Consultas Online
Consulta formulada por:
RGPD y la Nueva Ley de Protección de Datos y asociaciones
10.01.19
En los supuestos en los que los asociados pueden tener un interés legítimo en conocer quiénes son sus compañeros (a la hora de reunir suficientes votos para convocar una Asamblea, incluir puntos en el orden del día o presentarse como elegible a su órgano de administración) lo suyo es que todos los extremos relativos a información a los asociados y consentimiento de los mismos´esté incluida en los estatutos de la asociación en cuestión… ¿Esto es así).
Y si esto así fuera ¿algo como lo que a continuación reproduzco valdría?.
“Artículo 6.- Podrán ser miembros de la Asociación todas aquellas personas físicas que compartan el objeto central y el ideario de la misma, y acepten los presentes Estatutos.
Los asociados podrán ser de número u honorarios.
Para ingresar como asociado de número de la Asociación, será preciso:
1.- Ser mayor de edad o menor no emancipado de más de catorce años con el consentimiento, documentalmente acreditado, de aquellas personas que deban suplir su capacidad.
2.- Estar en el supuesto enunciado en el párrafo primero de este artículo.
3.- Manifestar el interesado al Presidente de la Junta Directiva, o al que haga sus veces, su interés en ingresar en la Asociación.
...
La Junta Directiva custodiará, debidamente actualizada, la lista de asociados, debiendo facilitar un ejemplar de esta a aquellos asociados que se los soliciten.
Queda, en todo caso, prohibido a la Junta Directiva, el revelar, por cualquier medio, total o parcialmente, a personas ajenas a la Asociación, cualesquiera datos y demás información contenida en la expresada lista de asociados.
...
Artículo 7.- Son derechos de los asociados de número:
...
6.- Poseer un ejemplar de los Estatutos de la Asociación, así como una lista de asociados, debidamente actualizados, respecto de los cuales guardarán estricto secreto y confidencialidad.
Artículo 8.- Son deberes de los asociados de número:
...
5.- Queda expresamente prohibido a los asociados el facilitar a personas, ajenas a la Asociación, un ejemplar de la lista de asociados, así como el revelar a dichos terceros, por cualquier medio, total o parcialmente, cualesquiera datos o información contenida en la expresada lista.
Artículo 9.- Son derechos de las personas que pertenezcan a la Asociación en calidad de miembros honorarios:
...
5.- Poseer un ejemplar de los Estatutos de la Asociación, así como una lista de asociados, debidamente actualizados, respecto de los cuales guardarán estricto secreto y confidencialidad.
Artículo 10.- Son deberes de las personas que pertenezcan a la Asociación en calidad de miembros honorarios:
...
3.- Queda expresamente prohibido a esos asociados el facilitar a personas, ajenas a la Asociación, un ejemplar de la lista de asociados, así como el revelar a dichos terceros, por cualquier medio, total o parcialmente, cualesquiera datos o información contenida en la expresada lista”.
Un saludo y gracias.
Respuestas
Excelente
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
12.01.19
Estimado Manuel: en relación con la consulta planteada, paso a informarle lo siguiente: en primer lugar, la normativa especifica que regula la protección de datos personales de las asociaciones viene dada por las siguientes disposiciones:
-REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de plena aplicación a partir del día 25 de mayo de 2018, conllevando a que, en dicha fecha, dejara de ser de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
-Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
-Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En cuanto a la normativa sectorial de la protección de datos personales relativas a las asociaciones, la misma viene establecida por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Sentado lo anterior, las entidades no lucrativas, entre ellas, las asociaciones, manejan una ingente cantidad de datos personlaes, de socios, empleados de las mismas, proveedores, etc., debiendo de haberse adaptado con fecha 25 de mayo de 2018 al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 (en adelante, RGPD).
Al respecto, las principales actuaciones que debe haber realizado una entidad no lucrativa para adaptarse al RGPD son, “a grosso modo”, las siguientes:
I-Realizar un Registro de actividades de tratamiento, debiendo de tenerse en cuenta qué tipo de datos personales se manejan en una asociación, debiendo incluir la siguiente información:
-Tipo de datos almacenados
-Finalidad
-Legitimados
-Política de almacenamiento de esos datos
-Si se realizan cesiones o transferencias internacionales
-Medios a través de los que se realiza el tratamiento de datos personales.
