Las asociaciones también deben cumplir con la nueva LOPD. Por lo general las asociaciones suelen ser entidades sin ánimo de lucro. Esto genera cierta controversia sobre la obligatoriedad de acogerse a las normativas en materia de protección de datos. Desde Aquino Pérez y Asociados te vamos a sacar de dudas.
Todas las asociaciones deben cumplir con la ley de protección de datos personales estén en España o en el resto de Europa. En el caso de España, son tres los documentos de obligado cumplimiento. No importa si se trata de una asociación de vecinos, una asociación de enfermos de una patología o una asociación estudiantil, en todos los casos se debe de proteger y custodiar los datos que se manejan.
Asociaciones y LOPD
Las normas que deben seguir las asociaciones españolas varían en función del sector en el que se muevan y el tipo de datos que recojan. No obstante, estas tres normativas son esenciales:
- Nueva LOPD: ahora conocida como LOPGDD (Ley Orgánica de Protección de Datos Personales y Garantías de Derechos Digitales).
- RGPD: Reglamento Europeo de Protección de Datos, que lleva funcionando ya un año en la Unión europea.
- LSSICE: Ley Orgánica de Servicios de la Sociedad de la Información y el Comercio Electrónico.
La última ley solo es aplicable en aquellos casos en los que se recogen datos a través de plataformas digitales. ¡El correo electrónico es un servicio digital!
En Aquino Pérez y Asociados analizamos detalladamente cada sector, con el fin de determinar la legislación que se debe aplicar y garantizarte una adaptación segura a las normas vigentes. Esto es muy importante, debido a que cualquier error puede conllevar una sanción económica nada despreciable.
¿Qué datos se recogen en asociaciones?
Tanto el RGPD como la nueva LOPD establecen que se debe de llevar a cabo un Registro de Actividades de Tratamiento (RAT). Este documento viene a sustituir a los antiguos ficheros que se debían registrar en la AEPD (asociación española de Protección de Datos) y al famoso documento de seguridad. Se trata de un documento obligatorio, que debe de estar actualizado. Ten en cuenta que te lo pueden solicitar en cualquier momento.
En este registro es importante indicar los tipos de datos que almacena la asociación, la finalidad de su recogida, los usos que se le va a dar, el tratamiento por parte de terceros, etc. Un profesional cualificado es imprescindible para cumplimentar este documento con éxito y asegurarte todas las garantías.
En las asociaciones se recogen y custodian muchos datos personales. Los más comunes son los datos de socios y proveedores, información para facturar, datos de empleados y voluntarios y currículums de aspirantes, entre otros.
Cada persona que te ceda sus datos lo debe de hacer con conocimiento de causa y tras una información expresa por tu parte. Es importante que tenga claro qué finalidad tiene cada dato y el uso que le vas a dar. El consentimiento ha de ser para cada uno de los fines, si son distintos.
Custodia y conservación de los datos personales
Las asociaciones, como cualquier otra entidad o empresa que recoge y almacena datos, están obligadas a custodiar esta información con esmero. Esto implica la firma de diferentes contratos, tanto con los encargados de tratamiento, como con empleados y voluntarios.
El encargado de tratamiento es cualquier persona que tenga acceso a los datos de nuestros usuarios. Tu asesoría, el bufete de abogados, tu servicio de marketing, etc. seguro que acceden a esta información sensible. Mediante la firma del contrato legal estás cumpliendo con las normas aplicables.
En el caso de empleados y voluntarios, es imprescindible la firma de un contrato de confidencialidad. ¿Los voluntarios también? ¡Claro! En el sector de las asociaciones se aplican las mismas normas para los trabajadores en nómica y para los voluntarios. Es decir, tanto la LOPDGDD, como el RGPD, exigen que ambas figuras estén informadas y mantengan la confidencialidad.
Tu deber como asociación es recoger, registrar y custodiar los datos que recibes con todas las garantías que marca la ley. Obviamente, también debes tener claro el plazo de conservación de esta información.
