Centro de Recursos sobre Protección de Datos en el Tercer SectorPreguntas, plantillas y mucho más


En entornos como el Tercer Sector, donde las personas están en el centro de la atención, es especialmente importante que se garanticen los derechos de los usuarios. Aprender de los datos que se generan debe permitir mejorar la calidad de vida de las personas, y eso convierte en indispensable demostrar que los datos se utilizan en los contextos adecuados y con objetivos legítimos.

A efectos de abordar estos planteamientos y como consecuencia del desarrollo del nuevo Reglamento de Protección de Datos desde mayo de 2018, la Taula, a través del programa m4Social y en colaboración con con la Direcció General d'Economia Social, el Tercer Sector, les Cooperatives i l'Autoempresa, de la Generalitat de Catalunya, Barcelona Activa y Centralip, han definido un programa en materia de protección de datos para el Tercer Sector que incluye:

  • Un curso para formar Delegados de Protección de Datos (DPD) para entidades.
  • Dos sesiones de sensibilización para directivos de entidades para fomentar los cambios organizativos.
  • El diseño de este espacio de Recursos para entidades en materia de protección de datos.

La información y recursos que encontrará aquí sirven como apoyo y referencia para aquellas personas que se encargan de la protección de datos en su entidad. Es necesario que se utilicen como elementos de inspiración y apoyo y que se contrasten con los expertos legales de cada organización, la Taula del Tercer Sector no se hace responsable de cualquier mal uso que se pueda derivar.

Protección de datos en el Tercer Sector. Ejemplos, buenas i malas prácticas

Descarregat l'arxiu

 

Preguntes frecuentes

 

¿Porque nos debe preocupar la protección de datos? 

¿Porque nos debe preocupar la protección de datos?

Las entidades del tercer sector son expertas y están experimentadas en proteger a las personas. Uno de los ámbitos debe proteger es su intimidad.
El cumplimiento del marco legal en protección de datos ayuda a revisar si todas las medidas que se llevan a cabo son suficientes.
Sería muy incoherente que una entidad del tercer sector, que tiene como objetivo principal ayudar a las personas, ponga en peligro sus datos.
Además, la posible pérdida de esta información perjudicaría muchísimo a las personas afectadas. Porque pondría al descubierto su dignidad y muchos aspectos de su vida privada.

La privacidad aplicada a los aspectos sociales de las personas es incluso más prioritario que no sus datos: profesionales, educativas o comerciales.
Los servicios sociales, conjuntamente con los servicios sanitarios, deben esforzarse especialmente en desarrollar los mejores niveles de seguridad de los que sean capaces.

Las entidades del tercer sector tienen un factor básico a favor para respetar la vida privada de las personas usuarias. Para desarrollar su actividad no necesitan comercializar los datos personales ni intentar obtener algún provecho. Tampoco deben realizar campañas de marketing agresivas, para buscar más interesados en sus servicios. Ni tampoco, por el momento, iniciar grandes proyectos de recogida masiva de datos, para aplicar protocolos de inteligencia artificial que puedan automatizar decisiones sobre las personas.

Así pues, dado que la relación con los interesados siempre parte de la ética, sin subterfugios escondidos, no debería haber dificultades para seguir el hilo que nos marca la legislación. Más allá de la obvia falta de tiempo y recursos.

Para quién lo hacemos?

Existe el peligro de confundir el nombre de la ley: Protección de datos. Con su objetivo: Proteger a laspersonas.

Protegiendo los datos de los usuarios de los servicios de las entidades del tercer sector no se está simplemente protegiendo una base de datos. Sino todo el conjunto de personas que son parte (temporal o no) de un colectivo vulnerable.

Es la entidad del tercer sector que se responsabiliza, cuando inicia su actividad, de proteger a las personas en todo lo que esté a su alcance.

Las personas no sólo deben recibir un documento de protección de datos de la entidad donde se solicite su consentimiento. Sino que la cláusula informativa compromete precisamente, a la entidad, al invertir los máximos esfuerzos para proteger la información.

¿Quién nos puede pedir o exigir su cumplimiento?

 

¿Quién nos puede pedir o exigir su cumplimiento?

A veces una entidad no se motiva hasta que no se da cuenta que hay personas que les pueden exigir que demuestren cómo cumplen correctamente.

Entre estas personas, podrían haber por ejemplo: los usuarios de un servicio, entidades colaboradoras de un proyecto, administraciones públicas y las autoridades de protección de datos.

¿Quienes son los usuarios del servicio?

El usuario de un servicio no sólo tiene derecho a ser informado de que se le piden los datos personales. Sino que también puede solicitar que se le demuestre si se dispone de las medidas de seguridad oportunas.

Es cierto que la buena fe y la confianza que tienen las personas en las buenas prácticas del tercer sector, lo hacen menos probable que en una empresa de campañas comerciales.