Este registro de actividades de tratamiento de datos personales debe mantenerse siempre actualizado.
Los tratamientos más habituales en las asociaciones, entre otros, son los siguientes:
-Asociados
-Proveedores
-Contabilidad
-Recursos Humanos
-Curriculum
-Videovigilancia
II.- Contratos con Encargados de tratamiento
Cada vez que una entidad no lucrativa formaliza un contrato con terceros, v.gr., con una asesoría fiscal para llevar los asuntos fiscales o laborales, junto con el hecho de disponer de un registro de actividades de tratamiento, deberá de disponerse de una lista de esos terceros, entiéndase, gestorías administrativas, asesorías fiscales, empresas de informática, etc., los cuales deben de cumplir también la normativa vigente en materia de protección de datos personales, debiendo de tener seguridad estos terceros de qué datos personales suyos se recopilan a través de esas listas.
Para ello, es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan, debiendo incluirse en el contenido de dicho contrato lo siguiente:
-Objeto, la duración, la naturaleza y la finalidad del tratamiento,
-Tipo de datos personales,
-Categorías de interesados, y obligaciones y derechos del responsable.
III.-Acuerdo de confidencialidad con empleados de la asociación. En el caso de que la entidad asociativa tenga formalizado contratos laborales con sus trabajadores, o haya voluntariado en el seno asociativo, los mismos tienen acceso a toda la información que maneja la asociación y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
Así pues, en las asociaciones los trabajadores de la misma deberán disponer de un correo electrónico para comunicarse entre ellos y con socios y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
IV.-Consentimiento de socios. Además de tener actualizada la política de privacidad, una asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos personales.
En la asociación deberá de contarse con un formulario (virtual, si la captación de datos se realiza vía web, o en papel, para el resto de casos) solicitando el consentimiento para el tratamiento de datos personales (máxime si se van a tratar datos sensibles). En él deben informar claramente de:
-datos del responsable del tratamiento (es decir, de la asociación),
-finalidad concreta del tratamiento,
-tiempo que se conservarán,
-destinatarios si los hay y si se ceden los datos a otras entidades,
-transferencias de datos internacionales si se realizan,
-derechos de los afectados y cómo se pueden exigir estos y
-datos del Delegado de Protección de datos si la asociación debe contar con uno o así lo ha decidido.
Al hilo de lo establecido, uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar, siendo una buena opción enviar emails a los socios y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
V.-Página web. Si la asociación opera de forma online, deberá incluirse en la página web los textos exigidos por el RGPD, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, a saber:
V.I.-Aviso legal: Este es el documento donde se identifica al propietario de la página web. En el mismo deberá incluirse:
-Nombre del propietario
-CIF / NIF
-Dirección
-Email
-Debes poner un enlace visible a este texto desde cualquier página de la web
V.II.-Política de privacidad. Es de suma importancia llevar a cabo la revisión de la política de privacidad de la asociación y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Así, en el texto de Política de privacidad tendrá que informar expresamente de: existencia de un tratamiento de los datos que se le están solicitando; finalidad; destinatario o destinatarios de aquella información; legitimación para el tratamiento; plazo de conservación de los datos; identidad y dirección del responsable del tratamiento de los datos y posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarse de que esta nueva versión se publique en la web asociativa.
V.III.-Política de cookies. Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
En consecuencia, si la web asociativa incluye algo de lo anteriormente referido, deberá cumplirse con dicha política de cookies, la cual viene regulada en la la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
En lo que concierne a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, publicada en el BOE núm. 294, de 6 de diciembre de 2018 y con entrada en vigor el día 7 de diciembre de 2018, derogando la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sin perjuicio de lo dispuesto en la disposición adicional decimocuarta y en la disposición transitoria cuarta de la Ley Orgánica 3/2018, de 5 de diciembre.
Pues bien, la nueva normativa, que adapta el derecho español al modelo establecido por el RGPD, introduce novedades mediante el desarrollo de materias contenidas en el mismo:
-Dicha Ley Orgánica 3/2018 facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
-Otro de los aspectos novedosos incluidos en la Ley Orgánica 3/2018 es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
-En cuanto a los menores, la Ley Orgánica 3/2018 fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
-La Ley Orgánica 3/2018 refuerza las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un Proyecto de Ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.
