Saltar al contenido

PROTECCIÓN DE DATOS

Protección de datos de Asociación Aliento

Adecuación al R.G.P.D. y L.O.P.D.G.D.D.

  1. Introducción
    ASOCIACIÓN ALIENTO, es una ONG constituida bajo la legislación española, domiciliada en AV. LOS TEATINOS, 58, 41013, SEVILLA. La actividad social es el apoyo y la ayuda a personas y grupos desfavorecidos.
  1. Propósito y alcance
    El propósito del presente informe radica en asentar por escrito las diferentes evidencias obtenidas, concernientes al cumplimiento normativo en materia de protección de datos, basado en la aplicabilidad de las leyes indicadas en el apartado tercero del presente. Las evidencias obtenidas y en las cuales se basa el presente informe, se han recogido mediante (i) entrevistas mantenidas con Begoña Benjumea Llorente; (ii) documentación y formularios utilizados; (iii) procedimientos y tecnología informática disponible.
  2. Legislación Aplicable
    REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva95/46/CE (Reglamento General de Protección de Datos).
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  3. Definiciones
    • Autoridad de control: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el art. 51
    • Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
    • Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
    • Encargado del Tratamiento o Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
    • Interesado: persona física de la que se obtienen y tratan sus datos.
    • Responsable del Tratamiento o Responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros
      • R.G.P.D.: Reglamento General de Protección de Datos.
      • L.O.P.D.: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
      • L.O.P.D.G.D.D.: Ley Orgánica de Protección de Datos y garantía de los derechos digitales.
    • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
    • Violación de la seguridad de los datos personales: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  4. Desarrollo
    A continuación se desarrollan los diferentes puntos auditados y los posibles puntos de mejora en base a las evidencias obtenidas.
    5.1.Tratamiento (generalidades)
    De acuerdo con los dispuesto en los arts. 5 del R.G.P.D. y 4 y 5 L.O.P.D.G.D.D., los datos personales serán:
    • a) tratados de manera lícita, leal y transparente en relación con el interesado;
    • b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
    • c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
    • d) exactos y, si fuera necesario, actualizados;
    • e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el art. 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»); personales podrán conservarse durante períodos más largos siempre que se traten.
    • f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

  • Informe: respecto de los puntos a), b), c), d) y f) se percibe que la organización cumple con los principios del tratamiento allí indicados.
  • Recomendaciones: desarrollar y aplicar un ciclo de vida de los datos de carácter personal, de acuerdo a la legislación vigente, con el fin de, no sólo eliminar aquellos datos innecesarios, que no aportan valor a la organización y tan sólo consumen espacio (físico o digital), sino que, además, frente a un eventual ejercicio de derecho de cancelación, se debe estar en condiciones de discernir si puede hacerse lugar a dicho derecho o bien proponer el ejercicio de un derecho alternativo por no proceder la cancelación. Asimismo, asegurarse que la destrucción de los datos cuyo tratamiento ya no resulte necesario se realice de forma segura.

5.1.1. Tratamiento de datos de los trabajadores
Informe: en el mes de julio de 2021, se entrega a todos los trabajadores de la organización la siguiente documentación así como un recibí de la misma:

