Consultas Online
¿En qué consiste la normativa específica que regula la protección de datos personales de las asociaciones?
15.11.20
Hola,
Somos una asociación de Voluntariado. Teniendo en cuenta que los datos que nosotros tenemos son los que nos proporcionan directamente los titulares, necesitaría saber si estamos en la obligación de hacer algo relacionado con el tema de la ley de protección de datos.
Gracias
Respuestas
Aportada por:
Abogado laboralista ejerciente. Especialista en derecho laboral, seguridad social y prevención de riesgos laborales.
Trabaja en:
Asesor particular
15.11.20
Buenas tardes,
En el caso que apuntas, debéis tener en cuenta lo siguiente:
Garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales, reflejada en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de Garantía de Derechos Digitales (LOPD GDD)y en el Reglamento (UE)2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD).
En el tratamiento de datos personales, debéis aplicar los siguientes principios que se ajustan a las exigencias del nuevo reglamento europeo de protección de datos:
1.- Principio de licitud, lealtad y transparencia: se requerirá siempre el consentimiento del titular para el tratamiento de sus datos personales que puede ser para uno o varios fines específicos sobre los que se informará previamente con absoluta transparencia al titular.
2.- Principio de minimización de datos: Se solicitará solo los datos estrictamente necesarios para el fin o los fines para los que se solicitan.
3.- Principio de limitación del plazo de conservación: Los datos se mantendrán durante el tiempo estrictamente necesario para el fin o los fines del tratamiento.
4.- Debéis informar del plazo de conservación correspondiente según la finalidad. En el caso de suscripciones, se revisará periódicamente las listas y eliminará aquellos registros inactivos durante un tiempo considerable.
5.- Principio de integridad y confidencialidad: Los datos serán tratados de tal manera que su seguridad, confidencialidad e integridad esté garantizada.
Debéis igualmente tomar las precauciones necesarias para evitar el acceso no autorizado o uso indebido de los datos de sus titulares por parte de terceros.
Debéis informar a los titulares de los datos que pueden ejercitar sus derechos de acceso, rectificación, cancelación, portabilidad y oposición, mediante escrito o e-mail.
Un saludo
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
16.11.20
En relación con la consulta planteada, paso a informarles lo siguiente: en primer lugar, la normativa especifica que regula la protección de datos personales de las asociaciones viene dada por las siguientes disposiciones:
-REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de plena aplicación a partir del día 25 de mayo de 2018, conllevando a que, en dicha fecha, dejara de ser de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
-Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
-Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En cuanto a la normativa sectorial de la protección de datos personales relativas a las asociaciones, la misma viene establecida por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Sentado lo anterior, las entidades no lucrativas, entre ellas, las asociaciones, manejan una ingente cantidad de datos personales, de socios, empleados de las mismas, proveedores, etc., debiendo de haberse adaptado con fecha 25 de mayo de 2018 al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante, RGPD).
Al respecto, las principales actuaciones que debe haber realizado una entidad no lucrativa para adaptarse al RGPD son, “a grosso modo”, las siguientes:
I-Realizar un Registro de actividades de tratamiento, debiendo de tenerse en cuenta qué tipo de datos personales se manejan en una asociación, debiendo incluir la siguiente información:
-Tipo de datos almacenados
-Finalidad
-Legitimados
-Política de almacenamiento de esos datos
-Si se realizan cesiones o transferencias internacionales
-Medios a través de los que se realiza el tratamiento de datos personales.
Este registro de actividades de tratamiento de datos personales debe mantenerse siempre actualizado.
Los tratamientos más habituales en las asociaciones, entre otros, son los siguientes:
-Asociados
-Proveedores
-Contabilidad
-Recursos Humanos
-Curriculum
-Videovigilancia
II.- Contratos con Encargados de tratamiento
Cada vez que una entidad no lucrativa formaliza un contrato con terceros, v.gr., con una asesoría fiscal para llevar los asuntos fiscales o laborales, junto con el hecho de disponer de un registro de actividades de tratamiento, deberá de disponerse de una lista de esos terceros, entiéndase, gestorías administrativas, asesorías fiscales, empresas de informática, etc., los cuales deben de cumplir también la normativa vigente en materia de protección de datos personales, debiendo de tener seguridad estos terceros de qué datos personales suyos se recopilan a través de esas listas.