Esta confianza predeterminada, que depositan en la entidad, aunque refuerza más la obligación de ser lo diligente posible.

Sin embargo, se debe poner a disposición de todas las personas un canal donde puedan obtener respuestas a todos sus dudas en protección de datos. Por ello, es necesario disponer de un protocolo de atención al interesado.Y alguien de la entidad que como interlocutor válido que ayude sin vacilaciones.

¿Quienes son las entidades colaboradoras?

Muchos de los proyectos que se realizan desde el tercer sector son mediante la participación y colaboración de varias entidades (incluso de personas voluntarias).

Esto crea una cadena de dependencia entre ellas. Porque sólo que una de las entidades no protege los datos, generarían una amenaza en todo el circuito.

Así pues, es cada vez más habitual (y sería una práctica muy aconsejable), que en los acuerdos de colaboración entre entidades, todas acreditarán el conocimiento y cumplimiento de las medidas necesarias.

En este punto, también sería el momento ideal para establecer los protocolos de seguridad que seguirían las entidades para intercambiarse la información. Evitando mecanismos inseguros como, por ejemplo, el correo electrónico o los documentos ofimáticos convencionales.

¿Quienes son las entidades clientes?

Si la entidad cliente, que quiere contratar una del tercer sector, hace un listado de los requerimientos que se comprobarán uno de ellos será el cumplimiento con las obligaciones de protección de datos.

Es en este momento donde proteger los datos personales también significa una ventaja competitiva.

Por ejemplo, a día de hoy la mayoría de concursos públicos y licitaciones (desde los entes locales hasta los gobiernos y pasando por las diputaciones), solicitan en sus pliegos que los futuros proveedores certifiquen el cumplimiento con las medidas de seguridad de protección de datos adecuadas.

¿Quienes son las autoridades de control?

El legislador regular, hace décadas, la creación de autoridades de control que velaran por la seguridad de la privacidad de las personas. En la unión europea está la EDPS,en España la AEPD y en Cataluña la APDCAT.

Una de sus tareas fundamentales es la de conseguir que todos cumplan el marco legal. Y en caso de incumplimiento tienen el encargo de inspeccionar las causas y razones.

Las cantidades de las sanciones están en función de la gravedad del incumplimiento. Pudiendo llegar a cantidades muy significativas.
Asimismo embargo, las autoridades también son colaboradoras para conocer cuáles son los mejores caminos a seguir para cumplir. Disponen de un canal de consultas abierto a las dudas que puedan tener las entidades. Y así mismo, son el lugar donde deben notificarse las violaciones de seguridad.

 

¿A qué dificultades se enfrenta una entidad del tercer sector cuando intenta proteger los datos?

 

¿A qué dificultades se enfrenta una entidad del tercer sector cuando intenta proteger los datos?

Desgraciadamente son muchos los motivos, por los que las obligaciones de proteger los datos personales puedan retrasarse o aplazarse.
Es evidente que ninguna entidad del tercer sector tiene como principal actividad la protección de los datos personales de los interesados. Por el contrario, los máximos esfuerzos deben orientarse siempre por fortalecer la acción socialprincipal.

La anterior circunstancia puede provocar la comprensible sensación, que derivar recursos hacia la protección de datos es un desperdicio. Por ello, hay que la entidad decida con sinceridad sus intenciones reales.

Es muy tentador llegar a una conclusión del estilo - Cumplir con el 100% es imposible y nos saldría por un ojo de la cara! -. La anterior reflexión desanima y crea la tentación de desistir. Sería una opinión comprensible por parte de los órganos de gobierno de la entidad.

Pero a la hora, también debería reflejar con alguna opinión del estilo - Nuestros usuarios no se merecen que ponemos en riesgo, bajo ningún concepto, los datos que nos confían!.

El equilibrio entre las dos dicotomías anteriores será un trabajo de debate que debe abordar cada entidad.

¿Para que la protección de datos debería ser una prioridad para nosotros?

Si los responsables de una entidad no ven como prioridad básica la protección de datos de las personas. Entonces deberían empezar por decidir en qué orden de prioridades lo ubican.

Hay mucha distancia entre no darle la máxima importancia, o no darle la atención mínima necesaria.

Una buena postura, que compense los anteriores extremos, debe evitar que se ignore o se confíe que nunca se va a sufrir ninguna incidencia.

¿Cuántos recursos son necesarios para proteger los datos?

Proteger los datos personales no es sólo firmar un contrato de confidencialidad o tener un permiso del usuario. Estas sólo son medidas protocolarias de asunción de obligaciones.

Proteger los datos personales es dotarse de los recursos proporcionados que logren asegurar efectivamente el control de la información.

