Los Grupos Scout y la LOPD

9 de abril de 2014

Conceptos básicos

Datos de carácter personal: Cualquier información concerniente a

personas físicas identificadas o identificables

Fichero: Todo conjunto organizado de datos de carácter personal,

cualquiera que fuere la forma o modalidad de su creación,

almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de

carácter automatizado o no, que permitan la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación, así

como las cesiones de datos que resulten de comunicaciones,

consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: persona física o jurídica,

de naturaleza pública o privada u órgano administrativo, que decida

sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado: persona física titular de los datos que sean

objeto del tratamiento.

Conceptos básicos

Encargado del tratamiento: la persona física o jurídica que sólo o

conjuntamente con otros, trate datos personales por cuenta del

responsable del tratamiento.

Consentimiento del interesado: Toda manifestación de voluntad,

libre, inequívoca, específica e informada, mediante la que el

interesado consienta el tratamiento de datos que le conciernen

Cesión o comunicación de datos: Toda revelación de datos

realizada a una persona distinta del interesado.

Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra

clase de información que puede ser tratada en un sistema de

información como una unidad diferenciada. (Ej: Ficha

inscripción/autorización paterna, fotos, etc.)

Soporte: Objeto físico que almacena o contiene datos o documentos,

u objetos susceptibles de ser tratado en un sistema de información

sobre el cual se pueden grabar y recuperar datos (Ej: Pen drive)

El Grupo Scout y la LOPD

El artículo 14 de la Ley Orgánica 1/2002, reguladora del Derecho de Asociación, recuerda que los datos de los socios de asociaciones están sujetos a lo regulado en la Ley Orgánica 15/1999 de 13 de Diciembre de protección de datos de carácter personal.

¿Y a qué nos obliga esta ley?

La LOPD nos obliga a…

1. A solicitar de nuestros asociados solo datos adecuados y pertinentes a la finalidad para la que se obtienen

Nuestros formularios de adhesión preguntarán lo estrictamente necesario.

2. A no usar dichos datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos:

No podremos utilizar la información de la que disponemos más que para el propio funcionamiento como asociados de los miembros del fichero.

3. Los datos no necesarios han de cancelarse:

Hay que eliminar los datos de los socios que se han dado de baja.

4. Hay que informar a los nuevos socios en nuestros formularios de adhesión acerca de:

existencia de un fichero de datos personales

de la finalidad de recogida de los datos personales

de los destinatarios de la información

del responsable del fichero

La LOPD nos obliga a…

5. Algún socio podría solicitar, por motivos fundados y legítimos derivados de una concreta situación personal, que alguno de sus datos no figuraran en el fichero y por tanto debemos omitirlos

6. El responsable del fichero (en nuestro caso normalmente sería el Secretario de la asociación) debe velar por evitar que los datos personales tengan accesos no autorizados, o se usen para fines no autorizados

7. El responsable del fichero debe guardar secreto sobre los datos de carácter personal objeto de su responsabilidad (artículo 10).

8. Solo pueden cederse los datos de un fichero con permiso de los interesados

Ejemplo:

Supongamos que se pretenda hacer un estudio a nivel federación sobre las características de los asociados de los grupos scout, cada grupo debería proteger sus ficheros a no ser que los socios prestaran su consentimiento (o lo hiciésemos constar al recibir los datos )

La LOPD nos obliga a…

9. A indemnizar por daños y perjuicios en caso de reclamación por

los miembros del fichero si por incumplimientos resultan perjudicados

10.Obligación de notificación de la existencia de un fichero a la

Agencia de Protección de Datos, haciendo constar el responsable

del fichero, la finalidad del mismo, su ubicación, el tipo de datos que

contiene, sistemas de protección y cesiones de datos que se prevean

Posibles situaciones y soluciones…

Si los datos no necesarios (bajas) han de cancelarse, ¿cómo hacemos

para contactar con antiguos socios?

Añadir en la ficha de inscripción una casilla que diga algo así como:

Deseo que mis datos sean archivados como “Antiguo Socio/a”

si curso baja de la asociación.

Nunca deberemos usar los datos para finalidades diferentes a las que

fueron recogidas.

Ej: Un scouter tiene una empresa y cree que le puede interesar a las

familias. No puede usar los datos que ha conseguido en el grupo para

promocionar su empresa.

