{"id":12928,"date":"2023-06-19T10:30:42","date_gmt":"2023-06-19T08:30:42","guid":{"rendered":"https:\/\/www.berrly.com\/?p=12928"},"modified":"2024-01-08T09:17:02","modified_gmt":"2024-01-08T08:17:02","slug":"las-sanciones-por-incumplimiento-del-rgpd-en-ongs-y-entidades-de-utilidad-publica","status":"publish","type":"post","link":"https:\/\/www.berrly.com\/es\/2023\/06\/las-sanciones-por-incumplimiento-del-rgpd-en-ongs-y-entidades-de-utilidad-publica\/","title":{"rendered":"Las sanciones por incumplimiento del RGPD en ONGs y entidades de utilidad p\u00fablica"},"content":{"rendered":"<p>El <strong><a href=\"https:\/\/gdpr.eu\/\" target=\"_blank\" rel=\"noopener\">RGPD<\/a> o Reglamento General de Protecci\u00f3n de Datos\u200b <\/strong>entr\u00f3 en vigor en la Uni\u00f3n Europea en 2018. Desde entonces, es de obligado cumplimiento para las organizaciones y las personas.<\/p>\n<p>Responde a la <strong>mayor sensibilizaci\u00f3n social con el cuidado y la salvaguarda de los datos personales<\/strong>. Implica la defensa de este derecho y, para ello, incluye una serie de exigencias legales, m\u00e1s las correspondientes sanciones por incumplimiento.<\/p>\n<p>Te presentamos a continuaci\u00f3n amplia informaci\u00f3n sobre c\u00f3mo afecta a tu ONG y a las <strong>entidades de utilidad p\u00fablica<\/strong> en general.<\/p>\n<h2><strong>\u00bfQu\u00e9 es el RGPD?<\/strong><\/h2>\n<p>Desde el 25 de mayo de 2018, todas las empresas y entidades que operan en alg\u00fan pa\u00eds de la Uni\u00f3n Europea deben cumplir con este marco legal. Vigente desde mayo de 2016 y exigible desde dos a\u00f1os despu\u00e9s, su finalidad es <strong>adaptar el tratamiento de los datos personales al mundo digital actual<\/strong>.<\/p>\n<p>Asegura <strong>m\u00e1s control y seguridad a los ciudadanos<\/strong>, al tiempo que les concede la soberan\u00eda para decidir c\u00f3mo han de ser tratados y empleados sus datos. Tambi\u00e9n, en paralelo, protege frente a la recepci\u00f3n de informaciones empresariales no deseadas.<\/p>\n<p>En esencia, estos son los principales rasgos inherentes a este reglamento:<\/p>\n<ul>\n<li>Responde al auge del <em>big data<\/em> y asume que los datos personales son valiosos, estrat\u00e9gicos para las empresas.<\/li>\n<li>Endurece el control sobre los datos personales y exige una supervisi\u00f3n y un blindaje sobresalientes.<\/li>\n<li>Cede al individuo el derecho de determinar c\u00f3mo van a ser empleadas sus informaciones, as\u00ed como el de impedir hacerlo.<\/li>\n<li>Asigna a las organizaciones plena responsabilidad respecto a la seguridad de esos indicadores.<\/li>\n<li>Favorece el acceso f\u00e1cil y la retirada de los ficheros corporativos.<\/li>\n<li>Exige una mayor transparencia sobre la gesti\u00f3n de los datos personales.<\/li>\n<li>Elimina el consentimiento t\u00e1cito que, hasta su aparici\u00f3n, imperaba para dar por permitido el uso de los datos.<\/li>\n<li>Pone el foco en la prevenci\u00f3n y la reacci\u00f3n urgente en caso de brecha de seguridad o similares.<\/li>\n<li>Requiere de una adaptaci\u00f3n a cada organizaci\u00f3n que lo implementa.<\/li>\n<\/ul>\n<h3>\u00bfCu\u00e1les son los fines de este reglamento europeo?<\/h3>\n<p>Los datos personales se consideran un bien individual, por lo que limita el uso colectivo indiscriminado. El prop\u00f3sito de esta regulaci\u00f3n es que sean <strong>tratados con seguridad y confidencialidad<\/strong>. Tambi\u00e9n debe impedirse el acceso y los usos no autorizados.<\/p>\n<p>Su objeto es, en definitiva, <strong>proteger los derechos y las libertades esenciales de las personas f\u00edsicas en Europa<\/strong>. Y tambi\u00e9n, asegurar la libre circulaci\u00f3n de datos personales en la zona UE.