ONG y asociaciones: destruir datos de socios y donantes
Un club deportivo, una iniciativa de barrio o una ONG funciona a menudo con voluntarios y un presupuesto modesto. Sin embargo, tratan datos personales tanto como una empresa, a veces incluso más. Listas de socios, datos de donantes con cuenta bancaria, expedientes de voluntarios y listas de participantes en eventos se acumulan con los años. El RGPD no hace excepción para las asociaciones, así que aquí también la administración antigua debe ordenarse y destruirse con cuidado.
Este artículo explica qué datos trata una asociación u ONG, dónde están los riesgos y cómo ordenarlo todo de forma segura, incluso si lo hace con un equipo cambiante de voluntarios. Con unas pocas reglas sencillas lo resuelve sin mucho lío.
¿Qué datos tiene una asociación u ONG?
- Registro de socios con nombres, direcciones, fechas de nacimiento y cuenta bancaria para la cuota.
- Datos de donantes con historial de donaciones y datos bancarios.
- Expedientes de voluntarios, a veces con una copia de un certificado de antecedentes.
- Listas de participantes de torneos, eventos o campañas.
- Contabilidad con pagos y notas de gastos.
- Actas y correspondencia con datos personales.
Exsocios y bajas
El mayor punto ciego de las asociaciones es el registro antiguo de socios. Los socios entran y salen, pero sus datos suelen quedarse años en una carpeta o un archivo. El RGPD exige la limitación del plazo de conservación, así que los datos de alguien que se ha dado de baja no se conservan más tiempo del necesario. Lo que entra en la contabilidad se conserva 7 años, el resto se ordena. Adopte la costumbre de repasar y destruir los expedientes de exsocios en el cierre anual. Cómo encaja esto en el marco RGPD más amplio está en los requisitos del RGPD para pymes.
Atención especial: antecedentes, cuenta bancaria y colectivos sensibles
Algunos documentos exigen más cuidado que una lista de socios corriente. Una copia del certificado de antecedentes de un voluntario, los datos bancarios de donantes y las listas de participantes de una ONG que trabaja con un colectivo vulnerable son especialmente sensibles. Si su organización trata datos sobre salud, religión o una situación vulnerable, rigen las reglas más estrictas para datos personales especiales. Conserve esos documentos bien protegidos y destrúyalos a un nivel DIN alto en cuanto dejen de ser necesarios.
Qué exige el RGPD en concreto
Dos artículos del RGPD importan directamente para una asociación u ONG. El artículo 5 trata de la limitación del plazo de conservación, no conserva los datos personales más tiempo del necesario para la finalidad con la que los recogió. Los datos de un socio que se dio de baja hace años quedan, por tanto, fuera de ese marco. El artículo 32 exige medidas técnicas y organizativas adecuadas para proteger esos datos. Esa obligación vale también para una organización de voluntarios, sea cual sea su tamaño.
Si una lista de socios acaba sin triturar con el papel usado, eso es una violación de datos. Una violación grave se notifica en un plazo de 72 horas a la autoridad de protección de datos. Para una asociación pequeña suena formal, pero la solución es sencilla, un método de trabajo fijo evita todo el escenario.
¿Cuánto tiempo conservar los datos de una asociación?
La regla principal es la limitación del plazo de conservación, no conserva nada más tiempo del necesario. La contabilidad está sujeta a la obligación fiscal de conservación de 7 años. Los datos de socios, de donantes y las listas de participantes se conservan mientras dure la afiliación o la relación, después se ordenan. Un resumen por tipo de documento está en la guía rápida de plazos de conservación.
La destrucción con un equipo de voluntarios
La realidad de una asociación difiere de una empresa. No hay un empleado de oficina fijo, la junta cambia y la administración está a veces en casa de alguien. Es justo ahí donde ayuda una regla sencilla. Coloque un contenedor cerrado para el papel que debe destruirse y haga recoger el contenido periódicamente. Así ningún voluntario tiene que triturar en casa y todos saben adónde va el papel sensible. Para una limpieza grande puntual, por ejemplo en un cambio de junta o una mudanza de la sede, una recogida puntual es la solución más fácil.
¿Qué nivel DIN necesita?
