Las organizaciones del Tercer Sector mantienen su actividad en equilibrio entre dos importantes ámbitos. El de los beneficiarios de sus acciones, receptores de sus servicios y atenciones, y el de los donantes, que con su apoyo hacen posible el desarrollo de su misión. Además, en muchos casos podríamos añadir un tercero, el de sus voluntarios, que les ayudan a que su alcance e impacto sean mucho mayores.
Detrás de esos ámbitos hay personas con nombre y apellidos, con una dirección y un teléfono, unas circunstancias personales y de salud, tal vez una cuenta bancaria… Todos ellos son datos sensibles que llegan a las ONG, y estas tienen la responsabilidad de gestionarlos adecuadamente para preservar su privacidad y garantizar su seguridad. No se trata solo de una cuestión ética o de buenas prácticas; es también una obligación legal que les afecta como a cualquier entidad pública o privada. Y su cumplimiento es imprescindible para evitar sanciones y para mantener la confianza de las partes implicadas.
Normativa aplicable
En 2018 se aprobó la actual Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Este texto desarrolla y adapta al territorio nacional el Reglamento General de Protección de Datos 2016/679 (RGPD) de la Unión Europea. Ambos establecen principios generales clave para el tratamiento de datos personales, como que debe ser legal, justo y transparente para los interesados. Que solo se deben recopilar los datos estrictamente necesarios para la finalidad prevista. Que deben conservarse solo durante el tiempo necesario para cumplir con su finalidad. O que deben adoptarse medidas de seguridad para protegerlos frente a accesos no autorizados.
Con frecuencia, las ONG operan en contextos complejos, como zonas de conflicto o regiones con marcos legales poco desarrollados, lo que plantea retos adicionales. Además, muchas trabajan con datos que revelan información sobre salud, creencias religiosas u orientación sexual, lo que exige medidas de protección adicionales. Cuando los datos se transfieren entre países, es crucial garantizar que se cumplan las salvaguardas requeridas por las normativas internacionales. Y por supuesto, es esencial garantizar la confidencialidad de los datos incluso en situaciones de crisis o emergencias.
Reforzar la concienciación para una actuación más responsable
En Fundación Lealtad, cuando analizamos a las ONG para conceder el sello Dona con Confianza, revisamos si cumplen los 9 Principios de Transparencia y Buenas Prácticas. El último de ellos incluye el apartado 9B, que específicamente contempla si la entidad vela por el cumplimiento de la normativa de protección de datos.
“En lo referido a datos sensibles de los beneficiarios, las organizaciones parecen estar más concienciadas con este asunto. Pero conviene reforzar esta concienciación al recabar datos de socios y/o donantes. Por ejemplo, algo sencillo como incluir en los formularios de sus páginas web la casilla de consentimiento expreso para el tratamiento de los datos recabados, es esencial”. Así lo explica María Alvear, directora de Análisis de Fundación Lealtad.
Otra circunstancia en la que es necesario incidir, como recuerda nuestra directora de Análisis, es a la hora de utilizar en redes sociales fotografías en las que aparecen voluntarios o beneficiarios que se puedan identificar. “En estos casos, es necesario contar con su consentimiento expreso. Y si hablamos de menores, hay que extremar la precaución”, añade.
Herramientas y recursos para cumplir la normativa
En Internet hay amplia información para las ONG en relación con el cumplimiento de la normativa de protección de datos. Por ejemplo, existe una Guía básica de protección de datos personales para entidades de acción social elaborada por la Plataforma de ONG de Acción Social.
Y en 2021, la Agencia Española de Protección de Datos (AEPD) celebró una jornada para dar a conocer sus herramientas y recursos para entidades del Tercer Sector. El vídeo está todavía disponible. Son herramientas para identificar los factores de riesgo para los derechos y libertades de los interesados cuyos datos están presentes en el tratamiento. Para gestionar todo el Registro de Actividades de Tratamiento de una entidad. O para valorar la obligación de informar de haber sufrido una brecha de seguridad de los datos personales.
