Protección de datos en asociaciones. ¿Cómo cumplir con la legalidad?

Actualmente, el tejido asociativo que compone nuestra sociedad en sus diferentes vertientes tiene como principal objetivo una acción social para el colectivo de que se trata. Es por ello, que los datos personales de las personas asociadas, voluntarias, usuarias o colaboradoras, entre otras, cobran (algunos) particular relevancia por su categoría y su especial protección regulada en el art. 9 del Reglamento General de Protección de Datos, en adelante RGPD.

Por ello, es necesario, que se tengan en cuenta los aspectos que a continuación, se detallan:

¿ESTÁN OBLIGADAS TODAS LAS ASOCIACIONES AL CUMPLIMIENTO DEL RGPD?

Aunque la mayoría de las asociaciones no tienen ánimo de lucro per se en su actividad diaria, sí tratan datos personales de varias categorías que son dignos de protección jurídica. Ello se traduce en que, al igual que cualquier empresa con fines comerciales, el tejido asociativo también está obligado a cumplir con toda la normativa tanto nacional como internacional en materia de protección de datos. 

¿QUÉ TIPO DE DATOS TRATA EL TEJIDO ASOCIATIVO?

Dependiendo de quién entre en escena, se tratarán unos datos u otros. Veámoslo con un ejemplo: una persona que trabaja en una asociación sin ánimo de lucro que trata a personas drogodependientes con diversos perfiles sociales y de distintas edades. En este caso, tenemos de un lado los datos de la propia persona trabajadora (nombre, apellidos, N.º de la Seguridad Social, N.º de cuenta bancaria para domiciliar la nómina, Número de Identificación (DNI o NIE), teléfono, dirección postal, fecha de nacimiento y certificado negativo de delitos de naturaleza sexual en caso de que existan personas usuarias menores de edad¹ y se tenga un contacto habitual con ellas.

En el caso de la persona usuaria, entrarían en juego datos de categoría especial; tales como: el historial clínico, informes médicos, datos de pruebas médicas, datos psico-sociales, informes de Servicios Sociales, datos sobre la situación penal (cumplimiento de condenas, pagos de responsabilidad civil…)

Lo que sí es importante es que, desde la asociación, la recogida de datos se debe de realizar siempre bajo el principio de minimización de datos; para que sólo sean recogidos aquellos datos que resulten necesarios y “precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad»² como se explicita en el art. 5.1.c RGPD³.

¿QUÉ NORMATIVA ES APLICABLE?

En lo que se refiere a la normativa que regula la protección de datos en el tejido asociativo, sería:

1. A nivel europeo: el RGPD
2. A nivel nacional: 

• _{La Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales}⁴
• Ley 34/2002, de 11 de julio que regula las transacciones mediante medios electrónicos⁵.
• Jurisprudencia dictada por los tribunales en el ejercicio de sus funciones jurisdiccionales.
• Recomendaciones, circulares, dictámenes y órdenes que dicte la Agencia Española de Protección de Datos (en adelante AEPD) como autoridad superior en la materia.

¿CÓMO CUMPLIR CON LA LEGISLACIÓN EN MATERIA DE PROTECCIÓN DE DATOS?

Para cumplir con la legalidad, se proponen los siguientes aspectos:

1. Cumplir con los derechos ARCO-LIPO⁶ recogidos en el RGPD a la hora de la recogida de datos; donde en todo momento prime el deber de informar y la transparencia en la información para con la persona titular de los derechos. 
2. Indicar claramente cuáles son los datos y el tiempo que se van a tratar, cuál es la base jurídica que lo justifica y si hay o no transferencia internacional de datos.
3. Solicitar el consentimiento expreso para poder tratar los datos personales del interesado, así como los fines para que los que lo otorga e indicar las distintas vías con las que cuenta para poder recabarlo. 
4. Establecer cláusulas de confidencialidad, tanto en los contratos de trabajo como aquellos que se celebren entre proveedores o personas voluntarias. Asimismo, se aconseja también firmar un contrato de gestión en la cesión de datos si intervienen encargados de tratamiento que tengan acceso a estos. 
5. En caso de que se cuente con una página web, la asociación deberá de tener actualizados los textos legales conforme al RGPD: aviso legal, política de privacidad y política de cookies. 
6. Realizar una Evaluación de Impacto⁷ en pro de identificar las posibles amenazas, estableciendo las medidas de seguridad oportunas para evitar su materialización. 
7. Designar a un/a Delegado/a de Protección de Datos, indicando las vías de contacto, para que en caso de que se produzca una brecha de seguridad⁸ o haya alguna consulta puedan dirigirse a él/ella sin problema. 

En suma, las asociaciones están pensadas para promover la integración social como agentes que coadyuvan en una sociedad cambiante donde la salvaguarda de sus derechos fundamentales protegidos constitucionalmente (como la protección de datos) debe estar asegurada ante posibles injerencias por parte de terceros que puedan vulnerarlos. Es por ello, que resulta necesario trabajar en la concienciación de la importancia de la privacidad y el cumplimiento normativo para no dañar el espíritu del asociacionismo y los objetivos y valores establecidos por cada uno de ellos. 

Notas:

 1– En lo que atañe al certificado, encuentra fundamentación legal en la Ley Orgánica 1/1996, de Protección Jurídica del Menor, modificada a su vez por la Ley 26/2015 y la Ley 45/2015, de voluntariado. En ella se establece la obligación de presentar un certificado negativo del Registro Central de Delincuentes Sexuales todos los profesionales y/o voluntarios que trabajen o tengan un contacto habitual con menores. Por contacto habitual, se entiende que “el puesto de trabajo implique por su propia naturaleza y esencia, un contacto habitual con menores, siendo los menores los destinatarios principales del servicio prestado.” https://www.mjusticia.gob.es/es/ciudadania/tramites/certificado-delitos (Última visita 11 de abril de 2022) 

 2– https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/principios (Última visita 13 de abril de 2022) 

 3– “Artículo 5 Principios relativos al tratamiento«

1. Los datos personales serán: c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»”) https://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html#a8 (Última visita 13 de abril de 2022) 

4- https://noticias.juridicas.com/base_datos/Laboral/632849-lo-3-2018-de-5-dic-proteccion-de-datos-personales-y-garantia-de-los-derechos.html  En adelante, LOPDGDD (Última visita 13 de abril de 2022) 

5-  https://noticias.juridicas.com/base_datos/Admin/l34-2002.html (Última visita 13 de abril de 2022)

6- Arts. 15 -22 del RGPD; donde se explicitan, los derechos de: Acceso, Rectificación, Supresión (Olvido), Limitación del Tratamiento, Portabilidad y Oposición.

7-  Si es necesario conforme a la casuística establecida en el art. 35 del RGPD y en la lista de “Tipos de tratamientos de datos que requieren evaluación de impacto relativa a la protección de datos (art 35.4)” https://www.aepd.es/es/documento/listas-dpia-es-35-4.pdf (Última visita 14 de abril de 2022)

8-  La comunicación de la brecha de seguridad a la AEPD debe realizarse en el plazo de 72 horas desde que se tenga conocimiento o constancia de su realización. Si no se hace, es motivo de sanción grave prevista en la LOPDGDD (si no se han adoptado las medidas técnicas adecuadas de seguridad) o leve (si se ha informado tarde o de forma incompleta).