Saltar a la navegació Informació de contacte

Portal d'Entitats i Voluntariat

PROTECCIÓ DE DADES A LES ENTITATS

Les entitats no lucratives gestionen dades personals de forma habitual, atès que disposen d’informació relativa a les persones sòcies, persones usuàries, voluntariat o persones treballadores, entre d’altres.

En aquest sentit, queden sotmeses a la normativa relativa a la protecció de dades, concretament, a la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD) que adapta a nivell estatal el Reglament General de Protecció de dades 2016/678 (UE).

Aquesta normativa obliga a totes les entitats que treballen amb dades personals, la qual cosa implica:

  • Garantir-ne la integritat i confidencialitat.
  • Evitar la seva pèrdua, dany o destrucció accidental així com qualsevol tractament no autoritzat o il·lícit.

Per fer-ho possible, les entitats queden també obligades a implementar aquelles mesures de seguretat tècniques i organitzatives que es considerin més adequades en funció de les dades de què disposen i del tractament que en fan.

 

Comencem pel principi. Què entenem per dades personals?

Totes les persones tenim dret a exercir un control efectiu sobre les nostres dades, però què entenem per dada personal a efectes de la normativa?

El Reglament General de Protecció de dades 2016/678 estableix que els principis de la protecció de dades s’apliquen a tota la informació relativa a una persona física identificada o identificable.

Això vol dir que la normativa s’aplica a aquelles informacions relacionades amb una persona que tinguem clarament identificada (com ara la que conté una fitxa d’alta d’una persona sòcia) però també a aquelles dades a partir de les quals es podria arribar a identificar la persona que s’hi relaciona. Aquest seria el cas, per exemple, de fotografies, adreces de correu electrònic, informació numèrica (telèfons, IP, etc.) que puguin fer identificables a persones físiques.

La normativa defineix, a més, algunes categories especials de dades que, per la seva naturalesa, estan especialment protegides: dades sobre la salut, ideologia, religió, dades genètiques, relatives a la vida sexual, dades biomètriques, entre d’altres.

Per dur a terme la nostra activitat a les entitats, tot sovint ens és imprescindible fer un tractament de dades personals, ja sigui amb procediments automatitzats o manuals, com ara:

  • Formularis d’alta o d’inscripció a activitats, ja sigui per mitjans físics o virtuals.
  • Enviament de dades a través de correu electrònic o per altres canals.
  • Enregistrament de dades en programes informàtics.
  • Recollida de dades en carpetes físiques.

 

 En què consisteix la Protecció de Dades?

La Llei de protecció de dades estableix els principis que han de regir el tractament de les dades personals a fi de garantir el dret de les persones a la seva protecció.

En concret, la normativa fa referència a:

  • Transparència: quan es recullen dades, hem d’informar sobre qui les recull, el tractament que en farem i les finalitats per a les quals les recollim.
  • Limitació de les dades: només podem recollir les dades que siguin realment necessàries per a l’objectiu pel qual són recollides. A més, tampoc podrem fer servir les dades per finalitats diferents de les que n’han motivat la recollida.
  • Exactitud i, si cal, actualització de les dades: s’han d’adoptar totes les mesures necessàries perquè es suprimeixin o rectifiquin les dades en cas que siguin inexactes pel que fa a les finalitats per a les quals es tracten.
  • Deure de confidencialitat: cal posar els mitjans per evitar que terceres persones puguin accedir a les dades. Aquest deure és addicional al de secret professional i la seva normativa reguladora.
  • Limitació en la conservació de les dades: no podrem desar les dades de forma indefinida sinó que caldrà preveure un protocol d’eliminació un cop finalitzi l’ús pel qual les hem recollit, sempre que no existeixi una obligació legal de mantenir aquestes dades durant un temps determinat.

 

Com hem de recollir les dades personals?

El primer que hem de tenir en compte és la obligació d’informació a la persona titular de les dades. En virtut d’aquest deure, quan recollim dades, hem d’informar del següent:

  • Les dades identificadores de l’entitat.
  • Quina informació es demana i per a quina finalitat.
  • Quin tractament en farem.
  • Quin termini de conservació s’aplicarà.

 

També cal informar sobre els drets que tenen les persones en relació amb les dades i com exercir-los.

Per complir amb aquest deure, s’utilitzen le clàusules informatives que cal afegir als diferents documents o formularis de recollida de dades.