Lo fino que debe triturarse el papel lo fija la norma DIN 66399 en niveles. Para una asociación u ONG son sobre todo estos los relevantes.
| Nivel | Tamaño de partícula | Adecuado para |
|---|---|---|
| P-2 | Tiras | Impresos generales sin datos |
| P-4 | Partículas pequeñas | Listas de socios, notas de gastos, listas de participantes |
| P-5 | Partículas muy pequeñas | Copias de antecedentes y datos sensibles |
Para los datos de socios corrientes, el P-4 es el mínimo práctico. Para las piezas especialmente sensibles, como una copia de antecedentes o datos de un colectivo vulnerable, el P-5 está indicado. Una trituradora de oficina barata rara vez alcanza ese nivel alto, una destrucción profesional sí.
Destruir con seguridad, no con el papel usado
Una lista de socios con nombres, direcciones y datos bancarios no va en el contenedor de papel de la sede. Un contenedor abierto está en la calle y es accesible para cualquiera. Para documentos sueltos basta una buena trituradora, pero con cajas enteras hacerlo recoger es más rápido y seguro. Recibe entonces un certificado como prueba. El método general está en destruir documentos confidenciales, los costes en cuánto cuesta la destrucción de archivos. No olvide lo digital, porque un registro de socios antiguo suele estar también en un portátil o memoria USB, vea destrucción de datos. Si usa una administración de socios en línea, compruebe si hay un contrato de encargado del tratamiento con el proveedor, porque la asociación sigue siendo responsable de los datos.
La prueba: el certificado de destrucción
Tras una recogida recibe un certificado de destrucción con la fecha, la cantidad y el nivel DIN. Para una asociación es una prueba práctica ante socios y donantes que confían en que maneja sus datos con cuidado. Además, muestra a una nueva junta que la administración se gestionó correctamente. Conserve el certificado en el expediente de la asociación, para que una futura junta pueda encontrarlo.
¿Y si sale mal? Una violación de datos en una asociación
Imagine que en un cambio de junta una caja de listas de socios antiguas acaba por error con el papel usado en lugar de con la destrucción. Contiene nombres, direcciones y datos bancarios de cientos de socios. Eso es una violación de datos, aunque fuera un error. Usted valora si supone un riesgo para las personas afectadas y la notifica cuando proceda en un plazo de 72 horas a la autoridad de protección de datos.
Con un método de trabajo fijo, ese error queda casi descartado. Un contenedor cerrado para el papel a destruir y una instrucción clara sobre qué va dónde evitan que una caja acabe en la pila equivocada.
Un ejemplo práctico
Imagine que un club deportivo tiene una nueva junta y el antiguo tesorero entrega cajas de administración. Contienen listas de socios de hace diez años, notas de gastos con datos bancarios y listas de participantes de torneos. La nueva junta quiere empezar limpia pero no sabe qué puede irse. Con los plazos de conservación en la mano, guardan los documentos financieros de los últimos 7 años aparte y hacen destruir el resto de forma confidencial, con un certificado. Un nuevo comienzo sin viejos riesgos para la privacidad. Lo mismo ocurre cuando una asociación se disuelve, donde los datos de socios y donantes no deben quedar tirados sin más, sino destruirse con cuidado.
¿Destruir usted mismo o que lo recojan?
Para un puñado de formularios al mes basta una trituradora sencilla en la sede. Pero en un cambio de junta o al ordenar años de administración, ese aparato se atasca rápido. Entonces que lo recojan es más práctico, sobre todo porque el trabajo recae si no en casa de un voluntario. Una empresa certificada recoge las cajas, las destruye al nivel DIN adecuado y le entrega un certificado. Los soportes de datos con un registro de socios antiguo pueden ir en la misma recogida.
Costes y proceso: ¿qué puede esperar?
Hacerlo destruir no es un gran gasto para una asociación, lo que es práctico con un presupuesto limitado. Paga un precio fijo por caja o roll contenedor, conocido por adelantado, sin sorpresas después. En un radio de 20 km de Ámsterdam no cobramos gastos de desplazamiento. El proceso es corto. Indica cuánto material tiene, planifica una recogida que convenga a la junta y lo recogemos. Luego todo se destruye al nivel DIN acordado y se recicla, con un certificado en unos días laborables. Los soportes de datos con un registro de socios antiguo pueden ir en la misma recogida.
¿Recogida periódica o puntual?
¿Tiene una limpieza puntual, por ejemplo en un cambio de junta o una mudanza de la sede? Entonces basta una recogida puntual. ¿Sigue entrando papel, como notas de gastos y listas de participantes? Entonces una frecuencia fija es más práctica. Coloca entonces un contenedor cerrado que se vacía periódicamente, por ejemplo una vez al año en el cierre anual. Así la administración se mantiene en orden por sí sola, incluso con una junta cambiante.
