Las asociaciones y fundaciones gestionan una gran cantidad de datos personales, a menudo sin ser conscientes de ello. Entre estos datos se encuentran los de socios, voluntarios y donantes, lo que las convierte en responsables de proteger esta información conforme al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
En cuanto al blanqueo de capitales, la Ley 10/2010 las incluye como sujetos obligados, aunque con un régimen simplificado que reduce algunas obligaciones.
¿Qué debe hacer mi asociación o fundación para cumplir la normativa de protección de datos?
Para cumplir con la normativa de protección de datos, las asociaciones y fundaciones deben adoptar las siguientes medidas clave:
1) Registro de actividades de tratamiento: documenta cómo recopilas, usas y almacenas los datos.
2) Clausulas informativas y de consentimiento: incluye cláusulas informativas al recopilar datos y solicita el consentimiento cuando sea necesario.
3) Encargados de tratamiento: suscribe contratos de confidencialidad y encargo con los proveedores que tengan acceso o traten datos personales por cuenta de la entidad.
4) Inventario de activos: realiza un listado detallado de todos los recursos físicos, digitales y humanos utilizados para procesar y almacenar datos personales dentro de la entidad.
5) Clausulas empleados: si se tiene trabajadores, informar sobre el tratamiento de sus datos y suscribir un contrato de confidencialidad.
6) Páginas web y aplicaciones: deben contener el aviso legal, la política de privacidad y de cookies.
7) Análisis de riegos: realizar un análisis sobre el riesgo que extraña el tratamiento de los datos que gestiona la entidad y adoptar medidas de seguridad.
8) Gestión de derechos: establece un procedimiento de gestión de los derechos de los interesados (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas).
9) Notificación de brechas de seguridad: crea un protocolo para informar a la autoridad y, si corresponde, a los afectados sobre incidentes que comprometan datos personales, cumpliendo el plazo de 72 horas establecido por el RGPD.
10) Delegado de protección de datos: aunque no es obligatorio, podría ser muy recomendable disponer de esta figura en función de la tipología de datos y el volumen de estos.
¿Y en el caso del blanqueo de capitales?
En este caso las asociaciones y fundaciones tienen las siguientes obligaciones:
1) Identificar a los donantes y beneficiarios: debes verificar la identidad de estos y conservar dicha documentación durante al menos 10 años
2) Implementación de sistemas de control interno: implementa medidas de control interno para detectar actividades sospechosas.
3) Información al SEPBLAC: crear un protocolo de notificaciones de cualquier indicio de blanqueo de capitales o financiación del terrorismo.
¿Qué consecuencias tiene no cumplir con estas normativas?
El incumplimiento de estas normativas puede acarrear graves consecuencias, tales como:
· Multas administrativas de hasta 20 millones de euros
· Demandas legales de los afectados
· Pérdida de ayudas públicas
· Suspensión de actividades e incluso la disolución de la entidad.
· Responsabilidades penales en casos graves
¿Eres parte de una asociación o fundación? Podemos ayudarte a cumplir con estas normativas. Solicita ahora una propuesta sin compromiso.