Marco jurídico aplicable a los registros de socios
Cualquier fichero o base de datos que contenga información sobre personas físicas identificadas o identificables constituye un tratamiento de datos personales en el sentido del artículo 4.2 del RGPD. Las asociaciones de vecinos constituidas conforme a la Ley Orgánica 1/2002, de 22 de marzo, reguladora del Derecho de Asociación, actúan como responsables del tratamiento cuando gestionan datos de sus miembros.
La LOPDGDD, en su disposición adicional vigésima primera, precisa que las asociaciones, fundaciones y otras entidades sin ánimo de lucro deben cumplir el RGPD cuando traten datos de sus miembros, independientemente de su tamaño o del número de socios.
Qué datos pueden incluirse en el registro de socios
El principio de minimización de datos (artículo 5.1.c del RGPD) obliga a limitar la recogida a los datos «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». Para una asociación de vecinos, los datos habitualmente necesarios son:
- Nombre y apellidos.
- Domicilio en la comunidad o en el municipio (para acreditar la vinculación al ámbito de actuación de la asociación).
- Número de socio o referencia interna.
- Datos de contacto: teléfono de contacto o correo electrónico (para el envío de comunicaciones).
- Fecha de alta y, en su caso, de baja.
- Estado de las cuotas (pagadas, pendientes), cuando la asociación gestione cuotas.
Datos como el DNI completo, la fecha de nacimiento o el número de cuenta bancaria solo deberían recogerse cuando exista una finalidad específica que lo justifique. El número de cuenta, por ejemplo, puede ser necesario para la domiciliación de cuotas, pero no tiene sentido conservarlo una vez que el socio ha causado baja.
Datos especialmente protegidos
Los artículos 9 y 10 del RGPD establecen una prohibición general de tratamiento para categorías especiales de datos: origen racial o étnico, opiniones políticas, convicciones religiosas, datos de salud, orientación sexual, entre otros. La pertenencia a una asociación con orientación ideológica o política puede considerarse un dato sensible en determinados contextos. Las asociaciones vecinales de carácter general no presentan normalmente esta problemática, pero deben ser cautelosas si incorporan al registro datos que pudieran revelar tales características.
Principio de minimización: Si una asociación no necesita el DNI para ninguna gestión concreta, no debe solicitarlo. Si lo recabó en el pasado y ya no tiene uso, debe suprimirlo del registro.
Obligación de informar a los socios
El responsable del tratamiento debe proporcionar a cada interesado, en el momento de recoger sus datos, la información establecida en los artículos 13 y 14 del RGPD. Para las asociaciones vecinales, esta información suele facilitarse en el impreso de solicitud de alta o en un documento adjunto. Debe incluir:
- Identidad y datos de contacto del responsable (la asociación y, si procede, su representante legal).
- Finalidades del tratamiento y base jurídica.
- Plazo de conservación previsto.
- Destinatarios de los datos o categorías de destinatarios, si los hay.
- Derechos del interesado: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad.
- Derecho a presentar una reclamación ante la AEPD (www.aepd.es).
Plazos de conservación
El principio de limitación del plazo de conservación (artículo 5.1.e RGPD) exige que los datos no se mantengan en una forma que permita identificar al interesado durante más tiempo del necesario para los fines del tratamiento.
Para los datos de socios activos, la conservación está justificada mientras dure la relación asociativa. Cuando un socio cause baja, la regla general es que sus datos solo deben conservarse durante el tiempo necesario para atender posibles reclamaciones o para cumplir obligaciones legales de conservación. La AEPD indica que, salvo obligación legal específica, tres años desde la baja es un plazo habitual en el ámbito de entidades sin ánimo de lucro para cubrir la prescripción de acciones civiles ordinarias.
Acceso de los socios al registro
En el ámbito asociativo, existe un debate sobre si los socios tienen derecho a acceder al registro completo de miembros. La normativa de protección de datos y la legislación de asociaciones no siempre apuntan en la misma dirección. La AEPD ha señalado que el acceso de un socio al listado completo —incluidos los datos de contacto de otros socios— no puede justificarse únicamente en la condición de miembro, ya que implicaría una cesión de datos personales. La comunicación de datos entre socios requiere base jurídica específica o consentimiento de los afectados.
Medidas de seguridad básicas
El artículo 32 del RGPD exige la aplicación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Para un registro de socios gestionado por una pequeña asociación vecinal, estas medidas incluyen de forma razonable:
- Almacenamiento en un soporte protegido con contraseña (si es en formato electrónico) o bajo llave (si es en papel).
- Acceso restringido a los miembros de la junta directiva que lo necesiten para sus funciones.
- No compartir el fichero completo por correo electrónico no cifrado.
- Supresión efectiva de los datos cuando se alcance el plazo de conservación (no basta con etiquetar el archivo como «bajas»).