Protección de datos en el tercer sector: guía completa de RGPD, DPD y ENS para fundaciones y ONG

Por /

Protección de datos en el tercer sector: guía completa de RGPD, DPD y ENS para fundaciones y ONG

La protección de datos en el tercer sector es esencial para fundaciones, asociaciones y ONG que gestionan subvenciones, convenios o concursos públicos. Estas entidades manejan datos personales y sensibles, incluyendo información de personas beneficiarias, voluntariado, personal contratado y donantes, y deben cumplir con el RGPD y la normativa europea de protección de datos para trabajar con la administración sin incidencias.

No cumplir con estas obligaciones puede generar requerimientos administrativos, retrasos o incluso exclusiones de convocatorias públicas. Por ello, una auditoría de protección de datos y contar con un Delegado de Protección de Datos (DPD) son medidas clave para asegurar la correcta gestión de la información.

Qué datos se tratan y cómo gestionarlos según el RGPD

Las entidades del tercer sector manejan:

  • Datos identificativos de beneficiarios, voluntarios y personal

  • Datos personales sensibles, como salud, discapacidad, menores o situación social

  • Información relacionada con proyectos financiados con fondos públicos

  • Datos de donantes y colaboradores

Es fundamental tener un registro claro de los procesos de tratamiento de datos, incluyendo plazos de conservación y posibles cesiones a terceros, para cumplir con las obligaciones RGPD y evitar sanciones.

Bases legales y consentimiento en el tercer sector

En fundaciones, asociaciones y ONG, el tratamiento de datos personales se basa habitualmente en:

  • Obligaciones legales

  • Ejecución de proyectos o servicios

  • Interés público

  • Interés legítimo

  • Consentimiento, solo cuando es estrictamente necesario

Uno de los errores más comunes detectados en auditorías RGPD es utilizar el consentimiento como base jurídica general. Esta práctica debilita a la entidad ante revisiones administrativas o controles asociados a subvenciones. Una consultoría en protección de datos personales puede asesorar sobre el uso correcto de las bases legales.

Delegado de Protección de Datos (DPD) en ONG y fundaciones

El DPD es clave para garantizar cumplimiento en el tercer sector. La administración espera que esté:

  • Formalmente designado

  • Operativo y real, no solo en papel

  • Capaz de atender incidencias y supervisar el cumplimiento del RGPD

Contar con un DPD externo suele ser la opción más recomendable, ya que garantiza independencia y facilita responder ante requerimientos administrativos y auditorías.

Proveedores y herramientas: control de terceros

Plataformas de gestión social, software en la nube y asesorías tienen acceso a datos personales. La entidad debe:

  • Identificar claramente a los proveedores

  • Contar con contratos de encargo del tratamiento

  • Aplicar criterios de seguridad y confidencialidad

Este control es revisado habitualmente en auditorías de protección de datos y durante la tramitación de subvenciones o concursos públicos.

Seguridad de la información y Esquema Nacional de Seguridad (ENS)

El ENS regula la seguridad de los sistemas y la información en proyectos que implican la administración pública. Aunque muchas ONG no sean conscientes, el ENS se aplica si se gestionan servicios, proyectos o sistemas de información conectados con organismos públicos.

Niveles del ENS en el tercer sector

  • Nivel básico: bajo impacto y bajo volumen de datos

  • Nivel medio: datos sensibles o proyectos financiados relevantes (lo más común)

  • Nivel alto: proyectos críticos, acceso a sistemas de la administración o tratamiento masivo de datos

Certificación ENS: cuándo es obligatoria y recomendable

La certificación ENS acredita mediante una auditoría independiente que una fundación, asociación u ONG cumple con las medidas de seguridad exigidas. Puede ser obligatoria cuando:

  • Lo exige un pliego de contratación

  • Se gestiona información o sistemas de la administración

  • Se ejecutan proyectos críticos o continuados

Aunque no siempre sea obligatoria, la certificación ENS refuerza la confianza de la administración y demuestra solvencia técnica y organizativa.

Errores frecuentes en protección de datos en el tercer sector

  • Cumplir el RGPD solo a nivel documental

  • No contar con un DPD operativo

  • No revisar requisitos de convocatorias o contratos

  • No poder justificar el nivel ENS ni la certificación ENS cuando se exige

Estos errores suelen aparecer bajo presión administrativa y pueden generar bloqueos o sanciones.

Conclusión: garantizar cumplimiento y seguridad

Integrar la protección de datos en el tercer sector en la gestión diaria permite:

  • Cumplimiento claro del RGPD y la normativa europea de protección de datos

  • Delegado de Protección de Datos (DPD) efectivo

  • Medidas de seguridad proporcionadas y justificables

  • Certificación ENS cuando procede

El resultado es poder trabajar con la administración sin incidencias, cumplir obligaciones legales y reforzar la confianza institucional.

Scroll al inicio