PROTECCIÓN DE DATOS Y LAS

ASOCIACIONES
Normas que regulan la protección de datos:

Reglamento (UE), 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de

2016: Reglamento General de Protección de Datos, vigente a partir del 25 de Mayo de
2018, en toda Europa.
Ley Orgánica 3/2018, de 5 de Diciembre de Protección de Datos Personales y garantía
de los derechos digitales.
Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y Comercio
Electrónico.
CATEGORÍAS DE DATOS PERSONALES
TRATADOS EN UNA ASOCIACIÓN
• Datos de los socios

• Datos de empleados y gestión de personal

• Datos de proveedores
• Datos de contacto
• Datos de colaboradores
• Datos de usuarios de la página web de la Asociación.
• Datos de suscriptores

• Datos de asistentes a jornadas de formación

 REGISTRO DE ACTIVIDADES DE TRATAMIENTO

• Desaparece la obligación que existía previamente de notificar los ficheros a la Agencia Española
de Protección de Datos

• Considerando número 82 del RGPD. “Para demostrar la conformidad y cumplimiento del

mismo, tanto el responsable como el encargado de tratamiento deben mantener registros
de las actividades de tratamiento bajo su responsabilidad”.

• Asimismo el considerando expresa que “ todos los responsables y encargados están obligados a
cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos
registros, de modo que puedan servir para supervisar las operaciones de tratamiento”
 REGISTRO DE ACTIVIDADES DE TRATAMIENTO

• Están exentas organizaciones que empleen a menos de 250 trabajadores, a menos que el
tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades del interesado,
no sea ocasional o incluya categorías especiales de datos, datos relativos a condenas o
infracciones penales,
• Contenido de este RAT: El nombre y datos de contacto del responsable, del corresponsable y del
Delegado de Protección de Datos, si existiese. Las finalidades de los tratamientos llevados a
cabo, la base jurídica que legitima el tratamiento, la descripción de la categoría de interesados y
de la categoría de datos personales tratados, destinatarios o categoría de destinatarios de los
datos, transferencias internacionales de datos, plazos previstos para la supresión de los datos, y
una descripción de las medidas técnicas y organizativas de seguridad.
 CONTRATOS ENCARGADOS DE TRATAMIENTO

• Los encargados de tratamiento, son empresas externas o profesionales, que prestan servicios a las
Asociación y que pueden acceder de forma directa o indirecta a los datos manejados en la entidad.
• Ejemplo: Asesoría, empresas de mantenimiento informático, empresas de alojamiento de datos, etc

• Se deben firmar contratos, con estas entidades, en virtud del artículo 28 del RGPD. Esos terceros
deben de garantizar a la Asociación, que su nivel de cuidado y seguridad respecto a los datos que
acceden es conforme al RGPD.
• Se debe establecer como mínimo en el documento contractual: el objeto del contrato, la duración, la
finalidad y naturaleza del tratamiento, tipo de datos personales, categoría de interesados y obligaciones
y derechos de ambas partes.
 ACUERDOS DE CONFIDENCIALIDAD CON
TRABAJADORES O PERSONAL EN PRÁCTICAS

• Empleados o voluntarios que trabajan en una Asociación, manejan datos de carácter personal y
deben de firmar un compromiso de confidencialidad, para evitar que esa información sea revelada
a terceros no autorizados.
• Asimismo, deben de cumplir con las medidas de seguridad establecidas por la Asociación, con el
objetivo de garantizar la seguridad de los datos.
• Riesgos en la utilización de correos electrónicos : Ingeniería social y phishing, son los métodos de
ataque con más éxito por los ciberdelincuentes.
 EL CONSENTIMIENTO DE LOS SOCIOS

• Para el tratamiento de datos de sus socios, una Asociación, debe de disponer del consentimiento
expreso de todos sus socios. Artículo 6.1.a RGPD. Ya no es válido el consentimiento tácito, para el
tratamiento de datos personales.
• Formularios vía online o en soporte papel, recabando el consentimiento de los socios para el
tratamiento de sus datos personales
• Además del consentimiento, el RGPD en virtud de su artículo 13 , obliga a informar de manera amplia
sobre distintos aspectos del tratamiento de los datos personales: datos identificativos del responsable
del tratamiento, finalidad concreta del tratamiento, legitimación del tratamiento,tiempo de conservación
de los datos, destinatarios, derechos de los afectados, transferencias internacionales de datos.
• Si la Asociación desea remitir comunicaciones electrónicas, debe solicitar autorización expresa para
ello, en virtud de la LSSI.
 ANÁLISIS DE RIESGOS

