Protección de datos personales en las asociaciones

Protección de datos personales en las asociaciones

Contenidos:

Normativa aplicable:

La Ley de Protección de Datos no solo se aplica a las empresas, también se extiende a las asociaciones y entidades sin ánimo de lucro, puesto que también manejan datos de carácter personal de sus socios y de todas aquellas personas con las que colaboran en algún momento.

Si se produce una recogida de facto de datos de personas, habrá que cumplir con la actual normativa sobre protección de datos.

Por su parte, la Agencia Española de Protección de Datos (en adelante, AEPD), considera que las obligaciones en materia de protección de datos afectan a todos aquellos, – empresas, comunidades de bienes entidades sociales, asociaciones…..- que tratan datos o información sobre personas físicas que permitan su identificación, son datos utilizados para fines determinados, se toman decisiones relacionadas con los fines para los que son utilizados dichos datos, y son almacenados para el desarrollo de tales fines de tratamiento.

La política de privacidad

Cuando preguntamos qué es la política de privacidad, nos estamos refiriendo al documento legal que recoge, cómo una Organización trata los datos de carácter personal de sus socios, beneficiarios, clientes, proveedores, empleados, usuarios, en definitiva, de todas aquellas personas que interactúan con ella.

Esto tiene su fundamento en el Art. 13 y ss del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, (en adelante, RGPD).

Artículo 13 Información que deberá facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional(…)

Además se habrán de añadir la siguiente información para garantizar un tratamiento de los mismos de forma leal y transparente

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos Derechos ARSULIPO

Así, hemos de identificar al Responsable del tratamiento de los datos de carácter personal.

Será necesario establecer como mínimo los siguientes datos de identificación:

  • Nombre de la organización, C.I.F., domicilio social, email de contacto, teléfono de contacto
  • Finalidad del tratamiento de datos. En este apartado se debe establecer la finalidad concreta del tratamiento de los datos de carácter personal, entre las más comunes nos encontramos con las siguientes: gestionar la relación contractual, gestionar el envío de información solicitada
  • Plazo de conservación de los datos. El plazo de conservación de los datos varía en función de diferentes aspectos, tales como obligaciones legales de conservación (por ejemplo, las historias clínicas), necesidad de conservación en orden a reclamar cuantías impagadas, o para prestar correctamente los servicios contratados.
  • Base de legitimación para el tratamiento de los datos. Siempre es necesario establecer la fundamentación jurídica que legitima el tratamiento de los datos de carácter personal, entre las más comunes nos encontramos con: el consentimiento del interesado, la ejecución de un contrato, una obligación legal etc, todo ello sobre la base del art. 6 del RGDP. Dentro de este apartado es conveniente establecer lo siguiente la obligación o no de facilitar datos y consecuencias de no hacerlo. Para la correcta prestación de los servicios, es necesario que el interesado facilite sus datos identificativos (tales como: nombre y apellidos, NIF, dirección, teléfono de contacto, dirección de correo electrónico, número de cuenta…) para poder darlo de alta como socio, (beneficiario, cliente,) realizar la facturación, contactar y dar soporte técnico, etc… En caso de que no se faciliten datos que se le indiquen como obligatorios, no se podrá llevar a buen fin la consecución del contrato y por tanto no se podrá prestar el servicio.
  • Destinatarios de los datos. Este apartado podríamos incluirlo dentro del contenido adicional, toda vez que no siempre se efectuará una cesión de los datos a otra entidad diferente, sin embargo, a pesar de no realizar cesiones de datos, es recomendable efectuar una mención a la no comunicación de datos a ningún tercero.
  • Derechos de los interesados. Uno de los apartados más importantes de toda Política de Privacidad, será necesario dar a conocer a los interesados, los derechos que les asisten respecto el tratamiento de sus datos de carácter personal.
  • Derecho a retirar el consentimiento. Para todos aquellos supuestos en que el tratamiento de datos de carácter personal se justifique en el consentimiento que dio el interesado, será necesario informarle del derecho que le asiste a retirar el consentimiento prestado, no afectando dicha retirada a la licitud del tratamiento realizado hasta dicho momento.
  • Posibilidad de reclamar ante la autoridad de control (AEPD). Es necesario informar al interesado la posibilidad de reclamar ante la autoridad de control (AEPD), toda vez que considere que sus datos no son tratados correctamente.
  • Seguridad y confidencialidad de los datos. El artículo 13 no establece expresamente la necesidad de informar sobre este extremo, sin embargo, hemos de acudir al artículo 5.1.f. RGPD. En este caso, se informará al interesado de que la organización ha adoptado todas las medidas necesarias para garantizar la seguridad de los datos aportados, así como la confidencialidad de los mismos.

El consentimiento informado

El “consentimiento del interesado” es definido por el RGPD en su art. 4.11 como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Tratamiento basado en el consentimiento del afectado

Llegados a este punto, una de las cuestiones que genera más controversia es qué se entiende por consentimiento y que en todo caso, debemos tener muy claro el tratamiento de dichos datos cuando tratamos los datos personales de las personas con las que interactuamos.

Así, la ley reguladora lo define, remitiéndose al RGPD

Artículo 6 LOPDGDD:

(…) se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.

3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual».

Es decir, el interesado deberá emitir una declaración de voluntad, por medio de la cual acepta el tratamiento de sus datos personales, que deberá reunir las siguientes características:

  • Libre.
  • Específica.
  • Informada.
  • Inequívoca.

Condiciones para el consentimiento del afectado establecidas en el RGPD

Artículo 7 RGPD

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato».

En resumen, cuando el tratamiento se base en el consentimiento del interesado el responsable tendrá que poder demostrar que aquel aceptó el tratamiento de sus datos personales.

  • Puede ser para uno o varios fines.
  • Debe ser prestado de forma libre.
  • Revocable.
  • El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
  • Utilizar un lenguaje claro y sencillo.

Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.

Los derechos de los ciudadanos y su ejercicio

Derechos ARSULIPO:

Derecho de Acceso. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales (fines, categorías de datos, destinatarios delos datos, plazo previsto de conservación, etc.)

Derecho de rectificación. El interesado tendrá derecho a la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Derecho de supresión. Derecho al olvido. El interesado tendrá derecho a la supresión de los datos personales que le conciernan, el responsable estará obligado a suprimir sin dilación indebida los datos personales en ciertas circunstancias (que ya no sean necesarios en relación con los fines para los que se recogieron, que el interesado retire el consentimiento o se oponga al tratamiento, que otra obligación legal obligue a la supresión de los datos…), aunque hay casos en los que no se pueden suprimir (para el cumplimiento de una obligación legal, por razones de interés público en el ámbito de la salud pública…)

Derecho a la limitación del tratamiento. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos. Esto se da en casos en los que, por ejemplo, es necesario realizar una valoración acerca de si se pueden suprimir o no.

Derecho a la portabilidad de los datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el primero. O, de ser posible, a que se transfieran directamente de un responsable a otro (pensemos, por ejemplo, en el historial médico cuando se cambia de seguro médico).

Derecho de oposición. El interesado tiene derecho a oponerse en cualquier momento a que datos personales que le conciernan sean objeto de un tratamiento.

Enlace a guías y publicaciones de la AEPD