El RGPD o Reglamento General de Protección de Datos entró en vigor en la Unión Europea en 2018. Desde entonces, es de obligado cumplimiento para las organizaciones y las personas.
Responde a la mayor sensibilización social con el cuidado y la salvaguarda de los datos personales. Implica la defensa de este derecho y, para ello, incluye una serie de exigencias legales, más las correspondientes sanciones por incumplimiento.
Te presentamos a continuación amplia información sobre cómo afecta a tu ONG y a las entidades de utilidad pública en general.
¿Qué es el RGPD?
Desde el 25 de mayo de 2018, todas las empresas y entidades que operan en algún país de la Unión Europea deben cumplir con este marco legal. Vigente desde mayo de 2016 y exigible desde dos años después, su finalidad es adaptar el tratamiento de los datos personales al mundo digital actual.
Asegura más control y seguridad a los ciudadanos, al tiempo que les concede la soberanía para decidir cómo han de ser tratados y empleados sus datos. También, en paralelo, protege frente a la recepción de informaciones empresariales no deseadas.
En esencia, estos son los principales rasgos inherentes a este reglamento:
- Responde al auge del big data y asume que los datos personales son valiosos, estratégicos para las empresas.
- Endurece el control sobre los datos personales y exige una supervisión y un blindaje sobresalientes.
- Cede al individuo el derecho de determinar cómo van a ser empleadas sus informaciones, así como el de impedir hacerlo.
- Asigna a las organizaciones plena responsabilidad respecto a la seguridad de esos indicadores.
- Favorece el acceso fácil y la retirada de los ficheros corporativos.
- Exige una mayor transparencia sobre la gestión de los datos personales.
- Elimina el consentimiento tácito que, hasta su aparición, imperaba para dar por permitido el uso de los datos.
- Pone el foco en la prevención y la reacción urgente en caso de brecha de seguridad o similares.
- Requiere de una adaptación a cada organización que lo implementa.
¿Cuáles son los fines de este reglamento europeo?
Los datos personales se consideran un bien individual, por lo que limita el uso colectivo indiscriminado. El propósito de esta regulación es que sean tratados con seguridad y confidencialidad. También debe impedirse el acceso y los usos no autorizados.
Su objeto es, en definitiva, proteger los derechos y las libertades esenciales de las personas físicas en Europa. Y también, asegurar la libre circulación de datos personales en la zona UE.
Con estos propósitos, establece estos principios de la protección de datos:
- Lealtad con el interesado.
- Transparencia.
- Licitud o legitimidad del tratamiento.
- Limitación de la finalidad.
- Minimización.
- Exactitud.
- Limitación del plazo de conservación.
- Integridad y confidencialidad.
La normativa de este tratamiento distingue entre tres categorías de datos: de carácter general, de categorías especiales y de naturaleza penal.
La aplicación de este reglamento obliga a todas las empresas, entidades públicas y profesionales que manejan datos personales de terceros. También a las ONG como la tuya. ¿Estás preparado?
Los datos y las organizaciones públicas
La recogida, la conservación y el almacenamiento de datos es una constante en toda clase de asociaciones, clubes, oenegés y demás entidades de utilidad pública.
Además de los datos generales, como los de identificación de tus socios y los derivados de las transacciones económicas, puedes manejar otros.
Por las particulares circunstancias que rodean a las ONGs, también es habitual tener algunos datos de categorías especiales. Entre ellos, los de origen étnico, los referidos a la orientación sexual, ítems sobre salud, afiliaciones sindicales, etcétera.
Para tratar esos datos sensibles se establecen estos requisitos:
- El interesado ha firmado su consentimiento.
- Su tratamiento se incluye en el ámbito de sus actividades legítimas.
- Se adopta y blindan todas las garantías de seguridad.
- Solo se emplean los vinculados a miembros actuales, socios antiguos o personas con contacto regular con ellas.
- Está prohibido transmitirlos a terceros sin la autorización del aludido.
El cumplimiento del Reglamento General de Protección de Datos es exigible e inaplazable para las organizaciones no gubernamentales. En realidad, dado que manejan datos especialmente sensibles, las exigencias son todavía mayores. Si diriges una asociación, has de cumplir ciertas obligaciones adicionales relacionadas con estas informaciones especiales.
