• Horario: 09 a 19
  • info@legalglobal.es

Legal Global

Consultoría Compliance

Protección de datos para Asociaciones

Spread the love

Las asociaciones al igual que las empresas, deben cumplir con la legislación de protección de datos.

Tipos de asociaciones y datos que tratan

Existen diferentes tipos de asociaciones, según los fines que persigue, ya sea de interés general o de interés privado. Podemos encontrar entre otras las siguientes:

  • Asociaciones para la infancia, personas mayores o colectivos desfavorecidos.
  • ONG u organizaciones no gubernamentales: son las asociaciones que cooperan para el desarrollo y la sensibilización sobre aspectos diversos que afectan a la sociedad.
  • Asociaciones vecinales: buscan mejorar la vida comunitaria de un barrio o una zona concreta.
  • Asociaciones de personas con determinadas enfermedades: trabajan para lograr ayudas públicas o investigaciones científicas para mejorar la vida de quienes sufren determinadas dolencias.
  • Asociaciones de consumidores: luchan para hacer denuncia pública de determinados casos que afectan a muchas personas, defendiendo además a las personas asociadas.
  • Asociaciones profesionales: trabajan para defender los intereses de un gremio concreto o para mejorar las capacidades de quienes conforman dicha asociación.
  • Asociaciones culturales: se centran en actividades culturales, como la danza, la literatura o el teatro.
  • Asociaciones deportivas: el objetivo principal de este tipo de asociaciones es promocionar el deporte.
  • Asociaciones medioambientales: son aquellas que buscan cuidar el entorno.
  • Asociaciones socioeconómicas: están centradas en defender los derechos que hacen referencia al trabajo.
  • Asociaciones de tiempo libre: buscan fomentar actividades en el tiempo libre, como viajar, excursiones, etc.
  • Asociaciones juveniles: están formadas por socios con edades entre los 14 y 30 años. Tienen como finalidad principal la promoción, formación e integración social, todo esto mediante una serie de eventos y entretenimientos de la juventud sin ningún tipo de intención lucrativa. Estos jóvenes se encargan de que exista un ambiente cultural amplio y accesible para toda la comunidad juvenil.
  • Asociaciones de acción voluntaria: construyen el desarrollo de diversos programas de acción voluntaria, es decir, de acciones solidarias o comunitarias, donde puede estar relacionado cualquier tipo de individuo para ayudar a los demás o a cierta comunidad, en el ámbito de los servicios sociales. Para conseguir más voluntarios es posible acceder a ciertas campañas de concientización para que las personas puedan sentirse identificadas y, de esta manera, cooperar con diversas actividades.
  • Asociaciones religiosas: se encuentran resguardadas por la constitución y los derechos de libre expresión, derechos de libertad ideológica, religiosa y de culto. Los integrantes de estas asociaciones pueden mantener prácticas de tipo religiosa, cultural o creencias libremente. Ningún individuo está atado a rendir culto a una determinada deidad, todos somos libres de elegir que deseamos alabar.
  • Asociaciones de alumnos: se encuentran constituidos por alumnos de escuelas, universidades, etc. los cuales se reúnen con el fin de participar en la gestión del centro al que concurren y de esta manera, velan por sus intereses y los de los demás, creando un ámbito conveniente para ellos y los encargados de la administración del mismo.
  • Asociaciones educativas: las conocidas asociaciones de padres y madres (AMPA) o de alumnos.
  • Federaciones.
  • Peñas:
    • Peña de apuestas: Aquellas dedicadas a los juegos de azar.
    • Peña taurina: Las que giran en torno a la tauromaquia.
    • Peña gastronómica: Ídem a la anterior pero en el mundo culinario.
    • Peña cultural: Ídem a la anterior en el entorno de las expresiones artísticas.
    • Peña deportiva: Aquellas destinadas a apoyar y defender a un deportista, equipo, club deportivo o al deporte al que representan. Por ejemplo: Peña ciclista.
    • Peña de estudiantes: una hermandad estudiantil o bien agrupación de ex estudiantes.

Por tanto, como se puede apreciar la información que se pueda recoger es muy amplia, en función del fin que persigue esta entidad.

¿Cómo deben cumplir las asociaciones la LOPD?

