Fundaciones y RGPD

Tiempo de lectura: 9 minutos

Por definición las fundaciones persiguen un interés general, el cual debe estar así reconocido en una ley. En algunos casos las fundaciones no tratan más datos personales que los de sus empleados. Pero la mayoría de ellas se dirigen a colectivos con necesidades especiales, relacionados con la vulnerabilidad en sus múltiples manifestaciones.

Introducción

Las fundaciones emanan de la Constitución art 34

Se reconoce el derecho de fundación para fines de interés general, con arreglo a la ley

A su vez, la Ley de Fundaciones 50/2002, en su artículo 3.1, expone los fines y beneficiarios de las fundaciones:

1. Las fundaciones deberán perseguir fines de interés general, como pueden ser, entre otros, los de defensa de los derechos humanos, de las víctimas del terrorismo y actos violentos, asistencia social e inclusión social, cívicos, educativos, culturales, científicos, deportivos, sanitarios, laborales, de fortalecimiento institucional, de cooperación para el desarrollo, de promoción del voluntariado, de promoción de la acción social, de defensa del medio ambiente, y de fomento de la economía social, de promoción y atención a las personas en riesgo de exclusión por razones físicas, sociales o culturales, de promoción de los valores constitucionales y defensa de los principios democráticos, de fomento de la tolerancia, de desarrollo de la sociedad de la información, o de investigación científica y desarrollo tecnológico.

Así, pues, las fundaciones pueden ejercer diversas actividades, siempre de interés general. Por una u otra razón, además, muchas fundaciones suelen orientar sus esfuerzos hacia el ciudadano, de forma directa. Una fundación cuya actividad principal es aportar fondos a una escuela, sin registro alguno de alumnos menor de edad (en terminología del RGPD, niños), no tendrá complejidad alguna en cuanto al tratamiento de datos personales. Lo mismo con una fundación que persigue la promoción de un sector empresarial.

De ello se colige que a muchas fundaciones, según su finalidad, aplica lo expuesto en otros artículos de este blog: colectivos vulnerables, entornos sanitarios

Se exponen a continuación diversos aspectos destacables, en cuanto a datos personales, de las fundaciones:

Fundaciones de entidades religiosas

La Ley 50/2002 de Fundaciones menciona en su Disposición Adicional segunda, las fundaciones de entidades religiosas (en ocasiones conocidas también como fundaciones canónicas). Estas fundaciones presentan una característica adicional: la mera pertenencia revela un dato de categoría especial (la convicción religiosa de RGPD 9.1), y su tratamiento está contemplado en el propio RGPD 9.2.d. Siempre con las debidas garantías, aspecto que no debe pasarse de soslayo, tanto si la fundación trabaja en papel como con sistemas informáticos. Y esas garantías, habiendo de por medio creencias religiosas, deben ser robustas, jurídica, organizativa y técnicamente.

Fundaciones civiles con patronos pertenecientes a entidades religiosas

Las fundaciones en cuyos datos registrales figuran entidades religiosas o sus representantes, o cuyos estatutos explicitan sintonía con los principios de una corriente religiosa o filosófica no deben considerarse distintas a cualquier otra fundación por esa circunstancia. Sin embargo, en un contexto específico y extremo, otra conclusión pudiera ser igualmente razonable.

Si una fundación religiosa estuviera relacionada con la Iglesia Católica española, podría solicitar acogerse al Decreto General de la Conferencia Episcopal Española sobre la protección de datos.

Tratamientos Internacionales de datos

Algunas fundaciones intervienen directamente en países fuera de la Unión Europea. Tanto si la comunicación de datos personales (incluyendo imágenes, videos) es hacia o desde esos países, se requieren las garantías debidas, establecidas en los mecanismos de RGPD art 44 a 48.

Pero las transferencias internacionales también pueden producirse en fundaciones que operan localmente. Una simple comunicación de datos personales a una empresa en la misma calle (por ejemplo, el gestor de nóminas, el establecimiento informático que aloja páginas web, en definitiva, un Encargado de Tratamiento en terminología RGPD) puede derivar en una Transferencia Internacional de Datos si ese gestor tiene contratado software a otro tercero, el cual subcontrata el alojamiento en otro país. Terminamos así, en una cadena de Encargados, con datos personales en un país tercero. Lo cual puede terminar siendo (si no hay de por medio los mecanismos mencionados anteriormente) una flagrante infracción de la normativa, de la cual es responsable inicial la propia fundación.

