Los colegios profesionales son entidades jurídicas que, debido a su actividad, manejan y tratan datos personales de sus colegiados, empleados, usuarios y, en ocasiones, de sus proveedores; por ese motivo están obligados a cumplir con el RGPD y la LOPDGDD. En esta guía detallaremos cómo aplicar la normativa de protección de datos para colegios profesionales.
En este artículo hablamos de:
- Normativa de protección de datos aplicable a los colegios profesionales
- Como adaptar un colegio profesional a la normativa de protección de datos
- Las fuentes accesibles al público
- Legitimidad y consentimiento para el tratamiento de datos
- Registro de actividades de tratamiento
- Análisis de riesgos y EIDP
- ¿Necesita el colegio profesional nombrar un DPO?
- Confidencialidad
- Cesión de datos a terceros
- Notificación de brechas de seguridad
- Derechos de los ciudadanos
- Plazo de conservación de los datos
- Auditorías de protección de datos
- ¿Cumple el colegio profesional con el RGPD y la LOPDGDD?
- Ayudamos a aplicar la Ley de Protección de Datos a colegios profesionales
Normativa de protección de datos aplicable a los colegios profesionales
La normativa de protección de datos para colegios profesionales la podemos encontrar en:
- RGPD (Reglamento General de Protección de Datos)
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- Ley 2/1974 sobre Colegios Profesionales
- Ley 2/2007 de sociedades profesionales
¿Necesitas ayuda para adaptarte a estas normativas? Ponte en contacto con nosotros.
Como adaptar un colegio profesional a la normativa de protección de datos
Los colegios profesionales son corporaciones de derecho público, con personalidad jurídica propia y capacidad para la ordenación del ejercicio de las profesiones, la representación institucional de las mismas, así como la defensa de los intereses profesionales de los colegiados y de los usuarios de los servicios de sus colegiados.
Por lo tanto, tienen acceso a una gran cantidad de datos personales, ya que el desarrollo de su actividad está directamente relacionado con el tratamiento de este tipo de datos, algunos, por la actividad profesional concreta, datos sensibles, de manera que es necesario que los colegios profesionales se adapten a la normativa de protección de datos, teniendo en cuenta, eso sí, algunas de sus particularidades, como veremos en los siguientes puntos.
Las fuentes accesibles al público
Lo primero que diferencia a los colegios profesionales de otro tipo de entidades u organizaciones, es que estos pueden incorporar datos a las fuentes accesibles al público (aquellos ficheros que cualquier persona puede consultar sin limitación establecida por ninguna normativa).
En ese sentido las listas de miembros de los colegios profesionales o las guías de profesionales colegiados son consideradas como una fuente de acceso público, teniendo que cumplir con los siguientes requisitos:
- La lista solo contendrá:
- Nombre y apellidos
- Título
- Profesión
- Actividad
- Grado académico
- Dirección profesional
- Indicación de la pertenencia al grupo (número de colegiado, fecha de incorporación y situación de ejercicio profesional)
Para que el colegio profesional pueda añadir datos personales adicionales de sus colegiados, deberá de recabar antes el consentimiento expreso de estos. Este consentimiento podrá ser revocado en cualquier momento.
Legitimidad y consentimiento para el tratamiento de datos
Los colegios profesionales están legitimados para tratar los datos personales que resulten necesarios para ejercer sus funciones, respetando los límites y aplicando los principios de protección de datos recogidos en el RGPD y la LOPDGDD, como son los principios de accountability, lealtad, transparencia, licitud, limitación, minimización, exactitud e integridad y confidencialidad.
En ese sentido, será necesario que para recabar y tratar de los datos personales de sus colegiados, empleados, usuarios o proveedores el responsable del tratamiento (que es el colegio profesional) cuenta con el consentimiento expreso de los titulares de los datos. Este consentimiento debe ser inequívoco, libre, específico e informado.
La solicitud del consentimiento se referirá específicamente a un tratamiento o tratamientos de datos personales, delimitando la finalidad para la que se pide y no pudiendo usar esos datos para otros fines, lo que motivaría la solicitud de un nuevo consentimiento.
El consentimiento de los interesados debe quedar registrado y debe poder ser revocado con la misma facilidad con la que fue recabado.
No será necesario recabar el consentimiento expreso de los titulares de los datos cuando los datos recogidos sean para ejercer funciones propias del colegio.
Registro de actividades de tratamiento
Los colegios profesionales deberán llevar un registro de actividades de tratamiento. Este documento recoge todos los tratamientos de datos personales efectuados por el colegio profesional, como puede ser por ejemplo el listado de sus colegiados. Aunque no hay que remitir el registro a la AEPD, sí que deberá ponerse a disposición de la misma cuando esta lo solicite dentro del contexto de una inspección o investigación.
El registro de actividades de tratamiento contendrá la siguiente información sobre cada actividad de tratamiento realizada:
- Identificación y datos de contacto del responsable del tratamiento, del encargado del tratamiento (si lo hay) y del delegado de protección de datos (DPO), y si procede, del corresponsable del tratamiento
- Finalidad del tratamiento
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de los datos (tanto existentes como previstos)
- Transferencias internacionales de datos (si las hay o se prevé que las haya)
- Plazo de conversación previsto de los datos
- Descripción de las medidas de seguridad aplicadas
Al realizar el registro de actividades de tratamiento, hay que tener en cuenta que los colegios profesionales manejan por un lado, y como ya hemos dicho, ficheros públicos y, por otro lado, ficheros privados.
Ficheros públicos
Como hemos señalado, los ficheros públicos contienen datos de carácter personal correspondientes con el ejercicio de las funciones públicas de ordenación y control de la actividad profesional asignada de forma legal o estatutariamente al colegio.
La creación, modificación o supresión de estos ficheros públicos se lleva a cabo a través de acuerdo de los órganos de gobierno y ser publicada en el BOE o diario oficial correspondiente.
La información personal publicada en ellos debe cumplir con los requisitos que ya vimos más arriba.
Ficheros privados
Los ficheros privados son aquellos que contienen datos personales necesarios para llevar a cabo la gestión interna del colegio profesional y facilitar el desempeño de la profesión colegiada sin que lleven aparejados el ejercicio de potestades o actos administrativos.
Son ejemplos de estos ficheros las nóminas, las listas de personal, la facturación, las listas de clientes, etc.
Análisis de riesgos y EIDP
Cabe señalar que no todos los colegios profesionales tratarán las mismas categorías de datos personales, por lo que en función de la actividad profesional, deberán identificar qué categorías de datos van a tratar (por ejemplo, cabe la posibilidad que los colegios de médicos traten en algún momento con datos de la salud).
Identificadas las categorías de datos personales a tratar, se debe realizar un análisis de riesgos para poder determinar qué tipo de amenazas y riesgos pueden suponer las actividades de tratamiento para los datos personales de colegiados, empleados, usuarios y proveedores del colegio profesional y, en consecuencia, para sus derechos fundamentales.
El análisis de riesgos nos servirá para diseñar las medidas técnicas y organizativas de seguridad que será necesario adoptar para garantizar la protección de los datos personales de los interesados. Estas medidas de seguridad tienen como objetivo minimizar o prevenir la materialización de los riesgos que puedan afectar a la integridad, disponibilidad y confidencialidad de los datos.
En aquellos casos donde la actividad de tratamiento pueda poner en riesgo los derechos y libertades de los titulares de los datos, será necesario efectuar una evaluación de impacto de protección de datos (EIPD).
Esta evaluación servirá para determinar si el riesgo derivado de la actividad de tratamiento es tolerable y diseñar unas medidas de seguridad más adecuadas, o para, en caso de detectar un riesgo elevado, no llevar a cabo dicho tratamiento.
La EIPD deberá llevarse a cabo siempre que se traten datos sensibles o de categorías especiales.
¿Necesita el colegio profesional nombrar un DPO?
Sí, de acuerdo al artículo 34 de la LOPDGDD, los colegios profesionales y sus consejos generales tienen que designar un Delegado de Protección de Datos obligatorio.
El DPO puede designarse tanto de manera interna, es decir, un miembro de la empresa que tenga formación adecuada y suficiente en materia de protección de datos, como de forma externa, contratando los servicios de un profesional especializado externo.
Confidencialidad
Tanto el responsable del tratamiento, como el encargado (si procede) y todo aquel personal que pueda tener acceso a los datos personales que se manejan en el colegio profesional deberán mantener la confidencialidad de dichos datos, atendiendo al deber de secreto profesional y, firmando cuando sea necesario (por ejemplo, con los empleados) un contrato o cláusulas de confidencialidad.
En ese contrato o cláusulas deberán especificarse las consecuencias de no cumplir con este deber.
Cesión de datos a terceros
En caso de ceder datos personales a terceros (por ejemplo, si el colegio profesional tiene contratados servicios externos que requieran acceso a este tipo de datos), será necesario que el colegio profesional, como responsable del tratamiento, firme con estos servicios un contrato de encargo del tratamiento, en el que se establecerán todas las obligaciones que debe atender el encargado del tratamiento según el responsable en materia de protección de datos y medidas de seguridad.
