Gestionar el consentimiento de los socios para cumplir con el RGPD en ONGs y entidades de utilidad pública

Comparte este artículo

Cumplir estrictamente con el RGPD elaborado por la Unión Europea es absolutamente imprescindible. Ha sido creado para proporcionar más seguridad y control a los ciudadanos sobre el uso de sus datos personales en el ámbito digital. Fundamentalmente, debes ser consciente de que amplía sus derechos de decidir cómo van a ser tratados, utilizados y difundidos.

En paralelo, establece un buen número de obligaciones y exigencias a las personas y las entidades que los almacenan y emplean. En el caso de las ONGs y las entidades de utilidad pública, ignorar estas normas es extremadamente arriesgado por un triple motivo:

Se aplican sanciones y multas muy importantes, las cuales pueden llegar a provocar la bancarrota de la organización.
Ocasiona un deterioro y una merma en la imagen de marca proyectada.
Genera una progresiva desconfianza, falta de adhesión y abandono entre los socios, los simpatizantes y la sociedad en su conjunto.

Breves consideraciones sobre el Reglamento General de Protección de Datos

Muchos agentes sociales y económicos están tratando de convertir la gestión de datos personales en un aspecto diferencial para su imagen. Cuando se trabaja bien, puede convertirse en un valor añadido capaz de atraer positivamente al público objetivo.

Dado que no hay mejor atributo comercial que conocer a fondo cómo son los clientes, acumular y gestionar sus datos resulta estratégico y prioritario. El buen hacer en este campo, respetando y yendo más allá de la legalidad aplicable, permite generar una provechosa corriente de confianza y simpatía.

Siempre, tu organización ha de aplicar las normas definidas por el Reglamento General de Protección de Datos. Estos son sus fundamentos:

Endurecen el control sobre los datos personales.
Asignan a cada individuo la potestad y el derecho a decidir si esas informaciones pueden o no ser empleadas por cada entidad.

Glosario útil para entender este reglamento

Hay una serie de conceptos que han adquirido una importancia capital en la definición y aplicación de estas limitaciones legales. Si quieres tener más claro qué puedes y debes hacer, y qué no, te conviene conocer y saber cómo se aplican o definen:

Dato personal. Se establece como tal cualquier información física identificable o identificada. Desde el nombre hasta el número del DNI y la ubicación, así como los indicadores fisiológicos, genéticos, médicos, económicos, culturales o sociales.
Consentimiento tácito. Antes, no dar noticias se interpretaba como un permiso práctico de uso discrecional e ilimitado de los datos. Esta figura ha desaparecido. Cada usuario tiene la capacidad de retirar ese consentimiento, incluso de eliminar su información en cualquier momento. Además, se exigen un control exhaustivo y múltiples requisitos para asegurar el pleno conocimiento al ceder dichos datos. Los contratos firmados y sus cláusulas han de incorporar estos criterios.
Responsabilidad organizativa. Las empresas y las organizaciones son responsables de su seguridad, por lo que han de blindarse ante el riesgo y evitar incidencias. Es su labor, exigible por ley, garantizar que los datos personales que posee están bien custodiados y mejor utilizados.
Transparencia máxima. Las personas que proporcionan los datos han de saber para qué se recopilan. Y tienen completo derecho a pedir pruebas de que se usan, solo, para lo aceptado.
Comunicaciones inmediatas de las brechas de seguridad. Informar a la AEPD sobre los fallos de seguridad y sus consecuencias es obligatorio y urgente. Tienes que hacerlo en menos de 72 horas. También los afectados han de ser avisados si, por la incidencia, corren algún riesgo.
Delegado de protección de datos. Las entidades han de contar con esta figura, encargada de detectar posibles peligros y habilitar las soluciones. Su presencia es obligatoria para todas las organizaciones que tratan estas informaciones a gran escala, incluidas las Administraciones públicas.
Datos de menores. Se incorpora el consentimiento parental como imperioso para el procesamiento de datos de menores de dieciséis años en actuaciones online.

Claves de aplicación del RGPD a las ONG y las entidades de utilidad pública

Tanto las organizaciones no gubernamentales como las entidades de servicio público están obligadas a cumplir con las leyes de protección de datos. Recuerda que gestionan datos personales genéricos y, a menudo, también los llamados de categorías especiales, por ejemplo:

Origen étnico.
Afiliación sindical.
Orientación sexual.
Informaciones sobre la salud.

Las normas aplicables a estas organizaciones son idénticas a las del resto de las entidades y empresas. Es decir, las establecidas para gestionar y emplear datos sensibles.

Básicamente, se pueden manejar y utilizar datos personales cuando se cumplen estas premisas:

El interesado ha dado su consentimiento expreso y se dispone del justificante.
Se lleva a cabo dentro de sus actividades legítimas.
Se aplican las debidas garantías de seguridad.
Se circunscribe a los miembros actuales o antiguos, así como a personas con una relación regular con la entidad.
Jamás se comunican esas informaciones a terceros sin que los afectados lo hayan consentido.

