¿Cómo afecta la Ley de Protección de Datos a asociaciones y ONGs?
Las leyes de protección de datos dependen de la jurisdicción de la persona sobre la que se trate la información de carácter personal. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) rige en España. Esto significa que afecta a cualquier asociación que trate datos personales de ciudadanos españoles, tenga su sede en territorio español o en el extranjero.
Por ejemplo, si una asociación sin ánimo de lucro recibe donaciones, debe proteger los datos bancarios de sus benefactores. Además, debe proteger la privacidad de cualquier otra información de carácter personal de donantes, socios, voluntarios, proveedores, usuarios beneficiarios o empleados.
Tipos de datos que suelen tratar las asociaciones
Una asociación sin ánimo de lucro puede tratar una gran variedad de datos, que deben protegerse con las medidas adecuadas. Es crucial contar con mecanismos de seguridad físicos, digitales y organizativos para evitar robo o difusión de cualquier información de carácter personal.
Estos son los tipos de datos personales más comúnmente tratados en asociaciones y ONGs:
- Nombres y apellidos de socios, voluntarios, donantes, beneficiarios…
- Información bancaria
- Datos médicos de los usuarios, o bien sociales/ económicos
La protección de los datos personales es un derecho fundamental de todos los ciudadanos, por lo que se requiere el consentimiento explícito de cada individuo sobre el uso de sus datos. Cualquier filtración puede suponer perjuicios para las personas cuando se trata de datos de una asociación sin fines de lucro.
Por ejemplo, el historial de donaciones de una persona o las ayudas necesitadas por un usuario no son datos que deban conocer terceros sin el permiso de los afectados. Podrían afectar a su reputación, e incluso a sus oportunidades sociales o laborales. Daños como la discriminación o la estigmatización de una persona podrían caer sobre la responsabilidad de una asociación si no ha respetado la privacidad de sus beneficiarios.
Normativa de protección de datos específica para asociaciones y ONGs
La normativa de protección de datos depende de la jurisdicción, sin embargo hay unos deberes generales que se extienden en las principales zonas donde está regulada la protección de información de carácter personal.
Deber de informar
Además de cumplir las medidas de protección, es obligatorio informar a los interesados.
En relación a sus datos personales, se les debe comunicar :
- Quién es el responsable de protección de datos en la asociación
- Con qué finalidad se tratará la información
- Base legal del tratamiento de datos
- Destinatarios, en caso de que se compartan con terceros
- Derechos que pueden ejercer los interesados
Además, la asociación debe facilitar datos de contacto para cualquier reclamación sobre los datos. Por ejemplo, la persona podría solicitar que se rectifiquen, eliminen, etc.
Solicitar el consentimiento expreso
Tal como indica el Reglamento General de Protección de Datos, el consentimiento debe darse de forma concreta y explícita.
En este sentido, las asociaciones deben asegurarse de contar con dicho consentimiento. Para ello, pueden apoyarse en software RGPD, como las CMP o plataformas de gestión del consentimiento. Además, es fundamental que quede registrado para poder probarlo ante la autoridad competente, como la Agencia Española de Protección de Datos (la AEPD) en España.
Contratos con terceros
Si la asociación sin ánimo de lucro comparte datos con terceros debe asegurarse de que cumplan con las leyes de protección de datos.
Por ejemplo, en caso de contratar a proveedores de email marketing o utilizar plataformas de gestión de socios, se deben firmar acuerdos donde se garantice el tratamiento correcto de la información de carácter personal proporcionada por la asociación.
Protección de la página web y análisis de riesgos
La página web puede ser un espacio vulnerable sujeto a amenazas cibernéticas. Es responsabilidad de la asociación proteger los datos en este canal.
Hay una serie de medidas recomendadas a este respecto:
- Uso de certificados SSL para cifrar la información transmitida al servidor
- Firewall para bloquear accesos no autorizados a la página web
- Actualizaciones periódicas del software
- Analizar los riesgos de manera regular para detectar posibles brechas
Notificación de brechas de seguridad
La asociación, como cualquier empresa, puede sufrir una violación de seguridad. Es fundamental prevenir y no esperar a que surja el problema. En este sentido, se aconseja realizar protocolos de actuación en caso de brechas.
En caso de que efectivamente ocurra una violación de la seguridad, el RGPD obliga a las organizaciones a notificar el incidente al momento a la Agencia Española de Protección de Datos (AEPD). La asociación tendrá un plazo de 72 horas desde que detecte la incidencia.
Delegado de protección de datos
El DPO es un profesional independiente que se encarga de supervisar el cumplimiento de la normativa de protección de datos.
La asignación de la figura del delegado de protección de datos no es siempre obligatoria. Solo en ciertos supuestos es requisito indispensable, en función del volumen y el tipo de datos recopilados.
Las asociaciones que traten datos sensibles o monitoricen datos a gran escala deberán contar con un DPO.
Para ver más detalles, descargue la checklist RGPD y descubra los pasos a seguir.
Sanciones por incumplimiento
Cumplir la LOPDGDD o el RGPD no es un tema menor para una ONG o asociación. Las leyes de protección de datos deben acatarse, no solo para respetar el derecho de las personas sobre su privacidad, sino también para evitar cuantiosas multas que podrían perjudicar a la asociación. En concreto, pueden llegar hasta los 20 millones de euros o al 4% del volumen de negocio anual global de la asociación, la cantidad que sea mayor.
Aparte del daño pecuniario para la asociación, no hay que dejar de lado el impacto del cumplimiento normativo en la reputación. Las asociaciones sin ánimo de lucro tienen especial atención a su imagen social, y un problema de seguridad que afectase a sus usuarios o miembros podría dañar la confianza por parte de miembros, donantes y beneficiarios.
¿Cómo puede ayudarle Usercentrics a lograr el cumplimiento de la normativa?
La tecnología es muy útil para obtener el consentimiento de los usuarios y otras medidas que exigen las leyes de protección de datos. Con esta finalidad, Usercentrics ofrece una CMP o plataforma de gestión del consentimiento. Este tipo de herramienta facilita el cumplimiento gracias a sus funcionalidades.
- Obtenga el consentimiento de los usuarios de manera expresa
- Gestione las preferencias de cookies
- Documente todo el proceso de cumplimiento
- Adáptese a posibles cambios futuros en la legislación
Con Usercentrics, las asociaciones sin fines de lucro pueden garantizar el tratamiento de datos personales conforme a la ley.
Conclusión
El cumplimiento de la privacidad no es una cuestión que las asociaciones sin ánimo de lucro deban tomar a la ligera. No solo se trata de prevenir importantes sanciones económicas, sino que además es un aval de confianza que mejora la imagen de la asociación.
Con Usercentrics tendrá la oportunidad de implementar medidas de seguridad técnicas que faciliten su cumplimiento normativo. Asegúrese de recopilar datos en su web con autorización de los interesados y evite que la falta de documentación del tratamiento de datos perjudique a su asociación y a sus miembros y beneficiarios.