Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Pablo Martín

¿Qué hay que hacer para dar de alta una asociación para cumplir la LOPD?

21.09.13

Hola,

¿Qué hay que hacer para dar de alta una asociación para cumplir la LOPD? Estamos empezando con la asociación y no sabemos bien cómo hacerlo. Actualmente tenemos datos bancarios y personales en un archivo informático y en formato físico.

Gracias.

Compárte en las redes sociales

Respuestas

avatar
#1

Aportada por:

Ramón Perez-Lucena

Especialista en Fundaciones, www.abogadodefundaciones.com

Trabaja en:

Asesor particular

23.09.13

Es muy sencillo y se puede hacer online con la Agencia Nacional (www.agpd.es). Se trata solo de comunicar los ficheros, por ejemplo de contabilidad y de socios.

Mi consejo es que si no lo haces tu mismo cuentes que pagar más de 100 euros por una gestión como esta no es de recibo pues el trámite y la elaboración del documento de seguridad posterior y los consejos… no valen más.

avatar
#2

Aportada por:

Teresa Ferraz Hermoso de Mendoza

Abogada

Trabaja en:

Asesor particular

23.09.13

Hola Pablo,
Además de comunicar a la Agencia los ficheros con los datos, deberás establecer un protocolo con los datos físicos.
Existe una guía de la Agencia que te la indico a través de este link http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/modelo_doc_seguridad.pdf
Que te ayudara a elaborar el documento de seguridad

A continuación podemos enumerar las principales obligaciones que surgen de la aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal:

Notificación de los ficheros
Recogida correcta de los datos personales (información y consentimiento)
Permitir el ejercicio de sus derechos a los titulares de los datos
Proteger la información recogida y no cederla sin consentimiento
Notificación de Ficheros en la Agencia Española de Protección de Datos
En el momento que la asociación prevea que va a manejar datos de carácter personal, deberá notificar con carácter previo a la Agencia Española de Protección de Datos la existencia de un fichero que contiene esos datos. Hay que tener en cuenta que se considera “fichero” a todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización o acceso (tanto ficheros automatizados como ficheros manuales o en papel).

El procedimiento de notificación a La Agencia Española de Protección de Datos de la existencia de un fichero es sencillo y se puede realizar telemáticamente a través del sistema de Notificaciones Telemáticas de la Agencia (Formulario NOTA).

Hay que tener en cuenta que en esta notificación, solamente se comunica a la Agencia la existencia del fichero (indicando qué datos se van a recoger) y en ningún caso se envían los datos almacenados.

Información y consentimiento en la recogida de datos
Desde el primer momento que se recaben datos de carácter personal, debemos cumplir con ciertas obligaciones documentales. Así pues, la asociación está obligada a informar al interesado, de forma previa y expresa, de diversos aspectos, tales como:

la existencia del fichero o tratamiento,
la finalidad de la recogida de los datos,
la posibilidad que tiene el interesado de ejercer los derechos de acceso, rectificación, cancelación y oposición,
la identidad y dirección de la asociación y la identidad del destinatario de la información recabada.
Si los datos se obtienen directamente del interesado, es ineludible informarle del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.

Cuando se utilicen cuestionarios u otros impresos para la recogida de los datos se deberá incluir una cláusula donde se recoja toda esta información así como el consentimiento del afectado a la cesión de los datos.

Como ejemplo de cláusula de información de Protección de Datos:

De conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, con la firma del presente documento da su consentimiento para el tratamiento de los datos personales aportados en él. Estos serán incorporados al fichero denominado “socios”, inscrito en el Registro General de la Agencia Española de Protección de Datos y cuyo responsable es la Asociación “ejemplo”. Sus datos serán utilizados en la tareas propias de la gestión administrativa de la asociación, así como para enviarle información de otras actividades desarrolladas por la asociación.

Asimismo consiente expresamente que la Asociación ceda sus datos personales, de forma confidencial, a la compañía de seguros con la exclusiva finalidad de poder tramitar la contratación del seguro que dará cobertura a las actividades de la asociación.

Le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en la Ley a través de correo ordinario especificando su nombre, apellidos y D.N.I. en la siguiente dirección…

Ejercicio de derechos ARCO
A las personas de las que se recabe sus datos personales, se les debe garantizar el ejercicio de una serie de derechos comúnmente llamados con las siglas A.R.C.O. Estos derechos son la posibilidad de Acceso, Rectificación, Cancelación y Oposición de sus datos por parte del interesado.

Por lo tanto, se debe tener en cuenta el establecimiento de un procedimiento específico de comunicación para garantizar el ejercicio de estos derechos. En el momento de la recogida de los datos se debe informar del lugar y forma que el interesado tiene para el ejercicio de estos derechos (que no podrá suponer costes especiales para el interesado, como por ejemplo envío de correo certificado).

Por parte de la asociación deberá

mantener un archivo específico con la información relativa al ejercicio de estos derechos y donde tenga los modelos a utilizar en las contestaciones correspondientes,
guardar copia de la correspondencia generada a raíz de cualquier solicitud realizada por el interesado
El documento de seguridad
Otra documentación que se debe elaborar y archivar es el denominado documento de seguridad. En este documento se recogerán todas las medidas de índole técnica y organizativa que sean necesarias tener en cuenta en función de la normativa vigente, para garantizar la seguridad de los datos y será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

En este punto, se debe tener en cuenta que las medidas de seguridad a contemplar serán de nivel básico, medio o alto en función del tipo de datos:

Básico: Todos los ficheros
Medio: Gustos, tendencias, que permitan obtener una evaluación de la personalidad del individuo. Solvencia patrimonial y crédito. Hacienda pública. Servicios financieros. Comisión de infracciones administrativas o penales
Alto: Ideología, Religión, Creencias, Origen Racial, Salud, Vida sexual
Un saludo
Teresa Ferraz

avatar
#3

Aportada por:

Mabel Paola Cueto De La Cruz

Mabel Cueto (IP-PRIVACY®)

Trabaja en:

Asesor particular

25.09.13

Buenos días Pablo,

Como sabes, todo tratamiento de datos de carácter personal en el desarrollo/desempeño de una actividad profesional (no doméstica) debe de cumplir con los requisitos y formalidades establecidas en la LO 15/99, sobre Protección de Datos de Carácter Personal y su Reglamento de desarrollo, y otras normas, como por ejemplo la Ley de Servicios de la Sociedad de al Información y Comercio Electrónico, LSSICE en caso de que la asociación vaya a contar con web.

A modo orientativo, ya que para explicar con detalle siempre conviene asesorarse de profesional en la materia, aun sea el caso de que alguien interno de la asociación sea el que tirará así delante el proyecto de adecuación a la LOPD de la asociación, te adjunto varios enlaces interesantes, a saber:

http://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Este enlace corresponde a la Agencia Española de Protección de Datos, en el mismo encontrarás las obligaciones del Responsable de Ficheros, un enlace para hacer la notificación de ficheros, y mucha más información de utilidad.

Igualmente comentarte, que con sólo notificar los ficheros ante la AGPD, no estás cumpliendo con la normativa. Hay que realizar todo un proceso de adecuación donde se garantice el tratamiento correcto y legal de la información tanto a nivel interno de la asociación (datos personales de los empleados, socios, etc.) así como también los datos externos (usuarios, etc.)

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/index-ides-idphp.php

Hay que garantizar varios derechos, como serían los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) Información, etc.

Que tengas un buen día,

Saludos cordiales,

Mabel Cueto
(IP-PRIVACY)

solucionesong.org
Un proyecto de