Un año después de la entrada en vigor de la Ley española de protección de datos y un año y medio después de la aplicación obligatoria de la normativa europea, su implantación en las entidades del Tercer Sector todavía continúa siendo una asignatura pendiente.
Entrevistamos a Julián Prieto, el subdirector del Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD) y uno de los ponentes de la jornada que organizó Gestión Tercer Sector en Madrid el 21 de noviembre de 2019.
¿Cuáles son los principales retos que encaran las organizaciones entorno a la nueva norma?
Tienen que cumplir las nuevas normativas, que recogen algunas novedades, como la de la responsabilidad proactiva, o ‘accountability’, que obliga, además de cumplir con la regulación aplicable, a poder demostrarlo, lo que ha supuesto un cambio de paradigma en cuanto a la aplicación de la normativa y al que se han de acostumbrar las entidades.
Tienen que revisar los tratamientos de datos que realizan y verificar que cumplen con las obligaciones que como responsables de tratamiento les incumbe para garantizar que los datos personales de los ciudadanos que mantienen en sus sistemas (asociados, miembros, voluntarios, benefactores, empleados…) están siendo utilizados con legitimidad y con arreglo a los principios que recoge la legislación aplicable, que no han experimentado una gran variación con respecto a la normativa del 99, y sin que se ponga en riesgo los derechos y libertades de los interesados.
Las organizaciones que tratan datos de carácter personal tienen que revisar los formularios de recogida de datos (formularios en papel o web), incluir la información apropiada a cada caso para cumplir con el deber de informar a los ciudadanos cuyos datos recogen.
La AEPD tiene publicada una infografía que orienta a las entidades como adaptarse al cumplimiento de la legislación actual en protección de datos.
Es indudable que la protección de datos es uno de los elementos que las organizaciones han de tener muy presente
¿Qué tres recomendaciones da a las entidades para que se pongan al día con la protección de datos?
Que revisen los tratamientos de datos de carácter personal que realizan en su calidad de responsables (tratamientos de datos personales de clientes, asociados, empleados…). Que se ajusten a los pasos a seguir en el proceso de adaptación y de cumplimiento de las obligaciones que tienen como responsables de tratamiento de datos personales. Y finalmente, que hagan uso de las Guías y Herramientas que la AEPD ha publicado y que permiten responder a la proactividad que las normas en protección de datos piden a los responsables.
¿Qué importancia tiene la ley de protección de datos en el Tercer Sector?
Para las entidades del Tercer Sector que tratan datos personales de diferentes interesados (voluntarios, empleados, asociados, miembros, benefactores…), y en muchas ocasiones, dependiendo de la finalidad de la organización, de categorías especiales, como datos de salud, de origen o procedencia, de vida sexual, a los que la normativa de protección de datos le dota de una protección especial o reforzada, es indudable que es uno de los elementos que han de tener muy presente en el ejercicio de su actividad.
¿Cuáles son las mayores dificultades que han detectado en las organizaciones, en materia de protección de datos?
No disponemos de estudios sobre el Tercer Sector, pero dadas sus características, el alto volumen de datos que trata, la categoría sensible de muchos de los datos, como hemos apuntado, y la intervención de voluntarios en sus actividades, podríamos aventurar que el desconocimiento y la falta de formación de las organizaciones y de los usuarios de los datos pudiera ser un obstáculo para que las entidades y organizaciones se sensibilicen y cumplan con la normativa.
Esta legislación ha tenido presente la evolución tecnológica y por eso está dotada de flexibilidad para poder adaptarse a las innovaciones futuras
¿Cómo evolucionará la protección de datos en los próximos años?
Tenemos una legislación reciente cuyo objetivo es reforzar el derecho a la protección de datos personales en una sociedad globalizada y tecnológica, porque proteger este derecho es proteger a las personas. Esta legislación ha tenido presente la evolución tecnológica y por eso está dotada de flexibilidad para poder adaptarse a las innovaciones que en este ámbito nos ira trayendo la evolución tecnológica.
En todo caso, la AEPD va a trabajar para ayudar y facilitar el cumplimiento de la normativa aplicable a los desafíos que pueda presentar al derecho a la protección de datos el futuro.
¿Se puede encomendar a un tercero el tratamiento de datos?
Sí, cuando hablamos de un encargado del tratamiento, que es aquel que trata los datos por cuenta del responsable. El encargo se ha de reflejar en un contrato con unas obligaciones mínimas que impone el Reglamento general de protección de datos.
Las preguntas frecuentes en la Web de la AEPD especifican las obligaciones específicas de los encargados de tratamiento y qué contenido debe incluirse en el contrato que los vincula al responsable.