Recordemos que esos casos (gestor, alojamiento web) son habituales encargos de tratamiento, y deben regularse por escrito (RGPD 28 y LOPDGDD 33) apuntalando garantías y compromisos.

Menores

Los datos de menores se mencionan en el RGPD. Las Autoridades de Control (RGPD 57.1.b) tienen especial cometido:

Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención

Los centros educativos están, a buen seguro, profesionalmente preparados para el tratamiento habitual y recurrente de datos de menores. Las fundaciones que trabajan con menores fuera de un contexto educativo deben aplicar la debida cautela en garantizar tratamientos conforme al RGPD y la LOPD y las disposiciones específicas relativas a ellos, así como a las medidas de seguridad razonables y eficaces en cada momento y circunstancia.

Tratamientos sanitarios

Cuando la fundación gestione o conserve datos de salud o incluso historiales clínicos, estará enteramente obligada a actuar como centro sanitario.

Lo habitual es que las fundaciones con finalidad sanitaria tengan relación societaria con el centro sanitario real. Esa relación no habilita a la fundación para acceder automáticamente a los datos de salud de los pacientes objeto de su actividad fundacional.

Tutelas y curatelas

Las personas total o parcialmente incapaces están amparadas por la figura del tutor, persona física o jurídica designada por un juez. Las fundaciones tutelares muy posiblemente mantengan información electrónica de toda índole sobre sus tutelados: un registro de datos personalísimos, al que habrá que prestar especial cuidado, en las múltiples facetas a las que obliga la normativa y el sentido común. Se suman también las obligaciones con la Administración de Justicia y las inherentes al cargo que adquiere la fundación tutelar (y, en general, el tutor).

Persones vulnerables, historia social

La historia clínica, referida a la salud médica, está específicamente regulada en la Ley de Autonomía del Paciente, otras disposiciones y artículos doctrinales (documento wp131 del Comité Europeo de Protección de Datos sobre registro electrónico de salud).

Por analogía, la historia social deberá seguir el mismo camino. No en vano el concepto sociosanitario tiene carta de naturaleza propia, y ambas ópticas están estrechamente ligadas:

Si los principales determinantes de la salud son sociales, así deberán ser los sistemas de información (Sir Michael Marmot)

La integración de la historia social con la historia clinica no es ya una manifestación de buenas intenciones. Es una necesidad aceptada unánimemente por los profesionales de ambas disciplinas. La consolidación o, cuanto menos, interoperabilidad, entre historia social y clínica, es objeto de legislación en el País Vasco. En Galicia hay una iniciativa público-privada en ese sentido. Otras Comunidades lo incluyen como proyectos a abordar en un próximo futuro.

Ello permite deducir que la información atesorada por fundaciones adquirirá un valor superior y, paralelamente, unas obligaciones también mayores, inspiradas quizá en las que rigen para la historia clínicas. Un cambio no trivial para las fundaciones implicadas, ya que implicará innovaciones organizativas y de tecnología informática.

Investigación

Información que, dicho sea de paso, por separado o independientemente, ha de servir a investigaciones sanitarias y sociales. Las herramientas para analizar información desestructurada existen y se aplican. Sólo falta regular su uso y aprovechar la abundante información que todos los días recogen miles de profesionales sanitarios y sociales.

Personas vulnerables y discriminación

La protección de datos, como todo derecho fundamental, tiene uno de sus pilares en la lucha contra la discriminación. Esa visión subyace, no muy enfáticamente, en los textos del RGPD y la LOPDGDD. Sin embargo, la óptica no discriminatoria actúa como lente de aumento al aplicar o interpretar situaciones.

En ese sentido, el tejido fundacional (el tratado en este texto, dirigido a personas vulnerables) afronta el reto, en absoluto difícil, de engranar la valiosa práctica diaria de sus profesionales y voluntarios con el marco europeo de normas y recomendaciones. Este último lleva hoy aparejado el uso razonable de tecnologías de seguridad de la información y el ejercicio de la responsabilidad proactiva (el compliance) como principio rector de las decisiones. Dos aspectos recurrentes en el RPGD que necesitan mayor impulso en muchas organizaciones de todo tipo, incluidas, claro está, las fundaciones.

Antonio March | amc@datium.eu
Febrero 2020

Imagen: Ricardo Gómez Ángel – Suiza- Unsplash