Para ello, es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan, debiendo incluirse en el contenido de dicho contrato lo siguiente:
-Objeto, la duración, la naturaleza y la finalidad del tratamiento,
-Tipo de datos personales,
-Categorías de interesados, y obligaciones y derechos del responsable.
III.-Acuerdo de confidencialidad con empleados de la asociación. En el caso de que la entidad asociativa tenga formalizado contratos laborales con sus trabajadores, o haya voluntariado en el seno asociativo, los mismos tienen acceso a toda la información que maneja la asociación y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
Así pues, en las asociaciones los trabajadores de la misma deberán disponer de un correo electrónico para comunicarse entre ellos y con socios y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
IV.-Consentimiento de socios. Además de tener actualizada la política de privacidad, una asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos personales.
En la asociación deberá de contarse con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento de datos personales (máxime si se van a tratar datos sensibles). En él deben informar claramente de:
-datos del responsable del tratamiento (es decir, de la asociación),
-finalidad concreta del tratamiento,
-tiempo que se conservarán,
-destinatarios si los hay y si se ceden los datos a otras entidades,
-transferencias de datos internacionales si se realizan,
-derechos de los afectados y cómo se pueden exigir estos y
-datos del Delegado de Protección de datos si la asociación debe contar con uno o así lo ha decidido.
Al hilo de lo establecido, uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar, siendo una buena opción enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
V.-Página web. Si la asociación opera de forma online, deberá incluirse en la página web los textos exigidos por el RGPD, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, a saber:
V.I.-Aviso legal: Este es el documento donde se identifica al propietario de la página web. En el mismo deberá incluirse:
-Nombre del propietario
-CIF / NIF
-Dirección
-Email
-Debes poner un enlace visible a este texto desde cualquier página de la web
V.II.-Política de privacidad. Es de suma importancia llevar a cabo la revisión de la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrá que informar expresamente de: existencia de un tratamiento de los datos que se le están solicitando; finalidad; destinatario o destinatarios de aquella información; legitimación para el tratamiento; plazo de conservación de los datos; identidad y dirección del responsable del tratamiento de los datos y posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web asociativa.
V.III.-Política de cookies. Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
En consecuencia, si la web asociativa incluye algo de lo anteriormente referido, deberá cumplirse con dicha política de cookies, la cual viene regulada en la la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
En lo que concierne a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, publicada en el BOE núm. 294, de 6 de diciembre de 2018 y con entrada en vigor el día 7 de diciembre de 2018, derogando la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sin perjuicio de lo dispuesto en la disposición adicional decimocuarta y en la disposición transitoria cuarta de la Ley Orgánica 3/2018, de 5 de diciembre.
Pues bien, la nueva normativa, que adapta el derecho español al modelo establecido por el RGPD, introduce novedades mediante el desarrollo de materias contenidas en el mismo:
-Dicha Ley Orgánica 3/2018 facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
-Otro de los aspectos novedosos incluidos en la Ley Orgánica 3/2018 es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
-En cuanto a los menores, la Ley Orgánica 3/2018 fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
-La Ley Orgánica 3/2018 refuerza las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un Proyecto de Ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.
-La Ley Orgánica 3/2018, regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
-De igual forma, en dicha Ley Orgánica 3/2018, se recogen los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, dicha Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
-A lo anterior, cabe añadir que la Ley Orgánica 3/2018 actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
-Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley Orgánica 15/1999, de 13 de diciembre, no existía una cantidad mínima.
-Por último, se modifica la Ley Ley 3/1991, de 10 de enero, de Competencia Desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.
Con todo lo anterior, tal como refiere en la solicitud de consulta, en los supuestos en los que los asociados de vuestra entidad puedan tener un interés legítimo en conocer quiénes son sus compañeros (a la hora de reunir suficientes votos para convocar una Asamblea, incluir puntos en el orden del día o presentarse como elegible a su órgano de administración) lo suyo es que todos los extremos relativos a información a los asociados y consentimiento de forma expresa de los mismos´deban de venir incluidos en los artículos relativos a los derechos y deberes de los asociados de vuestra norma estatutaria, tal como acaece en los arts. que nos reproduce.
Al respecto, para una mayor claridad sobre el asunto en cuestión le remito en archivo adjunto los estatutos de una asociación donde podrá comprobar la inserción de los datos personales en sus arts. 8 y 9.
Espero haberles ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com