• En el análisis de riesgos, toda Asociación, como responsable de tratamientos de datos

personales, debe de hacer una valoración de los riesgos a los que se exponen dichos
tratamientos, a fin de poder establecer qué medidas deben de aplicar y cómo deben de hacerlo.
• El tipo de análisis varía en función de varios criterios:
• Los tipos de tratamientos de datos personales existentes en la Asociación
• La naturaleza de los datos de los datos personales
• El número de interesados
• La cantidad de tratamientos que una Asociación lleve a cabo.
 EVALUACIÓN DE IMPACTO

• Una Asociación deberá de realizar una Evaluación de Impacto, cuándo lleve a cabo tratamientos
de datos personales que conlleven un alto riesgo para los derechos y libertades de los
interesados
• El RGPD, determina un contenido mínimo para la Evaluación de Impacto, aunque no contempla
ninguna metodología específica para su realización.
• La Evaluación de Impacto, incluye una descripción sistemática de las operaciones de tratamiento
efectuadas y de los fines del tratamiento, una evaluación de los riesgos para los derechos y
libertades de los interesados, además de las medidas previstas para demostrar la conformidad
con el RGPD
 NOTIFICACIONES DE BRECHAS DE SEGURIDAD

• En virtud del artículo 33 del RGPD, existe la obligación por parte de la Asociación de notificar los
incidentes de seguridad que afecten a los datos personales tratados en la entidad.
• Se debería de notificar a la Agencia Española de Protección de Datos. También se debe de
notificar a los interesados, en el supuesto de que la violación de seguridad entrañe un alto riesgo
para los derechos y libertades del interesado.
• Existe un límite de 72 horas, para la notificación a las autoridades, desde que se tenga constancia
del incidente de seguridad.
• Debe de redactarse un protocolo interno en cada Asociación, para prevenir estas situaciones.
 DELEGADO DE PROTECCIÓN DE DATOS

• El Artículo 34 de la Ley Orgánica 3/2018, establece los supuestos en los que una entidad
está obligada a designar un Delegado de Protección de Datos
• Para la mayoría de las asociaciones, no es obligatorio la designación de un delegado de
protección de datos en función de los criterios previstos.
• En cualquier caso, cada Asociación debe analizar su caso, o valorar la decisión de que
voluntariamente designe un delegado de protección de datos.
 LOS DERECHOS DE LOS INTERESADOS

• Junto a los tradicionales derechos de acceso, rectificación, cancelación (ahora denominado supresión)
y oposición, surgen nuevos derechos.
• El derecho a la limitación del dato personal establece un derecho a que los datos sean marcados de tal
manera que se evite por parte del responsable un tratamiento en un futuro.
• ¿En qué situaciones puede darse una limitación al tratamiento?

• Impugnación de exactitud de datos.

• Tratamientos ilícitos en los que el interesado se opone a la supresión.

• Los datos ya no son necesarios para la finalidad del tratamiento, pero el interesado los necesita para la
formulación, el ejercicio o la defensa de reclamaciones
 LOS DERECHOS DE LOS INTERESADOS

• Derecho de portabilidad: Consiste en otorgar a cualquier ciudadano el derecho a que cualquier

empresa / entidad que trate sus datos personales se los ceda o los transfiera a cualquier otra
empresa/ entidad que éste les indique en un formato estructurado, inteligible y automatizado.

• Requisitos :

• Que los datos incumban al solicitante

• Que los datos hayan sido facilitados al responsable por el interesado

• Que el tratamiento se base en un consentimiento o en la existencia de un contrato

• Que el tratamiento sea automatizado

 PÁGINA WEB DE UNA ASOCIACIÓN

• Debe de incluir en la página web de la entidad un aviso legal. Se debe de identificar el

responsable de la página web. El enlace al aviso legal debe ser visible.
• Una política de cookies
• Una política de privacidad en consonancia con lo determinado por el RGPD y la Ley Orgánica
3/2018. Sistema de información de 2 capas.
• Información de la 1ª capa: Datos identificativo del Responsable del Tratamiento, la finalidad del
tratamiento, la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RGPD
y una dirección de correo electrónico u otro medio ( enlace) que permita acceder de forma sencilla
e inmediata a la segunda capa
 SANCIONES

• El Artículo 83 del RGPD, establece las condiciones generales para la imposición de multas
administrativas. ( económicas)
• El Artículo 84 del RGPD, prevé que los Estados puedan imponer otro tipo de sanciones distintas
a las multas administrativas.
• Las sanciones económicas pueden ir desde 10.000.000 de Euros o si se trata de una empresa el
2% como máximo del volumen de negocio anual del ejercicio financiero anterior, hasta
20.000.000 de Euros, o si se trata de una empresa el 4% como máximo del volumen anual de
negocio del ejercicio financiero anterior.
• Artículo 58 RGPD: Se faculta a las autoridades de control para sancionar con advertencia
 PREGUNTAS FRECUENTES

• ¿Se pueden publicar en Internet, fotografías de personas realizadas en actividades de la

Asociación? No, salvo que exista un consentimiento expreso de los afectados.
• ¿ Puede pedir un socio, información que afecte a otros socios? Requisitos: Cada socio haya
sido informado y expresado su consentimiento a que un socio puede obtener el listado del resto
de socios. Si en el Estatuto de la Asociación, se contempla el supuesto, sería legítimo .También si
una Ley ampara esa cesión de datos, sería legal la cesión de datos.

• ¿Qué pasa con los voluntarios que trabajan en una Asociación? Aunque no tienen contrato
laboral, se consideran como empleados a efectos de la normativa de Protección de Datos. Firma
de acuerdo de confidencialidad
 PREGUNTAS FRECUENTES

• ¿Dónde almacenan la información las Asociaciones? Personal debe conocer donde se

encuentra la información de los socios. En soporte físico, criterios y protocolo de destrucción de la
información. Soporte informático, se debe tener en cuenta el almacenamiento seguro y cifrado de
la información. Si se almacena información en servicios de cloud, importante crear contraseñas
fuertes para los trabajadores
• ¿ Puede una Asociación, tratar datos de menores de edad? Artículo 7 de la Ley Orgánica
3/2018. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse
en su consentimiento cuando sea mayor de catorce años. Se exceptúan los supuestos en que la
ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o
negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
 PREGUNTAS FRECUENTES

• ¿Puede una asociación tratar datos de contacto de una persona física que preste sus
servicios en una organización o persona jurídica?

• En virtud del Artículo 19 de la Ley Orgánica 3/2018, “se presumirá amparado en lo dispuesto en el
artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso
los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en
una persona jurídica siempre que se cumplan los siguientes requisitos:

• a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización

profesional.

• b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la
persona jurídica en la que el afectado preste sus servicios.
 PREGUNTAS FRECUENTES

• ¿Que puede suceder con los datos de asociados fallecidos?

• Artículo 3 de la Ley Orgánica 3/2008: las personas vinculadas al fallecido por razones familiares
o de hecho así como sus herederos podrán dirigirse a la Asociación al objeto de solicitar el
acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

• Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los
datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese
prohibido expresamente o así lo establezca una ley. Las personas o instituciones a las que el
fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las
instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o
supresión.
 PREGUNTAS FRECUENTES

• ¿Puedo establecer un sistema de videovigilancia en las instalaciones de la Asociación?

• Artículo 22.1 de la Ley Orgánica 3/2018: Podrán llevar a cabo el tratamiento de imágenes a
través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las
personas y bienes, así como de sus instalaciones. Solo podrán captarse imágenes de la vía
pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado
anterior.

• Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando
hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad
de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición
de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera
conocimiento de la existencia de la grabación.
 GRACIAS POR SU ATENCIÓN

• JOSE MANUEL FERNÁNDEZ MIRÁS.

• ABOGADO.
• ESPECIALISTA EN EL DERECHO DE LAS NUEVAS TECNOLOGÍAS Y
PROTECCIÓN DE DATOS
• TF: 985230463/ 649374785
• josemiras@ogbp.es