Las asociaciones sin ánimo de lucro manejan una gran cantidad de datos, tanto de socios como de proveedores, colaboradores o empleados, por lo que deben cumplir también las obligaciones de las empresas respecto a la protección de datos. Para ello debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

¿Qué datos personales manejas en tu asociación?

Cada vez que un usuario te deja sus datos para hacerse socio o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos para asociaciones y ONG.

Debes saber que para cumplir con la normativa vigente de protección de datos las Asociaciones (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:

  1. Realizar un Registro de actividades de tratamiento
  2. Realizar un Análisis de riesgos
  3. Evaluación de Impacto
  4. Firmar los contratos con terceros
  5. Firmar las cláusulas legales con los empleados
  6. Solicitar el consentimiento a los clientes
  7. Incluir los textos legales en la página web
  8. Notificar brechas de seguridad
  9. Elaboración del documento de seguridad

Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta respecto a cumplir con la ley de protección de datos para asociaciones sin ánimo de lucro es qué tipo de datos se manejan en ella y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Finalidad
  • Legitimados
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las asociaciones son:

  • Socios
  • Voluntarios
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum o candidatos
  • Videovigilancia
  • Contacto y redes sociales
  • Certificado negativo de delitos penales
  • Fotografías y vídeos

2. Análisis de riesgos

La normativa de protección de datos obliga a la asociación a llevar a cabo un análisis de riesgos.

Este análisis de riesgos debe realizarlo el responsable del tratamiento y sirve para evaluar los riesgos que pueden derivarse de los tratamientos de datos personales para los derechos y libertades de los interesados. Es decir, sirve para determinar las posibilidades de que una amenaza se materialice y el impacto negativo que pueda tener sobre los interesados.

De sus conclusiones, se pueden determinar las medidas o soluciones de seguridad que es necesario implantar para minimizar o eliminar la posibilidad de que ocurra el riesgo o, en caso de producirse, reducir su impacto y consecuencias.

3. Evaluación de impacto

Cuando del análisis de riesgos del punto anterior se concluye que puede existir un nivel de riesgo alto para los derechos y libertades de los interesados, es necesario realizar una evaluación de impacto.

La evaluación de impacto es un nuevo análisis de riesgos, pero más centrado en el impacto negativo que el tratamiento de datos personales puede tener sobre las libertades y derechos de los interesados. El objetivo sigue siendo minimizar las posibilidades de que un riesgo se materialice, para lo que se deberán determinar las medidas de seguridad que ayuden a ello y a garantizar la confidencialidad de la información.

4. Contratos con Encargados de tratamiento

Cada vez que contratas una gestoría para llevar los temas fiscales o laborales o si tienes una empresa informática que realiza el mantenimiento de los equipos en la asociación.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el socio sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Como mínimo debe establecerse:

  • objeto, la duración, la naturaleza y la finalidad del tratamiento
  • tipo de datos personales
  • categorías de interesados
  • obligaciones y derechos del responsable

5. Acuerdo de confidencialidad con empleados de la asociación

Es posible que en la asociación tengas contratados empleados o haya voluntarios.

Los empleados y los voluntarios tienen acceso a toda la información y datos que maneja la asociación y, por tanto, deben firmar un acuerdo que garantice la confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas para garantizar la protección de los datos de la ONG o asociación.

En las asociaciones los empleados disponen de un correo electrónico para comunicarse entre ellos y con socios y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Consentimiento de socios

Además de actualizar la política de privacidad, tu asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos.

Para cumplir correctamente con la LOPD las asociaciones deben contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

En él deben informar claramente de:

  • datos del responsable del tratamiento (tu asociación),
  • destinatarios si los hay (¿se ceden los datos a otras entidades?),
  • transferencias de datos internacionales si se realizan,
  • finalidad concreta del tratamiento,
  • tiempo que se conservarán,
  • derechos de los afectados y cómo se pueden exigir estos y
  • datos del Delegado de Protección de datos (si la asociación debe contar con uno o así lo ha decidido).