<\/p>\n<p>Con estos prop\u00f3sitos, establece estos <strong>principios de la protecci\u00f3n de datos<\/strong>:<\/p>\n<ol>\n<li><strong>Lealtad<\/strong> con el interesado.<\/li>\n<li><strong>Transparencia<\/strong>.<\/li>\n<li>Licitud o <strong>legitimidad<\/strong> del tratamiento.<\/li>\n<li>Limitaci\u00f3n de la <strong>finalidad<\/strong>.<\/li>\n<li><strong>Minimizaci\u00f3n<\/strong>.<\/li>\n<li><strong>Exactitud<\/strong>.<\/li>\n<li>Limitaci\u00f3n del <strong>plazo de conservaci\u00f3n<\/strong>.<\/li>\n<li>Integridad y <strong>confidencialidad<\/strong>.<\/li>\n<\/ol>\n<p>La normativa de este tratamiento distingue entre tres categor\u00edas de datos: <strong>de car\u00e1cter general, de categor\u00edas especiales y de naturaleza penal<\/strong>.<\/p>\n<p>La aplicaci\u00f3n de este reglamento obliga a todas las empresas, entidades p\u00fablicas y profesionales que manejan datos personales de terceros. Tambi\u00e9n a las <strong>ONG<\/strong> como la tuya. \u00bfEst\u00e1s preparado?<\/p>\n<h2><strong>Los datos y las organizaciones p\u00fablicas<\/strong><\/h2>\n<p>La recogida, la conservaci\u00f3n y el almacenamiento de datos es una constante en toda clase de asociaciones, clubes, oeneg\u00e9s y dem\u00e1s <strong>entidades de utilidad p\u00fablica<\/strong>.<\/p>\n<p>Adem\u00e1s de los datos generales, como los de identificaci\u00f3n de tus socios y los derivados de las transacciones econ\u00f3micas, puedes manejar otros.<\/p>\n<p>Por las particulares circunstancias que rodean a las <strong>ONGs<\/strong>, tambi\u00e9n es habitual tener algunos <strong>datos de categor\u00edas especiales<\/strong>. Entre ellos, los de origen \u00e9tnico, los referidos a la orientaci\u00f3n sexual, \u00edtems sobre salud, afiliaciones sindicales, etc\u00e9tera.<\/p>\n<p>Para tratar esos datos sensibles se establecen estos requisitos:<\/p>\n<ul>\n<li>El interesado ha firmado su <strong>consentimiento<\/strong>.<\/li>\n<li>Su tratamiento se incluye en el \u00e1mbito de sus <strong>actividades leg\u00edtimas<\/strong>.<\/li>\n<li>Se adopta y blindan todas las <strong>garant\u00edas de seguridad<\/strong>.<\/li>\n<li>Solo se emplean los vinculados a <strong>miembros actuales, socios antiguos o personas con contacto<\/strong> regular con ellas.<\/li>\n<li>Est\u00e1 <strong>prohibido transmitirlos a terceros<\/strong> sin la autorizaci\u00f3n del aludido.<\/li>\n<\/ul>\n<p>El cumplimiento del Reglamento General de Protecci\u00f3n de Datos es exigible e inaplazable para las organizaciones no gubernamentales. En realidad, dado que manejan datos especialmente sensibles, las exigencias son todav\u00eda mayores. Si diriges una asociaci\u00f3n, has de cumplir ciertas obligaciones adicionales relacionadas con estas informaciones especiales.<\/p>\n<p>Para las asociaciones sin \u00e1nimo de lucro, estas son las normativas de<strong> protecci\u00f3n de datos que debes consultar<\/strong>:<\/p>\n<ul>\n<li>Reglamento General de Protecci\u00f3n de Datos 2016, la m\u00e1xima normativa en la Uni\u00f3n Europea.<\/li>\n<li>Real Decreto Ley 5\/2018, de 27 de julio.<\/li>\n<li>Ley Org\u00e1nica de Protecci\u00f3n de Datos de Car\u00e1cter Personal y Garant\u00eda de Derechos Digitales.<\/li>\n<li>Ley 34\/2002, de 11 de julio.<\/li>\n<li>LSSI o Ley de Servicios de la Sociedad de la Informaci\u00f3n y el Comercio Electr\u00f3nico.<\/li>\n<\/ul>\n<h3>\u00bfCon qu\u00e9 datos personales convive una asociaci\u00f3n u oeneg\u00e9?<\/h3>\n<p>Si est\u00e1s gestionando una, seguro que eres plenamente consciente de los muchos datos con los que te desenvuelves. Principalmente, conviene diferenciar estas clases de datos:<\/p>\n<ul>\n<li><strong>Procedentes de los usuarios, socios y asociados.