Existe cierta incertidumbre sobre si debe aplicarse en su totalidad la nueva normativa europea en protección de datos en asociaciones y ONGs. La manera más sencilla de averiguarlo es preguntarse, ¿trata mi entidad datos personales? Seguramente la respuesta sea que sí. En ese caso, el Reglamento General de Protección de Datos (RGPD) obliga a cualquier persona al cumplimiento del mismo (entendiendo por persona toda persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica).
¿Qué tipo de datos personales son los que trata una entidad sin ánimo de lucro?
Cada vez que un usuario, socio o asociado deja sus datos para formar parte de la entidad o para solicitar información, cada vez que se recluta un nuevo voluntario, cada vez que la entidad acuerda una prestación de servicios con profesionales y empresas externos, o cuando cede los datos de posibles empleados para elaborar las nóminas, se están manejando datos de carácter personal. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.
La gran mayoría de asociaciones y ONGs tienen como objeto una acción social. Para ello, recaban muchos datos de afectados por la problemática contra la que luchan o por la causa que persiguen. Estos datos suelen coincidir con los que el RGPD denomina “categorías especiales de datos personales” o “datos sensibles”, es decir, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud y datos relativos a la vida sexual o la orientación sexual de una persona física.
Las asociaciones y entidades sin ánimo de lucro tratan en la mayoría de los casos con datos particularmente sensibles. ¿Cómo deben tratarse estos datos personales?
En el artículo 9 del RGPD se hace referencia al tratamiento de estas categorías especiales de datos personales.
En principio este precepto prohíbe el tratamiento de estos datos, pero como toda regla tiene una excepción. En el caso de fundaciones, asociaciones o cualquier otra entidad sin ánimo de lucro, el tratamiento de estos datos está permitido siempre que:
- Su finalidad sea política, filosófica, religiosa o sindical;
- El tratamiento sea efectuado en el ámbito de sus actividades legítimas;
- El tratamiento se lleve a cabo con las debidas garantías;
- El tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines;
- Los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
El RGPD exige que sea la entidad la que actúe de forma proactiva en la protección de los datos personales.
Con el RGPD, se pasa a hablar de responsabilidad proactiva. El artículo 24 de esta nueva normativa habla de la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas con el fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Además, el RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Una adecuación a la nueva normativa adaptada a asociaciones y entidades sin ánimo de lucro.
La única manera que tienen estas entidades de cumplir con todo lo estipulado por el Reglamento es sometiéndose a una adecuación al RGPD por expertos.
En Cysae nos sentimos comprometidos con nuestra sociedad y, por tanto, apoyamos a todas las entidades que cada día sacan adelante proyectos y acciones sociales para luchar contra cualquier tipo de problemática que nos ataña. Por ello, estudiamos al detalle cada una de las asociaciones y entidades sin ánimo de lucro que solicitan nuestra ayuda y realizamos adecuaciones adaptadas a su presupuesto y a sus necesidades.
Si eres una asociación o una entidad sin ánimo de lucro y tienes dudas sobre la aplicación del nuevo Reglamento o necesitas adecuarte al RGPD, ponte en contacto con nosotros escribiendo a cysae@18.203.66.111 o a través de la página de contacto.