Los Grupos Scout y la LOPD 9 de abril de 2014

Conceptos básicos Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.

Conceptos básicos Encargado del tratamiento: la persona física o jurídica que sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos que le conciernen Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. (Ej: Ficha inscripción/autorización paterna, fotos, etc.) Soporte: Objeto físico que almacena o contiene datos o documentos, u objetos susceptibles de ser tratado en un sistema de información sobre el cual se pueden grabar y recuperar datos (Ej: Pen drive)

¿Y a qué nos obliga esta ley? El Grupo Scout y la LOPD El artículo 14 de la Ley Orgánica 1/2002, reguladora del Derecho de Asociación, recuerda que los datos de los socios de asociaciones están sujetos a lo regulado en la Ley Orgánica 15/1999 de 13 de Diciembre de protección de datos de carácter personal. ¿Y a qué nos obliga esta ley?

La LOPD nos obliga a… A solicitar de nuestros asociados solo datos adecuados y pertinentes a la finalidad para la que se obtienen Nuestros formularios de adhesión preguntarán lo estrictamente necesario. A no usar dichos datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos: No podremos utilizar la información de la que disponemos más que para el propio funcionamiento como asociados de los miembros del fichero. Los datos no necesarios han de cancelarse: Hay que eliminar los datos de los socios que se han dado de baja. Hay que informar a los nuevos socios en nuestros formularios de adhesión acerca de: existencia de un fichero de datos personales de la finalidad de recogida de los datos personales de los destinatarios de la información del responsable del fichero

La LOPD nos obliga a… Algún socio podría solicitar, por motivos fundados y legítimos derivados de una concreta situación personal, que alguno de sus datos no figuraran en el fichero y por tanto debemos omitirlos El responsable del fichero (en nuestro caso normalmente sería el Secretario de la asociación) debe velar por evitar que los datos personales tengan accesos no autorizados, o se usen para fines no autorizados El responsable del fichero debe guardar secreto sobre los datos de carácter personal objeto de su responsabilidad (artículo 10). Solo pueden cederse los datos de un fichero con permiso de los interesados Ejemplo: Supongamos que se pretenda hacer un estudio a nivel federación sobre las características de los asociados de los grupos scout, cada grupo debería proteger sus ficheros a no ser que los socios prestaran su consentimiento (o lo hiciésemos constar al recibir los datos )

La LOPD nos obliga a… A indemnizar por daños y perjuicios en caso de reclamación por los miembros del fichero si por incumplimientos resultan perjudicados Obligación de notificación de la existencia de un fichero a la Agencia de Protección de Datos, haciendo constar el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos que contiene, sistemas de protección y cesiones de datos que se prevean

Posibles situaciones y soluciones… Si los datos no necesarios (bajas) han de cancelarse, ¿cómo hacemos para contactar con antiguos socios? Añadir en la ficha de inscripción una casilla que diga algo así como: Deseo que mis datos sean archivados como “Antiguo Socio/a” si curso baja de la asociación. Nunca deberemos usar los datos para finalidades diferentes a las que fueron recogidas. Ej: Un scouter tiene una empresa y cree que le puede interesar a las familias. No puede usar los datos que ha conseguido en el grupo para promocionar su empresa.

Posibles situaciones y soluciones… A EdM se le entregan los listados de socios y además en ciertos casos también se facilitan otro tipo de datos para cuestiones relacionadas con el seguro, y aquí también entraría ASDE. ¿Se lo notificamos a los padres? ¿Les pedimos su consentimiento? Cuando vamos de campamentos también podemos ceder o mostrar ciertos datos personales. Una solución para evitar cualquier problema es añadir una casilla en la hoja de inscripción de ronda/grupo y/o campamento de este estilo: Autorizo la cesión de datos carácter personal a Exploradores de Madrid , ASDE y administraciones varias cuando sea necesario para cumplir con las obligaciones y finalidades de los socios y de la asociación.

Posibles situaciones y soluciones… Muchos grupos en sus documentos ponen una coletilla final del tipo: De acuerdo con lo establecido en la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, se le informa que todos los datos a los que se tenga acceso, facilitados por usted, serán incorporados a los ficheros del Grupo Scout XXXX, para posibilitar el mantenimiento y la gestión de la relación con el miembro del Grupo y su familia. Como tutor legal del menor, usted tiene derecho a ejercitar, en cualquier momento, los derechos de acceso, rectificación, cancelación y oposición que le asisten conforme a la citada ley, mediante escrito al Secretario, a la siguiente dirección: Grupo Scout XXX, C/ XXXXXX YY, - Madrid (España) o mediante correo electrónico firmado a: dlkjfalñdkfj@sss.es Esta coletilla no sirve de nada y de hecho puede ser hasta contraproducente si no tenemos inscrito el fichero correspondiente en el Registro General de Protección de Datos (RGPD) de la Agencia Española de Protección de Datos (AEPD).

