En una frase. Una asociación, fundación u ONG es responsable del tratamiento y está plenamente sujeta al RGPD y a la LOPDGDD: no existe ninguna exención por carecer de ánimo de lucro, y en muchos casos la mera pertenencia a la entidad revela categorías especiales de datos (salud, ideología, orientación sexual, afiliación) que exigen protección reforzada.
El mito más extendido en el tercer sector es que el RGPD «es cosa de empresas». No lo es. La AEPD trata a una asociación de vecinos, a una fundación asistencial o a una ONG internacional como a cualquier otro responsable del tratamiento. Este artículo aterriza las obligaciones RGPD reales de una entidad sin ánimo de lucro y desmonta las creencias que más expedientes generan.
Puntos clave
- No hay exención por ausencia de lucro: la asociación es responsable del tratamiento (art. 4.7 RGPD).
- Registro de socios y donantes: siempre hay base jurídica (contrato asociativo o interés legítimo), nunca «porque sí».
- Riesgo específico: en muchas entidades la pertenencia revela categorías especiales del art. 9 (salud, ideología, religión, orientación sexual, afiliación sindical o política).
- El art. 9.2.d RGPD permite a fundaciones y asociaciones tratar datos de sus miembros sin consentimiento, con garantías y sin cederlos fuera.
- Captación de fondos y comunicaciones: consentimiento para el marketing, cuidado con menores y voluntariado.
1. La asociación es responsable del tratamiento
El Reglamento (UE) 2016/679 no distingue por naturaleza jurídica ni por finalidad lucrativa. Toda entidad que decide sobre los fines y medios del tratamiento de datos personales es responsable y debe cumplir los mismos principios: licitud, minimización, limitación de la conservación y responsabilidad proactiva. Una asociación que gestiona un fichero de socios está exactamente en la misma posición que una pyme con su cartera de clientes, y le conviene partir de la misma base de trabajo que cualquier pyme en su cumplimiento RGPD básico.
La única especialidad relevante es el art. 9.2.d RGPD, que habilita a fundaciones, asociaciones y otras entidades sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical a tratar los datos de sus miembros o excontactos regulares, sin consentimiento expreso, siempre que el tratamiento se limite al ámbito interno y no se comuniquen los datos a terceros sin consentimiento.
2. Datos sensibles por la mera pertenencia
Este es el punto que casi nadie anticipa. En muchas entidades, pertenecer revela un dato del art. 9:
| Tipo de entidad | Categoría especial revelada |
|---|---|
| Asociación de pacientes (p. ej. de una enfermedad) | Datos de salud |
| Partido o asociación política | Opiniones políticas |
| Sindicato o sección sindical | Afiliación sindical |
| Entidad religiosa o parroquia | Convicciones religiosas |
| Asociación LGTBI | Orientación sexual |
| ONG de defensa de un colectivo vulnerable | Salud, origen, situación social |
En estos casos, el fichero de socios es un fichero de datos especialmente protegidos. Ello dispara medidas de seguridad más estrictas, obliga a valorar una evaluación de impacto y prohíbe cesiones alegres. Conviene repasar el régimen completo de categorías especiales de datos del art. 9, reforzado en España por el art. 9 LOPDGDD (el consentimiento no basta para tratar datos de ideología, afiliación o religión con la finalidad de revelarlos).
3. Bases jurídicas por actividad
| Actividad | Base jurídica habitual |
|---|---|
| Alta y gestión de socios | Ejecución del contrato asociativo (art. 6.1.b) |
| Cuotas y contabilidad | Obligación legal (art. 6.1.c) |
| Datos de donantes (fiscalidad) | Obligación legal + interés legítimo |
| Voluntariado | Contrato / interés legítimo + Ley del Voluntariado |
| Comunicaciones de captación (marketing) | Consentimiento (art. 6.1.a) |
| Boletines a socios sobre la propia actividad | Interés legítimo |
La lógica es la misma que en cualquier organización: cada tratamiento necesita su base, y el consentimiento tiene requisitos estrictos cuando se usa. Todo ello debe quedar reflejado en el registro de actividades de tratamiento, obligatorio también para las entidades sin ánimo de lucro (la excepción del art. 30.5 casi nunca aplica porque el tratamiento no es «ocasional» y a menudo hay datos del art. 9).
