Las sanciones por incumplimiento del RGPD en ONGs y entidades de utilidad pública

Comparte este artículo

El RGPD o Reglamento General de Protección de Datos entró en vigor en la Unión Europea en 2018. Desde entonces, es de obligado cumplimiento para las organizaciones y las personas.

Responde a la mayor sensibilización social con el cuidado y la salvaguarda de los datos personales. Implica la defensa de este derecho y, para ello, incluye una serie de exigencias legales, más las correspondientes sanciones por incumplimiento.

Te presentamos a continuación amplia información sobre cómo afecta a tu ONG y a las entidades de utilidad pública en general.

¿Qué es el RGPD?

Desde el 25 de mayo de 2018, todas las empresas y entidades que operan en algún país de la Unión Europea deben cumplir con este marco legal. Vigente desde mayo de 2016 y exigible desde dos años después, su finalidad es adaptar el tratamiento de los datos personales al mundo digital actual.

Asegura más control y seguridad a los ciudadanos, al tiempo que les concede la soberanía para decidir cómo han de ser tratados y empleados sus datos. También, en paralelo, protege frente a la recepción de informaciones empresariales no deseadas.

En esencia, estos son los principales rasgos inherentes a este reglamento:

Responde al auge del big data y asume que los datos personales son valiosos, estratégicos para las empresas.
Endurece el control sobre los datos personales y exige una supervisión y un blindaje sobresalientes.
Cede al individuo el derecho de determinar cómo van a ser empleadas sus informaciones, así como el de impedir hacerlo.
Asigna a las organizaciones plena responsabilidad respecto a la seguridad de esos indicadores.
Favorece el acceso fácil y la retirada de los ficheros corporativos.
Exige una mayor transparencia sobre la gestión de los datos personales.
Elimina el consentimiento tácito que, hasta su aparición, imperaba para dar por permitido el uso de los datos.
Pone el foco en la prevención y la reacción urgente en caso de brecha de seguridad o similares.
Requiere de una adaptación a cada organización que lo implementa.

¿Cuáles son los fines de este reglamento europeo?

Los datos personales se consideran un bien individual, por lo que limita el uso colectivo indiscriminado. El propósito de esta regulación es que sean tratados con seguridad y confidencialidad. También debe impedirse el acceso y los usos no autorizados.

Su objeto es, en definitiva, proteger los derechos y las libertades esenciales de las personas físicas en Europa. Y también, asegurar la libre circulación de datos personales en la zona UE.

Con estos propósitos, establece estos principios de la protección de datos:

Lealtad con el interesado.
Transparencia.
Licitud o legitimidad del tratamiento.
Limitación de la finalidad.
Minimización.
Exactitud.
Limitación del plazo de conservación.
Integridad y confidencialidad.

La normativa de este tratamiento distingue entre tres categorías de datos: de carácter general, de categorías especiales y de naturaleza penal.

La aplicación de este reglamento obliga a todas las empresas, entidades públicas y profesionales que manejan datos personales de terceros. También a las ONG como la tuya. ¿Estás preparado?

Los datos y las organizaciones públicas

La recogida, la conservación y el almacenamiento de datos es una constante en toda clase de asociaciones, clubes, oenegés y demás entidades de utilidad pública.

Además de los datos generales, como los de identificación de tus socios y los derivados de las transacciones económicas, puedes manejar otros.

Por las particulares circunstancias que rodean a las ONGs, también es habitual tener algunos datos de categorías especiales. Entre ellos, los de origen étnico, los referidos a la orientación sexual, ítems sobre salud, afiliaciones sindicales, etcétera.

Para tratar esos datos sensibles se establecen estos requisitos:

El interesado ha firmado su consentimiento.
Su tratamiento se incluye en el ámbito de sus actividades legítimas.
Se adopta y blindan todas las garantías de seguridad.
Solo se emplean los vinculados a miembros actuales, socios antiguos o personas con contacto regular con ellas.
Está prohibido transmitirlos a terceros sin la autorización del aludido.

El cumplimiento del Reglamento General de Protección de Datos es exigible e inaplazable para las organizaciones no gubernamentales. En realidad, dado que manejan datos especialmente sensibles, las exigencias son todavía mayores. Si diriges una asociación, has de cumplir ciertas obligaciones adicionales relacionadas con estas informaciones especiales.

Para las asociaciones sin ánimo de lucro, estas son las normativas de protección de datos que debes consultar:

Reglamento General de Protección de Datos 2016, la máxima normativa en la Unión Europea.
Real Decreto Ley 5/2018, de 27 de julio.
Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales.
Ley 34/2002, de 11 de julio.
LSSI o Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico.

¿Con qué datos personales convive una asociación u oenegé?

Si estás gestionando una, seguro que eres plenamente consciente de los muchos datos con los que te desenvuelves. Principalmente, conviene diferenciar estas clases de datos:

Procedentes de los usuarios, socios y asociados. Los facilitan desde el primer momento, en cuanto impulsan su adhesión a la organización o piden información.
Relativos a los voluntarios. Se utilizan para contactar con ellos cuando resulta preciso.
Vinculados con los proveedores, donantes y colaboradores. Las empresas, los profesionales y las personas que prestan apoyo a la actividad de tu entidad también aportan datos.
Relacionados con los empleados. Se necesitan, de entrada, para pasar las nóminas, entre otros muchos usos.
Informaciones sobre los beneficiarios finales. El carácter social de estas organizaciones las lleva a compilar y utilizar datos sobre afectados de la problemática o causa por la que luchan.

Son, normalmente, estos últimos los que el reglamento general comunitario considera más sensibles. Los engloba en las llamadas categorías especiales de datos personales. Hablamos de indicadores religiosos, filosóficos, sindicales, genéticos, biométricos, de salud y relacionados con la práctica o con las orientaciones sexuales.

Según el artículo 9 del reglamento, está prohibido tratarlos, salvo cuando las entidades cumplan los requisitos anteriormente mencionados.

Con todo, se establece la necesidad de asumir una responsabilidad proactiva en su tratamiento y protección. Es fundamental poder demostrar que se está haciendo el uso correcto según estos parámetros.

¿Cómo debes actuar para gestionarlos?

El procedimiento de partida está bastante definido:

Analiza qué datos tratas, con qué fines y qué operaciones estás llevando a cabo.
Establece cómo vas a aplicar las medidas incluidas en el reglamento.
Asegúrate de su adecuación y de su correcta puesta en marcha.
Confirma que puedes demostrar estas buenas prácticas legales ante las autoridades supervisoras y, sobre todo, frente a los interesados.
Mantén una actitud proactiva, comprometida y vigilante durante todos estos procesamientos de datos.

En definitiva, para cumplir con este reglamento debes adoptar una enfoque anticipativo y dedicar tiempo, dinero y esfuerzos a asegurar su cumplimiento. Muchas de las herramientas de software de gestión de bases de datos vienen bien preparadas en este aspecto.

Claves para cumplir la normativa de protección de datos en tu organización

Evidentemente, no es una cuestión menor. Tienes que estar preparado, concienciado y centrado en satisfacer de manera correcta sus requisitos y sus prioridades.

A continuación, te vamos a detallar cuáles son las acciones irrenunciables que están en tu tejado. ¡Asegúrate de que las cumples perfectamente! En todos estos apartados se están cometiendo fallos susceptibles de importantes sanciones.

Obligación de informar

Desde que recoges sus datos, debes informar al interesado con claridad y concisión sobre cuáles recoges, durante cuánto tiempo y para qué.

Esta exigencia ya existía en las normativas anteriores, pero ahora se ha reforzado. Por ejemplo, no se pueden pedir los que son innecesarios para la finalidad de tu entidad. Si vas a cederlos a terceros, también has de advertirlo, y especificar si lo vas a hacer fuera de la Unión Europea.

Consentimiento expreso

Como te hemos comentado, ya no sirve que el consentimiento sea tácito, como antes. Tienes que pedirlo expresamente, tanto para administrar los datos como para otros propósitos específicos.

Ten presente que, si tenías datos antiguos en tu base, debes actualizar este aspecto y conseguir su aceptación expresa. Pon manos a la obra en esta cuestión lo antes posible.

Acuerdos con proveedores

Cuando los colaboradores tienen acceso a los datos con los que cuentas, debes firmar acuerdos con ellos. Serás responsable, también, si ellos no se adaptan a la normativa legal establecida.

Contratos con empleados

Consigue un documento firmado que presente el compromiso de confidencialidad al tratar todos los datos disponibles en la empresa. Si existen contraseñas para protegerlos, han de ser renovadas periódicamente.

También es preciso especificar y anticipar las pautas de gestión de los datos sensibles. Entre otros, los relativos a menores, de salud, de condenas penales, etcétera. Especialmente, cómo se accede a ellos, qué permisos hacen falta y de qué modo serán destruidos.

Legalidad en el sitio web

Estos canales de comunicación son extremadamente sensibles a la aplicación de este reglamento. Sus textos legales deben estar actualizados y adaptados a la normativa. Además, han de estar accesibles desde cualquier sitio de la web a solo un golpe de clic.