Recursos transversales que van desde los recursos humanos (con personas de la entidad que trabajen por el cumplimiento y se encarguen de esforzarse constantemente), hasta los recursos materiales (como por ejemplo: archivos seguros, salas de reuniones que permitan intimidad, mobiliario con sistemas de cierre, etc.).

¿La ayuda externa significa un gasto muy elevado?

La protección de datos, como muchas otras actividades, se ha mercantilizado. Si una entidad del tercer sector busca asesoramiento externo, se encontrará una cantidad innumerable de empresas consultoras que les ofrecerán sus servicios.

Más allá de valorar qué honorarios son los justos y adecuados. Una entidad debería reflexionar sobre dos asuntos.

El primero, dotarse de personal interno que pueda especializarse en la materia y así poder coordinar su cumplimiento. De esta manera sólo se debería recurrir a la ayuda externa en momentos puntuales (cuando la especialización legal o tecnológica lo hiciera necesario).

El segundo, darse cuenta de que muchas entidades del tercer sector comparten necesidades. Que la redacción de un contrato o la mejora de un programa informático puede ser un beneficio común. Y por lo tanto un gasto compartida.

Tener unos protocolos de tratamiento de los datos personales excesivamente singulares dificultan la estandarización de las medidas de seguridad. Y por lo tanto no se puede dividir esfuerzos con el resto de colegas.

¿Cumplir totalmente con la protección de datos es imposible?

Una entidad del tercer sector debe llevar a cabo muchas obligaciones en protección de datos, por eso necesita un plan deacción.Si no hay un plan que marque objetivos cronológicamente, entonces se observa el cumplimiento como un hito que estará siempre fuera del alcance.

Se debería comenzar por aquellas medidas más urgentes y fáciles de alcanzar. Y así fue evolucionando hasta las más dificultosas.

Es cierto que tal vez algunas medidas pueden significar un esfuerzo desmedido. Por ejemplo, el cambio de un programa informático de gestión de la entidad. Pero en estos casos, es importante tener las carencias identificadas. Y debatir internamente las razones por las que no se puede resolver a corto plazo.

Si los problemas que surgen no se pueden resolver. Entonces se debe buscar la forma menos complicada para esquivar los problemas y hacerlos evitables.

¿Qué personas debe escoger la entidad para coordinar la protección de datos?

 

¿Qué personas debe escoger la entidad para coordinar la protección de datos?

Como en todos los demás aspectos, donde la entidad se responsabiliza de funciones y obligaciones, la entidad debe escoger a qué personas delegar el trabajo.
Las tareas que se deben abordar necesitan de horas y esfuerzos. Y personas que estén formadas, pero sobre todo predispuestas a mejorar el cumplimiento.

Si internamente no hay nadie con los conocimientos oportunos, siempre se puede promocionar o buscar la persona con las aptitudes y cualidades suficientes. Y decidió formarse, por ejemplo a M4Social ya se han realizado dos ediciones de cursos de especialización de 120 horas y numerosos talleres en protección de datos.

Siempre es mejor disponer de una persona interna que no subcontratar el asesoramiento. Porque sigue mejor el latido de la entidad en su día a día. Además conoce la forma de pensar de sus trabajadores, colaboradores y voluntarios. Todo ello la dota de unos valores intangibles que generan muchísimo beneficio.

Pero atención! porque no sólo se debe seleccionar alguien. Sino que se le deben respetar las horas que necesitará para desarrollar sus funciones. Si lo que acaba siendo es una carga añadida y un trabajo que se acumula sobre el anterior, lo más probable es que no acabe haciendo por falta de tiempo.

¿Qué debe hacer la persona Responsable de Seguridad?

La entidad debe nombrar una persona responsable de seguridad para que se encargue de la puesta en marcha de todas las medidas de seguridad que sean necesarias.

Poner en marcha sobre todo significa que consiga coordinar todos los agentes necesarios. Y que se implementen los protocolos que se hayan decidido.

Por ejemplo, el responsable de seguridad se reunirá con los informáticos para validar que las medidas tecnológicas son las adecuadas. Pero también participaría en la elección del nuevo mobiliario o el diseño de los nuevos despachos, para asegurar que el archivo de la documentación es seguro.

La cantidad de trabajo y de interlocutores podría ser demasiado para una entidad mayor. En estos casos, se aconseja crear un comité donde varias personas se puedan repartir las tareas de coordinación.

La persona responsable de seguridad también es el contacto con las personas trabajadoras. Está a disposición de las personas trabajadoras ante cualquier incidencia o duda relacionada con la protección de datos. Y hace de interlocutor con la dirección.

Como buena persona interlocutora, es indispensable que la dirección le reconozca el criterio y tenga suficientes ascendencia para seguir las indicaciones.

¿Qué debe hacer la persona Delegada de Protección de Datos?