<\/strong> Los facilitan desde el primer momento, en cuanto impulsan su adhesi\u00f3n a la organizaci\u00f3n o piden informaci\u00f3n.<\/li>\n<li><strong>Relativos a los voluntarios<\/strong>. Se utilizan para contactar con ellos cuando resulta preciso.<\/li>\n<li><strong>Vinculados con los proveedores, donantes y colaboradores<\/strong>. Las empresas, los profesionales y las personas que prestan apoyo a la actividad de tu entidad tambi\u00e9n aportan datos.<\/li>\n<li><strong>Relacionados con los empleados<\/strong>. Se necesitan, de entrada, para pasar las n\u00f3minas, entre otros muchos usos.<\/li>\n<li><strong>Informaciones sobre los beneficiarios finales<\/strong>. El car\u00e1cter social de estas organizaciones las lleva a compilar y utilizar datos sobre afectados de la problem\u00e1tica o causa por la que luchan.<\/li>\n<\/ul>\n<p>Son, normalmente, estos \u00faltimos los que el reglamento general comunitario considera m\u00e1s sensibles. Los engloba en las llamadas <strong>categor\u00edas especiales de datos personales<\/strong>. Hablamos de indicadores religiosos, filos\u00f3ficos, sindicales, gen\u00e9ticos, biom\u00e9tricos, de salud y relacionados con la pr\u00e1ctica o con las orientaciones sexuales.<\/p>\n<p>Seg\u00fan el art\u00edculo 9 del reglamento, est\u00e1 prohibido tratarlos, salvo cuando las entidades cumplan los requisitos anteriormente mencionados.<\/p>\n<p>Con todo, se establece la necesidad de asumir una <strong>responsabilidad proactiva<\/strong> en su tratamiento y protecci\u00f3n. Es fundamental poder demostrar que se est\u00e1 haciendo el uso correcto seg\u00fan estos par\u00e1metros.<\/p>\n<h3>\u00bfC\u00f3mo debes actuar para gestionarlos?<\/h3>\n<p>El <strong>procedimiento de partida<\/strong> est\u00e1 bastante definido:<\/p>\n<ul>\n<li>Analiza qu\u00e9 datos tratas, con qu\u00e9 fines y qu\u00e9 operaciones est\u00e1s llevando a cabo.<\/li>\n<li>Establece c\u00f3mo vas a aplicar las medidas incluidas en el reglamento.<\/li>\n<li>Aseg\u00farate de su adecuaci\u00f3n y de su correcta puesta en marcha.<\/li>\n<li>Confirma que puedes demostrar estas buenas pr\u00e1cticas legales ante las autoridades supervisoras y, sobre todo, frente a los interesados.<\/li>\n<li>Mant\u00e9n una actitud proactiva, comprometida y vigilante durante todos estos procesamientos de datos.<\/li>\n<\/ul>\n<p>En definitiva, para cumplir con este reglamento debes adoptar una enfoque anticipativo y dedicar tiempo, dinero y esfuerzos a asegurar su cumplimiento. Muchas de las herramientas de <a href=\"https:\/\/www.berrly.com\/es\/funcionalidades\/base-de-datos\/?handl_landing_page=https:\/\/www.berrly.com\/es\/blog\/&amp;organic_source_str=Direct&amp;traffic_source=Direct\" target=\"_blank\" rel=\"noopener\"><strong><em>software <\/em>de gesti\u00f3n de bases de datos<\/strong><\/a> vienen bien preparadas en este aspecto.<\/p>\n<h2><strong>Claves para cumplir la normativa de protecci\u00f3n de datos en tu organizaci\u00f3n<\/strong><\/h2>\n<p>Evidentemente, no es una cuesti\u00f3n menor. Tienes que estar <strong>preparado, concienciado y centrado<\/strong> en satisfacer de manera correcta sus requisitos y sus prioridades.<\/p>\n<p>A continuaci\u00f3n, te vamos a detallar cu\u00e1les son las acciones irrenunciables que est\u00e1n en tu tejado. \u00a1Aseg\u00farate de que las cumples perfectamente! En todos estos apartados se est\u00e1n cometiendo fallos susceptibles de importantes sanciones.<\/p>\n<h3>Obligaci\u00f3n de informar<\/h3>\n<p>Desde que recoges sus datos, debes informar al interesado con claridad y concisi\u00f3n sobre <strong>cu\u00e1les recoges, durante cu\u00e1nto tiempo y para qu\u00e9<\/strong>.