Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Ever Flores

¿Cómo puede una ONG adaptar la ley de protección de datos a sus necesidades?

20.03.18

Hola:

Quisiera que nos recomendaran cómo adaptar la ley de protección de datos a la entidad y si conocen alguna entidad que se dedique a realizar su aplicación en ONG.

Gracias.

Compárte en las redes sociales

Respuestas

avatar
#1

Aportada por:

Carolina Bardisa

Consultora tecnológica de CiviCRM en Ixiam Global Solutions www.ixiam.com

Trabaja en:

Asesor particular

21.03.18

Hola Ever,

Todo depende de qué tipo de datos recoja y cómo lo haga vuestra organización. Se deben tomar ciertas medidas de cara a la nueva ley de protección RGPD, que se explican en el documento que te adjunto elaborado por la Agencia Española de Protección de Datos.

Entre otras cosas hay que incluir en todos los formularios web,en papel u otros un aviso informativo en el que es explique brevemente quién es el responsable de la recogida los datos (nombre de la organización), con que fin (para qué los va a utilizar), qué legitima esa recogida (consentimiento expreso, un contrato…), a quién se va a proporcionar esa información (proveedores de tratamiento de datos, bancos y cajas, Agencia Tributaria…), si los encargados del tratamiento de datos se encuentran dentro o fuera de la UE y si están fuera si se acogen a algún tipo de acuerdo que cumpla con la RGPD y los derechos de modificación, rectificación y supresión entre otros de los datos. Además se debe incluir un enlace a una segunda capa de información que complete esta primera capa.

En los formularios la opción de envío de publicidad o información debe ir separada de la aceptación de la protección de datos y no puede estar premarcada.

El uso de un CRM que permita gestionar la privacidad de comunicaciones es muy útil para segmentar qué contactos quieren ser contactados y cuáles no y respetar así la RGPD.

El resto de medidas las puedes encontrar en el documento que adjunto.

Espero haberte podido ayudar.

Un saludo,

Carolina

Esta aportación tiene un documento que la complementa. ¡Descárgalo!

avatar
#2

Aportada por:

Valentín Playá Serra

Abogado y especialista en Tecnologias de la Informacion

Trabaja en:

Asesor particular

21.03.18

Ever,

si vuestra asociación recoge datos de salud teneis que ser muy cuidadosos. Supongo que no que solo teneis socios y personas interesadas y que los datos de salud se quedan en el ámbito clínico.

Es importante como te dice mi compañera que desde que se recogen los datos se indique que se va a hacer con ellos y quien es el responsable. Hay que saber quien tiene el acceso a los datos, donde están almacenados, y las demás obligaciones que encontrarás en la web de la agencia de protección de datos.

Lo más importante es tener claro que los datos son de la persona y nadie puede hacer nada con ellos que no lo haya autorizado el titular.

Si cuando leas la información te surge alguna duda por favor pregúntanos.

Saludos,

avatar
#3

Aportada por:

Julio Hurtado

Millennium Sistemas - Asesoría Tecnológica

Trabaja en:

Asesor particular

21.03.18

Nosotros somos especialistas en LOPD

avatar
#4

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

29.03.18

Hola Ever: en relación con la consulta planteada, paso a informarle lo siguiente: en línea con lo que le trasladan mis compañeros de portal, tu entidad no lucrativa debe de tener en cuenta que el 25 de mayo de 2018 será plenamente aplicable el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el cual entró en vigor el pasado 25 de mayo de 2016, aunque su aplicación efectiva no se producirá hasta mayo de 2018.
Ello conllevará que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, deje de estar en vigor en la fecha antedicha, a la espera de que se apruebe una nueva ley orgánica que recoja la normativa de protección de datos personales que deberá seguirse a partir del citado mes en la actualidad, existe un Proyecto de Ley Orgánica de Protección de Datos Personales, el cual se encuentra pendiente de aprobación por las Cortes Generales, siendo el deseo de que dicho Proyecto de Ley se apruebe por el poder legislativo y entre en vigor precisamente el 25 de mayo de 2018. De lo contrario, es decir, en caso en que el día 25 de mayo de 20189 no entre en vigor dicho Proyecto de Ley que se está tramitando en las Cortes Generales, de suyo, las entidades no lucrativas deberán atenerse a lo dispuesto en el Reglamento 2016/679. Por este motivo, es importante conocer la nueva regulación de protección de datos.
Estas dos nuevas normativas, es decir, el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como el Proyecto de Ley Orgánica de Protección de Datos Personales, el cual se encuentra en tramitación parlamentaria, plantean un nuevo modelo de protección de datos, pasando de un modelo de gestión de datos a un modelo de gobierno responsable de la información. Se trata de un modelo en el que debe pensarse en el riesgo que puede generar atendiendo al tipo de ONG asociación, fundación, etc. y de los datos que maneja.
Al respecto, el citado Reglamento 2016/679, en su artículo 4, aporta las siguientes definiciones:
• Datos personales. Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
• Tratamiento. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Este mismo artículo, afirma que los datos personales serán (art. 4 del Reglamento 2016/679):
• Tratados de manera lícita, leal y transparente en relación con el interesado.
• Tratados con fines determinados, explícitos y legítimos.
• Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Exactos y, si fuera necesario, actualizados.
De estas consideraciones, debemos tener en cuenta los siguientes aspectos:
• Hay que informar al titular del dato sobre qué se está haciendo con él.
• En cuanto al consentimiento, debe entenderse como el título habilitante que legitima el uso de datos. El titular de los mismos debe dar, de manera expresa, su consentimiento.
• El dato se recoge para una determinada finalidad, esto es, para un objetivo concreto. Es decir, no puede usarse con otro fin siempre que no se haya informado previamente al titular del mismo, y de manera expresa, que podrá ser utilizado de diferente manera. Ejemplo: si se recaban datos con objeto de invitar a una serie de personas a una conferencia, esta información sólo podrá usarse para tal fin. En caso en que en la comunicación no se haya indicado expresamente que los datos se podrán utilizar para contactar al titular de los mismos para enviar información general de la ONG, no se podrá hacer esta comunicación debido a que no existe consentimiento expreso por su parte.
• Calidad del dato. No se puede pedir ni más ni menos que la información necesaria para llegar a la finalidad para la que se recaba el dato. Este principio también hace referencia a la situación real del dato, es decir, si está actualizado.
• Seguridad. Si los datos no son tratados de manera segura, se pueden perder y, con ello, el titular pierde el control sobre sus informaciones. Ejemplo: si se guarda información confidencial en un pendrive y este no tiene clave de acceso, este dispositivo se puede perder quedando a disposición de terceros estos datos.
En el artículo 9 del Reglamento 2016/679, se hace referencia al tratamiento de categorías especiales de datos personales. Es decir, datos especialmente protegidos que se refieran a condiciones religiosas o datos sobre la salud de los titulares de los mismos en la cual, entiendo que se encuadra vuestra entidad no lucrativa por los fines de la misma.
Este precepto establece que se podrá hacer uso de estos datos si “el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados”.
Con el nuevo Reglamento europeo se pasa a hablar de responsabilidad proactiva. En su artículo 24 se destaca que, “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”.
En este sentido, será el responsable del tratamiento del dato el encargado de identificar los mecanismos más adecuados para asegurar la protección del dato, teniendo en cuenta el tipo de información que se va a manejar.
También se hace referencia a la evaluación de impacto. El artículo 35 establece que “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”.
Esta evaluación debe efectuarse, como medio de prevención, antes de recabar los datos de las personas particulares. Sirve para conocer las medidas necesarias para garantizar la adecuada seguridad de las informaciones tratadas.
Los artículos 37 a 39 hacen referencia a una nueva figura que crea esta normativa, el delegado de Protección de Datos. Se trata de alguien encargado de supervisar y ayudar al responsable de seguridad sobre el correcto tratamiento de datos. El primer artículo citado fija las situaciones en las que debe contarse con un delegado.
Este profesional independiente deberá ser designado atendiendo a sus conocimientos profesionales relacionados con la materia jurídica y, especialmente con Protección de Datos. Sus funciones aparecen descritas en el artículo 39 del Reglamento. Se citan, entre otras, asesorar al responsable del tratamiento del dato sobre las obligaciones que debe cumplir o supervisar el cumplimiento de lo dispuesto en el Reglamento.
Por último, resta significar que, en cuanto a la existencia de empresas que se dediquen a la adaptación a la nueva normativa de protección de datos personales que entrara en vigor en mayo de 2018, entre otras, cabe citar a ExpertosLOPD® -https://www.expertoslopd.es/empresa-lopd/, despacho profesional especializado en la prestación de servicios de protección de datos y servicios relacionados (registro de marcas, nubes privadas…), a todo tipo de autónomos y empresa, startups y asociaciones  de toda España, siendo un pequeño equipo de personas, con más de 10 años de experiencia y cientos de adaptaciones LOPD realizadas cada año.
Dicho despacho cuenta con departamento de derecho digital y desarrollo web, para la correcta redacción de los textos legales de su página web, blog o tienda online y para asesorarle, si lo desea, en todos los temas legales relacionados con las nuevas tecnologías: Dropbox, Gmail, Mailchimp, Hosting…
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com

solucionesong.org
Un proyecto de