  • “Política de Privacidad- Relaciones Laborales”. Contenido del documento:
    • Se cumple con el deber de información a los trabajadores acerca del tratamiento datos de carácter personal establecido en el art. 13 R.G.P.D.
    • Se cumple con lo estipulado en el art. 87 L.O.P.D.G.D.D. respecto al derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral informando a los trabajadores sobre la posibilidad de la organización de acceder a los contenidos derivados del uso de medios digitales puestos a su disposición a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
    • Se incluye el compromiso de confidencialidad y deber de secreto de todos los trabajadores respecto a la información confidencial a la que tengan acceso para el desarrollo de sus funciones, informando de las posibles sanciones para quienes incumplan el deber de secreto y las políticas de confidencialidad de la organización.
    • Se incorpora como Anexo un documento en el que se recogen consentimientos expresos de los trabajadores para las siguientes finalidades de tratamiento: a) Envío de la nómina por correo electrónico particular; b) Publicación de imágenes y videos con fines corporativos en la página web y redes sociales de la organización. Con ello, se da cumplimiento a lo establecido en el art. 7 R.G.P.D. “Condiciones para el consentimiento”.
  • «Medidas de Seguridad Aplicadas al Tratamiento de datos personales·. En el mismo se informa a los trabajadores sobre las medidas de seguridad, tanto técnicas como informa a los trabajadores sobre las medidas de seguridad, tanto técnicas como organizativas, que aplican en la organización y cuyo fin es asegurar la confidencialidad, integridad y disponibilidad de los datos personales. La descripción de las mismas se incorpora el apartado 5.12. del presente informe.
  • «Cláusula del correo electrónico«. Con esta cláusula se cumple el deber de información en las comunicaciones electrónicas que mantengan los trabajadores con terceros.

No se realiza un tratamiento de los datos de los trabajadores distinto a la relación contractual.
Además de la entrega y puesta a disposición a los empleados de las políticas anteriores, se han desarrollado acciones de formación y sensibilización como complemento para garantizar el conocimiento y entendimiento por todo el personal de las mismas.

5.1.2. Tratamiento de datos de voluntarios
Al igual que en el resto de los colectivos de interesados, se aplican los principios indicados en el apartado 5.1 del presente informe.

Informe: La organización ha establecido protocolos internos de trabajo donde se describe cómo se debe facilitar el deber de información en función de las distintas vías por las que se puedan recoger los datos. En concreto:

  • Recepción de datos personales a través del teléfono
  • Si los datos personales se reciben a través del correo electrónico
  • Recepción por medio de correo postal o fax

Únicamente se recogen los datos estrictamente necesarios. No se realizan cesiones de datos.

5.1.6. Tratamiento de datos de usuarios web

Informe: la organización trata los datos de carácter personal de los usuarios web para las siguientes finalidades:

  • Atender a las solicitudes, quejas e incidencias trasladadas a través de nuestros canales de contacto incorporados en la página web.
  • Entender el comportamiento del navegante dentro de la web con el fin de detectar posibles ataques informáticos a nuestra web.
  • Cumplir con las obligaciones legales que nos resulten directamente aplicables y regulen nuestra actividad.
  • Para proteger y ejercer nuestros derechos o responder ante reclamaciones de cualquier índole.

En cada uno de los formularios de recogida de datos está en proceso de incorporación una casilla específica para la aceptación del documento “Política de Privacidad” -también en proceso de incorporación pero ya disponible a nivel interno – que contiene todos los puntos exigidos por el art.
13 R.G.P.D. Esta información, siguiendo las recomendaciones de la autoridad de control nacional (A.E.P.D.) y lo establecido en el art. 11 L.O.P.D.G.D.D. se proporcionará a través de dos capas: una básica en el momento de la recogida de los datos y un enlace a la capa extensa para más información.

En cuanto al tratamiento de cookies, de acuerdo con las evidencias obtenidas la página no usa cookies más allá de las indispensables para su funcionamiento, por lo que no es necesario que se presente dicha información en la primera capa, pero se reflejará en una política extensa, actualmente en proceso de incorporación a la página.

5.1.7. Categoría de datos especialmente protegidos y datos de menores

De acuerdo con el art. 9.1 del R.G.P.D. las categorías de datos especialmente protegidos son: origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o la orientación sexual de una persona física.

Informe: Por la naturaleza de la actividad de la asociación, en su desarrollo recogen y tratan datos de menores, para lo cual se recogen consentimientos expresos de sus padres y tutores legales. Se han establecido, además, protocolos para la especial protección de dichos datos.

5.2.Consentimiento

Con la entrada en vigor del R.G.P.D. y la L.O.P.D.G.D.D., el consentimiento tácito, aceptado por la antigua L.O.P.D., deja de ser válido, debiéndose recabar el mismo de forma expresa y, además, la organización deberá estar en condiciones de probar que el interesado ha prestado su consentimiento (arts. 4.11 y 7 R.G.P.D. y 6 L.O.P.D.G.D.D.). Asimismo, en caso de que se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades, la organización deberá estar en condiciones de probar que el interesado lo otorgó de manera específica e inequívoca para todas ellas.

