RGPD para fundaciones: los 5 documentos que sí o sí

Una fundación o asociación que trata datos personales —y todas tratan, por definición: donantes, voluntariado, beneficiarios, equipo— tiene que tener cinco documentos archivados. No para mostrarlos a nadie en concreto, sino para que existan si un día los pide la AEPD, un inspector laboral o un donante público durante una auditoría.

La lista no es exhaustiva. Es la mínima razonable. Cubrirla bien resuelve el 90% del cumplimiento práctico.

1. Registro de Actividades de Tratamiento (RAT)

Es el documento central del RGPD. Lo exige el Artículo 30 y describe qué hace la entidad con los datos personales que recoge.

Para cada tratamiento que la fundación realiza —gestión de socios, captación de donantes, contratación de personal, atención a beneficiarios, comunicación en redes sociales, etc.— el registro debe contener:

• Nombre del tratamiento (ej. “Gestión de donaciones recurrentes”).
• Finalidad: para qué se tratan los datos.
• Base legal del tratamiento: consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés público, función de la entidad.
• Categorías de interesados: a quién pertenecen los datos (donantes, beneficiarios, voluntariado…).
• Categorías de datos tratados: identificativos, económicos, de salud, etc.
• Destinatarios: a quién se comunican los datos (Hacienda, banco, entidad financiera de la pasarela, plataforma de email marketing).
• Plazo de conservación previsto.
• Medidas de seguridad aplicadas (resumen).
• Transferencias internacionales si las hay (ej. Google Workspace implica tratamiento en servidores fuera de la UE).

La AEPD publica una plantilla gratuita en formato Excel adaptable a entidades sin ánimo de lucro. Es el punto de partida lógico.

El error más frecuente

Tratar el RAT como un trámite cerrado. No lo es: cuando la entidad lanza un programa nuevo, contrata un proveedor distinto o cambia la pasarela de pago, el RAT se actualiza. Una fecha de “última revisión” reciente es señal de que el sistema funciona.

2. Política de privacidad + cláusulas informativas

Dos cosas distintas, aunque relacionadas. Ambas se derivan del Artículo 13 RGPD: la entidad tiene que informar a la persona, en el momento de la recogida, de qué va a hacer con sus datos.

Política de privacidad (pública)

Es el texto que aparece en la web institucional, accesible desde el footer y enlazado desde todos los formularios. Tiene que incluir:

• Identidad del responsable del tratamiento (la fundación) y datos de contacto.
• DPO si está nombrado.
• Finalidades de cada tratamiento que se realiza a través de la web.
• Bases legales correspondientes.
• Destinatarios o categorías de destinatarios.
• Plazos de conservación.
• Derechos del interesado y cómo ejercerlos.
• Posibilidad de reclamar ante la AEPD.
• Si hay transferencias internacionales y con qué garantías.
• Si hay decisiones automatizadas o elaboración de perfiles (raro en ONGs, pero hay que mencionarlo si aplica).

Cláusulas informativas (en cada formulario)

Versión corta, contextual y específica al tratamiento. Por ejemplo, la cláusula del formulario de donación dice qué pasa cuando alguien dona, no la política completa. La cláusula del formulario de inscripción de voluntariado dice lo del voluntariado. Cada una incluye un enlace a la política completa.

La AEPD recomienda el modelo de información por capas: lo esencial en la cláusula corta, el detalle en la política completa. Una sola línea genérica al final del formulario, tipo “acepto la política de privacidad”, no cumple.

3. Contratos de encargado del tratamiento

Cuando un proveedor trata datos personales en nombre de la fundación —y casi todos lo hacen— hay que firmar con él un contrato de encargado del tratamiento que cumpla el Artículo 28 RGPD.

Proveedores típicos en una fundación que requieren este contrato:

• Plataforma de email marketing (Mailchimp, Brevo, MailerLite).
• CRM o plataforma de gestión de socios.
• Pasarela de pago (Stripe, Redsys, Bizum para entidades).
• Gestor laboral o asesoría externa que tramita nóminas.
• Asesoría contable si gestiona facturación.
• Hosting y proveedor de correo (Google Workspace, Microsoft 365).
• Cualquier herramienta SaaS donde se almacenen datos de personas.

Los proveedores grandes (Google, Microsoft, Stripe, Mailchimp) ya tienen el contrato redactado en sus condiciones: hay que aceptarlo expresamente desde el panel de administración. No basta con tener la cuenta: hay que activar y archivar la aceptación.

Los proveedores pequeños a veces ni saben que el contrato existe. Hay que pedírselo o proporcionárselo (plantillas en la web de la AEPD).

Por qué importa de verdad

Sin contrato de encargado, una brecha del proveedor convierte a la fundación en responsable solidaria. Con contrato, las responsabilidades quedan delimitadas y el proveedor asume las suyas. Es el documento que la AEPD pide en una de cada dos inspecciones.

4. Procedimiento de gestión de brechas

Una brecha de seguridad es cualquier incidente que vulnere la confidencialidad, integridad o disponibilidad de datos personales. No solo un hackeo: también un email enviado a la lista equivocada, un portátil robado con datos sin cifrar, una fuga interna, un fallo del proveedor.

La fundación tiene obligación de notificar a la AEPD en 72 horas cuando la brecha suponga un riesgo para los derechos y libertades de las personas, y de comunicarlo a los afectados si el riesgo es alto.

72 horas no son muchas cuando nadie sabe qué hacer. Por eso el procedimiento escrito —corto, claro, conocido por dos o tres personas— es esencial.

Contenido mínimo del procedimiento

• Quién detecta y a quién avisa (cadena interna).
• Persona responsable de coordinar la respuesta (no necesariamente DPO si no lo hay).
• Pasos de contención: cortar el acceso, aislar el sistema, cambiar contraseñas, etc.
• Criterios de evaluación: ¿hay riesgo para las personas? ¿Hay datos sensibles? ¿Es alto el riesgo?
• Decisión de notificación: cuándo y cómo se notifica a la AEPD (formulario disponible en su sede electrónica).
• Comunicación a afectados: cuándo procede y qué tono usar.
• Documentación: qué se registra y dónde se archiva (la AEPD puede pedirlo años después).

Una página A4 es suficiente. Lo importante es que exista antes de que pase algo.

5. Documento de medidas de seguridad

El Artículo 32 RGPD exige aplicar medidas técnicas y organizativas apropiadas al riesgo del tratamiento. Lo que sea “apropiado” depende del tamaño de la entidad, los datos que trata y el estado del arte tecnológico.

Para una fundación mediana, el documento de medidas suele cubrir:

• Control de acceso: quién entra a qué sistema, con qué credenciales, con qué doble factor.
• Política de contraseñas: gestor obligatorio, longitud mínima, no reutilización.
• Cifrado: discos de portátiles cifrados, conexiones HTTPS, copias de seguridad cifradas.
• Backups: frecuencia, ubicación, prueba de restauración.
• Borrado seguro: cómo se elimina información al desechar un dispositivo o cerrar una cuenta.
• Formación al equipo: periodicidad y contenidos.
• Gestión de proveedores: criterios de selección con perspectiva de seguridad.
• Auditoría interna periódica: cómo se revisa que las medidas se aplican de verdad.

Para tratamientos de alto riesgo

Si la fundación trata datos sensibles a escala —menores, personas en situación de vulnerabilidad, datos de salud, datos religiosos en contextos eclesiales—, el Artículo 35 RGPD puede exigir una Evaluación de Impacto en Protección de Datos (EIPD) previa al inicio del tratamiento. La AEPD publica un listado orientativo de tratamientos que la requieren.

Una EIPD bien hecha no es burocracia: documenta que la entidad ha pensado en los riesgos antes de actuar, lo que es una defensa real ante cualquier incidente.

Orden realista de implantación

Para una fundación que parte de cero, la secuencia que ahorra tiempo y dinero:

1. Levantar el RAT preguntando a cada área qué datos trata y para qué (semana 1-2).
2. Inventariar proveedores y solicitar/aceptar contratos de encargado (semana 2-3).
3. Redactar política de privacidad y cláusulas sobre la base del RAT terminado (semana 3-4).
4. Escribir procedimiento de brechas con la persona responsable identificada (semana 4).
5. Documento de medidas de seguridad que refleje lo que la entidad de verdad hace, no lo ideal (semana 5).
6. Formación al equipo de una tarde con casos reales del sector (semana 6).
7. Revisión semestral marcada en calendario para que no se duerma.

Hacerlo en seis semanas con asesoría puntual es realista. Hacerlo en una tarde copiando plantillas no funciona.

Lo que no compensa a una fundación pequeña-mediana

Para terminar, tres patrones de gasto que se ven con frecuencia y rinden poco:

• Suscripciones anuales de cuatro cifras a plataformas all-in-one de cumplimiento RGPD. Para entidades sin DPO obligatorio, la AEPD ofrece plantillas gratuitas y una iguala puntual con asesor especializado cubre lo mismo a una décima parte del precio.
• Externalización completa del cumplimiento a un proveedor que firma todo y nadie del equipo entiende qué se ha firmado. La responsabilidad sigue siendo de la fundación; si el equipo no conoce los documentos, no sirven cuando hace falta.
• Documentos perfectos pero estáticos. Un RAT de 50 páginas redactado hace cuatro años y nunca actualizado es peor que uno modesto y vivo. La AEPD valora más la coherencia entre lo escrito y lo que se hace.

Próximo paso

Si la fundación quiere una valoración honesta de qué documentos tiene, cuáles faltan y por dónde empezar, Startidea ofrece una primera conversación de 30 minutos sin coste. Si tiene sentido seguir, se propone un acompañamiento puntual o una iguala anual con presupuesto cerrado.

Escribir a hola@startidea.es o reservar slot desde la web.