Para las asociaciones sin ánimo de lucro, estas son las normativas de protección de datos que debes consultar:
- Reglamento General de Protección de Datos 2016, la máxima normativa en la Unión Europea.
- Real Decreto Ley 5/2018, de 27 de julio.
- Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales.
- Ley 34/2002, de 11 de julio.
- LSSI o Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico.
¿Con qué datos personales convive una asociación u oenegé?
Si estás gestionando una, seguro que eres plenamente consciente de los muchos datos con los que te desenvuelves. Principalmente, conviene diferenciar estas clases de datos:
- Procedentes de los usuarios, socios y asociados. Los facilitan desde el primer momento, en cuanto impulsan su adhesión a la organización o piden información.
- Relativos a los voluntarios. Se utilizan para contactar con ellos cuando resulta preciso.
- Vinculados con los proveedores, donantes y colaboradores. Las empresas, los profesionales y las personas que prestan apoyo a la actividad de tu entidad también aportan datos.
- Relacionados con los empleados. Se necesitan, de entrada, para pasar las nóminas, entre otros muchos usos.
- Informaciones sobre los beneficiarios finales. El carácter social de estas organizaciones las lleva a compilar y utilizar datos sobre afectados de la problemática o causa por la que luchan.
Son, normalmente, estos últimos los que el reglamento general comunitario considera más sensibles. Los engloba en las llamadas categorías especiales de datos personales. Hablamos de indicadores religiosos, filosóficos, sindicales, genéticos, biométricos, de salud y relacionados con la práctica o con las orientaciones sexuales.
Según el artículo 9 del reglamento, está prohibido tratarlos, salvo cuando las entidades cumplan los requisitos anteriormente mencionados.
Con todo, se establece la necesidad de asumir una responsabilidad proactiva en su tratamiento y protección. Es fundamental poder demostrar que se está haciendo el uso correcto según estos parámetros.
¿Cómo debes actuar para gestionarlos?
El procedimiento de partida está bastante definido:
- Analiza qué datos tratas, con qué fines y qué operaciones estás llevando a cabo.
- Establece cómo vas a aplicar las medidas incluidas en el reglamento.
- Asegúrate de su adecuación y de su correcta puesta en marcha.
- Confirma que puedes demostrar estas buenas prácticas legales ante las autoridades supervisoras y, sobre todo, frente a los interesados.
- Mantén una actitud proactiva, comprometida y vigilante durante todos estos procesamientos de datos.
En definitiva, para cumplir con este reglamento debes adoptar una enfoque anticipativo y dedicar tiempo, dinero y esfuerzos a asegurar su cumplimiento. Muchas de las herramientas de software de gestión de bases de datos vienen bien preparadas en este aspecto.
Claves para cumplir la normativa de protección de datos en tu organización
Evidentemente, no es una cuestión menor. Tienes que estar preparado, concienciado y centrado en satisfacer de manera correcta sus requisitos y sus prioridades.
A continuación, te vamos a detallar cuáles son las acciones irrenunciables que están en tu tejado. ¡Asegúrate de que las cumples perfectamente! En todos estos apartados se están cometiendo fallos susceptibles de importantes sanciones.
Obligación de informar
Desde que recoges sus datos, debes informar al interesado con claridad y concisión sobre cuáles recoges, durante cuánto tiempo y para qué.
Esta exigencia ya existía en las normativas anteriores, pero ahora se ha reforzado. Por ejemplo, no se pueden pedir los que son innecesarios para la finalidad de tu entidad. Si vas a cederlos a terceros, también has de advertirlo, y especificar si lo vas a hacer fuera de la Unión Europea.
Consentimiento expreso
Como te hemos comentado, ya no sirve que el consentimiento sea tácito, como antes. Tienes que pedirlo expresamente, tanto para administrar los datos como para otros propósitos específicos.
Ten presente que, si tenías datos antiguos en tu base, debes actualizar este aspecto y conseguir su aceptación expresa. Pon manos a la obra en esta cuestión lo antes posible.
