Los Grupos Scout y la LOPD
9 de abril de 2014
Conceptos básicos

Datos de carácter personal: Cualquier información concerniente a
personas físicas identificadas o identificables

Fichero: Todo conjunto organizado de datos de carácter personal,
cualquiera
que
fuere
la
forma
o
modalidad
de
su
creación,
almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: persona física o jurídica,
de naturaleza pública o privada u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
Conceptos básicos

Encargado del tratamiento: la persona física o jurídica que sólo o
conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.

Consentimiento del interesado: Toda manifestación de voluntad,
libre,
inequívoca,
específica
e
informada,
mediante
la
que
el
interesado consienta el tratamiento de datos que le conciernen

Cesión o comunicación de datos: Toda revelación de datos
realizada a una persona distinta del interesado.

Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra
clase de información que puede ser tratada en un sistema de
información
como
una
unidad
diferenciada.
(Ej:
Ficha
inscripción/autorización paterna, fotos, etc.)

Soporte: Objeto físico que almacena o contiene datos o documentos,
u objetos susceptibles de ser tratado en un sistema de información
sobre el cual se pueden grabar y recuperar datos (Ej: Pen drive)
El Grupo Scout y la LOPD
El artículo 14 de la Ley Orgánica 1/2002, reguladora del
Derecho de Asociación, recuerda que los datos de los
socios de asociaciones están sujetos a lo regulado en la
Ley Orgánica 15/1999 de 13 de Diciembre de protección
de datos de carácter personal.
¿Y a qué nos obliga esta ley?
La LOPD nos obliga a…
1. A solicitar de nuestros asociados solo datos adecuados y
pertinentes a la finalidad para la que se obtienen

Nuestros formularios de adhesión preguntarán lo estrictamente necesario.
2. A no usar dichos datos para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos:

No podremos utilizar la información de la que disponemos más que para el
propio funcionamiento como asociados de los miembros del fichero.
3. Los datos no necesarios han de cancelarse:

Hay que eliminar los datos de los socios que se han dado de baja.
4. Hay que informar a los nuevos socios en nuestros formularios de
adhesión acerca de:

existencia de un fichero de datos personales

de la finalidad de recogida de los datos personales

de los destinatarios de la información

del responsable del fichero
La LOPD nos obliga a…
5. Algún socio podría solicitar, por motivos fundados y legítimos
derivados de una concreta situación personal, que alguno de sus
datos no figuraran en el fichero y por tanto debemos omitirlos
6. El responsable del fichero (en nuestro caso normalmente sería el
Secretario de la asociación) debe velar por evitar que los datos
personales tengan accesos no autorizados, o se usen para fines no
autorizados
7. El responsable del fichero debe guardar secreto sobre los datos de
carácter personal objeto de su responsabilidad (artículo 10).
8. Solo pueden cederse los datos de un fichero con permiso de
los interesados
 Ejemplo:
 Supongamos que se pretenda hacer un estudio a nivel
federación sobre las características de los asociados de los
grupos scout, cada grupo debería proteger sus ficheros a no
ser que los socios prestaran su consentimiento (o lo
hiciésemos constar al recibir los datos )
La LOPD nos obliga a…
9. A indemnizar por daños y perjuicios en caso de reclamación por
los miembros del fichero si por incumplimientos resultan perjudicados
10.Obligación de notificación de la existencia de un fichero a la
Agencia de Protección de Datos, haciendo constar el responsable
del fichero, la finalidad del mismo, su ubicación, el tipo de datos que
contiene, sistemas de protección y cesiones de datos que se prevean
Posibles situaciones y soluciones…
Si los datos no necesarios (bajas) han de cancelarse, ¿cómo hacemos
para contactar con antiguos socios?
Añadir en la ficha de inscripción una casilla que diga algo así como:
Deseo que mis datos sean archivados como “Antiguo Socio/a”
si curso baja de la asociación.
Nunca deberemos usar los datos para finalidades diferentes a las que
fueron recogidas.
Ej: Un scouter tiene una empresa y cree que le puede interesar a las
familias. No puede usar los datos que ha conseguido en el grupo para
promocionar su empresa.
Posibles situaciones y soluciones…
A EdM se le entregan los listados de socios y además en ciertos casos
también se facilitan otro tipo de datos para cuestiones relacionadas
con el seguro, y aquí también entraría ASDE. ¿Se lo notificamos a los
padres? ¿Les pedimos su consentimiento?
Cuando vamos de campamentos también podemos ceder o mostrar
ciertos datos personales.
Una solución para evitar cualquier problema es añadir una casilla en la
hoja de inscripción de ronda/grupo y/o campamento de este estilo:
Autorizo la cesión de datos carácter personal a Exploradores de
Madrid , ASDE y administraciones varias cuando sea necesario
para cumplir con las obligaciones y finalidades de los socios y
de la asociación.
Posibles situaciones y soluciones…
Muchos grupos en sus documentos ponen una coletilla final del tipo:
De acuerdo con lo establecido en la Ley 15/1999, de 13 de diciembre de Protección de
Datos de Carácter Personal, se le informa que todos los datos a los que se tenga acceso,
facilitados por usted, serán incorporados a los ficheros del Grupo Scout XXXX, para
posibilitar el mantenimiento y la gestión de la relación con el miembro del Grupo y su
familia. Como tutor legal del menor, usted tiene derecho a ejercitar, en cualquier
momento, los derechos de acceso, rectificación, cancelación y oposición que le asisten
conforme a la citada ley, mediante escrito al Secretario, a la siguiente dirección: Grupo
Scout XXX, C/ XXXXXX YY,
- Madrid (España) o mediante correo electrónico firmado a:
dlkjfalñ[email protected]
Esta coletilla no sirve de nada y de hecho puede ser hasta contraproducente
si no tenemos inscrito el fichero correspondiente en el Registro General de
Protección de Datos (RGPD) de la Agencia Española de Protección de Datos
(AEPD).
Niveles de Seguridad
No todos los documentos contienen el mismo tipo de información, por
eso la LOPD establece diferentes niveles de seguridad en función
del tipo de datos de que estemos hablando:

