Cualquier entidad que trate datos personales de clientes, empleados, proveedores, socios, etc., debe cumplir lo dispuesto en el RGPD y la LOPDGDD. En esta guía nos centramos en cómo cumplir con la protección de datos en asociaciones y ONGs. ¿Qué hay que hacer para adaptar una asociación sin ánimo de lucro a esta normativa?
En este artículo hablamos de:
- ¿Qué tipo de datos tratan las asociaciones?
- ¿Es obligatorio el cumplimiento de protección de datos en asociaciones?
- Normativa de protección de datos para asociaciones sin ánimo de lucro
- ¿Cómo cumplir la ley de protección de datos en asociaciones?
- Sanciones por incumplir la normativa de protección de datos en asociaciones
- Te ayudamos a cumplir el RGPD en asociaciones
- Preguntas frecuentes
- ¿Puedo publicar en Internet fotografías realizadas en actividades de la asociación?
- ¿Puede un socio pedir información que afecte a otros socios?
- ¿Qué ocurre con los voluntarios que trabajan en la Asociación?
- ¿Dónde almacenan la información las asociaciones?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Qué tipo de datos tratan las asociaciones?
Las asociaciones y ONGs, por el tipo de actividades que desarrollan en algunos ámbitos (como el asistencial), no solo tratan con datos personales genéricos, sino también aquellos que el artículo 9 del RGPD denomina datos de categorías especiales (origen étnico o racial, afiliación sindical, orientación sexual, salud, etc.).
Aunque, en principio, el RGPD y la LOPDGDD prohíben el tratamiento de estos datos, las asociaciones y ONGs entran dentro de las excepciones que contempla la normativa para poder tratar datos sensibles, en concreto, se permite siempre que:
- Se cuente con el consentimiento expreso del interesado.
- El tratamiento se realice dentro del ámbito de sus actividades legítimas.
- El tratamiento se realice con las debidas garantías de seguridad.
- Solo se traten datos de miembros actuales o antiguos o de personas que mantengan un contacto regular con las asociaciones u ONGs.
- No se comuniquen los datos a terceros sin el consentimiento del interesado.
¿Sabías que las asociaciones también deben cumplir con la ley de protección de datos? Consulta tus obligaciones en Grupo Atico34.
¿Es obligatorio el cumplimiento de protección de datos en asociaciones?
Dado que las asociaciones y ONGs no solo tratan con datos personales genéricos, sino también con datos personales de categorías especiales, están obligadas a cumplir con la normativa de protección de datos.
Además, para cumplir con la ley de protección de datos para asociaciones sin ánimo de lucro, asociaciones y ONGs tendrán que cumplir con algunas obligaciones relacionadas específicamente con el tratamiento de datos de categorías especiales, como veremos más adelante.
Normativa de protección de datos para asociaciones sin ánimo de lucro
Las normas que regulan la protección de datos en asociaciones sin ánimo de lucro son:
- A nivel europeo, el Reglamento General de Protección de Datos 2016/679.
- A nivel nacional,
- Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
- LOPDGDD: Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales
- Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
- Ley 34/2002, de 11 de julio que regula las transacciones mediante medios electrónicos.
¿Cómo cumplir la ley de protección de datos en asociaciones?
Para cumplir con la ley de protección de datos en asociaciones es necesario seguir una serie de requisitos, los cuales vemos a continuación.
¿Cómo cumplir la normativa de Protección de datos en asociaciones?
Deber de informar
En el momento de la recogida de datos de carácter personal, se debe de informar al interesado de forma clara y concisa de:
- qué datos se van a tratar,
- durante cuánto tiempo,
- base jurídica…
Con la LOPD esté requisito ya existía, el RGPD lo que ha hecho es reforzarlo. Tampoco se pueden pedir más datos de los necesarios para llevar a cabo la finalidad. Y en el caso de que se vayan a ceder los datos personales a proveedores, bancos, Agencia Tributaria o cualquier otro tercero, debe de informarse al interesado.
Además, en el caso de que se vayan a producir transferencias internacionales de los datos se debe de informar claramente al interesado. Y establecer mejores garantías para trabajar con esos datos fuera de la Unión Europea.
Solicitar el consentimiento expreso
Una de ls novedades más importante para la protección de datos en una asociación es la relativa al consentimiento. La LOPD entendía que el consentimiento era necesario, pero se consideraban válidos tres tipos de consentimiento, de forma tácita, expresa o presunta.
Con el RGPD esto se modifica y solamente se admite el consentimiento expreso. Lo que conlleva a que todos aquellos consentimientos que se hubieran recabado en base a la ley antigua (por consentimiento tácito o presunto) no serán válidos y se tendrán que recoger a través de un consentimiento expreso.
Firmar contratos con Encargados de tratamiento
En caso de tener proveedores con acceso a los datos de usuarios, colaboradores, donantes, benefactores, etc, deben firmar un acuerdo de gestión de tratamiento de datos. Estos terceros ajenos a la asociación u ONG, van a ser denominados como encargados de tratamiento. Y deben de cumplir con las directrices fijadas en el nuevo reglamento. Por ejemplo, si se firma un convenio de colaboración entre una empresa y la asociación para que la primera pueda acceder a los datos personales de los socios.
Firmar contratos con empleados
Si la asociación cuenta con personal a su servicio, bien como empleados, colaboradores, voluntarios, etc., es necesario recopilar un documento firmado, donde se recoja la confidencialidad en el tratamiento de los datos personales de los usuarios y beneficiarios.
En aquellos supuestos donde exista acceso a los tratamientos de datos protegidos por contraseña, es recomendable que estas se actualicen.
