Protección de datos en el tercer sector: guía práctica de RGPD y ENS para trabajar con la administración

Por /

Protección de datos en el tercer sector: guía práctica de RGPD y ENS para trabajar con la administración

Las organizaciones del tercer sector —fundaciones, asociaciones y ONG— gestionan de forma habitual subvenciones, convenios y concursos públicos.

En este contexto, la protección de datos para entidades del tercer sector ya no es solo una obligación legal derivada del Reglamento General de Protección de Datos (RGPD) y la LOPDGDD. Es un aspecto que la administración revisa de manera recurrente y que puede generar requerimientos, retrasos o incluso exclusiones si no está bien resuelto desde el punto de vista de la normativa sobre protección de datos personales.

En esta guía se explica, de forma clara y práctica, qué conviene tener controlado en materia de RGPD, Delegado de Protección de Datos (DPD) y Esquema Nacional de Seguridad (ENS), incluida la certificación ENS, para poder trabajar con la administración con normalidad y sin sobresaltos.

¿Por qué la protección de datos es especialmente relevante en el tercer sector?

Las entidades del tercer sector trabajan a diario con datos personales de personas usuarias y beneficiarias, información de personal contratado y voluntariado, datos de donantes y colaboradores, y datos personales sensibles como salud, discapacidad, menores o situación social. A esto se suma la información vinculada a proyectos financiados con fondos públicos.

Un problema en este ámbito no solo puede acabar en una actuación de la Agencia Española de Protección de Datos, en aplicación de la ley de protección de datos digitales, sino también en incidencias con la administración concedente, pérdida de confianza o dificultades para acceder a futuras convocatorias.

Por ello, la correcta gestión de los datos personales y privacidad en este tipo de entidades debe abordarse con un enfoque preventivo y alineado con las obligaciones RGPD.

¿Qué espera la administración en materia de RGPD y normativa de datos personales?

Tener claro qué datos se tratan y para qué

No se trata de acumular documentación, sino de poder responder con claridad a cuestiones básicas: qué datos se recogen, en qué procesos o proyectos se utilizan, durante cuánto tiempo se conservan y si existe cesión de datos personales a terceros.
La información debe reflejar la operativa real de la entidad, no modelos genéricos. Este punto es habitual en cualquier auditoría de protección de datos.
 
Utilizar correctamente las bases legales

En fundaciones, asociaciones y ONG es habitual basarse en obligaciones legales, ejecución de proyectos o servicios, interés público, interés legítimo y, en algunos casos, consentimiento para el tratamiento de datos personales.

Uno de los errores más comunes es utilizar el consentimiento para todo, lo que suele generar debilidades cuando hay revisiones administrativas o controles de subvenciones.

Prestar especial atención a los datos personales sensibles

Cuando se tratan datos de salud (especialmente en el ámbito de la ley de protección de datos sanitarios), discapacidad, menores u otros datos especialmente protegidos, la entidad debe contar con accesos limitados al personal que lo necesita, medidas de seguridad acordes al riesgo, criterios claros de confidencialidad de los datos y, en determinados casos, una Evaluación de Impacto en Protección de Datos (EIPD).

Muchas organizaciones trabajan correctamente, pero no siempre pueden justificarlo con claridad ante terceros o ante una auditoría RGPD.

Proveedores, herramientas y encargados del tratamiento

Gestorías, asesorías, plataformas de gestión social, herramientas en la nube o software de proyectos pueden acceder a datos personales.

La entidad debe poder demostrar que estos proveedores están identificados, que existe un contrato adecuado conforme al reglamento de datos personales y que se han tenido en cuenta criterios de seguridad. Este punto suele revisarse de forma específica en subvenciones, auditorías LOPD o controles posteriores.

Contar con una adecuada asesoría en protección de datos o apoyo especializado facilita cumplir con estas exigencias sin improvisaciones.

El Delegado de Protección de Datos (DPD) en el tercer sector

En el tercer sector, el Delegado de Protección de Datos es uno de los aspectos que más impacto tiene en la relación con la administración.

¿Cuándo es especialmente importante contar con DPD?

Es especialmente relevante cuando la entidad trata datos personales sensibles de forma habitual, gestiona proyectos financiados con fondos públicos, colabora o presta servicios a administraciones, se presenta a concursos o licitaciones o maneja bases de datos relevantes de personas usuarias o beneficiarias.

En estos casos, no tenerlo bien resuelto puede generar requerimientos o exclusiones.