Nivel Básico

Nivel Medio

Nivel Alto
Nivel de Seguridad Básico
Aplicable a cualquier fichero que contenga datos de carácter personal,
esto es, cualquier información concerniente a personas físicas identificadas o
identificables.
Tendrían cabida dentro de esta categoría :
1. el nombre y apellidos de los educandos,
2. el número de su Documento Nacional de Identidad,
3. dirección, teléfono,
4. fecha y lugar de nacimiento,
5. sexo,
6. datos de familia,
7. historial de estudiante,
8. calificaciones,
9. etc.
Nivel de Seguridad Básico

El dato acerca de si un participante es adoptado o adoptada también
tendría encaje en el nivel básico de medidas de seguridad, lo cual no es
obstáculo para que dicha información sea tratada con una especial
sensibilidad, por las posibles consecuencias que podría tener para el menor
su revelación a terceros malintencionados.

También podrán implantarse las medidas de seguridad de nivel básico en los
ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez del afectado.
Nivel de Seguridad Medio
Aplicable a los siguientes ficheros o tratamientos de datos de
carácter personal:

Los relativos a la comisión de infracciones administrativas o
penales.

Aquellos relacionados con la prestación de servicios de información
sobre solvencia patrimonial y crédito.

Aquellos de los que sean responsables Administraciones
tributarias y se relacionen con el ejercicio de sus potestades
tributarias.

