LOPD en organizaciones sin ánimo de lucro

Las organizaciones sin ánimo de lucro están obligadas a cumplir con la Ley Orgánica de Protección de Datos, LOPD, en la misma medida que el resto de entidades e instituciones. Si conoces el ámbito de actuación de dichas organizaciones, sabrás que en muchos casos trabajan con colectivos vulnerables. Por eso, deben tener especial cuidado con sus políticas de protección de datos de carácter personal.

Si trabajas en una asociación o fundación, quizá te dediques al trabajo directo con personas mayores, menores en situación de desprotección, personas con discapacidad, reclusos o ex reclusos o víctimas de violencia doméstica.

También hay organizaciones de este tipo donde trabajas con minorías raciales, adictos a las drogas, colectivos en riesgo de marginalidad por su tendencia sexual, inmigrantes, refugiados por causas políticas o religiosas o personas con enfermedades infecciosas. En todos estos casos, y otros de colectivos especialmente vulnerables, debes extremar las precauciones cuando trates con datos personales.

Nivel de seguridad

Tanto la LOPD como el Reglamento General de Protección de Datos, RGPD, con entrada en vigor el 25 de mayo de 2018, catalogan los datos personales que hacen referencia a los colectivos que acabamos de nombrar, con el mayor nivel de seguridad requerida a la hora de ser tratados. Un fallo o brecha de seguridad en el tratamiento de datos que se refieran a, por ejemplo, la ideología, situación de salud, condición sexual, religión o situación penal de una persona, pueden acarrear multas de la más alta cuantía contempladas en la legislación.

Y aunque la legislación vigente hace caer todo el peso de la responsabilidad del fallo en la organización para la que trabajas, si tú has sido quien lo ha cometido, tu organización también puede pedirte responsabilidades por lo sucedido.

Así que presta mucha atención a todo lo que vamos a detallarte, porque cualquier error puede poner en peligro la estabilidad económica y la continuidad de la entidad para la que trabajas y, en consecuencia, de tu propio puesto de trabajo.

Necesidad de una consultoría de protección de datos

Las organizaciones sin ánimo de lucro suelen tratar con datos especialmente sensibles. Esto hace necesario que contraten los servicios de una consultoría de protección de datos para hacer un diagnóstico de la situación de sus sistemas de tratamiento de datos, aplicar las medidas pertinentes y asesorar en los temas más importantes.

Otro de los cometidos habituales de las consultorías es la realización de acciones formativas para el personal de las organizaciones sin ánimo de lucro, con el objetivo de que no incurran en errores a la hora de tratar datos en el puesto de trabajo. Por eso, si trabajas en una de estas entidades, quizá hayas tenido que participar, durante los últimos meses, en alguna actividad formativa sobre el RGPD.

Obligaciones

Hasta el año 2018, era la LOPD la legislación vigente en materia de protección de datos de carácter personal. No obstante, tras la entrada en vigor del RGPD, hay una serie de modificaciones que también las organizaciones sin ánimo de lucro deben contemplar.

El nuevo reglamento introduce derechos como el denominado del olvido y el de la portabilidad, lo que supone transferir más poder hacia el ciudadano para controlar mejor sus datos, cuando aparecen en Internet o en los listados de alguna empresa.

Las organizaciones también deben comunicar a la Agencia Española de Protección de Datos (AEPD) los datos que tienen (ficheros) y el soporte en que los manejan.

Medidas

Si eres responsable de una de estas organizaciones, asegúrate de cumplir con las siguientes medidas:

  • Diagnóstico de la situación de seguridad y protección de datos en tu entidad.
  • Documento informativo donde se refleje la ubicación de los ficheros y los accesos a los mismos, además de las personas autorizadas.
  • Delegado de Protección de Datos. Es una figura de reciente creación, a través del RGPD, aunque con la LOPD su nombre era Responsable de Seguridad.
  • Formar e informar a los trabajadores para el cumplimento de la legislación y los protocolos de seguridad necesarios.
  • Actitud activa, preventiva y vigilante, en relación al cumplimiento de los requerimientos necesarios.

Registro de actividades del tratamiento (antiguos ficheros)

Los datos se conocen como ficheros, según la terminología de la LOPD y el RGPD. A continuación, de ofrecemos un listado de los principales tipos que habitualmente se manejan en las organizaciones sin ánimo de lucro.

  • Datos personales y laborales de los trabajadores (de haberlos)
  • Información profesional y personal de los demandantes de empleo (currículos)
  • Datos económicos de trabajadores, socios, proveedores y clientes
  • Datos comerciales para el envío de campañas publicitarias
  • Datos personales de usuarios (informes sociales, valoraciones de discapacidad cuando aplique, recursos y documentación legal)
  • Datos de colaboradores, voluntarios, usuarios, junta directiva, cuadro técnico de la entidad, etc.

En caso de almacenarse también de manera física, todos estos datos deben estar en una ubicación localizada y deben ser tratados solo por el personal autorizado para ello. Deben almacenarse con una finalidad concreta y eliminarse en el momento en que dicha finalidad expire. Son datos personales todos aquellos -ya sean escritos, documentos, fotografías o audios- que ofrezcan información sobre la identidad de una persona.

Consentimiento

El consentimiento es un concepto básico cuando tratas con datos personales. El nuevo reglamento endurece las condiciones necesarias para poder manejar este tipo de información y la persona titular debe dar su consentimiento explícito, voluntario y de forma clara, para unos fines determinados, que se le deben comunicar desde la organización. Además, dicho consentimiento deberá ser registrado por escrito o por un audio grabado.

En el pasado, se consideraba que un silencio podía considerarse, en algunos casos, como una autorización tácita. Ahora esto no es posible y se debe dar una autorización expresa y clara para usar unos datos determinados. Es decir, sin mandas un correo electrónico pidiendo autorización para enviar un boletín informativo mensual, el destinatario debe contestarte con una autorización expresa por correo o un audio grabado. Si no te contesta, no podrás considerar que el destinatario te ha autorizado con el silencio.

Conclusión: protección de datos al máximo nivel

Las organizaciones sin ánimo de lucro se encuentran entre las entidades que más y mejor deben garantizar la protección de datos de carácter personal y los datos empresariales, en el marco de la LOPD y el RGPD. Por eso, deben recurrir a una consultoría de protección de datos para ayudarles en el proceso de velar por los derechos de sus usuarios, clientes, socios, voluntarios, colaboradores y proveedores.


Estaremos encantados de hablar contigo

Somos ClickDatos Seguridad de la Información SL. Consulte sus derechos y el tratamiento de sus datos en nuestra Política de Privacidad
Scroll al inicio