Seleccionar página

ASOCIACIONES Y RGPD

por | May 3, 2019 | blog | 0 Comentarios

gran hermano y RGPD

¿La protección de datos afecta a las asociaciones?

Si, afecta a todas o casi todas.

Todas ellas están obligadas a disponer de una relación actualizada de sus asociados, y en sí misma esa relación ya implica un tratamiento de datos de carácter personal.

A ello hay que añadir la gestión que realice la asociación sobre datos personales de otros colectivos: personas beneficiarias, voluntarias, contratadas, donantes…

¿Qué son datos de carácter personal?

Son datos de cualquier tipo referentes a personas (físicas) identificadas o identificables.

  • Si recogemos datos de identificación (nombre, apellidos, DNI…).
  • Y si recogemos datos que puedan llevar a la identificación sin necesidad de utilizar medios desproporcionados, también.
  • Eso incluye registros de imagen (fotos, vídeos) e incluso datos que no sabemos que estamos recogiendo.
  • Si tenemos un blog, por ejemplo, podría estar recogiendo las direcciones IP de las personas que se registran en él, incluso aunque no guardáramos datos de su nombre y apellidos.
El RGPD ampara los datos de carácter personal de todas las personas residentes en la Unión Europea, sin limitación respecto a su nacionalidad.

Y se refiere únicamente a la protección de datos de las personas vivas.

Esto no quiere decir que el tratamiento de los datos de personas ya fallecidas no esté regulado, pero sí que no lo está en este Reglamento.

Podrá haber normas en cada país para datos que no están protegidos por el RGPD (como los referidos, efectivamente, a personas fallecidas o, por ejemplo, los tratamientos de datos relacionados con la seguridad nacional o con la actividad judicial).

Pues bien, lo que persiguen las normas es garantizarnos como ciudadanos cierto grado de control sobre los tratamientos que se realizan sobre nuestros propios datos. Se considera un derecho fundamental.

Los datos se incorporan a ficheros

Nuestros datos están protegidos por las leyes, tanto si el fichero al que se incorporan permite su tratamiento automatizado como si éste es manual.

Un fichero a la antigua usanza (fichas en cartulina organizadas según algún criterio en un mueble-fichero, digamos en la consulta de un dentista) es un fichero de datos personales, exactamente igual que si dicho dentista ha optado por llevar la información sobre sus clientes en un ordenador.

A la relación de personas asociadas de una asociación cabe entenderla como un fichero de datos de carácter personal, incluso aunque esta relación adopte la forma del típico libro de socios (en papel):

“contiene datos personales, referidos a personas identificadas, y éstos están organizados por algún criterio (en este caso, cronológico, seguramente) que facilita su localización sin el empleo de un esfuerzo desproporcionado”.

En cambio, un cajón lleno de fotos, aun refiriéndose a personas identificables, podría no ser un fichero de datos personales si no están organizadas conforme a algún criterio.

No sería un fichero (concepto muy utilizado en este ámbito), pero las fotos contienen datos personales en la medida en que las personas a las que se refieren estén identificadas o sean identificables por algún procedimiento.

  • Un fichero informático con datos de las personas asociadas es un fichero de datos personales.
  • Una copia de seguridad de ese fichero, también.
  • Y una copia de seguridad “en la nube” también lo es (y posiblemente estará físicamente en otro país, y esto es importante).

La reglamentación sobre la protección de datos personales no se aplica a actividades personales o domésticas (como un listín telefónico, en papel o en un móvil personal, o la agenda de direcciones de correo electrónico en nuestro programa de email… mientras no tenga uso profesional).

Los ficheros de datos personales están protegidos, pero la noción más relevante en todo esto es la de tratamiento de datos.

¿De verdad “tratamos” datos personales?

Sí, no lo dudes, es difícil que vuestra asociación no lo haga.

Tratamiento de datos es cualquier operación realizada con los datos.

Y esto incluye su recogida: registrar los datos ya es un tratamiento.

Así que registrar los datos de los socios y socias de la asociación es un tratamiento de datos de carácter personal.

Y también lo es:
  • imprimir un listado de participantes en una actividad.
  • pasar al banco un fichero de cobro de las cuotas.
  • subir fotos a la página web de la asociación, si en ellas se aprecia a las personas con algún nivel de detalle (se excluirían fotos muy generales, en las que no está individualizada ninguna de las personas que allí figuran, como cuando en los telediarios nos muestran imágenes de calles abarrotadas de peatones).
  • dar la compañía de seguros los datos de los voluntarios de la asociación.

