¿Cómo afecta el Reglamento General de Protección de Datos a las entidades sin ánimo de lucro?

Hola Elena,

Como indica la AEPD (Agencia esp. de protección de datos) en su web corporativa, hay una serie de obligaciones sobre el responsable del fichero o tratamiento recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Entre otros debe:

Inscripción de ficheros

• Notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción.

Calidad de los datos

• Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.

Deber de guardar secreto

• Garantizar el cumplimiento de los deberes de secreto y seguridad.

Deber de información

• Informar a los titulares de los datos personales en la recogida de éstos.
• Obtener el consentimiento para el tratamiento de los datos personales.

Atención de los derechos de los ciudadanos

• Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
• Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
• Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

Puedes completar los pasos prácticos a dar mediante este documento, la Guía del Reglamento General de Protección de Datos (PDF adjunto a esta consulta).

Paralelamente esta es toda la arquitectura legislativa que sustenta el citado Reglamento General de Protección de Datos:

link

Un abrazo cordial,

Marc Masmiquel

Hola Elena,

A partir del 25 de mayo será de obligado cumplimiento una nueva regulación que apunta a fortalecer los derechos individuales de protección de datos dentro de la Unión Europea, esta regulación (Reglamento General de Protección de Datos), sustituye a la Directiva de 1995.

Las principales diferencias con la LOPD (Ley Orgánica de Protección de Datos)son las siguientes:

-Desaparece la obligación de inscribir los ficheros, que se sustituye por un control interno y, en algunos casos, un inventario de las actividades de tratamiento de datos que se realicen.

-Será recomendable y en algunos casos obligatorio designar un Delegado de Protección de Datos (DPD), interno o externo, que asista a las organizaciones en el proceso del cumplimiento normativo.

-Desaparecen los niveles de seguridad actualmente existentes (alto, medio, bajo). En ciertos casos, se deberán realizar evaluaciones de impacto sobre la privacidad, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.

-Se introduce el concepto de ventanilla única, que permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos de su lugar de residencia, de su lugar de trabajo o del lugar donde se hubiera cometido la presunta infracción, independientemente del domicilio de la organización denunciada.

-Las brechas de seguridad deberán ser comunicadas a las autoridades de control y, en determinados supuestos, también a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.

-Datos sensibles: se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.

-La selección de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.

-Garantías adicionales para las transferencias internacionales de datos: establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la unión europea.

-Sellos y certificaciones: se prevé que se creen sellos y certificaciones que permitan acreditar el cumplimiento por parte de las organizaciones.

-Sanciones: las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las administraciones públicas, aunque los estados miembros pueden acordarlo así).

-Se introducirán los términos privacidad por diseño y privacidad por defecto. La privacidad en el diseño busca que las organizaciones intenten evitar invasiones en la privacidad durante el diseño y la privacidad por defecto persigue que la privacidad se proteja en todo momento y de forma predeterminada.

-Se crearán nuevos derechos. Se añadirán a los actuales derechos de acceso, rectificación, cancelación y oposición, los derechos a la limitación del tratamiento y a la portabilidad de los datos.

-Cuando se recaben datos personales, la información que se facilite a los afectados deberá ser más extensa que en la actualidad. Por ejemplo, habrá que indicar el plazo de conservación de los datos personales, los datos de contacto del DPD y la base jurídica del tratamiento, entre otros.

-Se verá modificada la figura del consentimiento. El consentimiento será toda manifestación de voluntad libre, específica, informada que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa. Los silencios y las casillas premarcadas no serán formas válidas de obtención del consentimiento.

De forma resumida la ley de protección de datos implica tomar las siguientes medidas:
- Comunicaciones: Incluir un mensaje en vuestros formularios, web e emails de distribución que explique cómo trataréis los datos personales de las personas que contactéis y la posibilidad de la que disponen de modificar, rectificar o cancelar sus datos de vuestra base de datos. También habréis de incluir la opción de darse de baja en las cadenas de comunicaciones que enviéis y si ofrecéis la opción de inscribirse a vuestro newsletter esta nunca debe estar pre-marcada.
-Proveedores: firma de acuerdos de confidencialidad y gestión de tratamiento de datos si vuestros proveedores van a tener acceso a datos personales de vuestros usuarios
-Empleados: acuerdos de confidencialidad e información sobre protección de datos básica a vuestros empleados o colaboradores/voluntarios si tienen acceso a datos personales de usuarios.
-Seguridad: contraseñas que caduquen cada cierto tiempo para acceder a sistemas que almacenen datos personales. Gestión de permisos para acceder a datos sensibles. Destrucción o encriptación de información sensible de usuarios…

Utilizar un buen CRM os puede ayudar a gestionar eficientemente y de forma segura vuestra base de datos y confesando que trabajo con CiviCRM os comento que la comunidad de CiviCRM ha desarrollado una extensión que cubre las necesidades especiales de la nueva RGPD además de las funciones que CiviCRM ya integra para garantizar la seguridad de los datos y realizar comunicaciones que incluyan los mensajes exigidos.

La guía que envía Marc en la anterior respuesta te puede ser muy útil para completar otros procedimiento prácticos.

Espero que esta información te haya ayudado.

Un saludo,

Carolina Bardisa

Elena,
Comparto totalmente el criterio de mi colega Carolina. Los cambios normativos que de modo tan completo ella te reseña como verás obligan a esta adaptación. Utilizando la guía podréis adaptar sin problema vuestra casuística a la nueva normativa.
Cordial saludo,
Marc Masmiquel

Igual que al resto