RGPD EN LA VIDA EMPRESARIAL
Tratamiento de datos personales en asociaciones
El tratamiento de datos personales en asociaciones es común. Por ejemplo, las asociaciones procesan datos personales en su registro de miembros.
Asociaciones
RGPD ayuda a fortalecer los derechos que las personas tienen con respecto a su privacidad. No importa si es una organización sin fines de lucro o una asociación económica. También hay muchas asociaciones que procesan datos personales sobre niños, como clubes deportivos. Entonces es importante saber que las reglas son más estrictas.
Todas las empresas, organizaciones y organismos públicos que procesan datos personales de personas dentro del área de la UE / EEE deben cumplir con RGPD. También incluye asociaciones.
Tratamiento de datos personales en asociaciones de conformidad con el RGPD
La mayoría de las asociaciones procesan datos personales para llevar a cabo su negocio. En tales casos, la asociación es el controlador de datos, ya que es la asociación la que decide cómo y por qué se deben procesar los datos personales.
Por lo tanto, la asociación debe asegurarse de cumplir el RGPD, que representa el Reglamento General de Protección de Datos de la UE. Además, dos asociaciones pueden ser corresponsables del tratamiento. Además, una asociación puede contratar procesadores de datos. Por ejemplo, cuando hacen copias de seguridad de datos personales en un servicio en la nube ofrecido por un proveedor de servicios externo.
Ejemplos de cuando las asociaciones procesan datos personales
Colección
Cuando la asociación recopila datos personales, como nombre y número de teléfono, de los miembros de la asociación.
Registro de miembros
Cuando la asociación mantiene un registro con información sobre los miembros de la asociación.
Copia de seguridad
En relación con la asociación que realiza una copia de seguridad de los datos personales de los miembros en un servicio en la nube, con el fin de poder recrearlos en caso de que se eliminen o cambien accidental o ilegalmente.
Tratamiento de datos personales sensibles en asociaciones
Los datos personales sensibles son, según el RGPD, datos personales dignos de protección adicional que pueden ser objeto de tratamiento. Pero en muchos casos, están prohibidos de procesar. Ejemplos de datos personales sensibles son los datos que revelan información sobre la pertenencia de una persona a sindicatos, su origen étnico o sus creencias religiosas.
Ejemplos de datos personales sensibles en asociaciones
La información sobre la pertenencia de una persona a un sindicato o a una comunidad religiosa son datos personales sensibles. Es conforme al artículo 9 del RGPD. El tratamiento de estas categorías especiales de datos personales está permitido sobre la base de una de las excepciones previstas en el artículo 9 del RGPD.
Tenga en cuenta que las asociaciones que procesan datos personales sensibles deben tomar las medidas técnicas y organizativas adecuadas para proteger los datos. Además, el tratamiento de estas categorías especiales de datos personales debe llevarse a cabo en el marco de las actividades legítimas de la asociación.
¿Es permisible procesar información sobre la pertenencia de una persona a una comunidad religiosa o partido político?
Si una persona es miembro de una comunidad religiosa, la membresía misma puede revelar las creencias religiosas del miembro. Se trata de datos personales sensibles en el sentido del artículo 9, que, por regla general, está prohibido tratar.
Sin embargo, hay una excepción que la comunidad religiosa puede aplicar en este caso, la llamada exención de membresía. Lo mismo se aplica a los partidos políticos, ya que la pertenencia al partido político revela información sobre las opiniones políticas del miembro.
¿Qué significa la exención de membresía?
De acuerdo con la exención de membresía en el artículo 9, apartado 2, letra d), del RGPD, está permitido procesar datos personales sobre la membresía, si:
- El tratamiento se refiere únicamente a los miembros activos, antiguos miembros u otras personas que, a efectos de la organización, tengan contactos regulares con la organización. Y
- Los datos personales solo se divulgarán fuera de la organización o a otro miembro sobre la base del consentimiento activo del interesado.
Sentencia del Tribunal Europeo de Derechos Humanos sobre el tratamiento de datos personales en el contexto de llamadas puerta a puerta por parte de comunidades religiosas
En Finlandia y el Tribunal Europeo de Derechos Humanos, se han llevado a cabo procedimientos judiciales en relación con la recogida de datos personales y las listas de nombres anotadas por la comunidad religiosa de los testigos de Jehová durante las visitas domiciliarias.
Listas con datos personales
Las listas de nombres que los testigos de Jehová elaboran al llamar puerta a puerta en relación con su trabajo de predicación pueden incluir nombres, direcciones e información sobre las creencias religiosas de la persona que han visitado en el transcurso de sus actividades de llamar puerta a puerta.
El registro de la información en las listas de nombres a menudo se produce sin el conocimiento del interesado. El Tribunal Europeo de Derechos Humanos ha destacado la importancia de la recogida lícita de datos personales y el respeto del derecho a la intimidad de las personas.
Consentimiento de los interesados
En Finlandia, el Tribunal Supremo Administrativo (HFD) ha dictaminado que los testigos de Jehová deben obtener el consentimiento de los interesados para establecer y utilizar dichas listas. En la práctica, la sentencia significa que el RGPD también se aplica a las comunidades religiosas en Finlandia cuando procesan datos personales.
