los grupos scout y la lopd 9 de abril de 2014. conceptos básicos datos de carácter personal:...
Post on 25-Jan-2016
215 Views
Preview:
TRANSCRIPT
Los Grupos Scout y la LOPD
9 de abril de 2014
Conceptos básicos
Datos de carácter personal: Cualquier información concerniente a
personas físicas identificadas o identificables
Fichero: Todo conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica,
de naturaleza pública o privada u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento.
Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
Conceptos básicos
Encargado del tratamiento: la persona física o jurídica que sólo o
conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.
Consentimiento del interesado: Toda manifestación de voluntad,
libre, inequívoca, específica e informada, mediante la que el
interesado consienta el tratamiento de datos que le conciernen
Cesión o comunicación de datos: Toda revelación de datos
realizada a una persona distinta del interesado.
Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra
clase de información que puede ser tratada en un sistema de
información como una unidad diferenciada. (Ej: Ficha
inscripción/autorización paterna, fotos, etc.)
Soporte: Objeto físico que almacena o contiene datos o documentos,
u objetos susceptibles de ser tratado en un sistema de información
sobre el cual se pueden grabar y recuperar datos (Ej: Pen drive)
El Grupo Scout y la LOPD
El artículo 14 de la Ley Orgánica 1/2002, reguladora del Derecho de Asociación, recuerda que los datos de los socios de asociaciones están sujetos a lo regulado en la Ley Orgánica 15/1999 de 13 de Diciembre de protección de datos de carácter personal.
¿Y a qué nos obliga esta ley?
La LOPD nos obliga a…
1. A solicitar de nuestros asociados solo datos adecuados y pertinentes a la finalidad para la que se obtienen
Nuestros formularios de adhesión preguntarán lo estrictamente necesario.
2. A no usar dichos datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos:
No podremos utilizar la información de la que disponemos más que para el propio funcionamiento como asociados de los miembros del fichero.
3. Los datos no necesarios han de cancelarse:
Hay que eliminar los datos de los socios que se han dado de baja.
4. Hay que informar a los nuevos socios en nuestros formularios de adhesión acerca de:
existencia de un fichero de datos personales
de la finalidad de recogida de los datos personales
de los destinatarios de la información
del responsable del fichero
La LOPD nos obliga a…
5. Algún socio podría solicitar, por motivos fundados y legítimos derivados de una concreta situación personal, que alguno de sus datos no figuraran en el fichero y por tanto debemos omitirlos
6. El responsable del fichero (en nuestro caso normalmente sería el Secretario de la asociación) debe velar por evitar que los datos personales tengan accesos no autorizados, o se usen para fines no autorizados
7. El responsable del fichero debe guardar secreto sobre los datos de carácter personal objeto de su responsabilidad (artículo 10).
8. Solo pueden cederse los datos de un fichero con permiso de los interesados
Ejemplo:
Supongamos que se pretenda hacer un estudio a nivel federación sobre las características de los asociados de los grupos scout, cada grupo debería proteger sus ficheros a no ser que los socios prestaran su consentimiento (o lo hiciésemos constar al recibir los datos )
La LOPD nos obliga a…
9. A indemnizar por daños y perjuicios en caso de reclamación por
los miembros del fichero si por incumplimientos resultan perjudicados
10.Obligación de notificación de la existencia de un fichero a la
Agencia de Protección de Datos, haciendo constar el responsable
del fichero, la finalidad del mismo, su ubicación, el tipo de datos que
contiene, sistemas de protección y cesiones de datos que se prevean
Posibles situaciones y soluciones…
Si los datos no necesarios (bajas) han de cancelarse, ¿cómo hacemos
para contactar con antiguos socios?
Añadir en la ficha de inscripción una casilla que diga algo así como:
Deseo que mis datos sean archivados como “Antiguo Socio/a”
si curso baja de la asociación.
Nunca deberemos usar los datos para finalidades diferentes a las que
fueron recogidas.
Ej: Un scouter tiene una empresa y cree que le puede interesar a las
familias. No puede usar los datos que ha conseguido en el grupo para
promocionar su empresa.
