El consentimiento no es la única base jurídica
El artículo 6 del RGPD establece seis bases jurídicas que pueden legitimar el tratamiento de datos personales. El consentimiento es solo una de ellas. En el contexto de las asociaciones, el tratamiento de datos de socios puede apoyarse frecuentemente en otras bases:
- Ejecución de un contrato o relación estatutaria: cuando el tratamiento es necesario para gestionar la condición de socio (cuotas, comunicaciones internas, convocatorias de asamblea), la base es la propia relación que se establece al ingresar en la asociación.
- Cumplimiento de obligaciones legales: si la normativa fiscal o laboral exige conservar ciertos datos, la base jurídica es legal, no el consentimiento.
- Interés legítimo: en determinados casos, la asociación puede tratar datos si existe un interés legítimo que no prevalezcan los intereses o derechos fundamentales del interesado. Esta base requiere un análisis previo documentado.
Cuándo sí se necesita consentimiento
El consentimiento es la base adecuada cuando la finalidad del tratamiento va más allá de lo que cubre la relación asociativa. Ejemplos habituales en el entorno de las asociaciones:
- Publicar fotografías del socio en redes sociales o en la web de la asociación.
- Enviar boletines informativos de carácter general que no sean comunicaciones estrictamente necesarias para la gestión de la membresía.
- Ceder los datos a terceras entidades para fines propios de esas entidades.
- Utilizar la imagen del socio en materiales de difusión o captación de nuevos miembros.
Requisitos del consentimiento válido
El artículo 7 del RGPD establece condiciones estrictas para que el consentimiento sea jurídicamente válido. Deben cumplirse los siguientes requisitos:
| Requisito | Descripción |
|---|---|
| Libre | No puede estar condicionado ni suponer un perjuicio para quien no lo otorga. En una asociación, la negativa a consentir la publicación de fotografías no puede implicar restricciones en la membresía. |
| Específico | Debe referirse a una o varias finalidades concretas. No son válidos los consentimientos genéricos del tipo "acepto que mis datos sean usados por la asociación". |
| Informado | El interesado debe saber quién trata los datos, para qué y cuáles son sus derechos antes de otorgar el consentimiento. |
| Inequívoco | Debe manifestarse mediante una acción afirmativa clara. Las casillas premarcadas o el silencio no son consentimiento válido. |
Consentimiento de menores de edad
En España, según el artículo 7 de la LOPDGDD, los menores de 14 años requieren el consentimiento de sus representantes legales para el tratamiento de sus datos. Para mayores de 14 años, el consentimiento puede prestarse directamente. Esta disposición es relevante para asociaciones deportivas, culturales o juveniles que trabajan habitualmente con menores.
Retirada del consentimiento y sus efectos
El interesado puede retirar su consentimiento en cualquier momento. La retirada no afecta a la licitud de los tratamientos realizados con anterioridad, pero la asociación deberá cesar en los tratamientos que dependían exclusivamente de ese consentimiento. Es importante que el procedimiento de retirada sea tan sencillo como el de otorgamiento.
Obligación de prueba
Corresponde a la asociación, como responsable del tratamiento, demostrar que el consentimiento fue obtenido de forma válida. Esto implica conservar evidencia documental del momento, el medio y el contenido del consentimiento otorgado.
Consentimiento en formularios de inscripción
El momento habitual para recabar consentimiento en una asociación es el formulario de alta de socio. La práctica correcta consiste en separar claramente los campos obligatorios para la gestión de la membresía (respaldados por la relación estatutaria) de aquellos tratamientos opcionales que requieran consentimiento específico. Cada tratamiento que requiera consentimiento debe ir acompañado de una casilla independiente y desmarcada por defecto.