La persona Delegada de Protección de Datos es la encargada de supervisar el correcto cumplimiento de la legislación en protección de datos.

Mientras que el Responsable de Seguridad tiene unas funciones ejecutivas de proteger, la figura del Delegado tiene unas funciones de evaluar los niveles de cumplimiento.

Así pues, quien asume el rol de Delegado de Protección de Datos debe estar en contacto permanente y periódico con la dirección y el Responsable de Seguridad.

Para intercambiar opiniones sobre lo que se puede mejorar.

Es obvio que si las funciones de Responsable y Delegado aglutinan en una única persona, entonces hay una falta de imparcialidad para evaluar tareas que desarrolla uno mismo.

¿Cuál es la documentación "mínima" que necesita la entidad?

 

¿Cuál es la documentación "mínima" que necesita la entidad?

Disponer de la documentación inicial en protección de datos es un factor clave para empezar a cumplir las medidas más básicas.
Si la entidad no dispone por ejemplo de las cláusulas informativas correctas tendrá una sensación de incumplimiento, aunque internamente realice todos los esfuerzos para asegurar su información.

Es por ello, que en la puesta en marcha interesa tener: cláusula informativa, deber de secreto profesional, carteles de videovigilancia, nombramientos de Responsable de Seguridad y Delegado de Protección de Datos y política de privacidad de la web.

Sin embargo, aunque es comprensible que estos documentos ofrecen una seguridad, al menos estética, de cara a la sociedad. Son completamente insuficientes si no se acompañan de unos mecanismos de protección reales.

Desgraciadamente son masas las entidades responsables de que se quedan satisfechos con disponer de estos escritos. Y confunden este hecho con que ya lo tienen todo listo.

¿Cómo utilizar la cláusula informativa?

La cláusula informativa es el escrito donde se informa, a la persona usuaria del servicio, del motivo por el que se quieren recoger sus datos. Y se le traslada el compromiso de guardar el secreto.

Pero en la cláusula informativa también se ha de ofrecer un canal de contacto con la entidad. Donde se pueden resolver las dudas que surjan.

Una de las circunstancias más trascendentes de la cláusula informativa es que su comprensión debe adecuarse al lector. No se debe utilizar un lenguaje técnico que dificulte la comprensión o provoque trabas. Al contrario! Cuanto más llano, sincero y comprensible más fácil será que el interesado obtenga confianza.

Por otra parte, la cláusula informativa debe ofrecerse en el momento embrionario del contacto. Debe ser antes de recibir o solicitar datos.

¿Cómo utilizar el deber de secreto profesional?

El deber de secreto profesional es el documento donde se explican las obligaciones de todas las personas trabajadoras.
No deben ser las mismas obligaciones para todos. Sino que dependen de un organigrama. En función de los datos a las que deban tener acceso se les pedirán más o menos obligaciones.

Es importante que, gracias a este documento, quede bien especificado que el deber de secreto no se agota a pesar de que acabe la relación laboral.
Y también es el momento ideal para informar con qué persona deben ponerse en contacto si tienen alguna incidencia (Responsable de Seguridad y / o Delegado de Protección de Datos).

En este documento no es el momento más adecuado para acomodar otros problemas laborales.

Si por ejemplo, hay trabajadores que en lugar de trabajar con el ordenador lo aprovechan para jugar en Internet, y se quiere aprovechar este documento para incluir prohibiciones. Entonces se corre el riesgo de encontrarse con el rechazo de los trabajadores y que consideren que sus obligaciones en protección de datos les provoca un exceso de control laboral.

¿Cómo utilizar los carteles de videovigilancia?

Las entidades que por razones de seguridad hayan instalado cámaras de videovigilancia, deberán colocar carteles informativos que estén visibles en todas las áreas.
Los carteles se colocarán en una ubicación que se anticipe a la grabación. Si por ejemplo, se pone una cámara en el vestíbulo, entonces se incluiría el cartel a la entrada del vestíbulo. De esta manera la persona afectada de la grabación sería libre de no acceder.

Es importante recibir un certificado por parte de la empresa instaladora. Donde se indique que el sistema tecnológico que instalan y el soporte técnico están certificados y cumplen con la legislación en Protección de Datos.

¿Cómo utilizar los nombramientos?

En preguntas anteriores han identificado las figuras del Responsable de Seguridad y el Delegado de Protección de Datos. Una vez escogidas las personas más oportunas, deberán firmar sus documentos de nombramiento.

Estos nombramientos sirven para asumir los compromisos.Y debido a que desarrollarán la responsabilidad más elevada en protección de datos, debe acompañarse con seguir sus opiniones.

Asimismo, la entidad deberá notificar a las Autoridades de Protección de Datos la identidad de la persona Delegada de Protección de Datos. Las autoridades contactarían con esta si se produjera alguna incidencia grave (como por ejemplo la denuncia de un ciudadano para con la entidad).

