Parece difícil, casi dos años después de la aprobación del Reglamento General Europeo de Protección de datos (RGPD), que a alguien pueda no haberle llegado información sobre esta nueva regulación.
Sin embargo, por lo que hemos podido observar, entre las entidades sin ánimo de lucro, en especial en las más pequeñas, hay algo de confusión. Desde entidades en las que se ha interpretado que esto solamente afecta a las empresas y a ellas no les afecta hasta entidades que –sensibles a ciertos contenidos de finalidad más o menos publicitaria que hacen hincapié en el endurecimiento de las sanciones– han entrado directamente en pánico.
Vamos a desarrollar, en una serie de artículos, información y recomendaciones dirigidas a estas entidades no lucrativas de menor tamaño para favorecer un mejor conocimiento de las obligaciones que esto supone para ellas y para ponerse en marcha con acciones concretas …si no se ha hecho ya.
¿La protección de datos afecta a las entidades no lucrativas?
De manera incuestionable, afecta a todas o casi todas. Centrándonos en el caso de las asociaciones (con mucho, el grupo más numeroso), todas ellas están obligadas a disponer de una relación actualizada de sus asociados, y en sí misma esa relación ya implica un tratamiento de datos de carácter personal. Al que, en muchos casos, habrá que añadir la gestión que realice la asociación sobre datos personales de otros colectivos: personas beneficiarias, voluntarias, contratadas, donantes…
Pero, ¿qué son datos de carácter personal?
Son datos de cualquier tipo referentes a personas (físicas) identificadas o identificables. Si recogemos datos de identificación (nombre, apellidos, DNI…), ya está. Y si recogemos datos que puedan llevar a la identificación sin necesidad de utilizar medios desproporcionados, también.
Eso incluye registros de imagen (fotos, vídeos) e incluso datos que no sabemos que estamos recogiendo. Si tenemos un blog, por ejemplo, podría estar recogiendo las direcciones IP de las personas que se registran en él, incluso aunque no guardáramos datos de su nombre y apellidos.
Algunas matizaciones más respecto a los datos personales: el RGPD ampara los datos de carácter personal de todas las personas residentes en la Unión Europea, sin limitación respecto a su nacionalidad. Y se refiere únicamente a la protección de datos de las personas vivas.
Esto no quiere decir que el tratamiento de los datos de personas ya fallecidas no esté regulado, pero sí que no lo está en este Reglamento. Podrá haber normas en cada país para datos que no están protegidos por el RGPD (como los referidos, efectivamente, a personas fallecidas o, por ejemplo, los tratamientos de datos relacionados con la seguridad nacional o con la actividad judicial).
Pues bien, lo que persiguen las normas es garantizarnos como ciudadanos cierto grado de control sobre los tratamientos que se realizan sobre nuestros propios datos. Se considera un derecho fundamental.
Los datos se incorporan a ficheros
Nuestros datos están protegidos por las leyes, tanto si el fichero al que se incorporan permite su tratamiento automatizado como si éste es manual.
Es decir, un fichero a la antigua usanza (fichas en cartulina organizadas según algún criterio en un mueble-fichero, digamos en la consulta de un dentista) es un fichero de datos personales, exactamente igual que si dicho dentista ha optado por llevar la información sobre sus clientes en un ordenador.
A la relación de personas asociadas de una asociación cabe entenderla como un fichero de datos de carácter personal, incluso aunque esta relación adopte la forma del típico libro de socios (en papel): contiene datos personales, referidos a personas identificadas, y éstos están organizados por algún criterio (en este caso, cronológico, seguramente) que facilita su localización sin el empleo de un esfuerzo desproporcionado.
En cambio, un cajón lleno de fotos, aun refiriéndose a personas identificables, podría no ser un fichero de datos personales si no están organizadas conforme a algún criterio. No sería un fichero (concepto muy utilizado en este ámbito), pero las fotos contienen datos personales en la medida en que las personas a las que se refieren estén identificadas o sean identificables por algún procedimiento.
Un fichero informático con datos de las personas asociadas es un fichero de datos personales. Una copia de seguridad de ese fichero, también. Y una copia de seguridad “en la nube” también lo es (y posiblemente estará físicamente en otro país, y esto es importante).
La reglamentación sobre la protección de datos personales no se aplica a actividades personales o domésticas (como un listín telefónico, en papel o en un móvil personal, o la agenda de direcciones de correo electrónico en nuestro programa de email… mientras no tenga uso profesional).
Los ficheros de datos personales están protegidos, pero la noción más relevante en todo esto es la de tratamiento de datos.
¿De verdad “tratamos” datos personales?
Sí, no lo dudes, es difícil que vuestra asociación no lo haga. Tratamiento de datos es cualquier operación realizada con los datos. Y esto incluye su recogida: registrar los datos ya es un tratamiento. Así que registrar los datos de los socios y socias de la asociación es un tratamiento de datos de carácter personal.
Y también lo es imprimir un listado de participantes en una actividad. Y pasar al banco un fichero de cobro de las cuotas. Y subir fotos a la página web de la asociación, si en ellas se aprecia a las personas con algún nivel de detalle (se excluirían fotos muy generales, en las que no está individualizada ninguna de las personas que allí figuran, como cuando en los telediarios nos muestran imágenes de calles abarrotadas de peatones). También es tratamiento de datos dar a la compañía de seguros los datos de los voluntarios de la asociación.
¿Qué ley nos afecta, entonces, en relación con la protección de datos?
En el momento de escribir este artículo, siguen en vigor la Ley Orgánica de Protección de Datos Personales (LOPD) y su reglamento, aunque sea por poco tiempo. Independientemente de la legislación nacional, el Reglamento General de Protección de Datos –Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE–, que entra en vigor el 25 de mayo de 2018, se sobrepondrá a la legislación anterior.
En España está en trámite la aprobación de una nueva Ley de Protección de Datos, armonizada ya con el nuevo Reglamento General. Si no fuera aprobada a tiempo, cualquier disposición de la LOPD que contradijera lo establecido en el Reglamento europeo quedaría sin vigor. Es decir, puede suceder que tengamos un período de transición en el que las cosas sean más complicadas de interpretar. Incluso, aunque la nueva Ley de Protección de Datos española se aprobara antes del 25 de mayo, quedaría todavía desarrollarla en un reglamento, para que las cuestiones prácticas quedaran reguladas de forma más clara.
Como opinión personal, la apuesta más clara es adaptarse al espíritu del reglamento europeo (que supone un cambio de orientación en algunos aspectos), a la espera de que localmente aparezcan, o no, normas que establezcan obligaciones adicionales.
Aunque puede parecer atemorizador, atendiendo a que las sanciones se han endurecido –esto va a afectar a las empresas que trabajan con cantidades ingentes de datos, no a asociaciones pequeñas– el sentido de la nueva regulación es adaptar las medidas de protección de datos a los riesgos reales de cada entidad, en lugar de dictar normas fijas de cumplimiento formal.
En próximas entregas, tendremos que hablar, como mínimo, de cómo debe ser el consentimiento para el tratamiento de los datos, el análisis de riesgos y las medidas de seguridad.
Director de la Fundación Gestión y Participación Social. Experto en gestión de Entidades No Lucrativas.