Informe: se percibe que, para las finalidades de tratamiento basadas en el consentimiento, la organización ha actualizado sus cláusulas empleando fórmulas de recogida de consentimientos expresos.

5.3.Ejercicios de los derechos que acuerda el R.G.P.D. y la L.O.P.D.G.D.D a los interesados.

El R.G.P.D. y la L.O.P.D.G.D.D. permiten a los interesados el ejercicio de diferentes derechos con relación al tratamiento que se realiza de sus datos personales. Es obligación del Responsable del Tratamiento establecer canales de comunicación y procedimientos para asegurar la respuesta en tiempo y forma frente al ejercicio de cualquiera de dichos derechos.

Informe: de acuerdo con las evidencias obtenidas, existen dos canales habilitados para el ejercicio de los derechos que el R.G.P.D. y la L.O.P.D.G.D.D. acuerdan a los interesados: uno de ellos electrónico a través de una dirección de e-mail destinada a la gestión de este tipo de comunicaciones. El otro canal habilitado, se trata de comunicaciones a través del correo postal, estando centrada la recepción de dichas comunicaciones en el domicilio social de la organización.

Tanto en las políticas incorporadas en los contratos como en la web, se informa a los interesados de la existencia de ambos canales de comunicación, así como de la posibilidad de solicitar una mayor información sobre el ejercicio de derechos que acuerda el R.G.P.D. y la L.O.P.D.G.D.D

La organización cuenta con un protocolo de respuesta ante ejercicios de derechos, el cual pone a disposición de todo el personal. En dicho protocolo se recoge de forma detallada el procedimiento de actuación ante el ejercicio de derechos al que están sujetos tanto el personal autorizado a gestionarlas solicitudes de derechos interpuestas por los interesados, como aquellos encargados del tratamiento de la organización. En el mismo se recogen anexos con plantillas de respuestas a los
diferentes derechos.

Recomendaciones: no proceden

5.3.1. Derecho a la desconexión digital

A los fines de cumplir con el art. 88 L.O.P.D.G.D.D., la organización pondrá a disposición de todos los empleados una política interna de desconexión digital donde se les informe de las modalidades de ejercicio de este derecho. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Informe: se observa que la organización tiene elaborada una política interna en la que se definen las modalidades de ejercicio de este derecho.

5.4.Transparencia de la información

El R.G.P.D., a través de su art. 12, exige al Responsable del Tratamiento la adopción de las medidas pertinentes para que comunique al interesado toda información indicada en los arts. 13 y 14, así como cualquier comunicación relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. A su vez, el art. 11 L.O.P.D.G.D.D. permite a los Responsables la posibilidad de facilitar una información básica e indicar una dirección electrónica u otro medio que permita a los interesados acceder de forma sencilla e inmediata a la restante información exigida por el R.G.P.D.

Informe: de acuerdo con las evidencias obtenidas, se ha adecuado el clausulado y las políticas de la organización a lo preceptuado en el art. 11 L.O.P.D.G.D.D., estableciendo como medio para solicitar información complementaria la dirección de correo electrónico destinada para el ejercicio de derechos.

Además, la organización cuenta con una política de privacidad completa a los efectos de cumplir con lo dispuesto en los arts. 13 y 14 R.G.P.D.

Además, la organización cuenta con una política de privacidad completa a los efectos de cumplir con lo dispuesto en los arts. 13 y 14 R.G.P.D.

5.5.Brechas de seguridad

Una de las nuevas obligaciones que incorpora el R.G.P.D. consiste en la obligación de notificar las brechas de seguridad, entendiéndose por tales, aquellas que puedan generar una destrucción, pérdida, alteración, acceso o transmisión no autorizada de datos personales.

