La llei de protecció de dades és una normativa que obliga a demanar a totes les persones el seu consentiment per a cadascun dels usos que una entitat o un organisme fa d’aquella informació. Aquest permís s’ha de demanar per escrit i en ell han de constar les clàusules informatives que indiquin, de manera explícita, les diferents situacions en les quals s’utilitzaran aquestes dades.

Creació d’un correu corporatiu per cada soci

Si una associació crea una adreça de correu electrònic amb un domini propi, aquest domini és seu, per tant l’entitat és la responsable de tot el que es faci amb aquest correu.

Si l’entitat ha de crear diferents comptes de correu amb el mateix domini, cada una de les persones que en facin un ús han de firmar un document segons el qual se’n fan responsables i exoneren l’entitat de tota responsabilitat. Això permet evitar que, en cas que es cometés algun delicte amb aquell domini, la responsabilitat recaigués sobre l’entitat en ser-ne la propietària.

Document de confidencialitat en l’àmbit de la protecció de dades

Totes aquelles persones que tinguin accés a les dades d’una entitat han de firmar un document de confidencialitat en el qual es facin responsables de no cedir-les a ningú. D’aquesta manera, l’associació queda exonerada de l’ús que faci aquella persona de les dades.

Registre d’activitats de Tractament

És un document obligatori d’ús intern. Es recomana fer-lo en castellà. Es tracta d’un registre que ha de recollir pas per pas tot el que fa l’entitat amb les dades personals d’altres persones, des del moment en què entren a l’arxiu de l’associació fins que són destruïdes. L’únic organisme que pot demanar aquest document és l’Agència Espanyola de Protecció de Dades i el que vol saber és com funciona el flux de dades dins de l’associació.

En el Registre d’activitats de tractament s’ha d’explicar com entren les dades a l’entitat, si per telèfon o correu electrònic (el Whatsapp no és un mitjà de comunicació vàlid). En el cas que les dades entrin a través d’una fitxa d’inscripció, indicar quines preguntes conté aquest formulari. Després, s’ha d’explicar com s’arxiven aquestes dades.

Si l’entitat utilitza un ordinador, s’ha de fer constar en el document de qui és l’aparell, qui hi té accés, quina és la seva contrasenya, quin antivirus té instal·lat, etc. A l’hora de destruir les dades, també s’ha de detallar quin procés es duu a terme: si abans d’eliminar-les es guarden uns quants anys, si la informació s’elimina de l’ordinador amb quin programa es fa, si el paper es destrueix amb una destructora, etc.

Aquest registre també ha de detallar el procés de tractament de les imatges, ja que aquestes també són una dada. De fet, una dada és tot allò que permet identificar una persona.

Quan es demana el Registre d’activitats de tractament? Normalment l’Agència Espanyola de Protecció de Dades (AEPD) envia un requeriment escrit per correu electrònic. Des del moment en què el rep l’entitat, aquesta té cinc dies per presentar-lo. Si l’associació l’envia en català, l’AEPD demana traduir-lo i només dona tres dies per a fer-ho.

En el cas que una entitat rebi un requeriment de l’AEPD, es recomana buscar ajuda professional. Si l’associació enviés un document mal redactat, o amb informació que no estigués ben justificada, podria rebre una sanció. En aquests casos és millor acudir a un advocat per saber què contestar exactament i estalviar-se, d’aquesta forma, una multa que pot ser bastant grossa.

Donar-se de baixa de les comunicacions

Si una persona es dona de baixa de l’entitat, en aquests casos, per prudència, s’han de retirar tots els enviaments que se li fan a l’usuari, encara que no ho hagi manifestat explícitament. En cas que la persona vulgui seguir rebent informació de l’entitat, ho ha d’especificar per escrit.

Donar-se de baixa de soci

Si algú es dona de baixa de l’entitat, totes les seves dades personals s’han de bloquejar, no s’han d’eliminar. Bloquejar significa no fer-ne ús. Vol dir que la informació de l’exsoci no pot sortir de l’entitat i, a la vegada, aquesta tampoc li pot enviar cap informació.

Es diu “bloquejar” i no “eliminar” perquè per temes fiscals moltes vegades s’han de guardar les dades, com a mínim, durant cinc anys. Si una persona ha estat pagant una quota de soci durant uns anys, l’entitat ha de poder demostrar que aquella persona li ha estat fent un ingrés durant un cert temps. De fet, hi ha una llei fiscal que obliga a guardar tota aquesta documentació durant cinc anys.

Delegat de protecció de dades

És una persona (interna o externa) de l’empresa que fa d’intermediari entre l’entitat i l’Agència Espanyola de Protecció de Dades. En algunes empreses és una figura obligatòria depenent del volum de dades que tractin i si ho fan amb dades de categoria especial (mèdiques, estat de salut, sexuals, violència de gènere, dades biomètriques, perfils…).

Segons el tipus d’activitat de l’empresa és obligat tenir un delegat de protecció de dades. L’Associació Espanyola de Protecció de Dades ha creat uns llistats.

On guardem les dades dels socis d’una entitat?

Una associació s’ha de plantejar com i on guarda les dades personals dels seus socis. No es pot guardar en un lloc on tingui accés tothom. Cal protegir aquests fitxers com a mínim amb una contrasenya. Per exemple, posant una clau d’accés a l’ordinador de l’entitat. Aquest, a més, ha de tenir un antivirus.

La llei diu que una associació ha de posar els mitjans necessaris per protegir la informació que té. S’entén que la seguretat al 100% no existeix, però sí que l’associació ha de posar unes mesures mínimes.

Font: Patrícia Julià de SeInProDat Assessors.

(Foto: Vlada Karpovich)

Agrupació del Bestiari Festiu i Popular de Catalunya

La Federació d'entitats culturals amb figures de Bestiari Festiu

La normativa de protecció de dades (II)