Aquellos de los que sean responsables las entidades financieras
para finalidades relacionadas con la prestación de servicios
financieros.
Nivel de Seguridad Medio
•
Aquellos que contengan un conjunto de datos de carácter
personal que ofrezcan una definición de las características o
de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento
de los mismos.
•
En el caso de un grupo Scout, la adopción de las medidas de
seguridad de nivel medio sólo será necesaria en aquellos supuestos
en que el fichero contenga un conjunto de datos de carácter personal
que ofrezcan una definición de las características o de la personalidad
de sus miembros.
Nivel de Seguridad Medio
Ejemplo:
•
Informes realizados para evaluar la actitud de los Scouts de
las diferentes secciones podrían encajar dentro del nivel
medio definido en el Real Decreto 1720/2007, ya que contienen
un conjunto de datos de carácter personal que ofrecen una
definición de las características o de la personalidad de los chicos
y chicas y que permiten evaluar determinados aspectos de la
personalidad o del comportamiento de los mismos.
•
Ahora bien, las referencias a los datos psicológicos tienen,
como veremos, la consideración de datos de salud, debiendo
adoptarse, en su consecuencia, las medidas de seguridad de
nivel alto definidas en el Real Decreto 1720/2007 (el nivel
alto prevalece sobre los restantes).
Nivel de Seguridad Alto
Aplicable a los siguientes ficheros o tratamientos de datos de carácter
personal:
• Los que se refieran a datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual,
(con excepciones)
• Los que contengan o se refieran a datos recabados para fines
policiales sin consentimiento de las personas afectadas.
• Aquellos que contengan datos derivados de actos de
violencia de género.
Nivel de Seguridad Alto
En
principio,
categorías
podemos
de
reservadas
hospitalarios,
datos
para
pensar
están
centros
sindicatos,
que
estas
exclusivamente
sanitarios
partidos
y
políticos,
confesiones religiosas, fuerzas y cuerpos de
seguridad, centros de atención a la mujer
maltratada,
realidad…
etc.:
nada
más
lejos
de
la
Nivel de Seguridad Alto

Con respecto a la naturaleza de los datos psicológicos o
psicopedagógicos, la cuestión radica en delimitar si procede su
inclusión dentro del concepto de datos referentes a la salud
de las personas.
 Si bien la Ley Orgánica se refiere expresamente a los datos de salud,
considerándolos expresamente protegidos y limitando la posibilidad de
su recopilación y cesión, no establece un concepto concreto de este tipo
de datos.

Al margen de los datos psicopedagógicos, en un grupo pueden
encontrarse otra serie de datos relativos a la salud.
 Ejemplo: si disponemos de fichas en papel donde figuren alergias a
determinados alimentos de algunos chicos/chicas estaríamos ante datos
de salud catalogados como de nivel alto.
Medidas de Seguridad

Una vez encajados en cada uno de los niveles descritos los distintos ficheros
de datos de carácter personal, se debe proceder a la implementación de las
medidas de seguridad correspondientes en función del nivel asignado (Ver
Capítulos III y IV RD 1720/2007 de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LO 171999, de 13 de diciembre de protección de datos
de carácter personal).

Una primera medida obligatoria y común a todos los niveles sería la de
documentar detalladamente el conjunto de medidas de índole técnica y
organizativa acordes a la normativa de seguridad vigente que será de
obligado cumplimiento para el personal con acceso a la información
contenida en los documentos en formato papel.

La documentación por escrito de esta serie de medidas daría lugar a la
generación de lo que, en términos de la normativa sobre protección de datos
de carácter personal, se conoce formalmente como “Documento de
Seguridad”
Medidas de Seguridad
¿Qué es exactamente el Documento de Seguridad?
Es un documento interno de la organización, que debe mantenerse
siempre actualizado.
Disponer del documento es una obligación para todos los responsables
de ficheros, con independencia del nivel de seguridad.
Al ser un documento interno, no es necesario presentarlo a la AEPD
¿Es necesario un DS por fichero?
No. Si se quiere se puede realizar un documento único en el que se
recojan todos los ficheros.
Podría tener 2 partes:
• Medidas que afectan a todos los sistemas de información
• Anexo por cada fichero o tratamiento con las medidas concretas
Medidas de Seguridad
Guión documento de seguridad
(Art. 88 RD 15/1999)
1. Ámbito de aplicación del documento
2. Medidas, normas, procedimientos, reglas y estándares de
seguridad
2.1.Identificación y autenticación
2.2.Control de Acceso
2.3.Gestión soportes y documentos
3. Funciones y obligaciones del personal
4. Procedimientos de notificación, gestión y respuesta ante
incidencias
5. Medidas para el transporte, destrucción y/o reutilización de los
documentos y soportes
6. Procedimiento de revisión
+
Descripción de los ficheros: Estructura y descripción de los
sistemas de información que los tratan
Medidas de Seguridad
Documento Seguridad ASDE
Doc tramites\Manual de seguridad ASDE.pdf
Medidas de Seguridad
 La Ley nos obliga a realizar copias de seguridad
 Riesgos y aspectos importantes de las copias de
seguridad:
 Cuando restauramos una copia de seguridad
habrá que incorporar todas las actuaciones
realizadas sobre la base de datos desde el
momento de la copia hasta el de la pérdida o
deterioro del fichero.
 No hacer copias en diferentes equipos
 No duplicar bases de datos
Recomendaciones para la Destrucción de la
Documentación Física
Son muchas las fórmulas y negocios que han proliferado alrededor de
la LOPD, para un Grupo Scout teniendo en cuenta sus características
destacamos:

La necesidad de que los documentos se almacenen
debidamente protegidos, para evitar que se aprovechen para
reciclado, para escribir por detrás, hacer cuadernos de notas o
simplemente que alguien no autorizado acceda a la información que
los mismos pudieran contener.

El método más adecuado es la trituración mediante corte en
tiras o cruzado. El papel se hace tiras o partículas, cuyo tamaño
se elegirá en función del nivel de protección requerido por la por la
información contenida en los documentos a destruir.

Si se encarga una empresa de destruir el papel, debe daros un
Certificado debidamente firmado y/o sellado que garantice su
destrucción
INFRACCIONES
Infracciones Leves:
1. No atender la solicitud de rectificación o cancelación de
datos, cuando legalmente proceda
2. No proporcionar la información que solicite la Agencia de
Protección de Datos
3. No solicitar la inscripción del fichero de datos de
carácter personal en el Registro General de Protección de
Datos, cuando no sea constitutivo de infracción grave
4. Proceder a la recogida de datos de carácter personal de los
propios afectados sin proporcionarles la información necesaria
5. Incumplir el deber de secreto
INFRACCIONES
Infracciones Graves (I):
1. Crear ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos
2. Crear ficheros de titularidad privada o recoger datos de carácter
personal con finalidades distintas a las de la entidad
3. Recoger datos de carácter personal sin el consentimiento
expreso de las personas afectadas
4. El impedimento u obstaculización del ejercicio de los derechos
de acceso, oposición y la negativa a facilitar la información
solicitada
5. Mantener datos de carácter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente
procedan
INFRACCIONES
Infracciones Graves (II):
6. La vulneración del deber de guardar secreto sobre datos de
Nivel de Seguridad Medio
7. Mantener los ficheros y soportes sin las debidas condiciones de
seguridad
8. No remitir a la APD las notificaciones previstas en esta Ley o
aquella documentación que solicite
9. La obstrucción al ejercicio de la función inspectora
10. No inscribir el fichero de datos de carácter personal en el
RGPD, cuando haya sido requerido para ello por el Director de la
APD
11. Incumplir el deber de información que se establece en la
Ley
INFRACCIONES
Infracciones Muy Graves :
1. La recogida de datos en forma engañosa y fraudulenta
2. La comunicación o cesión de los datos, fuera de los casos en
que estén permitidas
3. No cesar en el uso ilegítimo de los tratamientos de datos
cuando sea requerido para ello por el Director de la APD o por las
personas titulares del derecho de acceso
4.La
transferencia
de
datos
con
destino
a
países
que
no
proporcionen un nivel de protección equiparable sin autorización
del Director de la APD
5. No atender u obstaculizar de forma sistemática el ejercicio de
los derechos de acceso, rectificación, cancelación u oposición.
SANCIONES
Infracciones Leves
Multa de 100.000 a 10.000.000 de pesetas (600€ o 60.000€)
Infracciones Graves
Multa
de
10.000.000
de
pesetas
a
50.000.000
de
pesetas
(60.000€ a 300.000€)
Infracciones Muy Graves
Multa de 50.000.000 de pesetas a 100.000.000 de pesetas
(300.000€ a 600.000€)
La cuantía de las sanciones se graduará atendiendo a cada
caso
(derechos
afectados,
grado
intencionalidad,
beneficios
obtenidos, reincidencia, etc.)
El Gobierno actualizará periódicamente la cuantía de las sanciones
de acuerdo con los índices de precios (¡¡Estos datos son del 1999!!)
Hortaleza 19, 1º Izq
28013 - Madrid (España)
Tel: (+34) 91.521.91.58
Fax: (+34) 91.522.08.44
[email protected]
www.exploradoresdemadrid.org
Descargar

Diapositiva 1