¿Cuál es la base jurídica adecuada para apoyar el tratamiento de los datos personales de los miembros por parte de la asociación?
Como se mencionó anteriormente, todas las empresas, organizaciones y organismos públicos que procesan datos personales de personas dentro de la UE / EEE deben cumplir con el GDPR. Esto significa, entre otras cosas, que cada tratamiento individual de datos personales debe tener una base jurídica para ser lícito. Si un procesamiento se lleva a cabo sin el apoyo de una de las bases legales del RGPD, el procesamiento es ilegal.
Hay un total de seis (6) bases jurídicas, que se establecen en el artículo 6 del RGPD. La siguiente es una descripción de las cuatro (4) bases legales que son más comunes para las asociaciones cuando procesan datos personales:
Contratos con los interesados
Es común que las asociaciones necesiten procesar ciertos datos personales para celebrar y cumplir el acuerdo entre la asociación y el miembro. La asociación no puede procesar más datos personales de los necesarios para que la persona se convierta en miembro. Si la asociación desea procesar los mismos datos personales u otros datos personales para otro propósito, la asociación también necesita una base legal separada para el procesamiento posterior.
Obligación jurídica
En algunos casos, una asociación puede necesitar procesar datos personales porque alguna ley o regulación lo requiere de la asociación. Por ejemplo, en algunos países, las asociaciones económicas deben mantener una lista de los miembros. En tales casos, el procesamiento de datos personales tiene lugar para cumplir con una obligación legal que incumbe a la asociación.
Consentimiento
Una asociación puede procesar ciertos datos personales sobre la base del consentimiento de la base legal. Esto significa que un miembro de manera activa, informada, inequívoca, específica y voluntaria acepta que la asociación procese sus datos personales para un propósito específico y declarado. Si la base legal es el consentimiento, no está permitido incluirlo en los términos y condiciones que requieren que el miembro dé su consentimiento para aceptar los términos y condiciones. Existen normas claras sobre cómo se da un consentimiento válido en virtud del RGPD.
Interés legítimo
Las asociaciones pueden tener un interés legítimo en procesar algunos de los datos personales de sus miembros. Por ejemplo, si es necesario disponer de cámaras de vigilancia en locales pertenecientes a una asociación económica y que contengan objetos de valor. Interés legítimo significa que el responsable del tratamiento, es decir, la asociación, considera que su interés supera los derechos y libertades de los interesados. Sin embargo, el procesamiento de datos personales a través de la vigilancia por cámara debe ser necesario para lograr el propósito.
¿Está permitido que una asociación publique su registro de miembros en línea?
Solo se permite que una asociación publique su registro de membresía en línea, si dicho procesamiento se basa en una base legal de acuerdo con RGPD. Por ejemplo, esto se puede hacer con el consentimiento del miembro respectivo. Sin embargo, es común que algunos miembros no quieran que sus números de teléfono, direcciones u otros datos personales estén disponibles públicamente en Internet.
Consentimiento de los miembros
En la mayoría de los casos, los miembros de la asociación deben primero dar su consentimiento activo y voluntario para que sus datos personales se publiquen en línea en Internet. Entonces la asociación necesita pedir permiso para llevar a cabo dicha publicación.
Aunque puede ser aplicable otra base jurídica para que la asociación publique su registro de miembros en línea, se recomienda solicitar primero el permiso de los miembros. Si los datos personales se refieren a niños, el consentimiento debe ser dado por el tutor del niño, incluso si el niño ha dado su consentimiento.
¿Puede una asociación enviar su registro de afiliación por correo electrónico a otros miembros o personas?
Si la asociación envía su registro de membresía por correo electrónico, se trata de compartir datos personales, lo que constituye un procesamiento. Dicho tratamiento debe llevarse a cabo sobre la base de una base legal en el RGPD para que sea permitido y lícito. Por ejemplo, se puede hacer con el consentimiento de los miembros.
Sin embargo, es importante tener en cuenta que puede haber algunos miembros que, por diversas razones, no desean que sus datos personales se difundan a otros miembros o personas por correo electrónico. Por ejemplo, un miembro puede tener un número de teléfono secreto o una dirección residencial protegida.
¿Una asociación está obligada a revelar información sobre un miembro a otro miembro?
Si la asociación no está sujeta a la legislación que requiere que la lista de miembros esté disponible para aquellos que deseen verla, la asociación no necesita divulgar su registro de miembros. Sin embargo, un miembro siempre tiene derecho a recibir una copia de sus propios datos personales que la asociación procesa, pero no sobre otros miembros o personas. Este derecho se deriva del derecho de acceso del interesado en virtud del artículo 15 del RGPD.
MÁS INFORMACIÓN SOBRE RGPD
Tratamiento de datos personales en escuelas y jardines de infancia
El tratamiento de datos personales en las escuelas y jardines de infancia se lleva a cabo de forma periódica. Por ejemplo, en relación con la enseñanza digital, listas de asistencia, calificaciones y planes de desarrollo personal. Es la propia escuela o jardín de infantes la que tiene el papel de controlador de datos personales bajo el RGPD, no el director, los maestros u otro personal. Sin embargo, es importante que el personal cumpla el RGPD en la práctica al tratar los datos personales de los estudiantes. Los datos personales sobre los niños son especialmente dignos de protección en virtud del RGPD.