Niveles de Seguridad No todos los documentos contienen el mismo tipo de información, por eso la LOPD establece diferentes niveles de seguridad en función del tipo de datos de que estemos hablando: Nivel Básico Nivel Medio Nivel Alto

Nivel de Seguridad Básico Aplicable a cualquier fichero que contenga datos de carácter personal, esto es, cualquier información concerniente a personas físicas identificadas o identificables. Tendrían cabida dentro de esta categoría : el nombre y apellidos de los educandos, el número de su Documento Nacional de Identidad, dirección, teléfono, fecha y lugar de nacimiento, sexo, datos de familia, historial de estudiante, calificaciones, etc.

Nivel de Seguridad Básico El dato acerca de si un participante es adoptado o adoptada también tendría encaje en el nivel básico de medidas de seguridad, lo cual no es obstáculo para que dicha información sea tratada con una especial sensibilidad, por las posibles consecuencias que podría tener para el menor su revelación a terceros malintencionados. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado.

Nivel de Seguridad Medio Aplicable a los siguientes ficheros o tratamientos de datos de carácter personal: Los relativos a la comisión de infracciones administrativas o penales. Aquellos relacionados con la prestación de servicios de información sobre solvencia patrimonial y crédito. Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.  Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

Nivel de Seguridad Medio Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. En el caso de un grupo Scout, la adopción de las medidas de seguridad de nivel medio sólo será necesaria en aquellos supuestos en que el fichero contenga un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de sus miembros.

Nivel de Seguridad Medio  Ejemplo: Informes realizados para evaluar la actitud de los Scouts de las diferentes secciones podrían encajar dentro del nivel medio definido en el Real Decreto 1720/2007, ya que contienen un conjunto de datos de carácter personal que ofrecen una definición de las características o de la personalidad de los chicos y chicas y que permiten evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Ahora bien, las referencias a los datos psicológicos tienen, como veremos, la consideración de datos de salud, debiendo adoptarse, en su consecuencia, las medidas de seguridad de nivel alto definidas en el Real Decreto 1720/2007 (el nivel alto prevalece sobre los restantes).

Nivel de Seguridad Alto Aplicable a los siguientes ficheros o tratamientos de datos de carácter personal: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, (con excepciones) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.   Aquellos que contengan datos derivados de actos de violencia de género.

Nivel de Seguridad Alto En principio, podemos pensar que estas categorías de datos están exclusivamente reservadas para centros sanitarios y hospitalarios, sindicatos, partidos políticos, confesiones religiosas, fuerzas y cuerpos de seguridad, centros de atención a la mujer maltratada, etc.: nada más lejos de la realidad…

Nivel de Seguridad Alto Con respecto a la naturaleza de los datos psicológicos o psicopedagógicos, la cuestión radica en delimitar si procede su inclusión dentro del concepto de datos referentes a la salud de las personas. Si bien la Ley Orgánica se refiere expresamente a los datos de salud, considerándolos expresamente protegidos y limitando la posibilidad de su recopilación y cesión, no establece un concepto concreto de este tipo de datos. Al margen de los datos psicopedagógicos, en un grupo pueden encontrarse otra serie de datos relativos a la salud. Ejemplo: si disponemos de fichas en papel donde figuren alergias a determinados alimentos de algunos chicos/chicas estaríamos ante datos de salud catalogados como de nivel alto.