Consejos prácticos para la asociación
- Designe a un responsable, por ejemplo el secretario, para que quede claro quién gestiona la administración.
- Vincule la limpieza a la asamblea anual, para que sea un momento fijo.
- Coloque un contenedor cerrado en la sede para el papel con datos personales.
- Guarde los certificados con los documentos que entrega a una futura junta.
- Entregue los soportes de datos en la misma recogida, para que las copias de seguridad antiguas del registro de socios desaparezcan también de forma segura.
Resuelto en 4 pasos
- Haga inventario. Reúna en un lugar la administración hoy dispersa entre los miembros de la junta.
- Separe conservar de destruir. Conserve los documentos financieros 7 años y ordene el resto.
- Destruya de forma confidencial, un puñado usted mismo y cajas enteras mediante una recogida.
- Conserve el certificado en el expediente de la asociación como prueba ante socios y junta.
¿Qué esperan sus seguidores?
Los socios y donantes confían sus datos por confianza. Un socio comparte su dirección y su cuenta bancaria, un donante a veces un motivo sensible para su donación. Quien nota que una asociación maneja esos datos con cuidado se mantiene más fácilmente como socio y vuelve a donar antes. Una violación de datos en la que los datos de socios acaban en la calle daña justo la confianza de la que vive una organización de voluntarios. Para las ONG se añade que un incidente llega pronto a las noticias, con consecuencias directas para la reputación y los ingresos. Una destrucción cuidadosa no es, por tanto, solo una obligación del RGPD, sino también una inversión en el vínculo con sus seguidores. Muestra que toma en serio a las personas que le apoyan.
Errores frecuentes
- Conservar indefinidamente los datos de exsocios. Ordénelos una vez pasado el plazo de conservación.
- Listas de socios con el papel usado. Con nombres y datos bancarios, eso es una violación de datos.
- Olvidar la administración en casa de alguien. Acuerde con claridad adónde va el papel sensible.
- Pensar solo en el papel. El registro de socios antiguo suele estar también en digital en un portátil o memoria.
¿Cambio de junta u ordenar la sede?
Recogemos su administración antigua de socios, donantes y voluntarios y la destruimos de forma confidencial, con certificado. Sin gastos de desplazamiento en un radio de 20 km de Ámsterdam.
Solicite un presupuestoPreguntas frecuentes
¿Debe una asociación eliminar los datos de exsocios?
Sí. Los datos de socios que se han dado de baja no se conservan más tiempo del necesario. Conserve la contabilidad 7 años y ordene los datos personales más allá.
¿Los datos de donantes entran en el RGPD?
Sí. Nombre, dirección, datos bancarios e historial de donaciones son datos personales. Una asociación u ONG también debe protegerlos con cuidado y destruirlos a tiempo.
¿Cómo organizar la destrucción solo con voluntarios?
Establezca una regla sencilla y coloque un contenedor cerrado para el papel a destruir. Haga recoger el contenido periódicamente, así nadie tiene que triturar por su cuenta.
¿Pueden ir los registros de socios antiguos con el papel usado?
No. Las listas con nombres, direcciones y datos bancarios deben destruirse de forma confidencial, no en un contenedor de papel abierto.
¿Qué nivel DIN se necesita para las listas de socios?
Para los datos de socios corrientes, el DIN 66399 P-4 es el mínimo práctico. Para las copias de antecedentes y los datos de colectivos vulnerables, el P-5 está indicado.
¿Debo notificar una violación por listas de socios tiradas?
Si los datos perdidos suponen un riesgo para las personas afectadas, notifica la violación en un plazo de 72 horas a la autoridad de protección de datos. Un método de trabajo fijo evita tales incidentes.
Conclusión
Una asociación u ONG trata datos personales tanto como una empresa, desde listas de socios hasta datos de donantes con cuenta bancaria. El RGPD no hace excepción, así que ordene la administración antigua periódicamente y destruya los datos de socios y donantes con cuidado. Con un contenedor cerrado, una regla sencilla y una recogida periódica lo logra incluso con un equipo de voluntarios, con un certificado como prueba ante sus seguidores. Así protege la privacidad de sus socios y donantes sin que cueste mucho tiempo a sus voluntarios.
¿Listo para ordenar la administración de la asociación? Solicite un presupuesto a través de desnipperaar.nl o vea cómo hacer destruir papel. En 5 minutos tiene un precio fijo.