Puede parecer atemorizador, atendiendo a que las sanciones se han endurecido.

Esto va a afectar a las asociaciones o entidades sin ánimo lucrativo, que trabajan con cantidades ingentes de datos, no a asociaciones pequeñas.

El sentido de la nueva regulación es adaptar las medidas de protección de datos a los riesgos reales de cada entidad, en lugar de dictar normas fijas de cumplimiento formal.

Principales actuaciones a tener en cuenta

Así que tendremos que tener en cuenta, como mínimo, cómo debe ser el consentimiento para el tratamiento de los datos, el análisis de riesgos y las medidas de seguridad.

Las principales actuaciones que debe realizar tu asociación para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los socios
  5. Incluir los textos legales en la página web (sigue leyendo)
  6. Realizar un Análisis de riesgos
  7. Establecer las correspondientes medidas de seguridad.
  8. Notificar brechas de seguridad
  9. Nombrar un DPD, en caso de que sea necesario.
pagina web de las asociaciones

¿ Y si tenemos página web?

Página web

Si operas online, debes incluir en la página web los textos exigidos por la normativa de protección de datos, y la Ley de Sociedad de la Información:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tedrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia Ley de la Sociedad de la Información. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

Otras cuestiones:

¿Dispones del consentimiento expreso de los socios para enviarles comunicaciones comerciales a través de email?

Se considera prohibido el envío de publicidad o comunicaciones comerciales vía e-mail.

También se considerarán ilegales los envíos comerciales a direcciones de correo electrónico disponibles en Internet o en bases de datos compradas.

Para poder enviarlas es necesario el consentimiento de los afectados. Resolución AEPD R/00819/2018

¿Puedo instalar cámaras de videovigilancia que graben la vía pública?

La normativa de protección de datos prohíbe las grabaciones en zonas públicas o en lugares en los que pueda verse afectada la intimidad de las personas, como baños o vestuarios. Resolución AEPD R/03057/2017

¿Puedo publicar en Internet fotografías realizadas en actividades de la asociación?

No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los afectados.

La publicación en una página web de fotografías constituye una cesión o comunicación de datos de carácter personal.

La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”.

Y requiere el consentimiento del afectado.

¿Puede un socio pedir información que afecte a otros socios?

Será necesario, para que los socios puedan obtener el listado con los nombres de otros socios, que cada uno de ellos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.

El hecho de formar parte de una Asociación implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier socio que lo solicite pueda disponer de un listado de socios, el hecho de que se le facilite será legítimo.

Asimismo, si existe una Ley que ampare esa cesión de datos, en el sentido de permitir que los socios puedan acceder a la información solicitada, la cesión de datos será legal.

¿Qué pasa con los voluntarios que trabajan en la Asociación?

Los voluntarios, aunque no tienen un contrato laboral, se consideran como empleados a efectos de la normativa de Protección de Datos.

Por tanto, deben firmar también el acuerdo de confidencialidad previsto para los empleados.

Las asociaciones han de cumplir estrictamente con la protección de los datos que manejan, especialmente si controlan información sensible, relativa a enfermedades u orientaciones sexuales.

Por ello deben garantizar a sus socios que sus datos personales no serán usados para finalidades distintas de aquellas para las que se recogieron ni van a cederse a personas no autorizadas.

¿Dónde almacenan la información las asociaciones?

La localización de la información también es importante.

Hasta el momento, lo más normal era encontrar datos de los socios en el entorno físico: en una libreta, en carpetas o achivadores.

Ahora el personal tiene que saber dónde se encuentran los datos de los socios.

Si se toman datos en soportes físicos, debe decidirse y avisar sobre cómo se efectuará la eliminación de los datos.

Por el contrario, si se obtiene información por medio de un sitio online, entonces debe elegirse una solución o servicio informático que cifre los datos y los almacene de forma segura.

Posiblemente, esto último sea lo más difícil de todo el proceso, ya que hoy en día hay miles de herramientas que proveen servicios, pero que no siguen unos estándares de protección.

En el caso de que los datos se almacenen en un servicio en la nube, se ha enseñar a los empleados a crear contraseñas fuertes.

Por eso, es importante que las asociaciones formen a su personal sobre los potenciales riesgos informáticos y de qué manera afrontar un posible ciberataque.

consentimiento explícito

Adapta cuanto antes tu asociación a la normativa sobre Protección de Datos.

Es tu responsabilidad.


logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *