Protección de datos Actualizado: mayo 2025

Ficheros de datos personales: obligaciones básicas para asociaciones

La gestión de los datos de socios, voluntarios o colaboradores implica para cualquier asociación una serie de deberes documentales y de seguridad que deben estar en orden con independencia del volumen de datos tratados.

Armario de archivo metálico con cajones para ficheros de documentos

Qué se entiende por fichero de datos en el RGPD

El RGPD utiliza el término "fichero" para referirse a cualquier conjunto estructurado de datos personales, accesible con arreglo a criterios determinados. En el contexto de una asociación esto abarca, entre otros:

  • La lista de socios con sus datos de contacto.
  • El registro de voluntarios y sus horarios o tareas asignadas.
  • La base de datos de donantes o colaboradores.
  • Los registros de participantes en actividades o talleres.
  • Las nóminas o datos de trabajadores si la asociación cuenta con personal remunerado.

El registro de actividades de tratamiento

El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro de las actividades de tratamiento bajo su responsabilidad. Las asociaciones pequeñas podrían estar exentas si el tratamiento es ocasional y no presenta riesgos especiales, pero en la práctica la mayoría de las asociaciones realizan tratamientos recurrentes que hacen aconsejable disponer de este registro.

Contenido mínimo del registro

Para cada actividad de tratamiento, el registro debe contener al menos:

Campo Ejemplo en una asociación vecinal
Nombre de la actividad Gestión del padrón de socios
Responsable del tratamiento Asociación de Vecinos X, NIF G-XXXXXXXX
Finalidad Mantenimiento de la relación asociativa, comunicaciones y cobro de cuotas
Categorías de interesados Socios
Categorías de datos Nombre, apellidos, dirección, teléfono, correo electrónico, cuota
Destinatarios No se prevén cesiones. Encargado: gestoría fiscal
Plazo de supresión Mientras subsista la condición de socio + 5 años para obligaciones fiscales
Medidas de seguridad Hoja de cálculo protegida con contraseña; acceso restringido al secretario
Aspecto práctico: no existe un modelo oficial obligatorio para el registro de actividades. La AEPD facilita en su web una plantilla orientativa, pero lo fundamental es que el documento exista, esté actualizado y sea accesible si la Agencia lo requiere.

Categorías especiales de datos en asociaciones

El artículo 9 del RGPD prohíbe con carácter general el tratamiento de categorías especiales de datos, entre las que se encuentran:

  • Datos que revelen el origen étnico o racial.
  • Opiniones políticas, convicciones religiosas o filosóficas.
  • Datos sobre la salud.
  • Datos biométricos con fines de identificación.

Sin embargo, el propio artículo 9.2.d) prevé una excepción relevante para las asociaciones: el tratamiento puede realizarse cuando se lleva a cabo en el ámbito de sus actividades legítimas y con las debidas garantías, por parte de fundaciones, asociaciones u otros organismos sin ánimo de lucro, siempre que el tratamiento se refiera exclusivamente a sus miembros actuales o pasados, o personas con contacto regular relacionado con sus fines, y los datos no se cedan a terceros.

Principio de minimización de datos

El artículo 5.1.c) del RGPD establece que los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. En términos prácticos, una asociación deportiva no necesita el DNI completo de sus socios para gestionar la membresía ordinaria, aunque sí puede necesitarlo para determinadas gestiones administrativas o fiscales.

Revisar periódicamente qué datos se recogen y eliminar aquellos que ya no sean necesarios forma parte del cumplimiento de este principio.

Plazos de conservación

Los datos deben conservarse durante el tiempo necesario para la finalidad que justificó su recogida. Una vez concluida esa finalidad, deben eliminarse o anonimizarse, salvo que exista una obligación legal de conservación. Los plazos más habituales que afectan a las asociaciones son:

  • Documentación fiscal y contable: cuatro años según la Ley General Tributaria.
  • Documentación laboral: cuatro años para cotizaciones, seis para comunicaciones de contrato.
  • Datos de socios que han causado baja: se recomienda eliminarlos salvo que existan reclamaciones pendientes o se conserven únicamente los datos imprescindibles para el cumplimiento de obligaciones legales.

Medidas de seguridad mínimas

El RGPD no fija un catálogo cerrado de medidas de seguridad, sino que exige que sean apropiadas al riesgo. Para una asociación con datos de escaso riesgo, las medidas básicas incluyen:

  • Control de acceso: solo las personas autorizadas deben poder acceder a los datos de socios.
  • Contraseñas en los dispositivos y en los archivos que contienen datos.
  • Copias de seguridad periódicas de los ficheros importantes.
  • Destrucción segura de documentos en papel que contengan datos personales (trituración).
  • Uso de correo electrónico con copia oculta (CCO) cuando se envían comunicaciones colectivas.

Referencias normativas

  • Artículos 5, 9, 30, Reglamento (UE) 2016/679 (RGPD) — EUR-Lex
  • Ley 58/2003, General Tributaria — BOE
  • Guías prácticas de la AEPD para entidades sin ánimo de lucro — aepd.es