 

En quins casos una entitat pot demanar i obtenir dades personals?

La legislació determina en quins casos es poden demanar, obtenir i tractar dades personals. Cal estar davant d’un dels següents supòsits:

  • Consentiment previ. La persona titular de les dades les proporciona de manera lliure, informada i voluntària, tot consentit que es tractin. En el cas dels menors de 14 anys, el consentiment el prestaran les persones adultes que ostentin la seva guarda i representació legal.
  • Execució d’un contracte o precontracte.
  • Compliment d’una obligació legal, derivada d’una norma.
  • Protecció d’interessos vitals de l’interessat.
  • Interès públic.
  • Interès legítim del responsable del tractament de les dades, sempre que no prevalguin els interessos o drets i llibertats de l’interessat. És un mecanisme que la legislació admet, però que requerirà una major justificació.

En el cas de les entitats, normalment l’obtenció de dades personals es fonamenta en la relació contractual i en l’obtenció del consentiment.

Per poder enviar qualsevol informació de caràcter comercial o de difusió de l’activitat pròpia de l’associació, caldrà disposar del consentiment exprés, en cas contrari, l’entitat no podrà facilitar cap informació que no correspongui estrictament a la relació concreta que s’hagi establert prèviament.

Quins drets tenen les persones titulars de les dades personals?

La normativa estableix quins drets tenen les persones sobre les seves pròpies dades. Aquests drets són personalíssims, per tant, només els pot exercir la persona interessada o, si s’escau, tercers específicament autoritzats.

Aquests drets es poden resumir en els següents:             

  • Dret d’accés. Qualsevol interessat ha de poder conèixer quines són les dades personals pròpies que està tractant l’organització i quin ús se’n fa.
  • Dret de rectificació. És el dret que permet demanar que es modifiquin dades personals inexactes.
  • Dret d’oposició. Tot interessat es pot oposar a un tractament concret de les seves dades. Des del moment de l’oposició, l’entitat s’haurà d’abstenir d’utilitzar aquestes dades excepte que concorri una causa legítima per continuar fent-les servir.
  • Dret de supressió, també anomenat dret a l’oblit. Aquest dret permet que l’interessat sol·liciti l’eliminació d’aquelles dades personals que ja no siguin necessàries per complir l’objecte per les quals varen ser recollides.
  • Dret a la limitació del tractament. Exercint aquest dret es pot limitar el tractament que una organització realitza de les dades personals.
  • Dret a la retirada del consentiment. En aquells casos que l’obtenció de les dades personals ha estat mitjançant consentiment, aquest consentiment es pot retirar en qualsevol moment, dins els límits que imposa la legislació vigent.

En conseqüència, això comporta que l’entitat sempre ha de guardar totes aquelles dades obtingudes de la manera més convenient possible, en fitxers o espais físics protegits i reservats del públic en general.

Una vegada les dades ja no siguin útils o hagi cessat la causa per les quals es varen obtenir, caldrà que es destrueixin o s’eliminin.

 

Com es poden exercir aquests drets i quines obligacions tenim com a entitats?

Qualsevol interessat ha de poder exercir aquests drets mitjançant un procediment fàcil, ràpid i gratuït. L’entitat haurà de donar resposta a l’exercici d’aquest dret i realitzar l’actuació que sigui oportuna, d’acord amb les obligacions legals que pugui tenir també l’entitat. Per aquest motiu, l’associació ha de disposar dels protocols adients per poder donar resposta adequada.

En cas que no es respongui la petició d’exercici d’aquests drets, l’interessat podrà interposar una reclamació davant l’autoritat competent, o sigui, davant l’Agència Espanyola de Protecció de Dades o, a Catalunya, també davant l’Autoritat Catalana de Protecció de Dades.

 

Com hem de tractar les imatges?

El dret d’imatge, a banda d’estar recollit a la normativa de protecció de dades, també està regulat a la Llei Orgànica de dret a l’honor, a la intimitat personal i a la pròpia imatge.

Cal destacar la necessitat de disposar de consentiment exprés per a captar, difondre i publicar imatges en les quals hi surtin persones, especialment quan es tracta de persones menors d’edat, de les quals es necessitarà el consentiment dels seus representants legals.

En aquesta autorització caldrà especificar la finalitat per la qual es dona el consentiment i els mitjans de difusió que s’utilitzaran.