¿Qué espera la administración del DPD?

De forma práctica, se espera que el DPD esté designado formalmente, sea una figura real y operativa, pueda atender consultas o incidencias, supervise el cumplimiento del RGPD y actúe como punto de contacto cuando sea necesario.
No se exige complejidad, pero sí claridad y responsabilidad. En muchos casos, las entidades optan por apoyo externo especializado o por abogados expertos en protección de datos.

¿DPD interno o externo?

En fundaciones, asociaciones y ONG es habitual optar por un DPD externo, ya que aporta independencia, evita conflictos de interés y facilita responder con solvencia ante requerimientos administrativos o una auditoría legal del reglamento de protección de datos.

Seguridad de la información y Esquema Nacional de Seguridad (ENS)

Cuando una entidad del tercer sector trabaja con administraciones públicas o ejecuta proyectos financiados, entra en juego también la seguridad de la información y el ENS.

¿Por qué el ENS afecta al tercer sector?

El ENS no se aplica solo a la administración. También afecta a entidades que prestan servicios a organismos públicos, tratan información por su cuenta o ejecutan proyectos financiados con fondos públicos.
En estos casos, la protección de datos digitales en la empresa o entidad debe coordinarse con las exigencias del ENS.

¿Cómo se relacionan RGPD y ENS?

El RGPD regula el uso de los datos personales. El ENS regula cómo se protege la información y los sistemas. En proyectos públicos, la administración espera coherencia entre ambos marcos, tanto a nivel documental como técnico.

Niveles del ENS y exigencias habituales

El ENS establece tres niveles en función del impacto de un incidente.
El nivel básico suele aplicarse a proyectos con bajo impacto y poco volumen de datos.
El nivel medio es el más habitual en el tercer sector cuando se tratan datos personales sensibles o se gestionan proyectos financiados relevantes.
El nivel alto se reserva para proyectos críticos o acceso a sistemas de la administración.

La certificación del Esquema Nacional de Seguridad (ENS)

En determinados casos, no basta con aplicar medidas alineadas con el ENS. La administración puede exigir que la entidad acredite formalmente su cumplimiento mediante una certificación ENS, tras la correspondiente auditoría.

¿Qué es la certificación ENS?

La certificación ENS es un proceso mediante el cual una fundación, asociación u ONG demuestra, a través de una auditoría independiente, que cumple con las medidas de seguridad exigidas por el ENS en un nivel concreto.
El resultado es un certificado emitido por una entidad acreditada que sirve como evidencia objetiva ante la administración.

¿Cuándo puede ser obligatoria?

Puede ser obligatoria cuando lo exige un pliego de contratación, cuando se presta un servicio que implica tratamiento de información o sistemas de la administración o cuando se gestionan proyectos críticos o continuados.
En estos casos, no disponer de la certificación puede impedir contratar o continuar el servicio.

Alcance y aplicación práctica

La certificación ENS no siempre afecta a toda la organización. Es posible certificar un servicio concreto o un sistema de información específico, ajustando el alcance a lo realmente exigido.
Desde un punto de vista de gestión, implica definir responsabilidades, contar con políticas básicas de seguridad, gestionar accesos de forma controlada y superar una auditoría inicial y auditorías de seguimiento.

Errores habituales que generan problemas administrativos

Entre los errores más frecuentes se encuentran pensar que el ENS no aplica, cumplir el RGPD solo a nivel documental, no tener DPD o tenerlo solo de forma formal, no revisar los requisitos de las convocatorias o no poder justificar el nivel ENS cuando se exige.
Estos problemas suelen aparecer cuando ya hay plazos y presión administrativa.

Conclusión: cumplimiento sólido y sin improvisaciones

En las organizaciones del tercer sector, la protección de datos y la seguridad de la información no deberían convertirse en un problema añadido cuando llega una subvención o un concurso público.
La administración suele esperar encontrar un cumplimiento del RGPD coherente con la actividad real, un DPD designado y operativo, medidas de seguridad proporcionadas y justificables y, cuando procede, una certificación ENS adecuada al servicio o proyecto.
Cuando estos aspectos están bien resueltos, la protección de datos pasa a formar parte de la gestión normal de la entidad, sin bloqueos ni urgencias de última hora.
Para gerencia y administración, esto se traduce en algo muy concreto: más tranquilidad al presentar documentación y menos incidencias durante el proceso.

Scroll al inicio