¿También las asociaciones deben aplicar la ley de protección de datos? La respuesta es clara: desde el momento en el que tienen una lista de sus asociados con datos, sí. Y, por lo tanto, esto afecta a casi todas las organizaciones de este tipo, que incluyen desde un AMPA hasta una ONG.
De hecho, esta nueva normativa afecta a grupos tan variados como una entidad mercantil, autónomos, asociaciones, ONGs, Comunidades de Vecinos o una Administración u organismo público.
Por lo tanto, las asociaciones sin ánimo de lucro y las ONGs están obligadas a cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2016 y que es aplicable a partir de mayo de 2018.
Una obligación que es la misma exactamente que la de cualquier otra entidad e institución que maneje datos de carácter personal.
¿Cómo se aplica el RGPD en las asociaciones?
El RGPD incide en la necesidad de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el reglamento.
Para ello, las asociaciones deben analizar qué tipo de datos tratan para, a partir de allí, asegurarse de que cumplen las medidas adecuadas para tratarlos tal y como la ley prevé. Hay que tener en cuenta que no será lo mismo el tratamiento de una Asociación de Madres y Padres o de una de vecinos que el de una asociación que trabaja con datos de antecedentes penales, académicos o de salud.
Una vez que se ha determinado en qué partes afectará la ley, hay que cumplir unas funciones básicas. Entre las más importantes:
- Informar al interesado: en los formularios y en los registros web hay que explicar al usuario qué datos se van a tratar, quién se responsabilizará de ellos y cómo pueden ejercer sus derechos.
- El consentimiento debe ser inequívoco: el consentimiento debe prestarse mediante una manifestación del interesado o una clara acción afirmativa. No se admite el consentimiento tácito o la omisión, ya que se basan en una inacción.
Para un asesoramiento sobre el RGPD, no dudes en ponerte en contacto con los profesionales de Goya Soluciones.
¿Qué necesitan las asociaciones para proteger los datos? Preguntas frecuentes
¿Es necesario un DPO en las asociaciones?
La presencia del Delegado de Protección de Datos (DPO), interno o externo, dependerá de los datos que trate la asociación. Cuando se trabaja con datos complejos, sensibles o un gran volumen de ellos es recomendable pensar en ser asesorado por esa figura para el cumplimiento normativo. En Goya Soluciones Informáticas podemos ayudarte con toda la información necesaria son el Delegado de Protección de Datos.
¿En qué consisten las evaluaciones de impacto sobre la privacidad?
Estas evaluaciones van en la línea del trabajo interno de análisis del tratamiento de datos que deben hacer las organizaciones y asociaciones. En estas evaluaciones deben determinar los riesgos específicos que supone tratar ciertos datos de carácter personal y tomar las medidas necesarias para cumplir con la ley.
¿Qué hacer si se produce una brecha de seguridad?
Si hay una brecha de seguridad que pueda poner en riesgo los datos de los asociados, la situación debe ser comunicada a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. En los casos más graves, también a los afectados.
¿Qué son los datos sensibles?
Estos datos incluyen ahora también los datos genéticos, biométricos, las infracciones y las condenas penales.
¿Existen sanciones para las asociaciones?
Además de la garantía que supone tener este control para la confianza de los usuarios y la seguridad jurídica de las asociaciones, cumplir la ley también evita las posibles sanciones. Estas multas pueden llegar hasta los 20 millones de euros y el 4 % de la facturación global anual.