<\/p>\n<p>Esta exigencia ya exist\u00eda en las normativas anteriores, pero ahora se ha reforzado. Por ejemplo, no se pueden pedir los que son innecesarios para la finalidad de tu entidad. Si vas a cederlos a terceros, tambi\u00e9n has de advertirlo, y especificar si lo vas a hacer fuera de la Uni\u00f3n Europea.<\/p>\n<h3>Consentimiento expreso<\/h3>\n<p>Como te hemos comentado, ya no sirve que el consentimiento sea t\u00e1cito, como antes. Tienes que pedirlo expresamente, tanto para administrar los datos como para otros prop\u00f3sitos espec\u00edficos.<\/p>\n<p>Ten presente que, si ten\u00edas datos antiguos en tu base, debes actualizar este aspecto y conseguir su aceptaci\u00f3n expresa. Pon manos a la obra en esta cuesti\u00f3n lo antes posible.<\/p>\n<h3>Acuerdos con proveedores<\/h3>\n<p>Cuando los colaboradores tienen acceso a los datos con los que cuentas, debes firmar acuerdos con ellos. Ser\u00e1s <strong>responsable<\/strong>, tambi\u00e9n, si ellos no se adaptan a la <strong>normativa legal establecida<\/strong>.<\/p>\n<h3>Contratos con empleados<\/h3>\n<p>Consigue un documento firmado que presente el <strong>compromiso de confidencialidad<\/strong> al tratar todos los datos disponibles en la empresa. Si existen contrase\u00f1as para protegerlos, han de ser renovadas peri\u00f3dicamente.<\/p>\n<p>Tambi\u00e9n es preciso especificar y anticipar las pautas de gesti\u00f3n de los datos sensibles. Entre otros, los relativos a menores, de salud, de condenas penales, etc\u00e9tera. Especialmente, c\u00f3mo se accede a ellos, qu\u00e9 permisos hacen falta y de qu\u00e9 modo ser\u00e1n destruidos.<\/p>\n<h3>Legalidad en el sitio web<\/h3>\n<p>Estos canales de comunicaci\u00f3n son extremadamente sensibles a la aplicaci\u00f3n de este reglamento. Sus <strong>textos legales<\/strong> deben estar actualizados y adaptados a la normativa. Adem\u00e1s, han de estar accesibles desde cualquier sitio de la web a solo un golpe de clic.<\/p>\n<p>Los tres grandes contenidos que debes incluir son:<\/p>\n<ul>\n<li><strong>Aviso legal<\/strong>. En \u00e9l se concreta qui\u00e9n es el propietario de la web y cu\u00e1les son sus datos b\u00e1sicos.<\/li>\n<li><strong>Pol\u00edtica de privacidad<\/strong>. Requiere difundir con claridad la existencia del tratamiento de esos datos, cu\u00e1l es su finalidad y qui\u00e9nes ser\u00e1n los destinatarios. Adem\u00e1s, refleja la legitimizaci\u00f3n para el tratamiento, qui\u00e9n es el responsable y c\u00f3mo localizarlo. Tambi\u00e9n anuncia la posibilidad de ejercer todos los derechos. En concreto, acceder, rectificar, cancelar y oponerse, as\u00ed como las v\u00edas para hacerlo.<\/li>\n<li><strong>Pol\u00edtica de <em>cookies<\/em><\/strong>. Si las incluyes en tu web para analizar las visitas, tienes que informar sobre cu\u00e1les usas, con qu\u00e9 fin y por cu\u00e1nto tiempo.<\/li>\n<\/ul>\n<h3>Blindaje ante los riesgos<\/h3>\n<p>Es preciso analizar cu\u00e1les son e <strong>implementar las medidas de seguridad<\/strong> id\u00f3neas. Hay que estar alerta y anticiparse a las posibles amenazas con las protecciones adecuadas. Cuando manejas datos especialmente protegidos, tambi\u00e9n debes contar con una evaluaci\u00f3n de riesgo.<\/p>\n<h3>Notificaci\u00f3n de brechas<\/h3>\n<p>En caso de quiebra o problema de seguridad, es obligatorio <strong>comunicarlo a la AEPD en un m\u00e1ximo de 72 horas<\/strong>. Si se vulneran de manera grave los derechos de los afectados, estos tambi\u00e9n deben ser avisados cuanto antes.<\/p>\n<h3>Profesional especializado<\/h3>\n<p>De manera general, tu<strong> ONG <\/strong>no est\u00e1 obligada a contar con un <strong>delegado de protecci\u00f3n de datos<\/strong>. Sin embargo, s\u00ed lo precisas si tratas datos personales a gran escala o cuando gestionas datos sensibles.<\/p>\n<h2><strong>\u00bfCu\u00e1les son las sanciones establecidas?