Posibles situaciones y soluciones…
A EdM se le entregan los listados de socios y además en ciertos casos
también se facilitan otro tipo de datos para cuestiones relacionadas
con el seguro, y aquí también entraría ASDE. ¿Se lo notificamos a los
padres? ¿Les pedimos su consentimiento?
Cuando vamos de campamentos también podemos ceder o mostrar
ciertos datos personales.
Una solución para evitar cualquier problema es añadir una casilla en la
hoja de inscripción de ronda/grupo y/o campamento de este estilo:
Autorizo la cesión de datos carácter personal a Exploradores de
Madrid , ASDE y administraciones varias cuando sea necesario
para cumplir con las obligaciones y finalidades de los socios y de la
asociación.
Posibles situaciones y soluciones…
Muchos grupos en sus documentos ponen una coletilla final del tipo:
De acuerdo con lo establecido en la Ley 15/1999, de 13 de diciembre de Protección de
Datos de Carácter Personal, se le informa que todos los datos a los que se tenga acceso,
facilitados por usted, serán incorporados a los ficheros del Grupo Scout XXXX, para
posibilitar el mantenimiento y la gestión de la relación con el miembro del Grupo y su
familia. Como tutor legal del menor, usted tiene derecho a ejercitar, en cualquier momento,
los derechos de acceso, rectificación, cancelación y oposición que le asisten conforme a la
citada ley, mediante escrito al Secretario, a la siguiente dirección: Grupo Scout XXX, C/
XXXXXX YY, - Madrid (España) o mediante correo electrónico firmado a: dlkjfalñdkfj@sss.es
Esta coletilla no sirve de nada y de hecho puede ser hasta contraproducente si
no tenemos inscrito el fichero correspondiente en el Registro General de
Protección de Datos (RGPD) de la Agencia Española de Protección de Datos
(AEPD).
Niveles de Seguridad
No todos los documentos contienen el mismo tipo de información, por
eso la LOPD establece diferentes niveles de seguridad en función
del tipo de datos de que estemos hablando:
Nivel Básico
Nivel Medio
Nivel Alto
Nivel de Seguridad Básico
Aplicable a cualquier fichero que contenga datos de carácter personal,
esto es, cualquier información concerniente a personas físicas identificadas o
identificables.
Tendrían cabida dentro de esta categoría :
1. el nombre y apellidos de los educandos,
2. el número de su Documento Nacional de Identidad,
3. dirección, teléfono,
4. fecha y lugar de nacimiento,
5. sexo,
6. datos de familia,
7. historial de estudiante,
8. calificaciones,
9. etc.
Nivel de Seguridad Básico
El dato acerca de si un participante es adoptado o adoptada también
tendría encaje en el nivel básico de medidas de seguridad, lo cual no es
obstáculo para que dicha información sea tratada con una especial
sensibilidad, por las posibles consecuencias que podría tener para el menor
su revelación a terceros malintencionados.
También podrán implantarse las medidas de seguridad de nivel básico en los
ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez del afectado.
Nivel de Seguridad Medio
Aplicable a los siguientes ficheros o tratamientos de datos de carácter personal:
Los relativos a la comisión de infracciones administrativas o penales.
Aquellos relacionados con la prestación de servicios de información sobre solvencia patrimonial y crédito.
Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
Nivel de Seguridad Medio
• Aquellos que contengan un conjunto de datos de carácter
personal que ofrezcan una definición de las características o
de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento
de los mismos.
• En el caso de un grupo Scout, la adopción de las medidas de seguridad
de nivel medio sólo será necesaria en aquellos supuestos en que el
fichero contenga un conjunto de datos de carácter personal que
ofrezcan una definición de las características o de la personalidad de
sus miembros.
Nivel de Seguridad Medio
Ejemplo:
• Informes realizados para evaluar la actitud de los Scouts de
las diferentes secciones podrían encajar dentro del nivel
medio definido en el Real Decreto 1720/2007, ya que contienen
un conjunto de datos de carácter personal que ofrecen una
definición de las características o de la personalidad de los chicos
y chicas y que permiten evaluar determinados aspectos de la
personalidad o del comportamiento de los mismos.
