Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ASOCIACIONES
Normas que regulan la protección de datos:
• Desaparece la obligación que existía previamente de notificar los ficheros a la Agencia Española
de Protección de Datos
• Asimismo el considerando expresa que “ todos los responsables y encargados están obligados a
cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos
registros, de modo que puedan servir para supervisar las operaciones de tratamiento”
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
• Están exentas organizaciones que empleen a menos de 250 trabajadores, a menos que el
tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades del interesado,
no sea ocasional o incluya categorías especiales de datos, datos relativos a condenas o
infracciones penales,
• Contenido de este RAT: El nombre y datos de contacto del responsable, del corresponsable y del
Delegado de Protección de Datos, si existiese. Las finalidades de los tratamientos llevados a
cabo, la base jurídica que legitima el tratamiento, la descripción de la categoría de interesados y
de la categoría de datos personales tratados, destinatarios o categoría de destinatarios de los
datos, transferencias internacionales de datos, plazos previstos para la supresión de los datos, y
una descripción de las medidas técnicas y organizativas de seguridad.
CONTRATOS ENCARGADOS DE TRATAMIENTO
• Los encargados de tratamiento, son empresas externas o profesionales, que prestan servicios a las
Asociación y que pueden acceder de forma directa o indirecta a los datos manejados en la entidad.
• Ejemplo: Asesoría, empresas de mantenimiento informático, empresas de alojamiento de datos, etc
• Se deben firmar contratos, con estas entidades, en virtud del artículo 28 del RGPD. Esos terceros
deben de garantizar a la Asociación, que su nivel de cuidado y seguridad respecto a los datos que
acceden es conforme al RGPD.
• Se debe establecer como mínimo en el documento contractual: el objeto del contrato, la duración, la
finalidad y naturaleza del tratamiento, tipo de datos personales, categoría de interesados y obligaciones
y derechos de ambas partes.
ACUERDOS DE CONFIDENCIALIDAD CON
TRABAJADORES O PERSONAL EN PRÁCTICAS
• Empleados o voluntarios que trabajan en una Asociación, manejan datos de carácter personal y
deben de firmar un compromiso de confidencialidad, para evitar que esa información sea revelada
a terceros no autorizados.
• Asimismo, deben de cumplir con las medidas de seguridad establecidas por la Asociación, con el
objetivo de garantizar la seguridad de los datos.
• Riesgos en la utilización de correos electrónicos : Ingeniería social y phishing, son los métodos de
ataque con más éxito por los ciberdelincuentes.
EL CONSENTIMIENTO DE LOS SOCIOS
• Para el tratamiento de datos de sus socios, una Asociación, debe de disponer del consentimiento
expreso de todos sus socios. Artículo 6.1.a RGPD. Ya no es válido el consentimiento tácito, para el
tratamiento de datos personales.
• Formularios vía online o en soporte papel, recabando el consentimiento de los socios para el
tratamiento de sus datos personales
• Además del consentimiento, el RGPD en virtud de su artículo 13 , obliga a informar de manera amplia
sobre distintos aspectos del tratamiento de los datos personales: datos identificativos del responsable
del tratamiento, finalidad concreta del tratamiento, legitimación del tratamiento,tiempo de conservación
de los datos, destinatarios, derechos de los afectados, transferencias internacionales de datos.
• Si la Asociación desea remitir comunicaciones electrónicas, debe solicitar autorización expresa para
ello, en virtud de la LSSI.
ANÁLISIS DE RIESGOS
• Una Asociación deberá de realizar una Evaluación de Impacto, cuándo lleve a cabo tratamientos
de datos personales que conlleven un alto riesgo para los derechos y libertades de los
interesados
• El RGPD, determina un contenido mínimo para la Evaluación de Impacto, aunque no contempla
ninguna metodología específica para su realización.
• La Evaluación de Impacto, incluye una descripción sistemática de las operaciones de tratamiento
efectuadas y de los fines del tratamiento, una evaluación de los riesgos para los derechos y
libertades de los interesados, además de las medidas previstas para demostrar la conformidad
con el RGPD
NOTIFICACIONES DE BRECHAS DE SEGURIDAD
• En virtud del artículo 33 del RGPD, existe la obligación por parte de la Asociación de notificar los
incidentes de seguridad que afecten a los datos personales tratados en la entidad.
• Se debería de notificar a la Agencia Española de Protección de Datos. También se debe de
notificar a los interesados, en el supuesto de que la violación de seguridad entrañe un alto riesgo
para los derechos y libertades del interesado.
• Existe un límite de 72 horas, para la notificación a las autoridades, desde que se tenga constancia
del incidente de seguridad.
• Debe de redactarse un protocolo interno en cada Asociación, para prevenir estas situaciones.
DELEGADO DE PROTECCIÓN DE DATOS
• El Artículo 34 de la Ley Orgánica 3/2018, establece los supuestos en los que una entidad
está obligada a designar un Delegado de Protección de Datos
• Para la mayoría de las asociaciones, no es obligatorio la designación de un delegado de
protección de datos en función de los criterios previstos.
• En cualquier caso, cada Asociación debe analizar su caso, o valorar la decisión de que
voluntariamente designe un delegado de protección de datos.
LOS DERECHOS DE LOS INTERESADOS
• Junto a los tradicionales derechos de acceso, rectificación, cancelación (ahora denominado supresión)
y oposición, surgen nuevos derechos.
• El derecho a la limitación del dato personal establece un derecho a que los datos sean marcados de tal
manera que se evite por parte del responsable un tratamiento en un futuro.
• ¿En qué situaciones puede darse una limitación al tratamiento?
• Los datos ya no son necesarios para la finalidad del tratamiento, pero el interesado los necesita para la
formulación, el ejercicio o la defensa de reclamaciones
LOS DERECHOS DE LOS INTERESADOS
• Requisitos :
• El Artículo 83 del RGPD, establece las condiciones generales para la imposición de multas
administrativas. ( económicas)
• El Artículo 84 del RGPD, prevé que los Estados puedan imponer otro tipo de sanciones distintas
a las multas administrativas.
• Las sanciones económicas pueden ir desde 10.000.000 de Euros o si se trata de una empresa el
2% como máximo del volumen de negocio anual del ejercicio financiero anterior, hasta
20.000.000 de Euros, o si se trata de una empresa el 4% como máximo del volumen anual de
negocio del ejercicio financiero anterior.
• Artículo 58 RGPD: Se faculta a las autoridades de control para sancionar con advertencia
PREGUNTAS FRECUENTES
• ¿Qué pasa con los voluntarios que trabajan en una Asociación? Aunque no tienen contrato
laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Firma
de acuerdo de confidencialidad
PREGUNTAS FRECUENTES
• ¿Puede una asociación tratar datos de contacto de una persona física que preste sus
servicios en una organización o persona jurídica?
• En virtud del Artículo 19 de la Ley Orgánica 3/2018, “se presumirá amparado en lo dispuesto en el
artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso
los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en
una persona jurídica siempre que se cumplan los siguientes requisitos:
• b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la
persona jurídica en la que el afectado preste sus servicios.
PREGUNTAS FRECUENTES
• Artículo 3 de la Ley Orgánica 3/2008: las personas vinculadas al fallecido por razones familiares
o de hecho así como sus herederos podrán dirigirse a la Asociación al objeto de solicitar el
acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
• Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los
datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese
prohibido expresamente o así lo establezca una ley. Las personas o instituciones a las que el
fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las
instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o
supresión.
PREGUNTAS FRECUENTES
• Artículo 22.1 de la Ley Orgánica 3/2018: Podrán llevar a cabo el tratamiento de imágenes a
través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las
personas y bienes, así como de sus instalaciones. Solo podrán captarse imágenes de la vía
pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado
anterior.
• Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando
hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad
de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición
de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera
conocimiento de la existencia de la grabación.
GRACIAS POR SU ATENCIÓN