De acuerdo a la gravedad de la brecha de seguridad, la notificación, además de a la Autoridad de Control, también deberá comunicarse al interesado o interesados afectados.

5.5.1. Notificación a la Autoridad de Control

Todas las violaciones de datos personales que puedan conducir a la destrucción, pérdida, alteración, divulgación no autorizada, acceso a datos personales transmitidos, almacenados o procesados de forma accidental o ilegal; deben ser notificado por el Responsable del Tratamiento a la Autoridad de
Control, sin demoras indebidas y, cuando sea posible, a más tardar 72 horas después de haber sucedido las mismas.

5.5.2. Comunicación a los interesados

Cuando es probable que la violación de datos personales genere un alto riesgo para los derechos y libertades de los interesados, el Responsable del Tratamiento, además de notificar a la Autoridad de Control de la brecha de seguridad, también deberá comunicarla a los interesados que puedan verse afectados por ella, sin demora indebida.

Informe (puntos 5.5, 5.5.1 y 5.5.2): existe un manual de medidas de seguridad que se entrega a todos los trabajadores de la organización donde se describe el procedimiento de notificación de las brechas de seguridad y las personas encargadas para gestionarlas. Además, la organización cuenta con un Registro específico para las violaciones de seguridad que se produzcan.

5.6.Encargado del Tratamiento

A diferencia de la ley anterior, el R.G.P.D. y la L.O.P.D.G.D.D. (arts. 28 y 33, respectivamente) exigen un mayor formalismo a la hora de redactar y firmar un contrato de acceso a datos por cuenta de tercero.
A tales fines, cuando se vaya a realizar un tratamiento por cuenta de un Responsable del Tratamiento, se exige al Responsable del Tratamiento, la elección de un encargado que ofrezca las garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y Ley Orgánica y garantice la protección de los derechos del interesado.
También, de acuerdo al apartado 3 del art. 28 R.G.P.D., el contrato de acceso a datos por cuenta de terceros deberá contener unas cláusulas mínimas en su redacción.
Informe: de acuerdo a las evidencias obtenidas, existe un modelo de contrato adecuado a la legislación vigente.
A fecha de abril de 2021 la Organización inicia proceso de evaluación de proveedores y actualización de aquellos contratos que fueran necesarios.
Recomendaciones: verificar que antes del vencimiento del plazo 25/05/2022, se han evaluado y firmado todos los contratos con los terceros que acceden a datos personales.

5.7.Registro de Actividades

Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada en el art. 30 R.G.P.D. y L.O.P.D.G.D.D. El mencionado registro, será obligatorio para aquellas empresas que:

  • Empleen al menos de 250 personas.
  • El tratamiento de datos que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales.

Informe: a los fines de demostrar pro actividad y mayor control sobre las actividades del tratamiento, la organización cuenta con un registro de actividades en los términos del art. 30 R.G.P.D. y L.O.P.D.G.D.D.

Según data el historial de cambios, el primer ejemplar se creó con fecha 4/03/2020 y el 6/03/2020 se realiza una actualización del mismo para incluir la lista de encargados de tratamiento.
Recomendaciones: se recomienda mantener actualizado el RAT conforme a las exigencias legales.

5.8.Formación
Cuando tratamos con datos personales, la correcta gestión de los mismos, no solo depende de los directores o de los administradores de TI, todos los componentes de la organización deben estar implicados y conocer la legislación aplicable en la materia.
Incluso, el R.G.P.D. (art. 32) y la L.O.P.D.G.D.D. (art. 28.1), cuando hablan de que el Responsable del Tratamiento debe implementar las medidas organizativas adecuadas para garantizar un procesamiento de datos adecuado, una de las medidas para lograrlo, es la formación al personal de la
organización.
Informe: de acuerdo con las evidencias obtenidas, en marzo de 2020 se llevó a cabo un programa de formación en Protección de Datos para 34 trabajadores de la organización.
De esta forma, los trabajadores formados, cuentan con su certificado de formación.
Recomendaciones: en caso de nuevas incorporaciones, planificar charlas de sensibilización y/o acciones formativas.