<\/strong><\/h2>\n<p>El Reglamento General de Protecci\u00f3n de Datos establece <strong>sanciones por protecci\u00f3n de datos<\/strong> que pueden llegar hasta:<\/p>\n<ul>\n<li><strong>20 millones de euros<\/strong>.<\/li>\n<li><strong>4 % del volumen total del negocio<\/strong> del infractor.<\/li>\n<\/ul>\n<p>Las multas contempladas difieren en virtud de tres aspectos:<\/p>\n<ul>\n<li>Para las infracciones consideradas <strong>leves<\/strong>: hasta 40 000 euros.<\/li>\n<li>Para las actuaciones u omisiones <strong>graves<\/strong>: entre 40 001 y 300 000 euros.<\/li>\n<li>Para las sanciones <strong>muy graves<\/strong>: entre 300 001 y 20 000 000 euros<\/li>\n<\/ul>\n<h3>Algunos ejemplos de sanciones por protecci\u00f3n de datos impuestas por la AEPD<\/h3>\n<p>Enumeramos a continuaci\u00f3n algunas <strong>multas fijadas en 2023 por la <a href=\"https:\/\/www.aepd.es\/es\" target=\"_blank\" rel=\"noopener\">Agencia Espa\u00f1ola de Protecci\u00f3n de Datos<\/a><\/strong>. Son referencias \u00fatiles para saber a qu\u00e9 nos exponemos en caso de incumplir:<\/p>\n<ul>\n<li>2000 y 3000 euros por env\u00edo de <em>e-mails<\/em> comerciales sin copia oculta.<\/li>\n<li>100 000 euros por requerir foto del interesado para entregar un paquete.<\/li>\n<li>Otros 100 000 euros por tratar y ceder datos sin consentimiento ni informaci\u00f3n.<\/li>\n<li>5000 euros por no cumplir adecuadamente con el derecho de supresi\u00f3n.<\/li>\n<li>5000 y 10 000 euros por desatender los derechos de acceso y supresi\u00f3n.<\/li>\n<li>2500 euros por incluir <em>cookies<\/em> de terceros en la web y sin pedir consentimiento.<\/li>\n<li>30 000 euros por realizar m\u00faltiples llamadas telef\u00f3nicas a un particular que se hab\u00eda dado de alta en la Lista Robinson.<\/li>\n<li>800 euros por mandar SMS comerciales a un particular sin responder a su derecho a la supresi\u00f3n.<\/li>\n<li>3000 euros por ceder datos de salud sin consentimiento del afectado.<\/li>\n<\/ul>\n<p>Como ves, llegados a este punto, <strong>conocer y cumplir las normas del RGPD es capital<\/strong> para tu organizaci\u00f3n. De lo contrario, te expones a importantes sanciones que podr\u00edan arruinar todo el trabajo realizado. As\u00ed que no lo dudes, afronta esta realidad. Si necesitas ayuda, contacta con Berrly y consigue los <a href=\"https:\/\/www.berrly.com\/es\/?traffic_source=Direct&amp;organic_source_str=Direct&amp;handl_landing_page=https%3A%2F%2Fwww.berrly.com%2Fes%2Fblog%2F#gestion\" target=\"_blank\" rel=\"noopener\">recursos tecnol\u00f3gicos <\/a>id\u00f3neos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El RGPD o Reglamento General de Protecci\u00f3n de Datos\u200b entr\u00f3 en vigor en la Uni\u00f3n Europea en 2018. Desde entonces, es de obligado cumplimiento para las organizaciones y las personas. Responde a la mayor sensibilizaci\u00f3n social con el cuidado y la salvaguarda de los datos personales. Implica la defensa de este derecho y, para ello, [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":12931,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[49],"tags":[],"class_list":["post-12928","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/posts\/12928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/comments?post=12928"}],"version-history":[{"count":0,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/posts\/12928\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/media\/12931"}],"wp:attachment":[{"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/media?parent=12928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/categories?post=12928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.berrly.com\/es\/wp-json\/wp\/v2\/tags?post=12928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}