Posibles situaciones y soluciones…

A EdM se le entregan los listados de socios y además en ciertos casos

también se facilitan otro tipo de datos para cuestiones relacionadas

con el seguro, y aquí también entraría ASDE. ¿Se lo notificamos a los

padres? ¿Les pedimos su consentimiento?

Cuando vamos de campamentos también podemos ceder o mostrar

ciertos datos personales.

Una solución para evitar cualquier problema es añadir una casilla en la

hoja de inscripción de ronda/grupo y/o campamento de este estilo:

Autorizo la cesión de datos carácter personal a Exploradores de

Madrid , ASDE y administraciones varias cuando sea necesario

para cumplir con las obligaciones y finalidades de los socios y de la

asociación.

Posibles situaciones y soluciones…

Muchos grupos en sus documentos ponen una coletilla final del tipo:

De acuerdo con lo establecido en la Ley 15/1999, de 13 de diciembre de Protección de

Datos de Carácter Personal, se le informa que todos los datos a los que se tenga acceso,

facilitados por usted, serán incorporados a los ficheros del Grupo Scout XXXX, para

posibilitar el mantenimiento y la gestión de la relación con el miembro del Grupo y su

familia. Como tutor legal del menor, usted tiene derecho a ejercitar, en cualquier momento,

los derechos de acceso, rectificación, cancelación y oposición que le asisten conforme a la

citada ley, mediante escrito al Secretario, a la siguiente dirección: Grupo Scout XXX, C/

XXXXXX YY, - Madrid (España) o mediante correo electrónico firmado a: dlkjfalñdkfj@sss.es

Esta coletilla no sirve de nada y de hecho puede ser hasta contraproducente si

no tenemos inscrito el fichero correspondiente en el Registro General de

Protección de Datos (RGPD) de la Agencia Española de Protección de Datos

(AEPD).

Niveles de Seguridad

No todos los documentos contienen el mismo tipo de información, por

eso la LOPD establece diferentes niveles de seguridad en función

del tipo de datos de que estemos hablando:

Nivel Básico

Nivel Medio

Nivel Alto

Nivel de Seguridad Básico

Aplicable a cualquier fichero que contenga datos de carácter personal,

esto es, cualquier información concerniente a personas físicas identificadas o

identificables.

Tendrían cabida dentro de esta categoría :

1. el nombre y apellidos de los educandos,

2. el número de su Documento Nacional de Identidad,

3. dirección, teléfono,

4. fecha y lugar de nacimiento,

5. sexo,

6. datos de familia,

7. historial de estudiante,

8. calificaciones,

9. etc.

Nivel de Seguridad Básico

El dato acerca de si un participante es adoptado o adoptada también

tendría encaje en el nivel básico de medidas de seguridad, lo cual no es

obstáculo para que dicha información sea tratada con una especial

sensibilidad, por las posibles consecuencias que podría tener para el menor

su revelación a terceros malintencionados.

También podrán implantarse las medidas de seguridad de nivel básico en los

ficheros o tratamientos que contengan datos relativos a la salud,

referentes exclusivamente al grado de discapacidad o la simple

declaración de la condición de discapacidad o invalidez del afectado.

Nivel de Seguridad Medio

Aplicable a los siguientes ficheros o tratamientos de datos de carácter personal:

Los relativos a la comisión de infracciones administrativas o penales.

Aquellos relacionados con la prestación de servicios de información sobre solvencia patrimonial y crédito.

Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. 

Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

Nivel de Seguridad Medio

• Aquellos que contengan un conjunto de datos de carácter

personal que ofrezcan una definición de las características o

de la personalidad de los ciudadanos y que permitan evaluar

determinados aspectos de la personalidad o del comportamiento

de los mismos.

• En el caso de un grupo Scout, la adopción de las medidas de seguridad

de nivel medio sólo será necesaria en aquellos supuestos en que el

fichero contenga un conjunto de datos de carácter personal que

ofrezcan una definición de las características o de la personalidad de

sus miembros.

Nivel de Seguridad Medio

 Ejemplo:

• Informes realizados para evaluar la actitud de los Scouts de

las diferentes secciones podrían encajar dentro del nivel

medio definido en el Real Decreto 1720/2007, ya que contienen

un conjunto de datos de carácter personal que ofrecen una

definición de las características o de la personalidad de los chicos

y chicas y que permiten evaluar determinados aspectos de la

personalidad o del comportamiento de los mismos.