• Ahora bien, las referencias a los datos psicológicos tienen, como
veremos, la consideración de datos de salud, debiendo
adoptarse, en su consecuencia, las medidas de seguridad de
nivel alto definidas en el Real Decreto 1720/2007 (el nivel alto
prevalece sobre los restantes).
Nivel de Seguridad Alto
Aplicable a los siguientes ficheros o tratamientos de datos de carácter
personal:
• Los que se refieran a datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual,
(con excepciones)
• Los que contengan o se refieran a datos recabados para fines
policiales sin consentimiento de las personas
afectadas.
• Aquellos que contengan datos derivados de actos de
violencia de género.
Nivel de Seguridad Alto
En principio, podemos pensar que estas
categorías de datos están exclusivamente
reservadas para centros sanitarios y
hospitalarios, sindicatos, partidos políticos,
confesiones religiosas, fuerzas y cuerpos de
seguridad, centros de atención a la mujer
maltratada, etc.: nada más lejos de la
realidad…
Nivel de Seguridad Alto
Con respecto a la naturaleza de los datos psicológicos o
psicopedagógicos, la cuestión radica en delimitar si procede su
inclusión dentro del concepto de datos referentes a la salud
de las personas.
Si bien la Ley Orgánica se refiere expresamente a los datos de salud,
considerándolos expresamente protegidos y limitando la posibilidad de
su recopilación y cesión, no establece un concepto concreto de este tipo
de datos.
Al margen de los datos psicopedagógicos, en un grupo pueden
encontrarse otra serie de datos relativos a la salud.
Ejemplo: si disponemos de fichas en papel donde figuren alergias a
determinados alimentos de algunos chicos/chicas estaríamos ante datos
de salud catalogados como de nivel alto.
Medidas de Seguridad
Una vez encajados en cada uno de los niveles descritos los distintos ficheros
de datos de carácter personal, se debe proceder a la implementación de las
medidas de seguridad correspondientes en función del nivel asignado (Ver
Capítulos III y IV RD 1720/2007 de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LO 171999, de 13 de diciembre de protección de datos
de carácter personal).
Una primera medida obligatoria y común a todos los niveles sería la de
documentar detalladamente el conjunto de medidas de índole técnica y
organizativa acordes a la normativa de seguridad vigente que será de
obligado cumplimiento para el personal con acceso a la información
contenida en los documentos en formato papel.
La documentación por escrito de esta serie de medidas daría lugar a la
generación de lo que, en términos de la normativa sobre protección de datos
de carácter personal, se conoce formalmente como “Documento de
Seguridad”
Medidas de Seguridad
¿Es necesario un DS por fichero?
¿Qué es exactamente el Documento de Seguridad?
Es un documento interno de la organización, que debe mantenerse
siempre actualizado.
Disponer del documento es una obligación para todos los responsables
de ficheros, con independencia del nivel de seguridad.
Al ser un documento interno, no es necesario presentarlo a la AEPD
No. Si se quiere se puede realizar un documento único en el que se
recojan todos los ficheros.
Podría tener 2 partes:
• Medidas que afectan a todos los sistemas de información
• Anexo por cada fichero o tratamiento con las medidas concretas
Medidas de Seguridad
Guión documento de seguridad (Art. 88 RD 15/1999)
1. Ámbito de aplicación del documento
2. Medidas, normas, procedimientos, reglas y estándares de seguridad
2.1.Identificación y autenticación2.2.Control de Acceso2.3.Gestión soportes y documentos
3. Funciones y obligaciones del personal
4. Procedimientos de notificación, gestión y respuesta ante incidencias5. Medidas para el transporte, destrucción y/o reutilización de los documentos y soportes6. Procedimiento de revisión
Descripción de los ficheros: Estructura y descripción de los sistemas de información que los tratan
+
Medidas de Seguridad
Documento Seguridad ASDE
Doc tramites\Manual de seguridad ASDE.pdf
Medidas de Seguridad
La Ley nos obliga a realizar copias de seguridad
Riesgos y aspectos importantes de las copias de
seguridad:
Cuando restauramos una copia de seguridad habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero.