Acuerdos con proveedores
Cuando los colaboradores tienen acceso a los datos con los que cuentas, debes firmar acuerdos con ellos. Serás responsable, también, si ellos no se adaptan a la normativa legal establecida.
Contratos con empleados
Consigue un documento firmado que presente el compromiso de confidencialidad al tratar todos los datos disponibles en la empresa. Si existen contraseñas para protegerlos, han de ser renovadas periódicamente.
También es preciso especificar y anticipar las pautas de gestión de los datos sensibles. Entre otros, los relativos a menores, de salud, de condenas penales, etcétera. Especialmente, cómo se accede a ellos, qué permisos hacen falta y de qué modo serán destruidos.
Legalidad en el sitio web
Estos canales de comunicación son extremadamente sensibles a la aplicación de este reglamento. Sus textos legales deben estar actualizados y adaptados a la normativa. Además, han de estar accesibles desde cualquier sitio de la web a solo un golpe de clic.
Los tres grandes contenidos que debes incluir son:
- Aviso legal. En él se concreta quién es el propietario de la web y cuáles son sus datos básicos.
- Política de privacidad. Requiere difundir con claridad la existencia del tratamiento de esos datos, cuál es su finalidad y quiénes serán los destinatarios. Además, refleja la legitimización para el tratamiento, quién es el responsable y cómo localizarlo. También anuncia la posibilidad de ejercer todos los derechos. En concreto, acceder, rectificar, cancelar y oponerse, así como las vías para hacerlo.
- Política de cookies. Si las incluyes en tu web para analizar las visitas, tienes que informar sobre cuáles usas, con qué fin y por cuánto tiempo.
Blindaje ante los riesgos
Es preciso analizar cuáles son e implementar las medidas de seguridad idóneas. Hay que estar alerta y anticiparse a las posibles amenazas con las protecciones adecuadas. Cuando manejas datos especialmente protegidos, también debes contar con una evaluación de riesgo.
Notificación de brechas
En caso de quiebra o problema de seguridad, es obligatorio comunicarlo a la AEPD en un máximo de 72 horas. Si se vulneran de manera grave los derechos de los afectados, estos también deben ser avisados cuanto antes.
Profesional especializado
De manera general, tu ONG no está obligada a contar con un delegado de protección de datos. Sin embargo, sí lo precisas si tratas datos personales a gran escala o cuando gestionas datos sensibles.
¿Cuáles son las sanciones establecidas?
El Reglamento General de Protección de Datos establece sanciones por protección de datos que pueden llegar hasta:
- 20 millones de euros.
- 4 % del volumen total del negocio del infractor.
Las multas contempladas difieren en virtud de tres aspectos:
- Para las infracciones consideradas leves: hasta 40 000 euros.
- Para las actuaciones u omisiones graves: entre 40 001 y 300 000 euros.
- Para las sanciones muy graves: entre 300 001 y 20 000 000 euros
Algunos ejemplos de sanciones por protección de datos impuestas por la AEPD
Enumeramos a continuación algunas multas fijadas en 2023 por la Agencia Española de Protección de Datos. Son referencias útiles para saber a qué nos exponemos en caso de incumplir:
- 2000 y 3000 euros por envío de e-mails comerciales sin copia oculta.
- 100 000 euros por requerir foto del interesado para entregar un paquete.
- Otros 100 000 euros por tratar y ceder datos sin consentimiento ni información.
- 5000 euros por no cumplir adecuadamente con el derecho de supresión.
- 5000 y 10 000 euros por desatender los derechos de acceso y supresión.
- 2500 euros por incluir cookies de terceros en la web y sin pedir consentimiento.
- 30 000 euros por realizar múltiples llamadas telefónicas a un particular que se había dado de alta en la Lista Robinson.
- 800 euros por mandar SMS comerciales a un particular sin responder a su derecho a la supresión.
- 3000 euros por ceder datos de salud sin consentimiento del afectado.
Como ves, llegados a este punto, conocer y cumplir las normas del RGPD es capital para tu organización. De lo contrario, te expones a importantes sanciones que podrían arruinar todo el trabajo realizado. Así que no lo dudes, afronta esta realidad. Si necesitas ayuda, contacta con Berrly y consigue los recursos tecnológicos idóneos.