¿Cómo se ha de utilizar la política de privacidad?

La política de privacidad es un documento público que sirve para que la entidad traslade a la sociedad su idea sobre la privacidad y el compromiso que quiere alcanzar. Así pues, interesa rehuir escritos genéricos que todo el mundo se copia. Seguro que la entidad tiene sus peculiaridades y su opinión genuina sobre el derecho a la intimidad de sus usuarios. Así pues, se debe aprovechar la política de privacidad para que se conozca su opinión, interés y virtudes.

La política de privacidad es bueno publicarla en la web de la entidad, en un lugar digno y accesible desde todos los rincones donde se soliciten datos (como por ejemplo los apartados de «contacto con nosotros»).

La política de privacidad también es el lugar ideal para presentar la persona Delegada de Protección de Datos y los canales para resolver y atender sus dudas.

¿Cuál es la documentación más "complicada"?

 

¿Cuál es la documentación más "complicada"?

El esfuerzo que significa la adaptación a las medidas de seguridad no sólo se debe a la elección de las tecnologías más adecuadas. Sino también a la realización de un conjunto de documentos que requieren una profunda investigación de cómo se tratan.

Todo este esfuerzo después obtiene la recompensa. Porque gracias a ello se descubren los circuitos exactos que realizan los datos y, en su caso, se identifican las mejoras que podrían aplicarse.

Tampoco hay que olvidar que debido a las características de las entidades del tercer sector, donde se tratan datos especialmente sensibles de las personas, disponer de esta documentación «actualizada» es primordial.

Por tanto, el reto es doble. Porque primero se necesita confeccionar la documentación y posteriormente que refleje un contenido que no esté obsoleto.

¿Qué sirven los contratos de encargado del tratamiento?

Los contratos de encargado del tratamiento son los pactos de protección de datos que se han de firmar con los proveedores, empresas o autónomos, que presten un servicio o producto que involucre el tratamiento de datos personales.

Por ejemplo, una empresa de servicios informáticos que haga un mantenimiento de los ordenadores o provea de un programa donde habrá datos personales, suscribirá un contrato de encargado del tratamiento.

También se debería firmar un contrato de encargado del tratamiento si la entidad del tercer sector subcontrato un técnico especialista, por ejemplo un psicólogo, para asistir a las personas.

Los contratos de encargado deben incluir los datos de las dos partes y una descripción donde se indique qué datos personales se tratarán y por qué motivo. Asimismo el contrato de encargado debe especificar si se autoriza a que exista una subcontratación por parte del proveedor. Y en caso afirmativo, indicar cuáles son las identidades de las empresas o personas sub-subcontratadas.

En cambio, si una empresa ofrece un servicio donde tiene sólo un acceso potencial a los datos pero no necesita acceder para prestar sus servicios. Entonces tendría que firmar sólo un compromiso de confidencialidad (un contrato simplificado).

Por ejemplo, un servicio de limpieza seguramente tiene las llaves de las instalaciones y accede a todos los despachos y rincones. Puede ver documentos o tener acceso a ordenadores. Pero como la limpieza la podría realizar sin tratar datos, entonces sólo necesita un contrato de compromiso de confidencialidad.

Cabe destacar la colaboración que a menudo puede existir entre entidades del tercer sector, para participar conjuntamente en la asistencia a las personas, y el intercambio de información que estos proyectos implican. Provocando que las entidades sean encargadas del tratamiento mutuamente y, que por tanto, tengan que firmar estos contratos entre ellas.

Y por último, el momento más interesante es cuando una entidad del tercer sector se convierta en encargada del tratamiento de algún cliente suyo. Por ejemplo, si un Ayuntamiento contrato una entidad del tercer sector. Entonces la entidad es encargada del tratamiento del Ayuntamiento. Disponer, por adelantado, de este contrato le demostraría en el cliente (en este ejemplo el Ayuntamiento) el compromiso en el cumplimiento de las obligaciones.

¿Para qué sirve el Registro de Actividades del Tratamiento?

El Registro de Actividades del Tratamiento (RAT) es un inventario detallado de todos los tipos de tratamiento de datos personales que realiza la entidad.
Seguro que el tratamiento más crítico e importante es el de los datos personales de los usuarios de los servicios sociales.

Pero probablemente, también se tratan datos personales de los: trabajadores, personas de contacto, colaboradores, lectores de revistas, voluntarios, etc.
En el RAT se indicarán, uno por uno, todos los anteriores tratamientos. Y realizar una descripción resumida y esquemática de cómo se tratan los datos personales.

Desde el punto de vista práctico es el documento nuclear de la protección de datos. Porque con un vistazo se puede descubrir cuáles son los datos personales que la entidad trata, de qué tipo de personas trata los datos, qué datos solicita y qué circuito siguen los datos dentro de la entidad.