10 recomendaciones clave para ONG
Por nuestra parte, tomamos como referencia la publicación ‘Aproximación jurídica al Tercer Sector’, de editorial Aranzadi, escrita por abogados del despacho Pérez-Llorca. A partir de ella, elaboramos este listado de diez recomendaciones que deben seguir las ONG para el correcto tratamiento de los datos personales de sus grupos de interés.
- Identificar los datos que manejan. Es importante realizar un inventario exhaustivo de los datos personales que se recopilan, almacenan y procesan. Esto incluye nombres, direcciones y correos electrónicos, y también datos sensibles sobre salud u origen étnico. Lo recomendable es clasificarlos por nivel de sensibilidad y aplicar medidas de seguridad proporcionales a los riesgos asociados.
- Obtener el consentimiento de forma explícita. Es uno de los pilares fundamentales del RGPD. Es fundamental asegurarse de obtener el consentimiento expreso, informado y verificable de las personas antes de recopilar o utilizar sus datos personales. Especialmente si se trata de datos sensibles. Para ello, se recomienda diseñar formularios claros que expliquen el uso de los datos y permitan a los interesados otorgar su consentimiento de manera inequívoca.
- Informar a los interesados. Es obligatorio informar a las personas sobre qué datos se recopilan, para qué fines se utilizarán, el tiempo que se conservarán y si serán compartidos con terceros. La recomendación es incluir una política de privacidad accesible y comprensible en todos los canales de comunicación de la ONG.
- Formalizar contratos con terceros. Si la ONG colabora con proveedores externos con acceso a los datos personales, estos deben firmar acuerdos de tratamiento de datos que garanticen el cumplimiento de la normativa. Pensemos, por ejemplo, en servicios de alojamiento web o gestión de donaciones. En estos casos, es esencial asegurarse de que estos proveedores ofrecen garantías suficientes en materia de seguridad y confidencialidad.
- Realizar un análisis de riesgos. Antes de implementar nuevos proyectos o sistemas que impliquen el tratamiento de datos personales, es fundamental evaluar los riesgos asociados y tomar medidas para mitigarlos. Especialmente, se recomienda realizar evaluaciones de impacto sobre la protección de datos (EIPD) en proyectos de gran escala o que involucren datos sensibles.
- Garantizar la seguridad de los datos. Las ONG deben implementar medidas de seguridad técnicas y organizativas para prevenir accesos no autorizados, pérdidas o filtraciones de datos personales. Para ello, es conveniente utilizar sistemas cifrados para el almacenamiento de datos, contraseñas robustas y limitar el acceso a la información solo a personal autorizado.
- Notificar brechas de seguridad. En caso de sufrir una brecha de seguridad que afecte a datos personales, la ONG está obligada a notificarlo a la autoridad de protección de datos en un plazo de 72 horas. Con vistas a estos casos, es fundamental establecer un protocolo interno para la detección y notificación de incidentes de seguridad.
- Designar un Delegado de Protección de Datos (DPO). Esta figura es muy útil para supervisar el cumplimiento de la normativa y servir de enlace con las autoridades de protección de datos. Para ello, se puede nombrar a una persona del equipo con conocimientos en protección de datos o externalizar este servicio a una empresa especializada.
- Capacitar al personal. Los trabajadores de la organización deben recibir formación periódica en protección de datos. Esto garantiza que comprenden las obligaciones legales y las aplican correctamente en sus tareas diarias. Esta formación puede realizarse mediante talleres organizados por la ONG, o asistiendo a cursos externos sobre buenas prácticas en el manejo de datos personales.
- Revisar periódicamente la normativa. La normativa de protección de datos está en constante evolución, al igual que las tecnologías utilizadas para tratar la información. Por ello, es fundamental revisar periódicamente las políticas y prácticas que se llevan a cabo. Realizar auditorías regulares y actualizar los protocolos conforme a los cambios legales o tecnológicos es la mejor manera de estar al día.
Cumplir la normativa de protección de datos es una forma más de ganarse la confianza de la sociedad y demostrar la buena gestión y la transparencia de las ONG. Para que la gran labor social que llevan a cabo se realice sin fisuras y con máximas garantías de seguridad y confidencialidad.
