Asociaciones

¿CÓMO DEBEN CUMPLIR LAS ASOCIACIONES EL RGPD?

Las asociaciones también tienen en sus manos una gran cantidad de datos, de socios, de proveedores o de empleados, por lo que también tendrán que adaptarse a la nueva normativa.

¿Qué datos personales manejas?

Cada vez que un usuario te deja sus datos para hacerse socio o para solicitar información, acuerdas la prestación de servicios con los profesionales y empresas externos, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar tu asociación para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Solicitar el consentimiento a los socios
  5. Incluir los textos legales en la página web
  6. Realizar un Análisis de riesgos
  7. Notificar brechas de seguridad
  8. Nombrar un DPD si se necesita

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos se manejan en la asociación y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las asociaciones son:

  • Socios
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

Cada vez que contratas una gestoría para llevar los temas fiscales o laborales.

O si tienes una empresa informática que realiza el mantenimiento de los equipos en la asociación.

Estos son los Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Acuerdo de confidencialidad con empleados

Los empleados tienen acceso a toda la información que maneja la asociación y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

4. Consentimiento de socios

Además de actualizar la política de privacidad, tu asociación debe tener el consentimiento expreso de todos sus socios para poder tratar sus datos.

5. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI

6. Análisis de riesgos

Presta atención porque esto es importante.

En la asociación debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen,

7. Notificar brechas de seguridad

¿Y esto qué significa?

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la asociación, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

 

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

8. Delegado de Protección de Datos

Para la mayoría de las asociaciones no es obligatorio nombrar un Delegado de Protección de datos, ya que no están dentro de los supuestos en los que así lo exige el RGPD.