Cabe destacar que en el RAT deben aparecer no sólo los tratamientos de datos personales, donde la entidad sea responsable, sino también encargada. Por ejemplo, si la entidad está tratando datos en un servicio de un ente público. Entonces en el RAT el tratamiento de los datos de este proyecto concreto también deben aparecer (indicando que el ente público es: responsable, y la entidad del tercer sector: encargada).

¿Para qué sirve el Plan de Seguridad?

Como en todas las facetas de organización y gestión, planificarse es fundamental. El Plan de Seguridad, que lo coordina la persona Responsable de Seguridad, es la hoja de ruta de la entidad. Ideal para saber en qué punto se encuentra en el logro de las metas necesarias en protección de datos.
Este documento debe permitir entender el porque se han tomado ciertas decisiones en el pasado. Por ejemplo, es donde se justificaría porque se escogió e implementar un sistema de copias de seguridad.

Y también descubrir las tareas que aún quedan por llevar a cabo. Como por ejemplo, proponer una propuesta de mejora en el mobiliario de los despachos donde se archiva la documentación, si actualmente no se pudiera cerrar con llave.

La redacción del plan de seguridad quizás recae sobre la persona responsable, pero ésta debe recibir información de todos.Esto quiere decir, que todas las personas involucradas pueden ayudar muchísimo si el revisan y aportan su opinión. Un debate y diálogo entre las personas trabajadoras y la responsable, permite que se refleje mejor la realidad y se planifiquen las medidas correctoras adecuadas.

¿Para que sirve la Evaluación de Impacto de Protección de Datos?

Las entidades del tercer sector es muy probable que necesiten tratar datos que se consideran «especiales»: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales.
También es muy probable que se traten datos de colectivos vulnerables: menores, personas con enfermedades mentales, solicitantes de asilo, personas ancianas, pacientes, inmigrantes, personas en situación de pobreza, etc.

Las anteriores circunstancias implican que se deba realizar un estudio que se conoce como una Evaluación de Impacto de Protección de Datos (AIPD).
Una AIPD es una evaluación donde la entidad tiene que revisar todos sus protocolos, el camino que seguirán los datos en todo momento y encontrar todos los posibles riesgos.

En teoría la evaluación sería necesario realizarla antes de que la entidad iniciara su actividad y empiezas a recoger datos. Un evaluación preventiva permitiría que la entidad, antes de iniciar su actividad, ya recapacite sobre las potenciales amenazas que implicaría algún método en concreto. Y entonces se replantearía y corregiría a priori.

En la práctica, como la mayoría de entidades del tercer sector ya están realizando los tratamientos de datos, desde hace tiempo, la AIPD se convierte en un estudio que repasa las formas de trabajar actuales y plantea como mejorarlas.

Evidentemente, corregir unas prácticas que ya se hayan adquirido por costumbre es más difícil que enderezarse desde el inicio. En esta situación las conclusiones de la evaluación deben impulsarse desde los máximos órganos de gobierno.

¿Qué protocolos, hábitos y costumbres pueden ser más útiles?

 

¿Qué protocolos, hábitos y costumbres pueden ser más útiles?

Para proteger los datos de las personas no sólo se puede confiar en ciertas medidas técnicas y legales. Aunque la entidad tuviera los mejores documentos legales y las mejores medidas informáticas ... serían inútiles si las personas que accedieran a la información no fueran celosas de protegerla especialmente.

La mejor manera de proteger la información, aunque no se disponga de las mejores instalaciones o infraestructura técnica, es el compromiso de quien trata los datos. Que las protegerá y se esfuerza para guardarlas secretas.

La mejor inversión, que la entidad puede hacer, es definir cuáles son los códigos de conducto que internamente implementarán las personas autorizadas a acceder a los datos personales.

¿Cuánto tiempo y esfuerzo necesite las personas Responsables de Seguridad o Delegadas de Protección de Datos?

El tiempo exacto hace difícil decir, porque depende de la complicación de los tratamientos de datos personales de cada entidad.

No se debe confundir entre la complicación y la magnitud. Una persona Responsable de Seguridad que tenga unos tratamientos más críticos, con un sistema de información más enrevesado y unos protocolos más complicados, tendrá que invertir más tiempo. Sin ser tan primordial la cantidad de datos y / o personas.
Así pues, la simplificación en el tratamiento permite reducir el tiempo necesario, a pesar de que la entidad fuera de las más grandes de Cataluña.

Sin embargo, hay unos mínimos que serán comunes en todos los casos. Las personas que coordinan la protección de datos deben confeccionar la documentación. Por ejemplo: el registro de actividad del tratamiento, la evaluación de impacto y el plan de seguridad. Que consumen suficiente tiempo como para necesitar, como mínimo, 2 horas semanales.