-La Ley Orgánica 3/2018, regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
-De igual forma, en dicha Ley Orgánica 3/2018, se recogen los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, dicha Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
-A lo anterior, cabe añadir que la Ley Orgánica 3/2018 actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
-Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley Orgánica 15/1999, de 13 de diciembre, no existía una cantidad mínima.
-Por último, se modifica la Ley Ley 3/1991, de 10 de enero, de Competencia Desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.
Con todo lo anterior, tal como refiere en la solicitud de consulta, en los supuestos en los que los asociados de vuestra entidad puedan tener un interés legítimo en conocer quiénes son sus compañeros (a la hora de reunir suficientes votos para convocar una Asamblea, incluir puntos en el orden del día o presentarse como elegible a su órgano de administración) lo suyo es que todos los extremos relativos a información a los asociados y consentimiento de forma expresa de los mismos´deban de venir incluidos en los artículos relativos a los derechos y deberes de los asociados de vuestra norma estatutaria, tal como acaece en los arts. que nos reproduce.
Al respecto, para una mayor claridad sobre el asunto en cuestión le remito en archivo adjunto los estatutos de una asociación donde podrá comprobar la inserción de los datos personales en sus arts. 8 y 9.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com
Esta aportación tiene un documento que la complementa. ¡Descárgalo!
Muy buena
Aportada por:
Abogado y especialista en Tecnologias de la Informacion
Trabaja en:
Asesor particular
13.01.19
Manuel,
Tu propuesta me parece sería y trabajada, además coincide con lo que se hace entregando el censo de votantes a los partidos políticos por motivos electorales.
Para una asociación me parece que es incontrolable lo que pasará con los datos si se entregan a cualquier socio, y ceder los datos personales a todos los socios para ser miembro de una asociación no me parece bueno ni para el socio ni para la asociación. Es posible que los datos se usarán para fines distintos a los previstos.
Cómo alternativa y especialmente en períodos electorales la asociación podría distribuir información de los candidatos sin necesidad de ceder los datos. Los estatutos también podrían prever que la asociación distribuyera información a petición de uno o varios socios por motivos distintos a los electorales.
Saludos,
Respuesta del participante:
25.01.19
Muchas gracias:
Al final se va a proponer algo como lo que sigue:
Capítulo II
ASOCIADOS, DERECHOS Y DEBERES
Artículo 6.- Podrán ser miembros de la Asociación todas aquellas personas físicas que compartan el objeto e ideario de la misma y acepten los presentes Estatutos.
Los asociados podrán ser de número u honorarios.
Para ingresar como asociado de número de la Asociación, será preciso:
1.- Ser mayor de edad o menor no emancipado de más de catorce años con el consentimiento, documentalmente acreditado, de aquellas personas que deban suplir su capacidad.
2.- Estar en el supuesto enunciado en el párrafo primero de este artículo.
3.- Manifestar el interesado al Presidente de la Junta Directiva, o al que haga sus veces, su interés en ingresar en la Asociación.
De concurrir los expresados requisitos, la Junta Directiva deberá resolver, por mayoría simple, acerca de la admisión en la Asociación del solicitante. La resolución de la Junta Directiva es vinculante e inapelable, no estando obligada a revelar los pormenores de su decisión, tanto si ésta es o no favorable.
La resolución será comunicada al interesado mediante envío de la correspondiente solicitud por el Presidente de la Junta Directiva y en caso afirmativo el interesado pasará a ser miembro de la Asociación con efectos a partir del mes inmediatamente siguiente al de aquél en que se hubiese producido la comunicación favorable.
Asimismo, es potestad de la Junta Directiva el proponer a la Asamblea General el nombramiento de determinadas personas físicas como miembros honorarios de la Asociación. El nombramiento como miembro honorario de la persona propuesta, requerirá para su validez, el voto afirmativo de la mayoría simple de los asociados asistentes a la Asamblea General.
La Junta Directiva custodiará, debidamente actualizada, la lista de asociados, debiendo facilitar un ejemplar de esta a aquellos asociados que se los soliciten, en los términos previstos en la legislación de protección de datos vigente en cada momento.
Queda, en todo caso, prohibido a la Junta Directiva, el revelar, por cualquier medio, total o parcialmente, a personas ajenas a la Asociación, cualesquiera datos y demás información contenida en la expresada lista de asociados.
Sin tener la condición de asociados, pueden existir personas físicas o jurídicas que cooperen con la Asociación como:
1) Colaboradores: aquellas personas que de manera desinteresada y voluntaria realicen aportaciones económicas o participen en las actividades de la Entidad de forma esporádica o continuada.
