Llei de protecció de dades

Dissabte, 1 juliol 2017

L'Ens de l'Associacionisme cultural català ens ha fet arribar aquestes reflexions i puntualitzacions sobre la llei de protecció de dades. Creiem que pot ser del vostre interès fer-ne una lectura.

Les entitats culturals tenen accés a una quantitat ingent d’informació. Una responsabilitat que obliga a tenir molta cura sobre el tractament que fem de les dades personals, mantenint un escrupolós respecte per la Llei Orgànica de Protecció de Dades 15/1999.

 

TRACTAR CORRECTAMENT LES DADES PERSONALS

S’entén per “dada personal” tota aquella informació que pugui identificar una persona:

  • Nom i cognoms
  • Documents acreditatius (DNI, NIE, NIF)
  • Adreces físiques
  • Telèfons i adreces de correu electrònic
  • Fotografies on es pugui reconèixer clarament algú
  • Veu a través de la qual es pugui reconèixer algú
  • Dades genètiques, mèdiques o biomètriques
  • Dades referides a creences, filiació política o sindical
  • Dades referides a la raça.

 

La llei estableix un sistema de protecció major envers aquelles dades considerades més sensibles (afiliació, creences, ideologia, etcètera). Com a regla general, sempre que s’obtinguin dades personals s’haurà d’informar de tres característiques bàsiques:

  • quina entitat es responsabilitza de l’emmagatzematge de les dades,
  • quins són els drets dels usuaris respecte de les mateixes, i
  • per quina finalitat s’han recollit.

Totes les entitats que obtenen dades personals, ho han de comunicar al Registre de Protecció de Dades de Catalunya. Podeu fer-ho seguint els passos explicats en aquest enllaç. Ull! No fer-ho pot comportar sancions entre 900€ i 40.000€.

Totes les dades personals recollides hauran de ser recollides en fitxers independents segons la finalitat per la qual han estat obtingudes. Aquestes dates podran ser sol·licitades per l’esmentada ACPD per verificar que siguin correctament tractades.

Les dades recollides per les entitats han de garantir uns requisits legals. Lluny de limitar-se a aconseguir el consentiment de la persona que cedeix algunes de les seves dades de personals, és necessari complir els següents criteris:

 

OBTENCIÓ DE LES DADES

  • Que hagin estat obtingudes de manera lícita i legal
  • Només es podran recollir aquelles dades necessàries per la finalitat que perseguim. No podem sol·licitar informació complementària. Aquestes dades, per altra banda, només podran ser utilitzades per la finalitat que s’hagi informat a la persona.
  • Les dades hauran de ser contínuament actualitzades perquè responguin a la veritat
  • Caldrà eliminar les dades quan aquestes hagin deixat de tenir una vida útil
  • Tenir el consentiment de la persona afectada.
  • Quan una persona tingui menys de catorze anys, caldrà el consentiment dels pares o tutors.

 

PROTECCIÓ DE LES DADES

Deure de secret. Les persones que tracten dades no poden publicitar-les en cap circumstància, encara que ja no treballin o participin en l’entitat que les ha sol·licitat.

Consentiment per a la comunicació de dades a tercers. Les dades no poden cedir-se sense un consentiment previ de la persona afectada. En aquest consentiment, també s’haurà d’informar a qui se cedeixen, quins drets mantenen respecte de les mateixes, i amb quina finalitat ho fan.

Document de seguretat. Elaborar un document que especifiqui quines polítiques segueix l’entitat en aquesta matèria. En aquest document, s’especificarà quines persones són responsables dels fitxers, i quines estan autoritzades a accedir-hi. El Document de seguretat s’ha de renovar cada dos anys. S’ha d’informar a totes les persones que tinguin accés a dades de caràcter personal quines conseqüències té l’incompliment de les mesures dictades en el Document de seguretat.

Notificació dels Drets ARCO. Les persones han de conèixer i poder exercir el Dret d’Accés, el Dret de Rectificació i Cancel·lació, i el Dret d’Oposició de manera gratuïta. Tanmateix, hauran de reclamar aquests drets, com a màxim, 10 dies després d’haver autoritzat la informació.

ALGUNES RECOMANACIONS BÀSIQUES:

1. Mantenir els correus electrònics en l’anonimat. S’han d’enviar els correus electrònics sempre en còpia oculta.

2. En esdeveniments públics a porta tancada, les fotografies no es poden mostrar les cares dels assistents. És recomanable que els membres de la Junta Directiva de la vostra entitat, i totes aquelles persones que considereu d’interès, firmin aquest formulari

3. Deure de secret. Per tal de complir aquest requisit, totes les persones que pertanyin a la Junta Directiva de l’entitat s’han de comprometre a no fer públiques aquelles dades que, per la seva responsabilitat, han tingut accés.

4. Xifrar documents de seguretat. És important que cada empleat o directiu faci ús d’un ordinador compartit mitjançant una sessió pròpia. D’aquesta manera, s’evita que algunes persones accedeixen a dades per les quals no estan autoritzades. També es recomana prendre altres mesures de seguretat complementàries, com ara xifrar amb contrasenya l’accés aquells documents especialment sensibles.

