En las entidades sin ánimo de lucro existe bastante confusión sobre si les afecta la normativa de protección de datos.

Que si solo afecta a empresas …

Que si ellas no manejan datos personales …

Que si la abuela fuma …

Las asociaciones y organizaciones sin ánimo de lucro están también incluidas dentro de estas entidades obligadas a cumplir el RGPD.

¿Quieres saber cómo?

En este post tienes todos los pasos a seguir para adaptar tu asociación a esta normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos en las asociaciones son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir las asociaciones el RGPD?

Las asociaciones también tienen en sus manos una gran cantidad de datos, de socios, de proveedores o de empleados, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

¿Qué datos personales manejas?

Cada vez que un usuario te deja sus datos para hacerse socio o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar tu asociación para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los socios
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad
  8. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan en la asociación y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las asociaciones son:

  • Socios
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

No me digas que no cedes datos a terceros.

¿Estás seguro?

También lo haces.

Cada vez que contratas una gestoría para llevar los temas fiscales o laborales.

O si tienes una empresa informática que realiza el mantenimiento de los equipos en la asociación.

Estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Qué tiene que incluir ese contrato? ¿lo sabes?

Como mínimo debe establecerse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento,
  • tipo de datos personales,
  • categorías de interesados, y
  • obligaciones y derechos del responsable.

3. Acuerdo de confidencialidad con empleados

Es posible que en la asociación tengas contratados empleados.

O haya voluntarios.

¿A que sí?

Los empleados tienen acceso a toda la información que maneja la asociación y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En las asociaciones los empleados disponen de un correo electrónico para comunicarse entre ellos y con socios y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

4. Consentimiento de socios

Además de actualizar la política de privacidad, tu asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos.

En la asociación debes contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • datos del responsable del tratamiento (tu asociación),
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • derechos de los afectados y cómo se pueden exigir estos y
  • datos del Delegado de Protección de datos (si la asociación debe contar con uno o así lo ha decidido).

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Y cómo se hace?

Una buena opción sería enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tedrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Análisis de riesgos

Presta atención porque esto es importante.

En la asociación debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.

Es frecuente que las asociaciones almacenen datos sensibles de sus socios, como datos de salud, políticos o sindicales. En ese caso necesita realizar la Evaluación de impacto debido a que, por el tipo de datos que maneja, existe un riesgo alto para los derechos y libertades de los afectados.

¿Y ya está?

No, no tan rápido.

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

7. Notificar brechas de seguridad

¿Y esto qué significa?

No te preocupes que te lo explico.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la asociación, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

8. Delegado de Protección de Datos

Para la mayoría de las asociaciones no es obligatorio nombrar un Delegado de Protección de datos, ya que no están dentro de los supuestos en los que así lo exige el RGPD.

En cualquier caso, cada asociación deberá analizar si en su caso procede el nombramiento del DPO, porque realicen un tratamiento a gran escala de categorías especiales de datos personales, por ejemplo, o porque así lo decidan voluntariamente para asegurar el buen cumplimiento de la norma.

Preguntas frecuentes

¿Puedo publicar en Internet fotografías realizadas en actividades de la asociación?

No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.

La publicación en una página web de fotografías constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Puede un socio pedir información que afecte a otros socios?

Será necesario, para que los socios puedan obtener el listado con los nombres de otros socios, que cada uno de ellos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.

El hecho de formar parte de una Asociación implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier socio que lo solicite pueda disponer de un listado de socios, el hecho de que se le facilite será legítimo. Asimismo, si existe una Ley que ampare esa cesión de datos, en el sentido de permitir que los socios puedan acceder a la información solicitada, la cesión de datos será legal.

¿Qué pasa con los voluntarios que trabajan en la Asociación?

Los voluntarios, aunque no tienen un contrato laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Por tanto, deben firmar también el acuerdo de confidencialidad previsto para los empleados.

Las asociaciones han de cumplir estrictamente con la protección de los datos que manejan, especialmente si controlan información sensible, relativa a enfermedades u orientaciones sexuales. Por ello deben garantizar a sus socios que sus datos personales no serán usados para finalidades distintas de aquellas para las que se recogieron ni van a cederse a personas no autorizadas.

¿Dónde almacenan la información las asociaciones?

La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los socios en el entorno físico: en una libreta, en carpetas o achivadores. Ahora el personal tiene que saber dónde se encuentran los datos de los socios.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes. Por eso, es importante que las asociaciones formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

Modelos

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu asociación.

Sanciones

Con esta nueva normativa se incrementan las exigencias en materia de Protección de Datos, y también las sanciones en caso de incumplimiento.

Las sanciones se endurecen considerablemente, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual. Teniendo en cuenta que las asociaciones son sin ánimo de lucro, está claro que este tipo de sanciones no serán las que motiven a la asociación a cumplir con el RGPD, sino el ánimo de cuidar los derechos y libertades de sus asociados.

¿Ves como no es ninguna broma?

Algunos de los ejemplos de sanciones impuestas por la AEPD a asociaciones son:

No disponer del consentimiento expreso de los socios para enviar comunicaciones comerciales a través de email

Se considera prohibido el envío de publicidad o comunicaciones comerciales vía e-mail. También se considerarán ilegales los envíos comerciales a direcciones de correo electrónico disponibles en Internet o en bases de datos compradas. Para poder enviarlas es necesario el consentimiento de los afectados. Resolución AEPD R/00819/2018

Instalar cámaras de videovigilancia que graben la vía pública

La normativa de protección de datos prohíbe las grabaciones en zonas públicas o en lugares en los que pueda verse afectada la intimidad de las personas, como baños o vestuarios. Resolución AEPD R/03057/2017

¿Te ha quedado claro lo que tienes que hacer?

Adapta cuanto antes tu asociación a la ley de Protección de Datos.

Es tu responsabilidad.

¿Necesitas cumplir el RGPD?

Guía de protección de datos para Asociaciones
4.6 (92.31%) 13 votos