Además de la LOPD, ¿qué otras obligaciones legales debemos cumplir para inscribir socios/as?

Estimada Irene: en relación con la consulta planteada, paso a informarle lo siguiente: en primer lugar, a la hora de inscribir nuevos socios en vuestra entidad no lucrativa, la normativa especifica que regula la protección de datos personales de las asociaciones viene dada por las siguientes disposiciones:
-REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, REPD), de plena aplicación a partir del día 25 de mayo de 2018, conllevando a que, en dicha fecha, dejara de ser de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD). .
-Corrección de errores del REPD, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
-Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En cuanto a la normativa sectorial de la protección de datos personales relativas a las asociaciones, la misma viene establecida por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Sentado lo anterior, del REPD cabe traer a colación las siguientes consideraciones:
1.ª-Una de las modificaciones introducidas por el REPD deriva de la aplicación del principio de transparencia, ya que se refuerza la información que se debe facilitar a los titulares de los datos, tanto en el supuesto de que los datos se recaben directamente del interesado como si los datos se obtienen de otra fuente.
En ambos supuestos deberá facilitarse al titular del dato, además de la información obligatoria ya establecida en la normativa española actual, información, entre otros aspectos, sobre: la base jurídica del tratamiento, la intención de realizar transferencias internacionales, el plazo de conservación de los datos o el derecho a la portabilidad de los datos.
Por otra parte, en lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo máximo de un mes (en lugar de los tres meses indicados en la actual LOPD) a contar desde la primera comunicación o momento el que se comuniquen los datos de los interesados a un destinatario, salvo que la información ya fuese anteriormente conocida por el titular del dato o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado.
Así pues, la obligación de información se refuerza drásticamente, lo cual, sin duda, exigirá un esfuerzo considerable para los responsables del fichero de cara a adecuar sus cláusulas de información a los interesados, especialmente en materia de conservación de datos y transferencias internacionales, debiendo ser muy cautelosos en la forma de facilitar la información al objeto de poder acreditar con posterioridad que la misma ha sido facilitada.
2.ª-De otra parte, el REPD matiza las cuestiones que deberá regular el contrato que se formalice entre el responsable y el encargado del tratamiento. Entre otros aspectos, establece la obligación del encargado de colaborar con el responsable para que éste cumpla de la mejor manera posible las obligaciones que le corresponden frente a los interesados, regula la obligación del encargado de cooperar y facilitar las obligaciones de seguridad que corresponden al responsable, o la obligación de facilitar información sobre la gestión de seguridad que ha realizado para a la vez el responsable pueda probar de la mejor manera posible el cumplimiento de las medidas de seguridad que le corresponde.
Se podría hablar de una tendencia general del Reglamento a precisar el ámbito de colaboración entre el encargado y el responsable. En el mismo sentido jurídico se podría hablar de un desarrollo legal de las obligaciones de colaboración. La regulación anterior de la Directiva 95/46/CE no detallaba expresamente estas obligaciones, como tampoco lo hace la LOPD. Sin embargo, en el RGPD las obligaciones de colaboración se explicitan claramente, a modo de un armazón jurídico de referencia que favorece la seguridad jurídica y la protección efectiva de los derechos fundamentales.
Además, el REPD establece la posibilidad de que la Comisión o la autoridad de control adopten unas cláusulas contractuales tipo en las que se regulen las obligaciones, a efectos de protección de datos, entre el responsable y el encargado de tratamiento, en las cuales podrán basarse los contratos formalizados entre responsable y encargado del tratamiento. No obstante, habrá que esperar al desarrollo de las mismas por la Comisión o autoridad de control de cara a determinar si es más conveniente la elaboración de las cláusulas “ad hoc” o adherirse a las cláusulas tipo.
3.ª-Otra de las principales novedades del RGPD es la introducción del “Derecho de Supresión”, más conocido como “Derecho al Olvido”. Se trata del derecho de los sujetos titulares de los datos a obtener, sin dilación indebida, la supresión de los datos personales que le conciernan del responsable del tratamiento en determinados supuestos, entre otros, cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento.
