Una de las inquietudes que más quebraderos de cabeza provoca a las Asociaciones y Entidades del Tercer Sector, y también en la empresa privada me atrevería a decir, es poder saber y delimitar las responsabilidades que en materia de protección de los datos personales hemos de asumir.
- ¿Tengo que solicitar consentimiento a los adolescentes de mi asociación para la excursión del sábado?
- ¿He de incluir una clausula de confidencialidad en los acuerdos con los voluntarios?
- ¿Puedo subir las fotos del evento que vamos a celebrar a Facebook? ¿Tengo que solicitar consentimiento previo? ¿Y si no lo pido, qué puede ocurrir?
- Quiero crear un grupo de WhatsApp para las comunicaciones de los socios, ¿esto supone una cuestión de protección de datos personales o es algo ajeno?
No es extraño que dada la diversidad de actividades que se desarrollan, y la pluralidad de sectores a los que atendemos desde el Tercer Sector, la protección de dichos datos genere controversia y dudas, y la normativa publicada, de difícil compresión no ayuda, lo que deviene que cuando es posible, se externalice dicho servicio. Pero esto no siempre es posible, a veces la capacidad económica no permite estos alardes, y nos vemos abocados a atender directamente la protección de los datos que tratamos en nuestra Asociación.
En este sentido, uno de los aspectos fundamentales de la nueva regulación instaurada tras la publicación del REGLAMENTO(UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, es el principio de responsabilidad proactiva.
El principio de responsabilidad proactiva se define como la obligación del responsable del tratamiento de cumplir con la normativa y ser capaz de demostrar dicho cumplimiento. Y, ¿quién es el responsable del tratamiento de los datos personales? Pues quien trata dichos datos, es decir, nosotros, la Asociación.
Por tanto este principio exige de nuestras Asociaciones y Entidades una actitud consciente, diligente y proactiva respecto de los tratamientos de datos personales que se lleven a cabo.
Y, ¿por qué? Porque la normativa nos exige dos cosas atendiendo a este principio,
- Que quede garantizada la aplicación en la Entidad de la normativa de protección de datos.
- Que se pueda demostrar ante terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos, entendiendo como terceros, los interesados titulares que en un momento dado nos han cedido dichos datos, pero también las autoridades de supervisión, en España, la Agencia Española de Protección de Datos, AEPD.
Para cumplir con el principio de responsabilidad proactiva, seria aconsejable atender a tres pilares fundamentales:
- El primero, lógicamente es analizar el tipo de datos que se tratan y las obligaciones a las que la Asociación está expuesta. No es lo mismo tratar datos médicos, que por su propia naturaleza son especialmente sensibles, que los datos personales de nuestros trabajadores y voluntarios, tratados únicamente con el exclusivo fin de la relación laboral o el acuerdo de voluntariado.
- El segundo, consecuencia del anterior, es establecer objetivos y protocolos para poder determinar qué operaciones de tratamiento se han de llevar a cabo por nuestra Entidad. Crear modelos de consentimiento informado para cada tratamiento de datos, en función al grupo al que nos dirigimos, nuestros socios, nuestros trabajadores, nuestros usuarios….. Crear en nuestra web y mantener actualizada, la política de privacidad, la política de cookies y el aviso legal.
- Finalmente hay que ser transparente hacia las personas físicas sobre la forma de tratar sus datos personales. Es decir, cada vez que solicitamos el consentimiento para tratar los datos personales de los interesados, hemos de informar de quienes somos, para qué vamos a utilizar dichos datos, por cuento tiempo etc.
Para finalizar, el principio de responsabilidad proactiva, ha de desarrollarse en nuestras Entidades en compañía del resto de principios que se han de tener en cuenta a la hora de tratar los datos personales de los interesados.
Los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado;
Los datos personales deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
Los datos personales deberán ser exactos y, si fuera necesario, actualizados; Los datos personales deberán ser mantenidos durante no más tiempo del necesario para los fines del tratamiento de los datos personales;
Los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Licenciada en Derecho. Máster en Derecho Laboral y de la Seguridad Social. Más de 20 años trabajando como abogada en el ámbito privado y como asesora jurídica dentro del Tercer Sector. Actualmente es formadora y asesora legal en la FGPS.