el RGPD lo que ha hecho es reforzarlo. Tampoco se pueden pedir más datos de los necesarios para llevar a cabo la finalidad. Y en el caso de que se vayan a ceder los datos personales a proveedores, bancos, Agencia Tributaria o cualquier otro tercero, debe de informarse al interesado.

Además, en el caso de que se vayan a producir transferencias internacionales de los datos que hemos recabado se debe de informar claramente al interesado. Y establecer mejores garantías para trabajar con esos datos fuera de la Unión Europea.

8. Sanciones

La última novedad viene en relación con las sanciones. Estas se endurecen llegando incluso a los 20 millones de euros o al 4% de la facturación global anual en caso de ser una empresa.

Obligaciones del RGPD

En este punto vamos a explicar qué documentos debes de recabar firmados y por quién para estar al tanto de la nueva normativa.

Informar al interesado

Para cumplir con el derecho de información de los interesados se debe de incluir un mensaje en los formularios, web y correos electrónicos donde se debe de explicar:

  • qué datos se van a tratar,
  • quién es el responsable del tratamiento,
  • cómo se pueden ejercer los derechos…

Solicitar el consentimiento expreso

Si publicáis imágenes en vuestra web o en redes sociales donde se puedan identificar a las personas que aparecen en ellas, debéis de contar con un consentimiento previo del interesado.

Y en caso de tener una página web la propia entidad, esta debe de actualizar el aviso legal, la política de privacidad, la política de cookies. Y establecer las casillas correspondientes para que los interesados acepten el tratamiento de sus datos en el momento en que introducen sus datos en los formularios de contacto y de suscripción a la newsletter. Estas casillas nunca deben de estar premarcadas.

Es importante que para seguir mandando las newsletter o los emailing estemos seguros que el consentimiento para ello se haya recogido de forma expresa.

Por ello lo recomendable es enviar una comunicación a los interesados para que nos devuelvan el correo electrónico con un consentimiento actualizado. En caso de que no nos contesten o nos contesten que se quieren dar de baja de nuestros envíos, es muy importante que actuemos siguiendo el protocolo y bloqueemos estos datos. O los eliminemos para no realizar comunicaciones futuras.

Firmar contratos con Encargados de tratamiento

En el caso de que tengamos proveedores con acceso a los datos de nuestros usuarios, colaboradores, donantes, benefactores…

Nos deben de firmar un acuerdo de gestión de tratamiento de datos. Estos terceros ajenos a nuestra asociación u ONGs, van a ser denominados como encargados de tratamiento. Y deben de cumplir con las directrices fijadas en el nuevo reglamento.

Firmar contratos con empleados

Si contamos con personal al servicio de la asociación o de la ONGs, bien como empleados, colaboradores, voluntarios, etc., debemos recopilar un documento firmado, donde se recoja la confidencialidad en el tratamiento de los  datos personales de los usuarios y beneficiarios.

En aquellos supuestos donde tengamos el acceso a los tratamientos de datos protegidos por contraseña, es recomendable que estas se actualicen.

Si en nuestra asociación u ONGs realizamos el tratamiento de datos sensibles (salud, condenas penales, biométricos, de menores…) debemos de especificar:

  • protocolo a seguir en los casos en los que se pretenda acceder a estos datos,
  • qué permisos serán necesarios y
  • cómo se va a producir la destrucción de los datos personales.

Preguntas frecuentes

¿Qué debo hacer en caso de que me requiera la AEPD?

Debes demostrar que cumples el RGPD y entregar toda la documentación que te soliciten.

La forma que tienen las entidades sin ánimo de lucro de poder demostrar que cumplen con la normativa de protección de datos es almacenando:

  • Formularios donde recogemos el consentimiento, ya sea el consentimiento para:
    • tratar los datos,
    • enviar boletines,
    • poder comunicarnos vía Whatsapp…
  • Registro de actividades de tratamiento de datos personales
  • Análisis de riesgo o la evaluación de impacto en su caso
  • Documento de seguridad en el que se van a plasmar los tratamientos que se realizan y las medidas de seguridad que se tienen que adoptar
  • Contratos con los empleados en caso de tenerlos
  • Compromisos de confidencialidad con los voluntarios
  • Contratos con los encargados de tratamiento

¿Qué ocurre con los consentimientos tácitos obtenidos con anterioridad a la entrada en vigor del RGPD?

Con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma.

Esos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:

  • Mediante una nueva solicitud de consentimiento acorde con el RGPD.
  • Aplicando algún otro supuesto de legitimación, como podría ser la regla del interés legítimo que tendría que valorarse.

¿Por qué las asociaciones deben cumplir el RGPD?

Es importante cumplir con la nueva normativa y es importante hacerlo en estas entidades sobre todo por dos razones.

La primera es que el reglamento no dice nada respecto de asociaciones sin ánimo de lucro por lo que entiende que se han equiparado a cualquier empresa que recoge datos y por tanto se debe de cumplir con todos y cada uno de los requisitos en el reglamento establecidos.

Y la segunda es que en este tipo de entidades, el volumen de gente que tiene acceso a los datos es muy alto debido a la cantidad de colaboradores, voluntarios o empleados con los que se cuentan y que van rotando de una ONG a otra.

Esperamos haberte facilitado la adaptación a esta normativa en tu asociación.

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34.

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.