El responsable que esté obligado a suprimir datos deberá adoptar medidas razonables (teniendo en cuenta la tecnología disponible y el coste de su aplicación) e informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. No obstante lo anterior, se establecen una serie de excepciones al ejercicio del derecho de supresión:
-Para ejercer el derecho a la libertad de expresión e información.
-Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por la legislación aplicable al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
-Por razones de interés público en el ámbito de la salud pública.
-Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el ejercicio del derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
-Para la formulación, el ejercicio o la defensa de reclamaciones.
4.ª-El REPD ha introducido la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), imponiendo la obligatoriedad del nombramiento de un DPO a todos los organismos públicos con la excepción de tribunales en aplicación de la función judicial y a las entidades privadas, sean éstas consideradas responsables o encargados del tratamiento, cuyas actividades principales conlleven la “observación habitual y sistemática de interesados a gran escala” o el “tratamiento a gran escala de categorías especiales de datos”.
El DPO deberá conocer profundamente las normas de protección de datos europeas, así como su práctica. Podrá ser un empleado de la compañía o actuar mediante un contrato de prestación de servicios. La compañía está obligada a apoyar al DPO en la realización de sus funciones, sin que esté sometido a las instrucciones de ningún estamento de la propia compañía, respondiendo únicamente ante “el más alto nivel jerárquico” de la misma. Atención, se prevé la prohibición expresa de destitución o sanción del DPO con causa en el desempeño de sus obligaciones.
En cuanto a las funciones que tendrá el DPO, destacan el asesoramiento general dentro de la compañía en todo lo relativo a protección de datos personales, la supervisión del cumplimiento de la legislación y políticas de privacidad con especial atención a los riesgos asociados a las actividades que llevara a cabo la empresa, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.
En suma, el RGPD refuerza los derechos de los interesados y se atisba trabajo por delante durante los próximos dos años para empresas y responsables en materia de protección de datos de carácter personal.
En lo que concierne a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, publicada en el BOE núm. 294, de 6 de diciembre de 2018 y con entrada en vigor el día 7 de diciembre de 2018, derogando la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sin perjuicio de lo dispuesto en la disposición adicional decimocuarta y en la disposición transitoria cuarta de la Ley Orgánica 3/2018, de 5 de diciembre. 
Pues bien, la nueva normativa, que adapta el derecho español al modelo establecido por el RGPD, introduce novedades mediante el desarrollo de materias contenidas en el mismo:
-Dicha Ley Orgánica 3/2018 facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
-Otro de los aspectos novedosos incluidos en la Ley Orgánica 3/2018 es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
-En cuanto a los menores, la Ley Orgánica 3/2018 fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
-La Ley Orgánica 3/2018 refuerza las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un Proyecto de Ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.
-La Ley Orgánica 3/2018, regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
-De igual forma, en dicha Ley Orgánica 3/2018, se recogen los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, dicha Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.
-A lo anterior, cabe añadir que la Ley Orgánica 3/2018 actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
-Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley Orgánica 15/1999, de 13 de diciembre, no existía una cantidad mínima.
-Por último, se modifica la Ley Ley 3/1991, de 10 de enero, de Competencia Desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas.
En lo relativo a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), el ámbito objetivo de aplicación de la LSSI es, en buena medida, tributario del conjunto de definiciones que aparecen en el Anexo final de la LSSI y, muy especialmente aunque no sólo, de la definición allí contenida de «servicios de la sociedad de información». Así, estos servicios se definen como aquellos prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.
Se cubren de este modo una amplia variedad de actividades económicas que se desarrollan en línea y, en particular, la venta de mercancías en línea, por más que, como ya se ha indicado, las condiciones relativas a las mercancías y bienes intangibles, a su entrega y a la prestación de cualesquiera servicios fuera de línea no quedan cubiertas por el ámbito coordinado y, en consecuencia, no se ven afectadas por la LSSI.
