TRATAMIENTO DE DATOS POR ENTIDADES SIN ANIMO DE LUCRO: ASOCIACIONES Y FUNDACIONES.
Próximamente, se cumple un año de la aplicación del Reglamento General de Protección de Datos (RGPD) que, junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y de Garantía de los Derechos Digitales (LOPDGDD) que lo desarrolla, ha supuesto una problemática para muchas entidades.
Entre ellas, las Asociaciones y Fundaciones que desconocían en qué medida quedaban afectadas por esta normativa.
El objetivo de este artículo es responder las principales cuestiones que afectan a estas entidades.
¿Están obligadas las Asociaciones y Fundaciones a aplicar esta normativa?
El RGPD será de aplicación a todo responsable de tratamiento establecido en la UE definiendo responsable como la persona jurídica que, solo o junto con otros, determine los fines y medios del tratamiento.
Para precisar más la respuesta, nuestro Código Civil establece que se consideran personas jurídicas, entre otras, las Asociaciones y Fundaciones.
Por lo tanto, las Asociaciones y Fundaciones estarán obligadas a aplicar la citada normativa.
¿Qué ocurre cuando las Asociaciones y Fundaciones tratan datos de carácter especial?
El RGPD ha establecido que se consideran datos de carácter especial los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical; los datos genéticos; biométricos; relativos a la salud o a la vida sexual o a la orientación sexual de una persona física.
El tratamiento de estos datos, como regla general, deberá ir ligado al consentimiento expreso de los interesados. No obstante, el RGPD permite a ciertas Asociaciones y Fundaciones de carácter político, filosófico, religioso o sindical tratar estos datos sin contar con consentimiento cuando sea con las debidas garantías en el ámbito de sus actividades legítimas y se refiera exclusivamente a sus miembros actuales o antiguos.
¿Qué obligaciones tienen las asociaciones y fundaciones?
Las obligaciones de las Asociaciones y Fundaciones vendrán determinadas por los tratamientos concretos.
A modo de resumen, dichas obligaciones serán las siguientes:
- Información a los interesados. La Asociaciones y Fundaciones estarán obligadas como responsables del tratamiento a informar a los interesados sobre el tratamiento a realizar sobre sus datos. Para ello, la LOPDGDD ha desarrollado un sistema por capas que se materializa en la obligación de proporcionar al interesado una información básica facilitando el acceso a información adicional.
- Registros de Actividades de Tratamiento. El RGPD ha establecido que las Asociaciones y Fundaciones que traten datos de carácter especial de forma no ocasional estarán obligadas a llevar un registro de carácter interno cuyo contenido viene determinado por el propio reglamento.
- Encargados de tratamiento. Las Asociaciones y Fundaciones que actuando como responsables de tratamiento recurran a encargados de tratamiento deberán hacerlo seleccionando únicamente a aquellos que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas y suscribiendo un contrato que reúna las condiciones previstas por el RGPD.
- Delegado de Protección de Datos (DPD). De forma general, las Asociaciones y Fundaciones no entrarían dentro de los supuestos concretos previstos por la LOPDGDD. No obstante, si podría ser necesaria la designación de un DPD, de conformidad con el RGPD, cuando realicen un tratamiento a gran escala de datos de carácter especial.
En ATEA COMPLIANCE contamos con profesionales especialistas en Protección de Datos, que prestan asesoramiento jurídico personalizado a aquellas entidades que quieran cumplir con dicha normativa, ofreciendo así un servicio integral de alto nivel