5. Destrucció dels documents. Els documents que continguin dades de caràcter personal hauran de ser eliminats mitjançant una destructora de papers i/o cedés compactes.

6. Còpies de seguretat. Setmanalment es realitzarà una còpia de seguretat dels fitxers que continguin dades personals, a excepció que no hagin sigut actualitzats en aquell període. El responsable del fitxer avaluarà cada 6 mesos que el procés d’emmagatzematge de la informació és correcte.

 

CONSIDERACIONS BÀSIQUES QUE HA D’EXPLICAR EL DOCUMENT DE SEGURETAT

Algunes de les dades més importants que haureu d’exposar en el Document de seguretat són les següents:

  • Descripció dels fitxers: Nom dels fitxers, finalitats o usos previstos, cessions, transferències internacions, procediment de recollida de les dades, servei on s’han d’exercir els drets ARCO, etcètera
  • Definir funcions i obligacions de cada usuari amb accés a les dades de caràcter personal. Definir “Responsable de Seguretat”, així com les autoritzacions pel tractament de dades.
  • Definir controls d’accés als fitxers.
  • Registre d’incidències. Caldrà anotar totes les incidències que afecten les dades de caràcter personal en un registre, on hi consti: quan s’han produït o detectat, la persona que realitza la notificació, a qui se li comunica, les conseqüències que la incidència ha generat i les mesures correctores que s’han pres.
  • Mesures de protecció. Establir la periodicitat amb la qual es canviaran les contrasenyes usades per accedir als documents de seguretat
  • Definir procediments per una auditoria interna o externa. L’informe de l’auditoria analitzarà l’adequació de les mesures a la Llei, identificarà les mancances i proposarà mesures correctores.

 

L’elaboració del Document de Seguretat ha de seguir el model fixat per l’Agència Espanyola de Protecció de Dades.

1.- Àmbit d’aplicació del document

Quins fitxers es tracten? De quina naturalesa són? (Automàtica, Manual o Mixt)

2.- Mesures, normes, procediment, regles i criteris encaminats a garantir els nivells de seguretat.

  • IDENTIFICACIÓ I AUTENTIFICACIÓ. Com s’identifiquen les persones que poden accedir a documents amb dades personals? Si s’identifiquen mitjançant contrasenyes, com s’emmagatzemen amb seguretat aquestes contrasenyes? Amb quina periodicitat es canvien?
  • CONTROL D’ACCÉS Quins usuaris poden accedir a determinats fitxers? Quina persona pot autoritzar l’accés a un fitxer? Quin procediment s’ha de seguir per sol·licitar l’accés a un fitxer?
  • GESTIÓ DE SUPORTS I DOCUMENTS. Com s’identifiquen els documents que contenen informació personal? A quin inventari s’ha procedit? Quines mesures es prendran si una persona sense accés autoritzat ha d’accedir, per raons d’urgència, a un fitxer? Quins documents no poden ser inventariats?
  • EMMAGATZEMATGE I CUSTODIA DE LA INFORMACIÓ. Quines tecnologies s’utilitzaran per emmagatzemar la informació? Certificar que les dades en tramitació seran protegides per la persona que realitza la gestió. Certificar que les dades enviades telemàticament seran protegides amb un xifratge. Si es tracta d’informació física, en quins locals podrà ser consulta? Si aquesta informació es trasllada, com s’evitarà que es consultin les dades personals?
  • CÒPIES DE SUPORT. Amb quina periodicitat es fan?

 

3.- Informació i obligacions del personal

Com s’ha informat al personal que tracta amb dades personals de les normes que han de complir i de les conseqüències de no fer-ho? Quines mesures s’han dut a terme per recordar periòdicament aquestes obligacions? Quines funcions i obligacions tenen totes les persones que tracten amb el fitxer (informàtics, administratius, responsable seguretat, etcètera)?

Certificar que, en els contractes amb empreses o entitats externes, s’exigeix el compliment de la Llei Orgànica de Protecció de Dades. Certificar delegacions realitzades pel responsable del fitxer.

4.- Processos de notificació, gestió i resposta a les incidències.

Es considera incidència qualsevol incompliment del Document de seguretat o qualsevol acció que pugui comprometre la protecció de les dades personals.

Quin procediment se seguirà per notificar una incidència? Quina persona, i de quina manera, la gestionarà? Com s’articularà el registre d’incidències?

5.- Mesures de revisió

Quins procediments s’han d’emprendre per modificar el Document de Seguretat? Quines persones poden proposar i aprovar aquesta modificació? Quins procediments s’executaran per iniciar una auditoria (amb una periodicitat menor a dos anys)? Quin procediment regularà la presa de mesures correctores?

A continuació, haureu d’adjuntar els següents annexos:

1. Descripció dels fitxers

2. Nombramientos

3. Autoritzacions de sortida o recuperació de dades

4. Delegació d’autoritzacions

5. Inventari de suports

6. Registre d’incidències

7. Encarregats del tractament

8. Registre d’entrada i sortida dels suports

9. Mesures alternatives