Te resumimos a continuación las obligaciones de las asociaciones respecto a los grandes principios de la normativa de protección de datos:

Tienen el deber de informar de modo claro y conciso a cada interesado, en el momento de recoger sus datos personales.
Han de pedir y conservar el consentimiento expreso para esos usos y aplicaciones de los datos.
Deben firmar contratos de gestión de tratamiento de datos con sus proveedores y colaboradores.
Necesitan firmar acuerdos de gestión de datos personales y de confidencialidad con sus empleados, socios y beneficiarios.
Están obligadas a incluir textos legales en sus sitios web. En concreto, la política de privacidad, la de cookies y el aviso legal.
Precisan analizar constantemente los riesgos y adoptar estrictas medidas de seguridad para proteger la información atesorada.
Han de comunicar a la AEPD, en el plazo de tres días, cualquier falla o brecha de seguridad acaecida.
Aunque no es obligatorio, sí es recomendable que dispongan de un delegado de protección de datos o DPO.

Cómo gestionar el consentimiento de tus socios

El Reglamento General de Protección de Datos es categórico al establecer que el consentimiento ha de ser inequívoco. Es decir, debe quedar expresado mediante una manifestación del afectado o con una acción afirmativa incuestionable.

En consecuencia, no se admiten la inacción ni el uso de casillas premarcadas, como ocurría en las normativas anteriores. Sí sirven, por el contrario, las declaraciones escritas y la señalización en formularios de una web.

Qué características ha de tener el consentimiento

Este elemento imprescindible para tratar legalmente los datos personales debe cumplir estos requisitos para que sea efectivo y válido:

Se otorga con libertad, voluntariamente.
Es concreto para cada propósito del tratamiento de los datos. No caben los consentimiento generales e inespecíficos, hay que obtener tantos como fines se planteen.
Se aporta de modo afirmativo y expreso. Mediante un «Acepto», una declaración, una firma personal…
Es revocable en cualquier momento. Quien consiente puede dejar de hacerlo cuando quiera. Retirar el consentimiento ha de ser tan fácil como darlo.
Solo pueden proporcionarlo quienes legalmente tienen reconocida la capacidad para hacerlo.
Se sustenta en una información completa, redactada con un lenguaje claro y sencillo, fácilmente comprensible para cualquier destinatario.
Únicamente es válido para la finalidad concreta aceptada. Si se amplía el uso, hay que volver a requerirlo. En este sentido, se acepta la agrupación de metas por vinculación. Por ejemplo, consentir la recepción de publicidad propia y de terceros. Sin embargo, no es aceptable cuando conlleva comportamientos diferentes. Es el caso de aceptar a la vez el tratamiento por parte de quien los recaba y de su cesión a terceros.
Se guarda en registros de la asociación que incluyen la información facilitada a los titulares de estos derechos y datos.

Tipos de consentimiento de protección de datos

Queremos compartir contigo las clases de consentimiento de protección de datos con los que la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) convive habitualmente. Conocer su existencia es importante, pero todavía lo es más identificar cuándo y cómo conviene utilizar cada uno:

Consentimiento explícito. Es el proporcionado por medio de una acción afirmativa, clara, inequívoca y concreta. No es cuestionable, ya que incluye un «Acepto», una firma electrónica o física, una expresión detallada, etcétera.
Consentimiento tácito. Es aquel que se desprende o se deduce de las actuaciones del interesado. Sin embargo, no se manifiesta de forma explícita. En la práctica, resulta más difícil demostrarlo y no es válido, como ya hemos mencionado, en la mayoría de los casos.
Consentimiento informado. Se produce cuando el interesado ha recibido información exhaustiva, comprensible y completa al respecto. Principalmente, hay que explicar qué datos se van a recoger, para qué usos y quién se convierte en responsable del tratamiento. Sí o sí, las personas que lo entregan han de comprender sin duda qué están autorizando.
Consentimiento específico. Se centra en una finalidad particular de la gestión y el tratamiento informativo. Cada una de ellas requiere una aceptación específica, porque no se admiten los múltiples, aplicados para varias actividades diversas.
Consentimiento por escrito. Existen ciertas situaciones y casos en los que se requiere obtener y conservar estas aceptaciones de manera escrita. Sobre todo, sucede cuando se trata de datos sensibles y, también, si se van a llevar a cabo transferencias de carácter internacional.

En definitiva, las ONG y las entidades de utilidad pública no son diferentes a las empresas ni al resto de las organizaciones. Al menos, en lo relativo al consentimiento de protección de datos. Las pautas aplicables son las mismas: la aceptación ha de ser inequívoca. Y, cuando se trata de datos sensibles, decisiones automatizadas y transferencias internacionales, también debe ser un consentimiento explícito.

Una solución de referencia para obtener el consentimiento de tus socios

Las exigencias del RGPD animan a disponer de herramientas adecuadas para el correcto tratamiento y aprovechamiento de los datos disponibles. Los criterios legales, ya lo has visto, son fundamentales al actuar en este ámbito. ¿Estás preparado para hacerlo?

Disponer de recursos específicos es una ventaja diferencial. A corto, medio y largo plazo, ahorra tiempo, dinero y sorpresas desagradables. Por eso, una de las medidas recomendables para un DPO de una ONG o una entidad de utilidad pública es incorporar un software específico de garantías.

La base de datos de Berrly simplifica enormemente la gestión de tus socios. Y lo hace sin límite de cantidad de asociados, con gestión de altas y bajas, fichas configuradas, sistemas de etiquetas, actualizaciones y mucho más. En todo caso, asegura un plus de seguridad y el estricto cumplimiento de la legalidad vigente. Además, la gestión del consentimiento de protección de datos se habilita de forma automatizada, perfectamente adaptada a tus necesidades.

También el envío de mensajes y correos electrónicos a los integrantes de tu tejido social es una cuestión delicada en cuanto a la protección de datos. La digitalización y los automatismos informáticos evitan errores humanos y peligrosas brechas de seguridad.

Berrly es una de las empresas más fiables y prestigiosas en soluciones tecnológicas para asociaciones y entidades de utilidad pública. Así que no lo dudes: recurre a los mejores y tu labor resultará mucho más segura, ágil y eficiente.

¿Tienes un delegado de protección de datos en tu organización no gubernamental? Ya sabes que es recomendable, aunque no obligatorio. Con todo, es importante poder acceder en caso necesario a los conocimientos de estos profesionales tan cualificados. Si trabajas con Berrly, nuestros DPO siempre están a tu disposición. Te ayudan a resolver dudas, incidencias y consultas técnicas que te ocupan y te preocupan. Este respaldo se convierte, de facto, en un apoyo fundamental para tus propósitos.

Contar con la colaboración de un partner tan cualificado como nuestra empresa es un alivio y una fuente de resolución de problemas. Emplear las herramientas y funcionalidades que te proporcionar es, además, un apoyo tecnológico idóneo para impulsar tu adecuación al Reglamento General de Protección de Datos. La conjunción de ambos atributos se convierte en una gran ventaja diferencial para tu asociación.

Por lo tanto, es imprescindible que conozcas, apliques y te adaptes al RGPD en la actividad diaria de tu organización o entidad de utilidad pública. Colaborar con profesionales cualificados y utilizar software especializado para agilizar estas tareas supone un valor añadido que no has de desdeñar. Jamás pierdas de vista las sanciones y multas que puedes recibir. Ni, tampoco, la merma de imagen y la pérdida de socios que los errores en este campo ocasionan.

Empieza tu prueba Gratuita

Prueba Berrly 15 días gratis

39 € Mensual, facturado anualmente

89 € Mensual, facturado anualmente

RECOMENDADA

199 € Mensual, facturado anualmente

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro".
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
elementor	never	Esta cookie es utilizada por el tema de WordPress del sitio web. Permite al propietario del sitio web implementar o cambiar el contenido del sitio web en tiempo real.
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe de análisis del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer visitantes únicos.
_gat_UA-69149008-1	1 minute	Una variación de la cookie _gat establecida por Google Analytics y Google Tag Manager para permitir a los propietarios de sitios web rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. El elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona.
_gat_UA-69149008-2	1 minute	Una variación de la cookie _gat establecida por Google Analytics y Google Tag Manager para permitir a los propietarios de sitios web rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. El elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona.
_gcl_au	3 months	Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
_fbp	3 months	Facebook configura esta cookie para mostrar anuncios cuando se encuentra en Facebook o en una plataforma digital impulsada por publicidad de Facebook, después de visitar el sitio web.
fr	3 months	Facebook establece esta cookie para mostrar anuncios relevantes a los usuarios al rastrear el comportamiento del usuario en la web, en sitios que tienen píxeles de Facebook o complementos sociales de Facebook.
test_cookie	15 minutes	Test_cookie lo establece doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.

Cookie	Duración	Descripción
_fw_crm_v	1 year	No hay descripción disponible.
debug	never	No hay descripción disponible.
first_session	1 month 1 day	No hay descripción disponible.
test	never	No hay descripción disponible.
wp-wpml_current_language	session	No hay descripción disponible.

Base de datos

Comunicaciones

Gestor documental

Zona privada socios

Eventos

Cobro de cuotas

Encuestas y votaciones

Análisis de datos

Developers

App móvil

Deportes

Federaciones

Asociaciones

Patronales

Academias

Pacientes

ONGs

Sindicatos

AFAs