Medidas de Seguridad Una vez encajados en cada uno de los niveles descritos los distintos ficheros de datos de carácter personal, se debe proceder a la implementación de las medidas de seguridad correspondientes en función del nivel asignado (Ver Capítulos III y IV RD 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LO 171999, de 13 de diciembre de protección de datos de carácter personal). Una primera medida obligatoria y común a todos los niveles sería la de documentar detalladamente el conjunto de medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a la información contenida en los documentos en formato papel. La documentación por escrito de esta serie de medidas daría lugar a la generación de lo que, en términos de la normativa sobre protección de datos de carácter personal, se conoce formalmente como “Documento de Seguridad”

Medidas de Seguridad ¿Qué es exactamente el Documento de Seguridad? Es un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer del documento es una obligación para todos los responsables de ficheros, con independencia del nivel de seguridad. Al ser un documento interno, no es necesario presentarlo a la AEPD ¿Es necesario un DS por fichero? No. Si se quiere se puede realizar un documento único en el que se recojan todos los ficheros. Podría tener 2 partes: Medidas que afectan a todos los sistemas de información Anexo por cada fichero o tratamiento con las medidas concretas

Medidas de Seguridad Guión documento de seguridad (Art. 88 RD 15/1999) 1. Ámbito de aplicación del documento 2. Medidas, normas, procedimientos, reglas y estándares de seguridad 2.1.Identificación y autenticación 2.2.Control de Acceso 2.3.Gestión soportes y documentos 3. Funciones y obligaciones del personal 4. Procedimientos de notificación, gestión y respuesta ante incidencias 5. Medidas para el transporte, destrucción y/o reutilización de los documentos y soportes 6. Procedimiento de revisión + Descripción de los ficheros: Estructura y descripción de los sistemas de información que los tratan

Medidas de Seguridad Documento Seguridad ASDE Doc tramites\Manual de seguridad ASDE.pdf

Medidas de Seguridad La Ley nos obliga a realizar copias de seguridad Riesgos y aspectos importantes de las copias de seguridad: Cuando restauramos una copia de seguridad habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero. No hacer copias en diferentes equipos No duplicar bases de datos

Recomendaciones para la Destrucción de la Documentación Física Son muchas las fórmulas y negocios que han proliferado alrededor de la LOPD, para un Grupo Scout teniendo en cuenta sus características destacamos: La necesidad de que los documentos se almacenen debidamente protegidos, para evitar que se aprovechen para reciclado, para escribir por detrás, hacer cuadernos de notas o simplemente que alguien no autorizado acceda a la información que los mismos pudieran contener. El método más adecuado es la trituración mediante corte en tiras o cruzado. El papel se hace tiras o partículas, cuyo tamaño se elegirá en función del nivel de protección requerido por la por la información contenida en los documentos a destruir. Si se encarga una empresa de destruir el papel, debe daros un Certificado debidamente firmado y/o sellado que garantice su destrucción

INFRACCIONES Infracciones Leves: 1. No atender la solicitud de rectificación o cancelación de datos, cuando legalmente proceda 2. No proporcionar la información que solicite la Agencia de Protección de Datos 3. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave 4. Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información necesaria 5. Incumplir el deber de secreto

INFRACCIONES Infracciones Graves (I): 1. Crear ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos 2. Crear ficheros de titularidad privada o recoger datos de carácter personal con finalidades distintas a las de la entidad 3. Recoger datos de carácter personal sin el consentimiento expreso de las personas afectadas 4. El impedimento u obstaculización del ejercicio de los derechos de acceso, oposición y la negativa a facilitar la información solicitada 5. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan

INFRACCIONES Infracciones Graves (II): 6. La vulneración del deber de guardar secreto sobre datos de Nivel de Seguridad Medio 7. Mantener los ficheros y soportes sin las debidas condiciones de seguridad 8. No remitir a la APD las notificaciones previstas en esta Ley o aquella documentación que solicite 9. La obstrucción al ejercicio de la función inspectora 10. No inscribir el fichero de datos de carácter personal en el RGPD, cuando haya sido requerido para ello por el Director de la APD 11. Incumplir el deber de información que se establece en la Ley

INFRACCIONES Infracciones Muy Graves : 1. La recogida de datos en forma engañosa y fraudulenta 2. La comunicación o cesión de los datos, fuera de los casos en que estén permitidas 3. No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido para ello por el Director de la APD o por las personas titulares del derecho de acceso 4.La transferencia de datos con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la APD 5. No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

SANCIONES Infracciones Leves Infracciones Graves Multa de 100.000 a 10.000.000 de pesetas (600€ o 60.000€) Infracciones Graves Multa de 10.000.000 de pesetas a 50.000.000 de pesetas (60.000€ a 300.000€) Infracciones Muy Graves Multa de 50.000.000 de pesetas a 100.000.000 de pesetas (300.000€ a 600.000€) La cuantía de las sanciones se graduará atendiendo a cada caso (derechos afectados, grado intencionalidad, beneficios obtenidos, reincidencia, etc.) El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con los índices de precios (¡¡Estos datos son del 1999!!)