Si en la asociación u ONG se realiza un tratamiento de datos sensibles (salud, condenas penales, biométricos, de menores…) se debe especificar:
- protocolo a seguir en los casos en los que se pretenda acceder a estos datos,
- qué permisos serán necesarios y
- cómo se va a producir la destrucción de los datos personales.
Página web
En caso de que la asociación tenga una página web, esta debe de actualizar sus textos legales al RGPD. Estos son el aviso legal, la política de privacidad y la política de cookies.
- Aviso legal: Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
- Política de privacidad: Es importante revisar la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos. Así, en el texto de Política de privacidad tendrás que informar expresamente de:
- existencia de un tratamiento de los datos que se le están solicitando,
- finalidad,
- destinatario o destinatarios de aquella información,
- legitimación para el tratamiento,
- plazo de conservación de los datos,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
- Política de cookies: Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica. Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies. La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
Debes poner un enlace visible a estos textos desde cualquier página de la web.
Análisis de riesgos
La normativa de protección de datos para asociaciones (y resto de organizaciones) establece que con carácter previo a llevar a cabo cualquier actividad de tratamiento de datos, es necesario realizar un análisis de riesgos para determinar las amenazas a las que podrían estar expuestos los datos personales de los interesados derivadas de hacer dicho tratamiento y poder así aplicar las medidas de protección más adecuadas para garantizar la seguridad los datos.
Además, en aquellas empresas que manejen datos de carácter personal considerados por el Reglamento europeo como datos especialmente protegidos, no solo tendrán que realizar el análisis de riesgos. También deberán de contar con una evaluación de impacto.
Este documento permite evaluar de manera anticipada los potenciales riesgos a los que están expuestos los datos personales que se manejan. Y determinar las medidas de seguridad más adecuadas para ellos.
Notificación de brechas de seguridad
Cualquier brecha de seguridad debe ser comunicada a la autoridad competente nacional, es decir, a la AEPD, en un plazo máximo de 72 horas desde que se tenga conocimiento. En los casos en que se vulneren de forma grave los derechos de los interesados, también se deberá de informar a los propios interesados.
Delegado de Protección de Datos
La LOPDGDD establece las organizaciones obligadas a tener un Delegado de Protección de Datos, y las asociaciones sin ánimo de lucro y ONGs no están entre ellas.
Sin embargo, la normativa también señala que deberían tener un DPO todas aquellas organizaciones que traten datos personales a gran escala, o que realicen un tratamiento de datos personales sensibles. Por tanto, si la asociación cumple con alguno de estos requisitos, SÍ debería contar con un Delegado de Protección de Datos obligatorio.
Sanciones por incumplir la normativa de protección de datos en asociaciones
Las multas por no cumplir la protección de datos en asociaciones se endurecen, llegando incluso a los 20 millones de euros o al 4% de la facturación global anual en caso de ser una empresa.
Las sanciones dependen de la gravedad de la infracción, el perjuicio causado o su prolongación a lo largo del tiempo. Así, podemos distinguir entre:
- Sanciones para infracciones Leves: multa de hasta 40.000 €
- Sanciones Graves: multa de 40.001 € a 300.000 €
- Sanciones Muy Graves: multa entre 300.001 € y 20.000.000 €
Esperamos haberte ayudado a comprender los requisitos que establece la normativa de protección de datos en asociaciones.
Te ayudamos a cumplir el RGPD en asociaciones
En Grupo Atico34 llevamos más de 12 años ayudando a cumplir la LOPD en asociaciones.
Nuestro departamento jurídico está formado por abogados expertos que te brindarán un servicio personalizado y un asesoramiento continuo.
Hay numerosos ejemplos de sanciones por no cumplir la protección de datos, también en asociaciones sin ánimo de lucro y ONGs. No querrás pasar a engrosar esta lista, ¿verdad?
Ofrecemos servicios de protección de datos para asociaciones a la mejor relación calidad precio. Ponte en nuestras manos y asegúrate de que cumples con la normativa. Si necesitas asesoramiento personalizado a la hora de proteger los datos en asociaciones, contacta con la oficina más cercana de Grupo Ático34.
Preguntas frecuentes
¿Puedo publicar en Internet fotografías realizadas en actividades de la asociación?
No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.
La publicación en una página web de fotografías constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.
¿Puede un socio pedir información que afecte a otros socios?
Será necesario, para que los socios puedan obtener el listado con los nombres de otros socios, que cada uno de ellos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.
El hecho de formar parte de una Asociación implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier socio que lo solicite pueda disponer de un listado de socios, el hecho de que se le facilite será legítimo. Asimismo, si existe una Ley que ampare esa cesión de datos, en el sentido de permitir que los socios puedan acceder a la información solicitada, la cesión de datos será legal.
¿Qué ocurre con los voluntarios que trabajan en la Asociación?
Los voluntarios, aunque no tienen un contrato laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Por tanto, deben firmar también el acuerdo de confidencialidad previsto para los empleados.
Las asociaciones han de cumplir estrictamente con la protección de los datos que manejan, especialmente si controlan información sensible, relativa a enfermedades u orientaciones sexuales. Por ello deben garantizar a sus socios que sus datos personales no serán usados para finalidades distintas de aquellas para las que se recogieron ni van a cederse a personas no autorizadas.
¿Dónde almacenan la información las asociaciones?
La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los socios en el entorno físico: en una libreta, en carpetas o r. Ahora el personal tiene que saber dónde se encuentran los datos de los socios.
Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.
En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las asociaciones formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.