• Ahora bien, las referencias a los datos psicológicos tienen, como

veremos, la consideración de datos de salud, debiendo

adoptarse, en su consecuencia, las medidas de seguridad de

nivel alto definidas en el Real Decreto 1720/2007 (el nivel alto

prevalece sobre los restantes).

Nivel de Seguridad Alto

Aplicable a los siguientes ficheros o tratamientos de datos de carácter

personal:

• Los que se refieran a datos de ideología, afiliación sindical,

religión, creencias, origen racial, salud o vida sexual,

(con excepciones)

• Los que contengan o se refieran a datos recabados para fines

policiales sin consentimiento de las personas

afectadas.

 

• Aquellos que contengan datos derivados de actos de

violencia de género.

 

Nivel de Seguridad Alto

En principio, podemos pensar que estas

categorías de datos están exclusivamente

reservadas para centros sanitarios y

hospitalarios, sindicatos, partidos políticos,

confesiones religiosas, fuerzas y cuerpos de

seguridad, centros de atención a la mujer

maltratada, etc.: nada más lejos de la

realidad…

Nivel de Seguridad Alto

Con respecto a la naturaleza de los datos psicológicos o

psicopedagógicos, la cuestión radica en delimitar si procede su

inclusión dentro del concepto de datos referentes a la salud

de las personas.

Si bien la Ley Orgánica se refiere expresamente a los datos de salud,

considerándolos expresamente protegidos y limitando la posibilidad de

su recopilación y cesión, no establece un concepto concreto de este tipo

de datos.

Al margen de los datos psicopedagógicos, en un grupo pueden

encontrarse otra serie de datos relativos a la salud.

Ejemplo: si disponemos de fichas en papel donde figuren alergias a

determinados alimentos de algunos chicos/chicas estaríamos ante datos

de salud catalogados como de nivel alto.

Medidas de Seguridad

Una vez encajados en cada uno de los niveles descritos los distintos ficheros

de datos de carácter personal, se debe proceder a la implementación de las

medidas de seguridad correspondientes en función del nivel asignado (Ver

Capítulos III y IV RD 1720/2007 de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la LO 171999, de 13 de diciembre de protección de datos

de carácter personal).

Una primera medida obligatoria y común a todos los niveles sería la de

documentar detalladamente el conjunto de medidas de índole técnica y

organizativa acordes a la normativa de seguridad vigente que será de

obligado cumplimiento para el personal con acceso a la información

contenida en los documentos en formato papel.

La documentación por escrito de esta serie de medidas daría lugar a la

generación de lo que, en términos de la normativa sobre protección de datos

de carácter personal, se conoce formalmente como “Documento de

Seguridad”

Medidas de Seguridad

¿Es necesario un DS por fichero?

¿Qué es exactamente el Documento de Seguridad?

Es un documento interno de la organización, que debe mantenerse

siempre actualizado.

Disponer del documento es una obligación para todos los responsables

de ficheros, con independencia del nivel de seguridad.

Al ser un documento interno, no es necesario presentarlo a la AEPD

No. Si se quiere se puede realizar un documento único en el que se

recojan todos los ficheros.

Podría tener 2 partes:

• Medidas que afectan a todos los sistemas de información

• Anexo por cada fichero o tratamiento con las medidas concretas

Medidas de Seguridad

Guión documento de seguridad (Art. 88 RD 15/1999)

1. Ámbito de aplicación del documento

2. Medidas, normas, procedimientos, reglas y estándares de seguridad

2.1.Identificación y autenticación2.2.Control de Acceso2.3.Gestión soportes y documentos

3. Funciones y obligaciones del personal

4. Procedimientos de notificación, gestión y respuesta ante incidencias5. Medidas para el transporte, destrucción y/o reutilización de los documentos y soportes6. Procedimiento de revisión

Descripción de los ficheros: Estructura y descripción de los sistemas de información que los tratan

+

Medidas de Seguridad

Documento Seguridad ASDE

Doc tramites\Manual de seguridad ASDE.pdf

Medidas de Seguridad

La Ley nos obliga a realizar copias de seguridad

Riesgos y aspectos importantes de las copias de

seguridad:

Cuando restauramos una copia de seguridad habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero.