Notificación de brechas de seguridad
En caso de producirse brechas de seguridad que puedan poner en riesgo la confidencialidad de los datos personales que maneja el colegio profesional, afectando a los derechos y libertades de los titulares de los datos, este deberá informar en un plazo no superior a 72 horas a la AEPD y a los propios interesados, para que puedan tomar las medidas de seguridad oportunas.
Derechos de los ciudadanos
Se debe informar a los titulares de los datos sobre los derechos que pueden ejercer sobre sus datos y cómo hacerlo, incluyendo la información de contacto del responsable o encargado del tratamiento a quien deben dirigir su solicitud. Hablamos de los derechos ARSULIPO (antiguos derechos ARCO):
- Acceso
- Rectificación
- Supresión
- Limitación
- Portabilidad
- Oposición
Plazo de conservación de los datos
Se debe informar a los titulares de los datos del plazo de conservación de los mismos. Ni el RGPD ni la LOPDGDD especifican un plazo mínimo de conservación, sino que ponen esta decisión en manos del responsable del tratamiento, aunque sí dicen que los datos no podrán conservarse más allá del tiempo necesario para cumplir con la finalidad para la que fueron recabados.
Aparte de esto, se debe tener en cuenta que hay otras normativas que pueden afectar a la obligación de conservar determinada documentación (como la fiscal o la laboral), de manera que el plazo de conservación de los datos dependerá tanto de la finalidad del tratamiento como del tipo de documentación que los contenga. En cualquier caso, su conservación siempre debe estar justificada y legitimada y nunca exceder el tiempo necesario.
Auditorías de protección de datos
Ni el RGPD ni la LOPDGDD obligan a hacer auditoría de protección de datos, pero sí que recogen la necesidad de poder demostrar que las medidas técnicas y organizativas de seguridad adoptadas por los colegios profesionales son adecuadas y efectivas para cumplir con las exigencias de la normativa.
La mejor manera de poder demostrar esto es sometiendo dichas medidas a auditorías periódicas, preferiblemente hechas por un servicio externo, puesto que mantendrá una mayor objetividad. De esa forma, no solo se podrá probar ante la autoridad de control correspondiente que se cumple con la normativa y se tienen implantadas medidas de seguridad eficientes, sino que también se podrán detectar aquellos problemas o deficiencias que puedan existir y mejorarlos o solucionarlos.
Estas auditorías deberían realizarse, como mínimo, cada dos años o cuando se hagan cambios significativos en los sistemas de información que puedan afectar a las medidas ya implantadas.
¿Cumple el colegio profesional con el RGPD y la LOPDGDD?
Ahora que ya conoces todo lo relativo a la protección de datos para colegios profesionales, ¿cumple el tuyo con la normativa? Aunque esta guía puede servirte para comprobar si el colegio cumple o no con todos los requisitos, nuestro consejo es que acudas a profesionales de la protección de datos como los de Grupo Atico34 para hacerlo y solucionar cualquier duda que puedas tener al respecto.
Recuerda que no cumplir con la normativa de protección de datos, aunque sea por descuido o desconocimiento, puede acarrear sanciones.
Protección de datos para colegios profesionales desde 180 euros/año.
Sanciones por no cumplir la normativa de protección de datos
Las sanciones por no cumplir con el RGPD y la LOPDGDD puede alcanzar hasta los 20 millones de euros o el 4% de la facturación anual (la cantidad que resulte más alta), dependiendo de la gravedad de la infracción cometida, el tipo de datos personales afectados, el número de personas afectadas, si se ha debido a una negligencia, así como la duración en el tiempo.
En la LOPDGDD encontramos la siguiente graduación para las sanciones por no cumplir con la normativa:
- Infracciones leves: multa de hasta 40.000 €
- Infracciones graves: multa de 40.001 € a 300.000 €
- Infracciones muy graves: multa de entre 300.001 € a 20.000.000 € (o el 4% de la facturación anual)
Ayudamos a aplicar la Ley de Protección de Datos a colegios profesionales
En Grupo Atico34 contamos con un equipo de abogados especialistas en protección de datos, que se ocuparán de asesorar al colegio profesional en materia de protección de datos, con atención completamente personalizada. Además, llevarán a cabo un seguimiento de la implantación de las medidas, informando sobre cualquier novedad o modificación normativa.