No hacer copias en diferentes equipos
No duplicar bases de datos
Recomendaciones para la Destrucción de la Documentación Física
Son muchas las fórmulas y negocios que han proliferado alrededor de la LOPD, para un Grupo Scout teniendo en cuenta sus características destacamos:
La necesidad de que los documentos se almacenen debidamente protegidos, para evitar que se aprovechen para reciclado, para escribir por detrás, hacer cuadernos de notas o simplemente que alguien no autorizado acceda a la información que los mismos pudieran contener.
El método más adecuado es la trituración mediante corte en tiras o cruzado. El papel se hace tiras o partículas, cuyo tamaño se elegirá en función del nivel de protección requerido por la por la información contenida en los documentos a destruir.
Si se encarga una empresa de destruir el papel, debe daros un Certificado debidamente firmado y/o sellado que garantice su destrucción
INFRACCIONES
Infracciones Leves:
1. No atender la solicitud de rectificación o cancelación de
datos, cuando legalmente proceda
2. No proporcionar la información que solicite la Agencia de
Protección de Datos
3. No solicitar la inscripción del fichero de datos de
carácter personal en el Registro General de Protección
de Datos, cuando no sea constitutivo de infracción grave
4. Proceder a la recogida de datos de carácter personal de los
propios afectados sin proporcionarles la información necesaria
5. Incumplir el deber de secreto
INFRACCIONES
Infracciones Graves (I):
1. Crear ficheros de titularidad pública o iniciar la recogida de datos
de carácter personal para los mismos
2. Crear ficheros de titularidad privada o recoger datos de carácter
personal con finalidades distintas a las de la entidad
3. Recoger datos de carácter personal sin el consentimiento
expreso de las personas afectadas
4. El impedimento u obstaculización del ejercicio de los derechos
de acceso, oposición y la negativa a facilitar la información
solicitada
5. Mantener datos de carácter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente
procedan
INFRACCIONES
Infracciones Graves (II):
6. La vulneración del deber de guardar secreto sobre datos de Nivel
de Seguridad Medio
7. Mantener los ficheros y soportes sin las debidas condiciones de
seguridad
8. No remitir a la APD las notificaciones previstas en esta Ley o
aquella documentación que solicite
9. La obstrucción al ejercicio de la función inspectora
11. Incumplir el deber de información que se establece en la Ley
10. No inscribir el fichero de datos de carácter personal en el RGPD,
cuando haya sido requerido para ello por el Director de la APD
INFRACCIONES
Infracciones Muy Graves :
1. La recogida de datos en forma engañosa y fraudulenta
2. La comunicación o cesión de los datos, fuera de los casos en que
estén permitidas
3. No cesar en el uso ilegítimo de los tratamientos de datos cuando
sea requerido para ello por el Director de la APD o por las personas
titulares del derecho de acceso
4.La transferencia de datos con destino a países que no
proporcionen un nivel de protección equiparable sin autorización
del Director de la APD
5. No atender u obstaculizar de forma sistemática el ejercicio de
los derechos de acceso, rectificación, cancelación u oposición.
SANCIONES
Infracciones Leves
Multa de 100.000 a 10.000.000 de pesetas (600€ o 60.000€)
La cuantía de las sanciones se graduará atendiendo a cada
caso (derechos afectados, grado intencionalidad, beneficios
obtenidos, reincidencia, etc.)
Infracciones Graves
Multa de 10.000.000 de pesetas a 50.000.000 de pesetas (60.000€
a 300.000€)
Infracciones Muy Graves
Multa de 50.000.000 de pesetas a 100.000.000 de pesetas
(300.000€ a 600.000€)
El Gobierno actualizará periódicamente la cuantía de las sanciones
de acuerdo con los índices de precios (¡¡Estos datos son del 1999!!)
Hortaleza 19, 1º Izq
28013 - Madrid (España)
Tel: (+34) 91.521.91.58
Fax: (+34) 91.522.08.44
edm@exploradoresdemadrid.org
www.exploradoresdemadrid.org
top related