4. Captación de fondos y comunicaciones
El envío de comunicaciones para captar donaciones, socios o difundir campañas es marketing a efectos prácticos. Requiere consentimiento cuando se dirige a personas que no son ya miembros o donantes, y respeta el derecho de oposición en todo momento. Comprar o intercambiar listas de posibles donantes es una fuente segura de sanción. El régimen de comunicaciones comerciales electrónicas y sus límites se detallan en las sanciones AEPD en marketing y publicidad.
5. Voluntariado y menores
Los voluntarios son personas cuyos datos se tratan para gestionar su colaboración (identidad, disponibilidad, a veces certificado de delitos sexuales cuando trabajan con menores, exigido por ley). Ese certificado es un dato del art. 10 RGPD (condenas penales) y solo puede tratarse por la habilitación legal correspondiente, sin conservarlo más de lo necesario.
Cuando la entidad trabaja con menores (actividades educativas, deportivas, de ocio), rige el umbral español de 14 años del art. 7 LOPDGDD: por debajo, hace falta consentimiento de los progenitores. La difusión de imágenes de menores en redes sociales o memorias de actividad es uno de los focos habituales de reclamación.
6. Seguridad, encargados y DPO
Las plataformas de gestión de socios, el CRM de captación, la pasarela de donaciones o el proveedor de email marketing son encargados del tratamiento: hay que firmar el contrato del artículo 28 RGPD. Una entidad que trate datos del art. 9 a gran escala (por ejemplo, una gran ONG asistencial con miles de beneficiarios con datos de salud) puede estar obligada a designar delegado de protección de datos.
Mantener el registro de tratamientos, los contratos de encargado y las cláusulas informativas al día es precisamente el trabajo repetitivo que una plataforma como Legiscope automatiza, aunque una asociación pequeña puede empezar con plantillas y la herramienta Facilita_RGPD de la AEPD.
7. Errores que sanciona la AEPD
- Publicar listados de socios, beneficiarios o deudores con datos identificativos.
- Difundir fotos de actividades sin base ni información, sobre todo de menores.
- Tratar el fichero de socios de una entidad del art. 9 sin medidas reforzadas.
- No atender los derechos de los interesados (baja, acceso, supresión) en plazo.
- Ceder la base de socios o donantes a terceros (patrocinadores, otras entidades) sin base.
Los importes en el tercer sector suelen situarse en la banda baja, pero existen: la AEPD ha sancionado a asociaciones y comunidades por difusión indebida de datos, como recogemos en el tracker de sanciones AEPD 2025 y en la guía general de sanciones RGPD. Una hoja de ruta mínima está en la checklist RGPD España.
Véase también, para sectores con obligaciones de protección de datos similares: RGPD para ayuntamientos, RGPD para agencias de marketing y RGPD para startups y SaaS.
Preguntas frecuentes
¿Una asociación sin ánimo de lucro está exenta del RGPD?
No. La finalidad no lucrativa no exime de nada. La asociación es responsable del tratamiento y debe cumplir el RGPD y la LOPDGDD igual que cualquier empresa, con la única especialidad del art. 9.2.d para el tratamiento interno de datos de sus miembros.
¿El listado de socios de mi asociación es un fichero de datos sensibles?
Puede serlo. Si la finalidad de la entidad revela por sí misma una categoría del art. 9 (salud, ideología, religión, orientación sexual, afiliación), la simple condición de socio es un dato especialmente protegido y exige medidas de seguridad reforzadas.
¿Puedo publicar fotos de las actividades de la ONG en redes sociales?
Solo con base jurídica e información previa. Para adultos, normalmente consentimiento o interés legítimo ponderado; para menores de 14 años, consentimiento de los progenitores. Debe ofrecerse siempre la posibilidad de oponerse y retirar la imagen.
¿Necesita mi asociación un delegado de protección de datos?
Depende. Es obligatorio si el núcleo de la actividad consiste en tratar a gran escala categorías especiales (art. 37.1.c RGPD), algo frecuente en grandes ONG asistenciales o de pacientes. Muchas asociaciones pequeñas no lo necesitan, pero conviene documentar el análisis.
Conclusión
El tercer sector no goza de ningún régimen indulgente en protección de datos. Al contrario: la naturaleza de muchas entidades convierte su fichero de socios en datos del art. 9, lo que eleva las exigencias. La receta es la de siempre —base jurídica por tratamiento, registro de actividades, contratos de encargado, información y respeto de derechos— con un cuidado especial en la sensibilidad de los datos, los menores y la captación de fondos. Documentarlo es, además de una obligación, la mejor defensa ante una reclamación.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial