SOBRE LA PROTECCIÓN DE DATOS.

Hola Carlos
Las medidas siempre deben ser proporcionadas con el fin que e pretende Eso es lo que marca la normativa (en términos coloquiales no se pueden matar moscas a cañonazos)
Yo te aconsejo que tengáis un protocolo de protección de datos en la entidad Si pudieseis datos sobre salud con más motivo. Ya que son datos especialmente sensibles
Si no disponeis de muchos recursos exiisten abogados (voluntarios pro bono que os pueden ayudar a establecerlo
Te dejo el enlace para que os pongáis en contacto con ellos
Texto del enlace…
Aquí os pueden dar talleres gratuitos y orientación
Otra opción es que tengáis ese servicio externalizado.
Aquí os dejo un listado de supuestos donde se indica cuando necesitáis tener un DPO (delegado de protección de datos)
https://www.pimec.org/es/institucion/actualidad/noticias/es-necesario-tener-un-delegado-proteccion-datos-mi-empresa#:~:text=de%20sus%20funciones.-,Seg%C3%BAn%20el%20Reglamento%20y%20el%20Proyecto%20de%20Ley%20de%20LOPD,profesionales%20y%20sus%20consejos%20generales.
Un saludo
Teresa Ferraz

Muchísimas gracias por su respuesta, me ha dejado claro este asunto y, es verdad que tenemos un contrato con empresa externa para la protección de los datos con los que operamos, pero antes teníamos que consultar para poder conocer en que situación nos situaría el hecho mencionado.

Reciba un cordial saludo.
Calos García.

Gracias a ti Carlos
Un saludo
Teresa Ferraz

Estimado Carlos: en relación con la consulta planteada, paso a informarle lo siguiente: en línea con lo que le traslada mi compañera Teresa Ferraz, en la actualidad, el fenómeno tejido asociativo que compone nuestra sociedad en sus diferentes vertientes tiene como principal objetivo una acción social para el colectivo de que se trata. Es por ello, que los datos personales de las personas asociadas, voluntarias, usuarias o colaboradoras, entre otras, cobran particular relevancia por su categoría y su especial protección regulada en el art. 9 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos (en adelante RGPD).
De ahí que sea necesario que se tengan en cuenta una serie de aspectos como los que se detallan a continuación:
-En primer lugar, aunque la mayoría de las entidades asociativas no tienen ánimo de lucro en su actividad diaria, no obstante tratan datos personales de varias categorías que son dignos de protección jurídica. Ello se traduce en que, al igual que cualquier empresa con fines comerciales, las entidades sin ánimo de lucro también están obligadas a cumplir con toda la normativa tanto nacional como internacional en materia de protección de datos.
-En cuanto a los tipos de datos que se tratan en el tejido asociativo, dependiendo del fin asociativo, se tratarán unos datos personales u otros. Si, por ejemplo, una persona que trabaja en una asociación sin ánimo de lucro que trata a personas drogodependientes con diversos perfiles sociales y de distintas edades, en este supuesto, tenemos, de un lado, los datos de la propia persona trabajadora (nombre, apellidos, núm. de la Seguridad Social, núm. de cuenta bancaria para domiciliar la nómina, Número de Identificación, DNI o NIE.
Lo que sí es importante es que, desde la asociación, la recogida de datos se debe de realizar siempre bajo el principio de minimización de datos; para que sólo sean recogidos aquellos datos que resulten necesarios y “precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad» como se explicita en el art. 5.1.c RGPD.
-En lo que se refiere a la normativa que regula la protección de datos en el tejido asociativo, sería:
-A nivel europeo: el RGPD.
-A nivel nacional: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
-Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que regula las transacciones mediante medios electrónicos.
-Jurisprudencia dictada por los tribunales en el ejercicio de sus funciones jurisdiccionales.
-Recomendaciones, circulares, dictámenes y órdenes que dicte la Agencia Española de Protección de Datos (en adelante AEPD) como autoridad superior en la materia.
-En cuanto al cumplimiento de la legalidad en materia de protección de datos, cabe hacer alusión a los siguientes aspectos:
1.Cumplir con los derechos ARCO-LIPO recogidos en el RGPD a la hora de la recogida de datos; donde en todo momento prime el deber de informar y la transparencia en la información para con la persona titular de los derechos.
2.Indicar claramente cuáles son los datos y el tiempo que se van a tratar, cuál es la base jurídica que lo justifica y si hay o no transferencia internacional de datos.
3.Solicitar el consentimiento expreso para poder tratar los datos personales del interesado, así como los fines para que los que lo otorga e indicar las distintas vías con las que cuenta para poder recabarlo.
4.Establecer cláusulas de confidencialidad, tanto en los contratos de trabajo como aquellos que se celebren entre proveedores o personas voluntarias. Asimismo, se aconseja también firmar un contrato de gestión en la cesión de datos si intervienen encargados de tratamiento que tengan acceso a estos.
5.En caso de que se cuente con una página web, la asociación deberá de tener actualizados los textos legales conforme al RGPD: aviso legal, política de privacidad y política de cookies.
6.Realizar una Evaluación de Impacto en pro de identificar las posibles amenazas, estableciendo las medidas de seguridad oportunas para evitar su materialización.
7.Designar a un/a Delegado/a de Protección de Datos, indicando las vías de contacto, para que en caso de que se produzca una brecha de seguridad8 o haya alguna consulta puedan dirigirse a él/ella sin problema.
Con todo lo anterior, las asociaciones están pensadas para promover la integración social como agentes que coadyuvan en una sociedad cambiante donde la salvaguarda de sus derechos fundamentales protegidos constitucionalmente (como la protección de datos) debe estar asegurada ante posibles injerencias por parte de terceros que puedan vulnerarlos. Es por ello, que resulta necesario trabajar en la concienciación de la importancia de la privacidad y el cumplimiento normativo para no dañar el espíritu del asociacionismo y los objetivos y valores establecidos por cada uno de ellos.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com

Le agradezco mucho sus puntualizaciones sobre el tema, nosotros tenemos contratada una empresa que nos lleva la Protección de Datos de nuestro beneficiarios, lo que ocurre es que, nos hemos enterado que, algunas otras ONGS, solicitan el extracto de la cuenta bancaria del mismo con objeto de evitar la picaresca que algunos de ellos emplean, de ahí ha nacido nuestra consulta, práctica que nosotros no hacemos ni tenemos la intención de realizar, pues, nos parece estrechar el embudo demasiado sobre personas en precariedad económica y empleo.
Le quedamos muy agradecidos por sus aclaraciones al respecto y la saludamos muy cordialmente.