Adaptación de las asociaciones AACC al nuevo Reglamento General de Protección de datos (RGPD)

Publicado el por José Luis

AACCyRGPD

Hace un par de semanas se produjo un fenómeno curioso. Un aluvión de emails de última hora en el que se nos informaba del cambio de las políticas de privacidad.

Es cierto que la mayoría de esos emails no eran necesarios (los que solicitaban de nuevo el consentimiento para el tratamiento de datos, en muchos casos en los que no era preciso), pero hay que reconocer que la avalancha tuvo un efecto positivo y es que la mayoría de la sociedad se enteró, aunque fuera de esa manera tan peculiar, de que se había producido un cambio normativo importante en cuestión de protección de datos. Y no es cosa menor.

Así, para estas fechas, la mayoría de las empresas importantes ya están adaptadas al nuevo Reglamento General de Protección de datos (RGPD), en vigor desde el 25 de mayo, pero todavía quedan muchas pymes, autónomos y entidades, como las asociaciones, que también tienen que adaptar sus políticas de protección de datos para cumplir con los nuevos requerimientos.

En esta entrada nos centraremos en las asociaciones dedicadas a la atención de los niños con altas capacidades y sus familias.

Debemos partir de una premisa: el RGPD busca garantizar los derechos y libertades de las personas cuyos datos personales son tratados. Independientemente de si este tratamiento lo hace una empresa con ánimo de lucro o una asociación. Se trata, en definitiva, de que nuestros datos (¡y sobre todo los de nuestros niños!) estén seguros, allá donde estén. Por eso es fundamental, como asociación, asumir la responsabilidad desde el inicio y establecer los mecanismos necesarios para garantizar esos derechos, no tanto por cumplir con la norma, que también, sino como un ejercicio de interiorización necesario para el bien común.

Partiendo desde esa perspectiva que no debemos perder nunca de vista (insisto, no debemos hacer bien las cosas por el “miedo” a una sanción, sino porque es lo que procede y porque todos salimos ganando), lo lógico y lo más práctico es hacerlo siguiendo los requisitos exigidos por el reglamento.

Las asociaciones que no traten datos sensibles pueden utilizar la herramienta FACILITA, puesta a disposición de los ciudadanos por la Agencia Española de Protección de datos (AEPD). Para aquellas que traten datos sensibles es preciso hacer un análisis pormenorizado.

NOVEDADES DEL RGPD

En muchos casos, las asociaciones ya venían cumpliendo con lo previsto por la LOPD española, por lo que los cambios que deben hacer no son tantos. Ya hay mucho escrito sobre lo que había que hacer hasta ahora, así que me limitaré a indicar las novedades que hay que implantar:

  • Principios generales:
    • Responsabilidad proactiva: La asociación debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Es decir, las asociaciones deben analizar qué datos tratan (¿Es necesario solicitar cierta información, almacenarla, etc.?), con qué finalidad (¿los datos personales que recaba la asociación se utilizan exclusivamente para aquello por lo que fueron captados?) y qué operaciones de tratamiento realizan (Desde la captura de datos hasta su supresión). Una vez efectuado este análisis, deben adoptar las medidas recogidas en el RGPD, asegurándose de que son las adecuadas para su cumplimiento, y deben poder demostrarlo ante los interesados y las autoridades supervisoras.
    • Enfoque de riesgo: Supone tener en cuenta el riesgo que supone el tratamiento de los datos personales para los derechos y libertades de las personas. Las medidas para controlarlo dependerán, entre otras cosas, del tipo de asociación y de los datos que se estén tratando. Las asociaciones relacionadas con las altas capacidades deben tener mucho cuidado con esto debido a que los datos que manejan suelen ser sensibles (datos de salud, expedientes médicos, datos de menores, etc.) y es preciso reducir al máximo su tratamiento.

 

  • Consentimiento:

Se acabó el tratamiento de datos personales basado en el consentimiento tácito o la inacción.

Las asociaciones deben contar con un formulario (virtual, si la captación de datos se realiza  vía web, o en papel, para el resto de casos) en el que se informe claramente de los datos del responsable del tratamiento (la asociación), la finalidad concreta del tratamiento, el tiempo que se conservarán, los destinatarios si los hay (¿se ceden los datos a otras entidades?), de las transferencias de datos internacionales si se realizan, los derechos de los afectados y cómo se pueden exigir estos y los datos del Delegado de Protección de datos (si la asociación debe contar con uno o así lo ha decidido), solicitando el consentimiento para el tratamiento (máxime si se van a tratar datos sensibles).

