Protección de datos en asociaciones

    Protección de datos en asociaciones

    Protección de datos en asociaciones

    La proteccion de datos en asociaciones está regulada por diferentes normas que son de obligatorio cumplimiento, como el RGPD, la LOPDGDD y la LSSI-CE, que más adelante veremos que regula cada una de ellas. Por lo tanto, es obligatorio cumplir la proteccion datos asociaciones para no enfrentarse a elevadas sanciones que pueden suponer un antes y un después en dicha organización. 

    Qué leyes regulan el tratamiento de datos personales en asociaciones

    El tratamiento de datos personales en asociaciones se regula en estas tres normativas de carácter europeo y nacional.

    Reglamento Europeo de Protección de Datos (RGPD)

    El RGPD es una norma es aplicable a todas las entidades, incluyendo asociaciones, que traten datos personales de ciudadanos de la Unión Europea. Este reglamento establece las reglas básicas que se deben seguir para el tratamiento de datos personales, para garantizar el derecho a la privacidad y la protección de los datos personales.

    Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)

    Esta ley, también conocida como LOPD, es una normativa española y establece las normas que hay que cumplir para el tratamiento de datos personales por parte de las entidades, tengan ánimo de lucro o no. La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales contempla las obligaciones de las entidades con relación a la seguridad de los datos, la notificación de los fallos de seguridad y el derecho de los individuos a acceder a sus datos personales siempre que quieran.

    Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE)

    La Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico regula el uso de internet y el tratamiento de los datos que se recogen en la red en España. Por lo tanto, las obligaciones de todas las entidades para garantizar la protección de los datos personales y la privacidad en internet de los usuarios.

    Qué requisitos se deben cumplir para la protección de datos en asociaciones

    Qué requisitos se deben cumplir para la protección de datos en asociaciones

    La ley proteccion de datos en asociaciones estipula que deben de cumplir una serie de requisitos. Dichos requisitos son:

    Registro del proceso de tratamiento de datos

    Para comenzar el registro del proceso de tratamiento de datos es fundamental que las asociaciones informen de forma clara y concisa del tipo de datos que se van a tratar, el tiempo, la base jurídica y la finalidad del tratamiento.

    Petición del consentimiento

    Uno de los requisitos que deben cumplir las asociaciones para garantizar la protección de datos es la petición del consentimiento expreso. Dicha petición de consentimiento es obligatoria, y el RGPD solo admite el consentimiento expreso. Por lo tanto, los consentimientos tácitos y presuntos que se contemplaban en la normativa anterior, ya no son válidos y deberán volver a recogerse mediante un consentimiento expreso.

    Archivo de los contratos

    Debe existir un archivo de los contratos existentes de la asociación en los que se incluyan: 

    • Empleados: es un documento que deben firmar tanto los socios como los beneficiarios, voluntarios o empleados, donde incluya todos sus datos personales y acepten el tratamiento de los mismos. 
    • Terceros: tiene que firmar un documento en el que confirmen que están de acuerdo con la gestión del tratamiento de sus datos.

    Notificación en caso de brecha de seguridad

    En caso de que haya una brecha de seguridad en la organización, es necesario comunicar a la Agencia Española de Protección de Datos lo que ha ocurrido en un plazo de 72 horas, desde el conocimiento del problema. Si se ha vulnerado gravemente la protección de los datos de las personas interesadas, la asociación deberá comunicárselo también.

    Realización de un análisis de riesgo

    Las asociaciones deben realizar un análisis de riesgo para determinar las posibles amenazas a las que pueden estar expuestas los datos personales de los interesados. Cuando se determinan los peligros es necesario tomar medidas de seguridad mayores para aumentar su protección.

    Inclusión de textos legales en las páginas corporativas

    Si la asociación cuenta con una página web corporativa, es necesario que cuente con los textos legales que se establecen en el RGPD. 

    • Aviso legal: donde se identifica el propietario de la página y se incluye su nombre, el CIF o el DNI, su dirección y su email. 
    • Política de privacidad: en ella se informa de forma expresa que se tratan los datos que se solicita al entrar a la página web, cuál es la finalidad del tratamiento, quién es el destinatario, el plazo que se conservan los datos, la identidad y la dirección de la persona responsable del tratamiento de los mismos y la posibilidad de que los usuarios ejerzan sus derechos para acceder, rectificar, cancelar u oponerse al uso de sus datos personales. 
    • Política de cookies: son todos los archivos de información que se envían desde un sitio web y se almacenan en el navegador de la persona que ha visitado la página web en cuestión. Las cookies están reguladas por la LSSI y en la ley se establece que en las cookies se debe informar de que son utilizadas en la página y cuál es su finalidad y duración.

    Respeto y comunicación de los derechos de los usuarios

    En todo momento, las asociaciones deben respetar y comunicar a los usuarios los derechos que tienen cuando se realiza un tratamiento de sus datos. Por ello, siempre que quieran los usuarios podrán rectificar, cancelar u oponerse al tratamiento de sus datos.

    Elección de un Delegado de Protección de Datos

    La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales obliga la elección de un Delegado de Protección de Datos (DOP). El DOP es la persona que se encarga de tratar todos los datos de carácter personal. Tienes que tener en cuenta que las ONGs y las asociaciones sin ánimo de lucro no deben contar con esta figura, a no ser que sean organizaciones muy grandes o los datos que traten sean altamente sensibles.

    Cuáles son las sanciones por incumplimiento de la protección de datos

    Cuáles son las sanciones por incumplimiento de la protección de datos

    En función de la gravedad de la infracción por incumplimiento del rgpd asociaciones y de la lopd en asociaciones las sanciones varían.

    Multa leve

    Las multas leves ascienden hasta los 40.000 €.

    Sanción grave

    Las sanciones graves oscilan entre los 40.001 € hasta los 300.000 €.

    Penalización muy grave

    Las penalizaciones muy graves son aquellas que van desde los 300.001 € hasta la suma de 20 millones de euros.