Protecció de dades

98416028_l-1200x600

Les organitzacions sense ànim de lucre estan obligades a complir amb la Llei Orgànica de Protecció de Dades, LOPD, en la mateixa mesura que la resta d’entitats i institucions. Si coneixeu l’àmbit d’actuació d’aquestes organitzacions, sabreu que en molts casos treballen amb col·lectius vulnerables. Per això, han de tenir especial cura amb les seves polítiques de protecció de dades de caràcter personal.

Si formeu part d’una associació o fundació, potser us dediqueu al treball directe amb persones grans, menors en situació de desprotecció, persones amb discapacitat, reclusos o ex-reclusos, víctimes de violència de gènere, etc… També hi ha organitzacions d’aquest tipus on es treballa amb minories racials, addictes a les drogues, col·lectius en risc de marginalitat ja sigui per causes polítiques, religioses, per la seva orientació sexual, per la seva condició migrants, de refugiats, per tractar-se de persones amb malalties infeccioses… En tots aquests casos i altres de col·lectius especialment vulnerables heu extremar les precaucions quan tracteu amb dades personals.

Nivell de seguretat

Tant la LOPD com el Reglament General de Protecció de Dades, RGPD, amb entrada en vigor el 25 de maig de 2018, cataloguen les dades personals que fan referència als col·lectius abans anomenats, amb el major nivell de seguretat requerida a l’hora de ser tractats. Una errada o bretxa de seguretat en el tractament de dades que faci referència a, per exemple, la ideologia, situació de salut, condició sexual, religió o situació penal d’una persona, pot comportar multes de la més alta quantia previstes en la legislació. A més, encara que la legislació vigent fa caure tot el pes de la responsabilitat en l’organització per a la qual treballeu, si sou vosaltres qui heu comès l’errada, la vostra organització o entitat també pot demanar-vos responsabilitats pel succeït.

Per això és important ser-ne conscients de la importància de la informació que tracteu i fer-la servir amb coneixement, ja què hi ha errades que poden posar en perill l’estabilitat econòmica i la continuïtat de la vostra entitat.

Les entitats sense ànim de lucre no tenen l’obligació d’una consultoria de protecció de dades, tot i que moltes de les que tracten dades especialment sensibles contracten consultories de protecció de dades per fer un diagnòstic de la situació dels seus sistemes de tractament de dades, aplicar les mesures pertinents i assessorar-se en els temes més importants. Aquestes consultories també solen realitzar accions formatives per al personal de les organitzacions sense ànim de lucre, amb l’objectiu que no incorrin en errors a l’hora de tractar dades.

Protecció-de-Dades-1024x768

Fins l’any 2018, era la LOPD la legislació vigent en matèria de protecció de dades de caràcter personal. No obstant això, després de l’entrada en vigor del RGPD, hi ha una sèrie de modificacions que també les organitzacions sense ànim de lucre han de contemplar.

El nou reglament introdueix drets com el de l’oblit i el de la portabilitat, el que suposa transferir més poder cap al ciutadà per controlar millor les seves dades quan apareixen a Internet o en els llistats d’alguna empresa.

  • Oblit: l’article 17 diu que la persona interessada pot sol·licitar a una companyia o entitat que esborri les seves dades personals emmagatzemades.
  • Portabilitat: l’article 20 del RGDP diu que els ciutadans poden sol·licitar l’entrega de les dades personals que una determinada empresa o entitat pugui tenir sobre ells.

Les organitzacions també han de comunicar a l’Agència Espanyola de Protecció de Dades (AEPD) les dades que tenen (fitxers) i el suport en que els manegen.

Mesures

Els responsables de les organitzacions heu d’assegurar-vos de complir amb les següents mesures:

  • Diagnòstic de la situació de seguretat i protecció de dades a la vostra entitat.
  • Document informatiu on es reflecteixi la ubicació dels fitxers i els accessos als mateixos, a més de les persones autoritzades.
  • Tenir un Delegat de Protecció de Dades. És una figura de recent creació, mitjançant el RGPD, encara que amb la LOPD el seu nom era Responsable de Seguretat. És la persona o persones responsables del fitxer de dades.
  • Formar i informar els treballadors per al compliment de la legislació i els protocols de seguretat necessaris.
  • Actitud activa, preventiva i vigilant, en relació al compliment dels requeriments necessaris.

Fitxers

Les dades personals sensibles es coneixen com fitxers, segons la terminologia de la LOPD i el RGPD. A continuació teniu un llistat dels principals tipus de dades que habitualment es manegen en les organitzacions sense ànim de lucre i que es consideren sensibles:

  • Dades de col·laboradors, voluntaris, usuaris, junta directiva, quadre tècnic de l’entitat.
  • Dades econòmiques, personals i laborals dels socis.
  • Dades personals d’usuaris (informes socials, valoracions de discapacitat, recursos i documentació legal).
  • Dades econòmiques de proveïdors i clients.
  • Dades personals i laborals dels treballadors/es.
  • Informació professional i personal dels demandants d’ocupació (és a dir, currículums).
  • Dades comercials per a l’enviament de campanyes publicitàries.

Totes aquestes dades han d’estar a un emplaçament localitzat i han de ser tractats només pel personal de l’entitat autoritzat per a això. S’han d’emmagatzemar amb una finalitat concreta i eliminar-se en el moment en què aquesta finalitat expiri. Són dades personals totes aquelles que ofereixin informació sobre la identitat d’una persona, ja siguin escrits, fotografies o àudios.

Consentiment

El consentiment és un concepte bàsic quan es tracta amb dades personals. El nou reglament endureix les condicions necessàries per poder manejar aquest tipus d’informació i la persona titular ha de donar el seu consentiment explícit, voluntari i de forma clara, per a uns fins determinats, que se li han de comunicar des de l’organització. A més, aquest consentiment ha de ser registrat, ja sigui per escrit o per un àudio gravat.

En el passat, es considerava que un silenci podia considerar-se, en alguns casos, com una autorització tàcita. Ara això no ja és possible i s’ha de donar una autorització expressa i clara per utilitzar unes dades determinades. És a dir, si s’envia un correu electrònic demanant autorització per enviar un butlletí informatiu mensual, el destinatari ha de contestar-vos amb una autorització expressa per correu o un àudio gravat. Si no us contesta, no podreu considerar que el destinatari us ha autoritzat amb el seu silenci.

366934538749604208.autorizaciones.jpg_pixelX_514x272

Documents d’interès sobre protecció de dades

Podeu trobar més informació a la web de l’Agència Espanyola de Protecció de Dades (AEPD).