2) Voluntarios: aquellas personas físicas que cumplan con los requisitos previstos por la normativa vigente en materia de voluntariado.
Artículo 7.- Son derechos de los asociados de número:
1.- El asistir con voz y voto a las Asambleas Generales, interviniendo en sus debates, así como el de impugnar los acuerdos sociales.
2.- Ser elegido miembro de la Junta Directiva.
3.- Exponer por escrito a la Junta Directiva cualesquiera sugerencias o quejas respecto del funcionamiento de la Asociación y de sus actividades.
4.- Ser informado de la marcha de la Asociación.
5.- Participar en cuantos actos organice la Asociación.
6.- Poseer un ejemplar de los Estatutos de la Asociación, así como una lista de asociados, debidamente actualizados, respecto de los cuales guardarán estricto secreto y confidencialidad.
Los asociados menores de edad no intervendrán en la dirección de la Asociación ni en los órganos de representación de esta, pero podrán asistir a las Asambleas Generales con voz, pero sin voto.
Artículo 8.- Son deberes de los asociados de número:
1.- Satisfacer la cuota periódica que fije la Asamblea General en base a su condición de asociados.
2.- Acatar y respetar íntegramente los Estatutos de la Asociación.
3.- Cumplir los acuerdos adoptados por la Asociación a través de sus órganos de gobierno.
4.- Colaborar al mayor prestigio de la Asociación y al mejor cumplimiento de sus fines.
5.- Los asociados tienen la obligación de mantener actualizados sus datos personales en la base de datos de la Asociación.
6.- Queda expresamente prohibido a los asociados el facilitar a personas, ajenas a la Asociación, un ejemplar de la lista de asociados, así como el revelar a dichos terceros, por cualquier medio, total o parcialmente, cualesquiera datos o información contenida en la expresada lista.
Artículo 9.- Son derechos de las personas que pertenezcan a la Asociación en calidad de miembros honorarios:
1.- El asistir con voz y voto a las Asambleas Generales, interviniendo en sus debates.
2.- Exponer por escrito a la Junta Directiva cualquier sugerencias o quejas respecto del funcionamiento de la Asociación y de sus actividades.
3.- Ser informados de la marcha de la Asociación.
4.- Participar en cuantos actos organice la Asociación.
5.- Poseer un ejemplar de los Estatutos de la Asociación, así como una lista de asociados, debidamente actualizados, respecto de los cuales guardarán estricto secreto y confidencialidad.
Artículo 10.- Son deberes de las personas que pertenezcan a la Asociación en calidad de miembros honorarios:
1.- Acatar y respetar íntegramente los Estatutos de la Asociación.
2.- Colaborar al mayor prestigio de la Asociación y al mejor cumplimiento de sus fines, así como abstenerse de ejercer, promocionar o fomentar todo género de actividades o actitudes que pudieren incidir negativamente sobre la imagen, finalidad y demás intereses de la Asociación.
3.- Los miembros honorarios tienen la obligación de mantener actualizados sus datos personales en la base de datos de la Asociación.
4.- Queda expresamente prohibido a esos asociados el facilitar a personas, ajenas a la Asociación, un ejemplar de la lista de asociados, así como el revelar a dichos terceros, por cualquier medio, total o parcialmente, cualesquiera datos o información contenida en la expresada lista.
5.- Los miembros honorarios estarán exentos de la obligación de satisfacer las cuotas ordinarias de los asociados de número.
Artículo 11.- La condición de miembro de la Asociación se perderá:
1.- Cuando así lo manifieste el miembro interesado mediante escrito dirigido al Presidente de la Junta Directiva, en cuyo caso causará baja en el momento que la Junta Directiva acuse recibo. La cuota y demás cantidades que, en su caso, hubieren sido satisfechas durante el ejercicio en curso no serán, bajo ningún concepto, reintegradas al asociado que cause baja, ni total ni parcialmente.
2.- Cuando no haya satisfecho el asociado la cuota ordinaria a pesar de haber sido el asociado moroso, requerido más de dos veces para el cumplimiento de su obligación.
3.- Cuando la Junta Directiva lo haya decidido así en conformidad con los procedimientos establecidos en las Leyes aplicables y en los presentes Estatutos.
Un saludo.