Por otra parte, también deberán atender el canal de incidencias de los trabajadores y consultas de los usuarios. Que pel cap baix pot requerir 2 hores setmanals (considerant que la majoria de consultes o incidències seran comunes a les anteriors ja resoltes).
I per últim, els Responsables i els Delegats de Protecció de Dades han de programar-se reunions periòdiques de revisió (d'una durada aproximada de 2 hores). I el seguiment del compliment amb els òrgans de direcció que també signifiquen, com a mínim, de 2 hores de dedicació mensual.

Amb tot això, queda clar que assumir aquestes funcions és una sobrecàrrega que ha de contemplar-se. I ha d'assegurar-se de que les persones disposin del temps necessari. Sinó enlloc de millorar, pot acabar provocant una falsa sensació de seguretat.

¿Cómo se pueden formar a las personas trabajadoras?

La protección de datos personales comienza por la implicación de las personas que las tratan.
Verdad que sería ridículo hacer un esfuerzo en medidas de seguridad, si después los técnicos hicieran lavadero con parientes y amigos sobre las personas que tratan a su trabajo?

Por ello, se debe concentrar el esfuerzo en una política de recursos humanos que vele por la seriedad, compromiso y valía de las personas que participen.
Durante la selección del personal se debe incluir unos indicadores que permitan verificar la capacidad de mantener el secreto profesional.
Hay características humanas que deben ser una condición inicial. Un trabajador que cuelgue al «Instagram» fotografías intimidades de sus amigos y familiares, es posible que también lo haga con personas que conozca en el trabajo.

La responsabilidad no sólo es del trabajador cuando incumple el deber de secreto. Sino también de la entidad, por haberle dado la confianza de ocupar ese puesto de trabajo. Así pues, la premisa sería seleccionar sólo personas con una especial sensibilidad por la privacidad y dignidad.
Posteriormente es cierto, que también son útiles los planes de formación y sensibilización de bienvenida. Donde las personas trabajadoras pueden conocer, qué protocolos se han establecido en la entidad que los ayudan a proteger la información (tanto aspectos organizativos como informáticos).
Y sobre todo que sepan donde pueden dirigir cualquier duda. Y conozcan como recibir ayuda del Responsables de Seguridad y del Delegado de Protección de Datos.

¿Cómo se puede mejorar el interés de los trabajadores?

Habitualmente las trabajadoras y trabajadores del tercer sector tienen una especial sensibilidad para proteger a las personas.
Este aspecto se puede aprovechar, muy fácilmente, para hacer nacer y crecer su interés con el derecho a la intimidad. Serán, sin dudas, los primeros en reconocer que detectan un exceso en la explotación de datos personales que afectan a la libertad.

Esta situación general se ha producido con el estallido de las redes sociales y el uso masivo de la telefonía móvil. Y seguro, afecta también a las entidades del tercer sector. Las trabajadoras y trabajadores deberían velar por que la entidad fuera un oasis de respeto y compromiso sobre la privacidad. Donde nadie por el hecho de recibir ayuda del tercer sector pueda perder un ápice de intimidad.

Siempre habrá el espacio al error, es comprensible. Pero una falta de ética en protección de datos debería comportar que internamente, las compañeras o compañeros de trabajo supieran que se notificarálaincidencia.Una persona que identifique una incidencia y no la notifique, no sólo sería cómplice, sino que iniciaría un deterioro en el derecho a la intimidad de las personas usuarias. Proteger los datos personales es un trabajo de equipo.

Es una necesidad fundamental de la entidad conseguir un entorno de confianza suficiente. Y si alguien detecta una mala práctica profesional pueda notificarla. Sólo de esta manera los Responsables de Seguridad pueden decidir la mejor manera de evitar la reiteración del error.

¿Cuáles son las carencias de seguridad reales?

Un buen trabajo de concienciación con las personas trabajadoras de la entidad, asegura que notificarán incidencias cada vez que se produzcan. Una incidencia es una situación que puede empeorar o arriesgar la dignidad y privacidad de una persona usuaria.

Así pues, si las incidencias llegan a través del canal escogido (llamada, e-mail, mensaje corto, etc.), es fundamental darle la máxima importancia para estudiarla.
Sería descorazonador que dieran cuenta de que después de haber avisado sobre una situación de amenaza finalmente no se corrigiera nada. De hecho lo que provocaría sería un deterioro en la relación de confianza, y una desmotivación para notificar incidencias en el futuro.

Un buen indicador de salud en protección de datos es que la entidad se pregunte cuantas incidencias han notificado sus trabajadoras y trabajadores en el último año.

Si la respuesta es que pocas, o ninguna, entonces hay mucho trabajo por hacer.

