Como cualquier otra entidad que recibe y trabaja con datos de carácter personal, las fundaciones y asociaciones están obligadas a cumplir el Reglamento General de Protección de Datos vigente desde el 25 de mayo de 2018.
Este reglamento es una norma de aplicación directa en toda la Unión Europea, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Están obligadas por el RGPD las personas jurídicas que tratan datos de carácter personal (son aquellos datos que permiten identificar a su titular, solo pueden ser datos referidos a personas físicas).
En cuanto al tratamiento de datos debe elaborarse un registro de las actividades de tratamiento (teniendo en cuenta su finalidad y la base jurídica ); designar un delegado de protección de datos (si no fuera necesario se nombra un responsable); realizar un análisis de riesgos, adoptar medidas de seguridad y analizar su impacto en la protección de datos y un procedimiento para notificar quiebras de seguridad.
Como medidas complementarias y para garantizar el correcto uso de los datos de carácter personal es necesario: adecuar los formularios, adaptar mecanismos y procedimientos para el ejercicio de derechos, valorar si se ofrecen garantías suficientes y elaborar/adaptar la Política de Privacidad.
El consentimiento por parte del titular de los datos de carácter personal debe ser inequívoco, es decir, el titular debe manifestar su consentimiento para recibir información de cada una de las actividades de las que sea objeto y solo para ese propósito.
El RGPD coexiste, desde mayo de 2018, con la actual Ley Orgánica de Protección de Datos (LOPD) que será válida en todo aquello que no se oponga al RGPD.
Con el fin de ayudar a las entidades obligadas a cumplir con el RGPD, la Agencia Española de Protección de Datos ha puesto a disposición de los usuarios distintas guías y material práctico.