No hacer copias en diferentes equipos

No duplicar bases de datos

Recomendaciones para la Destrucción de la Documentación Física

Son muchas las fórmulas y negocios que han proliferado alrededor de la LOPD, para un Grupo Scout teniendo en cuenta sus características destacamos:

La necesidad de que los documentos se almacenen debidamente protegidos, para evitar que se aprovechen para reciclado, para escribir por detrás, hacer cuadernos de notas o simplemente que alguien no autorizado acceda a la información que los mismos pudieran contener.

El método más adecuado es la trituración mediante corte en tiras o cruzado. El papel se hace tiras o partículas, cuyo tamaño se elegirá en función del nivel de protección requerido por la por la información contenida en los documentos a destruir.

Si se encarga una empresa de destruir el papel, debe daros un Certificado debidamente firmado y/o sellado que garantice su destrucción

INFRACCIONES

Infracciones Leves:

1. No atender la solicitud de rectificación o cancelación de

datos, cuando legalmente proceda

2. No proporcionar la información que solicite la Agencia de

Protección de Datos

3. No solicitar la inscripción del fichero de datos de

carácter personal en el Registro General de Protección

de Datos, cuando no sea constitutivo de infracción grave

4. Proceder a la recogida de datos de carácter personal de los

propios afectados sin proporcionarles la información necesaria

5. Incumplir el deber de secreto

INFRACCIONES

Infracciones Graves (I):

1. Crear ficheros de titularidad pública o iniciar la recogida de datos

de carácter personal para los mismos

2. Crear ficheros de titularidad privada o recoger datos de carácter

personal con finalidades distintas a las de la entidad

3. Recoger datos de carácter personal sin el consentimiento

expreso de las personas afectadas

4. El impedimento u obstaculización del ejercicio de los derechos

de acceso, oposición y la negativa a facilitar la información

solicitada

5. Mantener datos de carácter personal inexactos o no efectuar las

rectificaciones o cancelaciones de los mismos que legalmente

procedan

INFRACCIONES

Infracciones Graves (II):

6. La vulneración del deber de guardar secreto sobre datos de Nivel

de Seguridad Medio

7. Mantener los ficheros y soportes sin las debidas condiciones de

seguridad

8. No remitir a la APD las notificaciones previstas en esta Ley o

aquella documentación que solicite

9. La obstrucción al ejercicio de la función inspectora

11. Incumplir el deber de información que se establece en la Ley

10. No inscribir el fichero de datos de carácter personal en el RGPD,

cuando haya sido requerido para ello por el Director de la APD

INFRACCIONES

Infracciones Muy Graves :

1. La recogida de datos en forma engañosa y fraudulenta

2. La comunicación o cesión de los datos, fuera de los casos en que

estén permitidas

3. No cesar en el uso ilegítimo de los tratamientos de datos cuando

sea requerido para ello por el Director de la APD o por las personas

titulares del derecho de acceso

4.La transferencia de datos con destino a países que no

proporcionen un nivel de protección equiparable sin autorización

del Director de la APD

5. No atender u obstaculizar de forma sistemática el ejercicio de

los derechos de acceso, rectificación, cancelación u oposición.

SANCIONES

Infracciones Leves

Multa de 100.000 a 10.000.000 de pesetas (600€ o 60.000€)

La cuantía de las sanciones se graduará atendiendo a cada

caso (derechos afectados, grado intencionalidad, beneficios

obtenidos, reincidencia, etc.)

Infracciones Graves

Multa de 10.000.000 de pesetas a 50.000.000 de pesetas (60.000€

a 300.000€)

Infracciones Muy Graves

Multa de 50.000.000 de pesetas a 100.000.000 de pesetas

(300.000€ a 600.000€)

El Gobierno actualizará periódicamente la cuantía de las sanciones

de acuerdo con los índices de precios (¡¡Estos datos son del 1999!!)

Hortaleza 19, 1º Izq

28013 - Madrid (España)

Tel: (+34) 91.521.91.58

Fax: (+34) 91.522.08.44

edm@exploradoresdemadrid.org

www.exploradoresdemadrid.org