Alguien se puede creer que las personas técnicas de la entidad no sufren incidencias o dudas a menudo? Si estas dudas no se vehiculan, ni se conocen, terminan significan una amenaza potencial que conviene evitar.

¿Cómo se certifica el cumplimiento?

 

¿Cómo se certifica el cumplimiento?

Cuando se realiza un esfuerzo es magnífico poder lucir el resultado.
Al igual que un alumno se enorgullece de sus notas. Una entidad, que cumpla con la protección de datos, también debe tener un documento que lo demuestre.
Hay diferentes caminos para certificar el cumplimiento. Y todos ellos son de máxima utilidad para transmitir el grado de confianza que los usuarios buscan cuando se acercan a la entidad.

Pero también implica una ventaja ante la inevitable comparación con otras entidades.

Quién cree que aconsejaría escoger el Responsable de Seguridad, de un ente local, si se ha de iniciar un proyecto del tercer sector y se busca una entidad o fundación colaboradora? Sin duda, una certificación siempre suma y juega a favor.

¿Se han sufrido violaciones de seguridad anteriormente?

Una entidad del tercer sector puede acreditar que en todos sus años de existencia no ha sufrido ninguna violación de seguridad ni fuga de información. Esta información se puede destacar y poner a disposición de los agentes que le rodean.

Es quizás una fórmula poco objetiva de certificar el cumplimiento. Porque la ausencia de fugas de información puede haber sido causada por la suerte, o incluso desconocer si se ha producido.

Pero a pesar de tratarse de una información subjetiva, y originada por parte de la entidad, si que es relevante.De hecho las entidades tienen la obligación de notificar una violación de seguridad a las Autoridades de Protección de Datos, como máximo, 72 horas después de detectarla.

Los campos en los que se puede producir una violación de seguridad son muy variados. Desde un virus informático, hasta un trabajador que lleva información, etc.
No haber sufrido revela que la entidad es preocupa de la protección en muchos aspectos diferentes.

¿La Delegada de Protección de Datos puede realizar un informe favorable?

La persona elegida para realizar las funciones de Delegado de Protección de Datos tiene la obligación principal de supervisar el nivel de cumplimiento en materia de protección de datos.

El trabajo de supervisión incluye la elaboración de informes sobre el estado de cumplimiento de la entidad. Así pues, los informes son una herramienta ideal para poder rendir cuentas con quien lo solicitara y ponerle a disposición esta documentación.

Además, como que la supervisión es continua y evolutiva, el histórico de informes emitidos por el Delegado aportan datos sobre los pasos y decisiones tomadas a lo largo del tiempo. Y por lo tanto, se demuestra el grado de compromiso y diligencia para mejorar o corregir las carencias y nuevos requerimientos que aparecen.
Por otra parte, entre las funciones del Delegado también están las de atender a la sociedad y las Autoridades. Su opinión, que necesariamente debe evitar el conflicto de intereses, es altamente valorada.

La entidad debe defender la independencia del Delegado. Y permitir que obtenga información sin limitaciones y dé opiniones sin presiones.

¿Es necesaria una auditoría?

Una herramienta útil para demostrar el nivel de cumplimiento en protección de datos es la realización de una auditoría.
Las auditorías pueden plantearse internas (realizadas por personal propio de la entidad), o externas (realizadas por auditores externos).

Cada opción tiene sus ventajas. Mientras que un auditor interno conoce mejor las interioridades de la entidad, el auditor externo es menos influenciable.
Sea como fuere, el resultado final de una auditoría es un resumen ejecutivo donde se identifica su alcance y los incumplimientos que se han detectado.

A pesar de que la auditoría no salga del todo favorable. El propio esfuerzo, de su realización periódica, demuestra una preocupación pro-activa y es percibida como un interés de mejora continua.

¿Se está adherido a un código de conducta?

Las entidades del tercer sector tienen una alta tradición de unirse y coordinarse para compartir objetivos, visiones y misiones.

El código de conducto permite disponer de un documento que presenta las medidas comunes entre todas las entidades adheridas.

Una vez publicado, la sociedad puede corroborar cuál es el común denominador y el grado de exigencia que se han marcado.

¿Cuándo se acaba el trabajo?

 

¿Cuándo se acaba el trabajo?

El cumplimiento en protección de datos no es una excursión que tiene unos puntos de inicio y final. No debe enfocarse como un proyecto delimitado en el tiempo, debe implementarse como un proceso continuo dentro de la entidad.

Al igual que la entidad nunca dejará de realizar las tareas fiscal, que sean necesarias, tampoco olvidará las relacionadas con proteger los datos.

Algunas de las tareas continuas más relevantes son: la revisión de incidencias, los simulacros de consultas de usuarios (para ver cómo se les atendería), o la actualización del plan de seguridad (para revisar si han aparecido mejoras que pueda incrementar la protección los datos).