Uno de los fines principales del Reglamento General de Protección de Datos es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

Una buena opción sería enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Si tienes una Página web

Si la Asociación cuenta con página web, esta debe tener enlazados los correspondientes textos legales:

  • Política de privacidad (es toda la información referente a la protección de datos):
    • Existencia de un tratamiento de los datos que se están solicitando
    • Finalidad
    • Destinatario o destinatarios de aquella información
    • Identidad y dirección del responsable del tratamiento de los datos
    • Posibilidad de ejercer sus derechos
  • Aviso legal (donde se identifica al propietario de la página web):
    • Nombre del propietario
    • NIF
    • Dirección
    • Email
    • N.º de colegiado
  • Política de cookies (se informa de las cookies que se generan en la web, su finalidad, duración y si pertenecen a terceros)

8. Notificar brechas de seguridad

Una de las obligaciones que establece el Reglamento General de Protección de Datos es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la Agencia Española de Protección de Datos.

En el caso de que se dé una situación de ciberataque o infracción en la asociación, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Delegado de Protección de Datos (DPD/DPO)

Para la mayoría de las asociaciones no es obligatorio nombrar un Delegado de Protección de Datos, ya que no están dentro de los supuestos en los que así lo exige el Reglamento General de Protección de Datos.

En cualquier caso, cada asociación deberá analizar si en su caso procede el nombramiento del Delegado de Protección de Datos, porque realizan un tratamiento a gran escala de categorías especiales de datos personales, por ejemplo, o porque así lo decidan voluntariamente para asegurar el buen cumplimiento de la norma.

Sanciones

Con esta normativa se incrementan las exigencias en materia de Protección de Datos para asociaciones, y también las sanciones en caso de incumplimiento.

Las sanciones se endurecen considerablemente, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual. Teniendo en cuenta que las asociaciones son sin ánimo de lucro, está claro que este tipo de sanciones no serán las que motiven a la asociación a cumplir con el Reglamento General de Protección de Datos, sino el ánimo de cuidar los derechos y libertades de sus asociados.

Algunos de los ejemplos de sanciones impuestas por la Agencia Española de Protección de Datos a asociaciones son:

1. Instalar cámaras de videovigilancia que graben la vía pública

La normativa de protección de datos prohíbe las grabaciones en zonas públicas o en lugares en los que pueda verse afectada la intimidad de las personas, como baños o vestuarios. Resolución Agencia Española de Protección de Datos R/03057/2017

2. No disponer del consentimiento expreso de los socios para enviar comunicaciones comerciales a través de email

Se considera prohibido el envío de publicidad o comunicaciones comerciales vía e-mail. También se considerarán ilegales los envíos comerciales a direcciones de correo electrónico disponibles en Internet o en bases de datos compradas. Para poder enviarlas es necesario el consentimiento de los afectados. Resolución Agencia Española de Protección de Datos R/00819/2018

Preguntas frecuentes

¿Puede un socio pedir información de otros socios?

Será necesario, para que los socios puedan obtener el listado con los nombres de otros socios, que cada uno de ellos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.

El hecho de formar parte de una Asociación implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier socio que lo solicite pueda disponer de un listado de socios, el hecho de que se le facilite será legítimo. Asimismo, si existe una Ley que ampare esa cesión de datos, en el sentido de permitir que los socios puedan acceder a la información solicitada, la cesión de datos será legal.

¿Puedo publicar en Internet fotografías realizadas en actividades de la asociación?

No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.

La publicación en una página web de fotografías constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Qué pasa con los voluntarios que trabajan en la Asociación?

Los voluntarios, aunque no tienen un contrato laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Por tanto, deben firmar también el acuerdo de confidencialidad previsto para los empleados.

Las asociaciones han de cumplir estrictamente con la protección de los datos que manejan, especialmente si controlan información sensible, relativa a enfermedades u orientaciones sexuales. Por ello deben garantizar a sus socios que sus datos personales no serán usados para finalidades distintas de aquellas para las que se recogieron ni van a cederse a personas no autorizadas.

¿Dónde almacenan la información las asociaciones?

La localización de la información también es importante con el nuevo Reglamento Europeo de Protección de datos. Hasta el momento, lo más normal era encontrar datos de los socios en el entorno físico: en una libreta o en carpetas. Ahora el personal tiene que saber dónde se encuentran los datos de los socios.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos. Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura. Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñado a los empleados a crear contraseñas fuertes. Por eso, es importante que las asociaciones formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/

Abrir chat
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?