Las asociaciones sin ánimo de lucro manejan una gran cantidad de datos, tanto de socios como de proveedores, colaboradores o empleados, por lo que deben cumplir también las obligaciones de las empresas respecto a la protección de datos. Para ello debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.
¿Qué datos personales manejas en tu asociación?
Cada vez que un usuario te deja sus datos para hacerse socio o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos para asociaciones y ONG.
Lo primero que debes tener en cuenta respecto a cumplir con la ley de protección de datos para asociaciones sin ánimo de lucro es qué tipo de datos se manejan en ella y qué cantidad.
En ese registro debes incluir la siguiente información:
Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.
Los tratamientos más habituales en las asociaciones son:
Cada vez que contratas una gestoría para llevar los temas fiscales o laborales o si tienes una empresa informática que realiza el mantenimiento de los equipos en la asociación.
Estos son los Encargados de tratamiento.
Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el socio sepa qué datos suyos se recopilan a través de estas páginas.
Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
¿Qué tiene que incluir ese contrato? ¿lo sabes?
Como mínimo debe establecerse:
Es posible que en la asociación tengas contratados empleados. O haya voluntarios.
Los empleados tienen acceso a toda la información y datos que maneja la asociación y, por tanto, deben firmar un acuerdo que garantice la confidencialidad para evitar que esa información sea revelada a personas no autorizadas.
También deben cumplir las medidas de seguridad establecidas para garantizar la protección de los datos de la ONG o asociación.
En las asociaciones los empleados disponen de un correo electrónico para comunicarse entre ellos y con socios y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
Además de actualizar la política de privacidad, tu asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos, si necesitas una plantilla de este documento, aquí tienes un modelo de consentimiento de protección de datos para tu ONG o asociación, podrás descargarlo y editarlo según tus necesidades.
Para cumplir correctamente con la LOPD la asociaciones deben contar con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).
En él deben informar claramente de:
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.
¿Y cómo se hace?
Una buena opción sería enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
Si tu asociación sin ánimo de lucro opera online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:
Este es el documento donde se identifica al propietario de la página web.
En él debes incluir:
Debes poner un enlace visible a este texto desde cualquier página de la web.
Es importante revisar la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrás que informar expresamente de:
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web.
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
Presta atención porque esto es importante.
En la asociación debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:
Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.
Es frecuente que las asociaciones almacenen datos sensibles de sus socios, como datos de salud, políticos o sindicales. En ese caso necesita realizar la Evaluación de impacto debido a que, por el tipo de datos que maneja, existe un riesgo alto para los derechos y libertades de los afectados.
Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.
Una de las obligaciones que establece el RGPD es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción en la asociación, lo ideal es que estés prevenido con un plan de respuesta ante incidentes.
Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
Para la mayoría de las asociaciones no es obligatorio nombrar un Delegado de Protección de datos, ya que no están dentro de los supuestos en los que así lo exige el RGPD.
En cualquier caso, cada asociación deberá analizar si en su caso procede el nombramiento del DPO, porque realicen un tratamiento a gran escala de categorías especiales de datos personales, por ejemplo, o porque así lo decidan voluntariamente para asegurar el buen cumplimiento de la norma.
El registro de actividades de tratamiento incluye la cantidad y tipo de datos que manejamos.
Si cedes datos a terceros (temas fiscales, laborales, informática...) debes firmar un contrato con los encargados del tratamiento.
Además de informar de la política de privacidad, debes obtener consentimiento expreso de los socios.
Si eres de los que prefiere un resumen en papel, aquí tienes para que te puedas descargar el archivo PDF con los datos más importantes sobre el cumplimiento de la RGPD para las organizaciones sin ánimo de lucro y asociaciones.