Además, si la asociación quiere poder remitir comunicaciones electrónicas, deberá solicitar la autorización expresa para ello. Y esta es una obligación que existe desde 2002, ya que no es la normativa de protección de datos la que así lo exige sino la Ley de Servicios de la sociedad de la información (LSSI), aunque no se estuviera cumpliendo en muchos casos.

  • Consentimiento de los menores:

Un tema de vital importancia para las asociaciones dedicadas al apoyo de los niños con altas capacidades.

En España, a día de hoy el tratamiento de datos personales de menores de 14 años deberá ser autorizado por los padres (por lo que los formularios de captación deberán estar adaptados para ello). Para los mayores de esa edad, la información ha de darse de manera concisa, transparente, inteligible y proporcionada, con un lenguaje claro y sencillo.

  • Registro de actividades de tratamiento y demás documentación

Desaparece la obligación que existía previamente de notificar los ficheros a la Agencia española de Protección de Datos. Sin embargo, el nuevo RGPD prevé nuevas obligaciones de documentación que forman parte de la responsabilidad proactiva que hablábamos al inicio. Así, las asociaciones (que traten datos personales sensibles, aunque es recomendable para todas ellas) como responsables deben llevar un registro de las actividades de tratamiento que llevan a cabo y que deberá contener, para cada tratamiento:

  • Nombre y datos de contacto del responsable y, en su caso, corresponsable, así como del Delegado de Protección de Datos si existiese.
  • Finalidades del tratamiento.
  • Descripción de categorías de interesados y categorías de datos personales tratados.
  • Transferencias internacionales de datos.
  • Cuando sea posible, plazos previstos para la supresión de los datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

El registro puede organizarse en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas. Por ejemplo: Gestión de personal, Asociados, Colaboradores, Suscriptores, Formación, etc.

Además de lo anterior, la asociación debería contar con un Protocolo interno de Protección de datos que incluya todas las medidas que la asociación toma a nivel informativo, técnico y organizativo para garantizar la calidad de los datos, la información de los interesados y la confidencialidad. Las medidas de seguridad dependerán de cada asociación, del tipo de datos que traten, etc.

  • Encargados de tratamiento

Otra de las novedades es el endurecimiento de las obligaciones del encargado de tratamiento de datos de terceros. Es decir, si un tercero tiene acceso a los datos personales de la asociación (gestores, mantenimiento informático, colaboradores, etc.) debe garantizar a la asociación que su nivel de cuidado y de seguridad respecto a los datos es conforme al RGPD. Y esto ha de hacerse mediante un contrato escrito (que, como toda la documentación relativa a la Política de Protección de datos, deberá archivarse), donde como mínimo debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

La asociación es responsable de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. Es una relación en cadena. Recordemos que lo que estamos buscando es que los datos personales de los que somos responsables estén siempre seguros.

  • Análisis de riesgo y evaluación del impacto

Si al efectuar el análisis que mencionaba al hablar de la responsabilidad proactiva se estima que un tratamiento de datos personales supone un riesgo alto para los derechos y libertades de las personas físicas, la asociación debería llevar a cabo una evaluación de impacto. El RGPD así lo indica para los nuevos tratamientos, así como para aquellos en los que se hayan producido cambios en los riesgos en relación con el momento en que el tratamiento se puso en marcha.

  • Delegado de protección de datos

Para la mayoría de las asociaciones, en particular las de apoyo a las altas capacidades, no es obligatorio nombrar un Delegado de Protección de datos, ya que no están dentro de los supuestos en los que así lo exige el RGPD. En cualquier caso, cada asociación deberá analizar si en su caso procede el nombramiento del DPO, porque realicen un tratamiento a gran escala de categorías especiales de datos personales, por ejemplo, o porque así lo decidan voluntariamente para asegurar el buen cumplimiento de la norma.

 

  • Notificación de violaciones de seguridad

Si se produce una violación de seguridad, la asociación deberá notificarlo a la autoridad de control en un plazo máximo de 72 horas, siempre que constituya un riesgo para los derechos y libertades de las personas afectadas.

  • Sanciones

Las sanciones se endurecen considerablemente, con multas que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual. Teniendo en cuenta que las asociaciones son sin ánimo de lucro, está claro que este tipo de sanciones no serán las que motiven a la asociación a cumplir con el RGPD, sino el ánimo de cuidar los derechos y libertades de sus asociados.

 

maite (1)

Maite Sanz de Galdeano

Abogada de WELAW, especializada en derecho digital y nuevas tecnologías.

@maitesdg

Gracias por su comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.