Destrucción de los datos almacenados
El tiempo que debes conservar los datos personales de tus socios, proveedores y demás depende del tipo de datos que se han recogido y la finalidad que tienen. Según las normativas aplicables en materia de protección de datos tienes la obligación de conservar la información hasta el momento en que ya no te sean útiles. Es decir, cuando hayan cumplido su finalidad deben de ser destruidos.
Pero ¡ojo! la destrucción de los datos personales debe de ser adecuada y controlada. Existen herramientas (físicas y digitales) que nos permiten optimizar estos procesos. Dependiendo de factores, como el tipo de soporte en el que se encuentran los datos, deberemos tomar unas medidas u otras.
Algunos datos, por ejemplo, los referentes a contabilidad deben de almacenarse durante al menos 5 años. Aquí interfieren otras legislaciones sectoriales, que también se deben cumplir.
Brechas de seguridad y el cumplimiento de la ley
Si detectas cualquier brecha de seguridad en el uso de los datos personales que almacenas en la asociación, tu obligación es notificarla. Esto debe de hacerse en un plazo máximo de 72 horas. La notificación ha de llegar tanto al afectado como a la AEPD.
El cumplimiento de la ley de protección de datos española y el RGPD europeo es de obligado cumplimiento para todas las asociaciones sin ánimo de lucro que recogen datos de ciudadanos españoles, europeos o residentes en territorio europeo.
Con el fin de garantizar una adaptación de calidad al RGPD, la LOPDGDD y la LSSICE, te recomendamos que pongas a tu asociación en manos de expertos en protección de datos. El asesoramiento físico es clave para cumplir con la normativa y evitar sanciones. Ten en cuenta que las sanciones se han endurecido considerablemente.
En Aquino Pérez y Asociados te brindamos toda nuestra experiencia para ayudarte a cumplir con las leyes en materia de protección de datos. ¡Llámanos y te informamos de nuestros servicios!
Buenas tardes, un grupo de compañeros hemos creado una asociación relacionada con una enfermedad poco común. Nos gustaría saber que necesitamos para cumplir con la LOPD, y para que en un futuro se puedan incorporar mas socios cumpliendo con la ley. También si ya se puede hacer todo online. Muchas gracias.
Estimada Silvia.
La ley orgánica y el reglamento europeo de protección de datos establecen obligaciones para todas las entidades que hagan uso de datos personales de personas física, incluidas las asociaciones. Estas obligaciones legales son aún más relevantes cuando están involucrados datos de salud de las personas físicas (como podría ser vuestro caso al realizar el tratamiento de información de una enfermedad).
Entre algunas de las obligaciones estarían:
– el deber de información sobre el tratamiento que se realizará de los datos (políticas de información no genéricas.
-Realizar una análisis de riesgo o evaluación de impacto sobre el tratamiento.
– Diseñar medidas de seguridad que mitiguen posibles violaciones de seguridad que pudieran vulnerar la privacidad de vuestros asociados.
Entre otras que son de obligado cumplimiento y que se determinarían tras un análisis en concreto de la asociación y la labor que realizáis.
Cumplir con esta normativa es un trabajo en equipo y se debe hacer atendiendo a las particularidad de cada caso, llámanos 693 618 928 (sin compromiso)y resolvemos todas las dudas que os surjan como asociación.
Un saludo.
Buenas, nosotros tenemos el AMPA, Asociación de Madres y Padres de un colegio, tenemos la obligación de tener contratado la LOPD?, tenemos un contrato con una gestoria, los padres se quejan de que tengamos que pagar esto y quieren darlo de baja, no se si para un colegio es obligatorio tenermo
Buenas tardes Maribel,
Los AMPAs al igual que cualquier organización que tenga acceso a datos personales para su funcionamiento tienen que implementar medidas de seguridad que garanticen que se hace un correcto uso de los datos personales.