Los tres grandes contenidos que debes incluir son:

Aviso legal. En él se concreta quién es el propietario de la web y cuáles son sus datos básicos.
Política de privacidad. Requiere difundir con claridad la existencia del tratamiento de esos datos, cuál es su finalidad y quiénes serán los destinatarios. Además, refleja la legitimización para el tratamiento, quién es el responsable y cómo localizarlo. También anuncia la posibilidad de ejercer todos los derechos. En concreto, acceder, rectificar, cancelar y oponerse, así como las vías para hacerlo.
Política de cookies. Si las incluyes en tu web para analizar las visitas, tienes que informar sobre cuáles usas, con qué fin y por cuánto tiempo.

Blindaje ante los riesgos

Es preciso analizar cuáles son e implementar las medidas de seguridad idóneas. Hay que estar alerta y anticiparse a las posibles amenazas con las protecciones adecuadas. Cuando manejas datos especialmente protegidos, también debes contar con una evaluación de riesgo.

Notificación de brechas

En caso de quiebra o problema de seguridad, es obligatorio comunicarlo a la AEPD en un máximo de 72 horas. Si se vulneran de manera grave los derechos de los afectados, estos también deben ser avisados cuanto antes.

Profesional especializado

De manera general, tu ONG no está obligada a contar con un delegado de protección de datos. Sin embargo, sí lo precisas si tratas datos personales a gran escala o cuando gestionas datos sensibles.

¿Cuáles son las sanciones establecidas?

El Reglamento General de Protección de Datos establece sanciones por protección de datos que pueden llegar hasta:

20 millones de euros.
4 % del volumen total del negocio del infractor.

Las multas contempladas difieren en virtud de tres aspectos:

Para las infracciones consideradas leves: hasta 40 000 euros.
Para las actuaciones u omisiones graves: entre 40 001 y 300 000 euros.
Para las sanciones muy graves: entre 300 001 y 20 000 000 euros

Algunos ejemplos de sanciones por protección de datos impuestas por la AEPD

Enumeramos a continuación algunas multas fijadas en 2023 por la Agencia Española de Protección de Datos. Son referencias útiles para saber a qué nos exponemos en caso de incumplir:

2000 y 3000 euros por envío de e-mails comerciales sin copia oculta.
100 000 euros por requerir foto del interesado para entregar un paquete.
Otros 100 000 euros por tratar y ceder datos sin consentimiento ni información.
5000 euros por no cumplir adecuadamente con el derecho de supresión.
5000 y 10 000 euros por desatender los derechos de acceso y supresión.
2500 euros por incluir cookies de terceros en la web y sin pedir consentimiento.
30 000 euros por realizar múltiples llamadas telefónicas a un particular que se había dado de alta en la Lista Robinson.
800 euros por mandar SMS comerciales a un particular sin responder a su derecho a la supresión.
3000 euros por ceder datos de salud sin consentimiento del afectado.

Como ves, llegados a este punto, conocer y cumplir las normas del RGPD es capital para tu organización. De lo contrario, te expones a importantes sanciones que podrían arruinar todo el trabajo realizado. Así que no lo dudes, afronta esta realidad. Si necesitas ayuda, contacta con Berrly y consigue los recursos tecnológicos idóneos.

Empieza tu prueba Gratuita

Prueba Berrly 15 días gratis

39 € Mensual, facturado anualmente

89 € Mensual, facturado anualmente

RECOMENDADA

199 € Mensual, facturado anualmente

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro".
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
elementor	never	Esta cookie es utilizada por el tema de WordPress del sitio web. Permite al propietario del sitio web implementar o cambiar el contenido del sitio web en tiempo real.
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe de análisis del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer visitantes únicos.
_gat_UA-69149008-1	1 minute	Una variación de la cookie _gat establecida por Google Analytics y Google Tag Manager para permitir a los propietarios de sitios web rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. El elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona.
_gat_UA-69149008-2	1 minute	Una variación de la cookie _gat establecida por Google Analytics y Google Tag Manager para permitir a los propietarios de sitios web rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. El elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona.
_gcl_au	3 months	Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
_fbp	3 months	Facebook configura esta cookie para mostrar anuncios cuando se encuentra en Facebook o en una plataforma digital impulsada por publicidad de Facebook, después de visitar el sitio web.
fr	3 months	Facebook establece esta cookie para mostrar anuncios relevantes a los usuarios al rastrear el comportamiento del usuario en la web, en sitios que tienen píxeles de Facebook o complementos sociales de Facebook.
test_cookie	15 minutes	Test_cookie lo establece doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.

Cookie	Duración	Descripción
_fw_crm_v	1 year	No hay descripción disponible.
debug	never	No hay descripción disponible.
first_session	1 month 1 day	No hay descripción disponible.
test	never	No hay descripción disponible.
wp-wpml_current_language	session	No hay descripción disponible.