¿Es obligatorio que una asociación tenga un servicio de protección de datos?

La implantación de la ley de protección de datos para una asociación como la vuestra no necesita mantenimiento alguno. Os engañan. Basta dar de alta los ficheros, como ya hicisteis y seguir las indicaciones que os dieran. Nada mas.

Buenas noches Ana María,

No comparto ni la opinión #1, ni con lo que comentas que te dicen tus asesores actuales en Protección de Datos. No es ni una cosa ni la otra. Te comento:
Desde luego que no tienes obligación de mantener una relación con tu proveedor/asesor de forma obligatoria. Pero si es cierto que esta materia sobre tratamiento de datos personales, a pesar de que casi la mayoría de las personas no le dan la importancia que tiene, evidentemente es muy importante, tanto para una empresa con fines de lucro como no.
Y al menos que no cuentes internamente con personal capacitado en la materia, el tema se te puede hacer cuesta arriba. Recuerda que la función tuya o de la fundación se debe centrar en otra/s materia/s que son el motor de la misma.
Ana María, según puede ver tu asociación trata temas sobre salud. Asociación de Enfermos Asmáticos y Alérgicos de Andalucia “Aire Libre” de Granada (Ante el grave problema individual y social que representa el asma bronquial, los propios enfermos deciden constituir una asociación de ayuda mutua de salud, cuyos fines primordiales sean intentar resolver las multiples dificultades que han de afrontar, y concienciar a la sociedad sobre los problemas de salud, asi como la repercusión laboral y económica, que esta enfermedad plantea.)
Como te debieron de explicar los asesores actuales en la materia, al tratar datos de salud como parte fundamental del desarrollo del objeto de la fundación, el nivel de seguridad que debe seguir la misma según las normas de protección de datos (LO 15/99, sobre protección de datos de carácter personal y su Reglamento de desarrollo) es de nivel alto, y por tanto implica una medidas de seguridad más rigurosas o complejas. Tales como: Auditorías bienales, como mínimo, y obligatorias, registros de acceso a la documentación, un espacio independiente con posibilidad de cierre bajo llave u otra medida semejante para el archivo en papel de nivel alto, entre otras. Esto como ejemplo. Y por supuesto, sin olvidar que las medidas de seguridad son acumulativas. (Básico, Medio y Alto) Todos deben de cumplir la básica, y según el tipo de información que traten podrá ser de nivel medio o de nivel alto como es vuestro caso.
Por seguir aclarándote ciertos puntos te comento: recuerda que desde el nivel básico, según la normativa citada, el Documento de Seguridad debe de mantenerse siempre actualizado. Te pongo un ejemplo que te será muy familiar por la misma situación actual que estamos viviendo de incertidumbre: piensa que constantemente se da de baja personal de la fundación, entran voluntarios, etc. En ambos casos, el listado de usuarios que debes tener según la normativa con los nombres completos, DNI/NIF, accesos que tienen, funciones, perfil del personal de cada uno de los usuarios de la información de la fundación, tiene que estar siempre, siempre actualizado. Por tanto, cuando le des de baja alguien, hay que poner la fecha de baja, así como también, actualizar el listado sacando a dicha persona de la misma.
Por tanto, y perdón por la extensión. No es obligatorio que tengas constantemente/fijo la asesoría que comentas; pero entonces en todo caso tendrías si quieres cumplir con la Ley y mantener la fundación a punto en ese sentido, así como también tratar de prevenir sanciones, tendrías que pagar por trabajo/hora al asesor que decidas contratar puntualmente a los fines de que realiza las actualizaciones necesarias. O como te dije antes, contar con alguien internamente que esté formado en la materia y se ocupe del tema.
En general, los servicios de mantenimiento o asesoría continua como le llamo, suelen salir más económicas que el pago por factura puntual. Pero ya esto es un tema que debes decir.
Sé que la situación actual no nos deja muchas salidas, pero podrías pedir una revisión en el precio que estás pagando a tus actuales asesores, o pedir otros presupuestos por el mismo servicio.
Desde luego, no te recomiendo quedarte sin el apoyo necesario.

Espero haberte ayudado.

Saludos cordiales,

Mabel Cueto
IP-PRIVACY®

Como abogado en mi despacho llevamos muchos años implantando LOPD en empresas. Personalmente organizo conferencias con el director de la Agencia Española, y te reitero lo dicho. Es todo mucho mas sencillo de lo que dicen los que cobran “mantenimientos”, innecesarios en 95% de las empresas.

Según la normativa, y eso lo saben los especialistas en la materia, todo lo relacionado a la misma debe de mantenerse actualizado. Lo puede hacer el mismo interesado, si está capacitado para dicha labor, o lo debe de hacer un profsional en el área. Pero por supuesto, no tienes obligación de pagar precios irracionales, así como tampoco tienes la obligación de contratar a alguien de manera permanente.Siempre hay otras opciones.

Pero lo que si tenéis, tenemos (todos los que tratamos datos de carácter personal en el ejercicio de nuestra profesión, actividad profesional…) es cumplir con la norma. Y ello implica, cumplir con todas las medidas de seguridad que correspondan según el tipo de datos que traten.