Los AMPA, tienen una especial situación al involucrar también datos personales de menos de edad.
¿Es necesario tener el servicio contratado? Lo importante es que tengáis bien establecido el procedimiento que garantice que hacéis un uso adecuado de los datos (incluidas imágenes/videos). Y que tengáis a una persona que se haga responsable de garantizarlos y supervisar ese tratamiento.
Se puede impartir una formación especifica a las personas responsable del tratamiento de los datos, y dejaros establecidos unos procedimientos concretos, y a partir de ahí vosotros decidís si lo hacéis vosotros mismos, o preferís que lo gestione un profesional externo.
Espero haber respondido tu duda. Quedo a tu entera disposición.
Saludos.
Hola muy buenas, tenemos una asociación cultural y registramos los datos manualmente, existen app y protejan los datos como establece en
la Lssice?
Hola Sergio,
Lo importante en vuestro caso sería valorar cómo manejáis la informacion y a partir de aplicar configurar las medidas oportunas para protegerla. Podría ser un sistema de gestion o bien medidas fisicas donde conservar adecuadamente esos formularios que recogéis a mano.
Lo que es sí es obligatoria es cumplir con el deber de información previo a la recogida de los datos, y luego proteger adecuadamente todos esos datos.
Gracias por tu consulta. Recibe un cordial saludo.
Hola buenos días …
Estoy en una asociación cultural que forman tanto mayores de edad como menores y quería que me pudierais aclarar una circunstancia.
Las personas que llevan a cabo el tratamiento de datos, tienen que estar identificadas, estar formadas y sobre todo, tienen que haber firmado el contrato de confidencialidad ? Me gustaría mucho que me pudierais contestar a esta cuestión porque si es así, procederé a informar a la AEPD.
Saludos, Gonzalo
En las asociaciones también se debe cumplir con el deber de información previa a la recogida de los datos personales. Informarse la identidad de quién (responsable del tratamiento) y para qué (finalidad) se usaran los datos que se solicitan. Así como de los derechos en materia de protección de datos.
Respecto a las personas que tienen acceso a esos datos, es recomendable sí que tengan una formación sobre su deber de confidencialidad y es recomendable que existe un protocolo de actuación de cómo se deben tratar los datos personales que se gestionan en la asociación.
Gracias por tu consulta. Recibe un cordial saludo,
Hola buenas noches! Una consulta, soy vocal del AMPA, puede la directiva del AMPA publicar mis datos (nombre y apellidos) sin mi consentimiento en redes sociales?
Hola Mara,
gracias por realizarnos esta consulta.
Los datos que recoge la AMPA solo pueden ser utilizados para los fines que fueron recogidos. Al momento de recoger cualquier dato personal, la ley obliga a informar cuál es la finalidad (uso) que se hará de dichos datos.
Todos los usos que se pretendan realizar de los datos recogidos deben ser previamente informados a su titular, y además, debe estar justificado legalmente.
Espero haberte ayudado.
Un saludo,
Paola
Después de registrada una asociacion, que tiempo tengo para contratar la protección de datos?//
Hola María,
Gracias por realizarnos tu consulta.
Una vez registrada la asociación yo te recomiendo que inmediatamente contratéis el proyecto de adecuación al RGPD, porque es importante que tengáis la política de privacidad con las que se van a tratar todos los datos personales que recojáis durante el funcionamiento de la asociación desde el primer momento.
Recuerda que previo a la recogida de datos personales se debe cumplir con la obligación de información. Poner a disposición de las personas físicas toda la información sobre quién recoge sus datos, para qué los recogen, qué usos se les darán, así como la política de supresión que tendrán. Además, de establecer desde el inicio cuáles serán las medidas de seguridad que se tomarán para proteger los datos que estén bajo la responsabilidad de la asociación.
Espero haber resuelto tu duda.
Si necesitas cualquier otra ayuda, vuelve a escribirnos.
Un saludo,
Paola Aquino