Por lo demás, los servicios de la sociedad de la información no se limitan a servicios que dan lugar a contratación en línea, sino también, y en la medida en que representa una actividad económica para el prestador de servicios (financiada, ad ex., mediante publicidad), los servicios no remunerados por los destinatarios consistentes, entre otros, en la organización de subastas por medios electrónicos y de centros comerciales virtuales, la gestión de compras en la red por grupos de personas, el envío de comunicaciones comerciales, el suministro de información y la distribución de contenidos bajo petición individual.
Conviene reparar, ulteriormente, en que el concepto de servicio presupone la realización de un ofrecimiento por el prestador, de ahí que la mera comunicación punto a punto, como el correo electrónico entre dos usuarios, no supone «servicio» alguno sino mera comunicación individual. Por virtud de la adopción del concepto previsto en la Directiva 98/48/CE, tampoco se consideran servicios de la sociedad de la información los servicios prestados por medio de telefonía vocal, fax o telex, como tampoco los servicios de radiodifusión televisiva contemplados en el artículo 3.a) de la Ley 25/1994, ni los de radiodifusión sonora.
El elenco de definiciones también se ocupa de conceptuar al prestador de servicios como toda persona física o jurídica que proporciona un servicio de la sociedad de la información. El legislador español ha obviado, a diferencia de la Directiva, incluir en el listado de definiciones el término «prestador de servicios establecido», toda vez que el mismo ha sido objeto de una extensa reglamentación en el articulado de la LSSI (artículos 2 a 4).
En el Anexo de la LSSI se define ulteriormente al «destinatario del servicio» que no debe confundirse con el término «consumidor» igualmente definido. Así, mientras que «destinatario» es cualquier persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información, comprendiendo de tal modo cualquier recurso a tales servicios; por «consumidor» ha de entenderse las personas físicas o jurídicas en los términos establecidos en el artículo 3 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias. Aunque inicialmente la referencia a los consumidores no aparecía recogida en la propuesta de Directiva elaborada por la Comisión, sí fue incluida finalmente en el texto de la Directiva a petición de los Estados miembros con el propósito de lograr una clara distinción entre los servicios prestados a los consumidores y los realizados en el ámbito Business-to-Business.
Toda vez que las comunicaciones comerciales constituyen un importante capítulo de la regulación de la LSSI (y del ámbito coordinado) no podía faltar una específica definición de las mismas en el Anexo.
Las comunicaciones comerciales se definen en términos muy amplios como toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A fin de contener una excesiva amplitud del concepto, se excluyen del referido concepto aquellos datos que permitan meramente acceder o tener contacto con una empresa, como el nombre de dominio o la dirección de correo electrónico, así como las comunicaciones relativas a los bienes, servicios o la imagen que se realicen por un tercero y sin contraprestación económica.
El Anexo de la LSSI define también el concepto de profesión regulada como aquella profesión que requiera para su ejercicio la obtención de un título en virtud de disposiciones legales o reglamentarias.
Con ello, no ofrece duda alguna el sometimiento de tales actividades, en la medida en que se concreten en servicios de la sociedad de la información, a la LSSI. Igualmente, la LSSI, en su Anexo final, contiene una definición de contratos electrónicos, lógicamente sometidos a su ámbito de aplicación, del siguiente tenor: se entenderá por contrato electrónico todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones.
Este conjunto de definiciones, en suma, tiene como virtud delimitar de manera precisa el sentido y alcance de ciertas regulaciones contenidas dentro del ámbito coordinado y muy especialmente, de aquella parte de éste que ha sido objeto de una regulación material, primero por el legislador comunitario y ahora por la LSSI. Es también virtud de este juego de definiciones la determinación de ciertas conductas y actuaciones que no quedan sometidas, en consecuencia, al principio de control en origen, al menos por virtud de la Directiva 98/48 CE.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com