Desde que entró en vigor la nueva Ley Orgánica de Protección de Datos han sido muchas las dudas que se han ido a planteando sobre lo que sí podemos o no debemos hacer. Ha habido cierto ‘caos’ en todo ello, y, por eso, hemos decidido entrevistar a nuestra compañera Laura Navacerrada, Responsable del Área Jurídica y Protección de Datos, y toda una experta en esta materia. Lee, que esta entrevista te interesa ¡y mucho!

Laura es una persona tranquila, responsable y con mucha templanza. Y es que la responsabilidad de responder ante cualquier duda que se plantea con esta nueva ley, no es sencilla de afrontar, ya que es una ley que ha causado mucho revuelo y agitación en la sociedad.  Por eso, la hemos preguntado con ejemplos concretos, que nos resuelva las dudas que todos podemos tener. Desde las más básicas a las que nos pueden traer un poquito más de dolor de cabeza.

¿Quién es Laura Navacerrada y cuánto tiempo lleva en CRECAM?

Yo llegué hace 3 años a CRECAM, al ámbito de secretaria en el que me encargué de los temas jurídicos. En enero de este año y debido a la gran relevancia que ha tomado la protección de datos personales, se ha creado el Área Jurídica y Protección de Datos, de la que soy Responsable.

 

Laura Navacerrada

¿Por qué decidiste afrontar este reto?

Por una parte me gustan los retos y por otra creo que este área opera como un gran mecanismo para poder hacer las cosas de manera más correcta. Es importante que todo funcione bajo el amparo de la ley y, sobre todo, estando muy atentos de no infringir la nueva legislación de protección de datos y salvaguardar los intereses de la organización de cara a esta protección.

 

¿Qué es eso de la Ley Orgánica de Protección de Datos (LOPD)?

Hasta la entrada en vigor de este Reglamento, la legislación veía la protección de datos de una manera pasiva, es decir, como organización no debíamos infringir esa protección de datos. Ahora y debido a la era digital, nuestros datos circulan de una manera más libre, por lo cual este nuevo reglamento europeo, lo que hace es proteger esos datos de las personas físicas para que no exista esta circulación ‘libre’ y sin control. Lo que nos obliga a hacer a todas las entidades es garantizar de una manera activa esa protección, es decir ya no se trata solo de no infringir sino de ofrecer activamente esa protección a los datos de particulares.

 

¿Por qué se generó en mayo, cuando entró en vigor esta normativa, tanta ‘alarma social’?

En realidad, el Reglamento entró en vigor en 2016, aunque en mayo de 2018 pasó a ser de aplicación directa, es decir, al ser normativa europea se aplicaba por encima de nuestra legislación española. Se generó cierto revuelo porque, de repente, entidades como la nuestra tenían que garantizar y demostrar esa protección, de la manera proactiva que he comentado.

«Somos nosotros, como Institución, quienes tenemos que dar cuenta y cumplir a priori una serie de cuestiones, teniendo presente que las sanciones por las infracciones que nos pueden imponer son muy elevadas.»

 

Como organización, en cuanto a la ley de protección de datos, ¿qué podemos hacer y qué no?

Tenemos que velar por la protección efectiva y real de todos los datos personales, tanto de personas trabajadoras, voluntarias, usuarias o beneficiarias de proyectos y programas… en definitiva, todos los datos personales que manejamos. Además, tratamos datos especialmente sensibles, como datos médicos o judiciales como antecedentes penales.

Tenemos que demostrar esa proactividad y garantizar que, efectivamente, cumplimos con el Reglamento.

En Cruz Roja española ha sido especialmente novedoso e importante la creación de la figura de Delegado de Protección de Datos. Esta figura externa es quien vela, a nivel nacional, para que se cumpla y exista esta garantía de protección de datos personales.

 

A mí, como persona trabajadora o voluntaria de Cruz Roja, ¿cómo me afecta esta ley?

Nos afecta porque, como personas físicas, tenemos derecho a que nuestra entidad maneje nuestros datos de una manera mucho más segura, pero también más obligaciones. Dentro de estas obligaciones están, entre otras, el deber de confidencialidad de todos los datos personales a los que tengamos acceso, almacenar siempre los datos en One Drive o en la nube, no guardarlos nunca es nuestro ordenador, del que debemos mantener siempre limpio el escritorio. Mantener, igualmente, recogido nuestro espacio de trabajo, libre de documentos que contengan datos o medidas sencillas, como destruir siempre los papeles con datos personales en destructoras de papel y no tirarlos directamente a la papelera, o mantener siempre los archivos bajo llave.

 

Por poner ejemplos en los que se vea esta implantación de la nueva ley: si un Técnico de Empleo que acude a un evento de CRECAM saca una foto en la que salen 20 personas, entre personas invitadas y usuarias, y decide subirla a su red social personal para dar a conocer que está participando en ese evento, esa acción, de subir esa foto a su red social, ¿es legal?

No podemos utilizar nuestra red social personal con fines institucionales, ni para difundir mensajes en nombre de la organización, ni podemos infringir el deber de confidencialidad en relación con determinadas cuestiones internas.

A título personal, en mi red social podría subir una foto si se trata de un evento público, pero teniendo en cuenta siempre que el emblema y logo de Cruz Roja está protegido y no se permite su uso no autorizado.

 

Las fotos en las que salen menores, que las hace, por ejemplo, un Técnico de CRJ, ¿estarían permitidas por la ley?

Para las fotos de menores (y también de mayores de edad), cuya finalidad es el tratamiento posterior, hace falta el consentimiento escrito y expreso. En especial, para los menores de 14 años, hace falta el consentimiento de los progenitores o tutores legales.

 

Otro ejemplo: tenemos un listado de nombres de Técnicos de CRE, encima de la mesa, o un Excel en nuestro escritorio del ordenador. ¿Está permitido?

Los listados, si se usan, tiene que ser porque sea inevitable su utilización. Con respecto a los listados, hay que tener mucho cuidado, ya que, precisamente estas últimas semanas, hemos estado trabajando en la respuesta a la Agencia Española de Protección de Datos, con respecto a una denuncia que una persona interpuso contra CRE porque se le seguía contactando una vez había solicitado la cancelación de sus datos.

En este caso, el contacto con esta persona tiene su origen en un listado de correo de distribución. Este tipo de listados se debe contrastar siempre, verificando que se cuenta con el consentimiento expreso para el tratamiento de los datos personales y comprobar que nadie que figure en el listado ha solicitado la cancelación de sus datos personales.

Por ello, estas listas se deben limitar al máximo. Estamos trabajando en nuevas formas para garantizar el Reglamento, en aquellos casos en que se deban usar listados.

 

Otro supuesto: Si yo tuviera un listado de CRE con Direcciones Técnicas, un directorio, por así decirlo, en mi escritorio. ¿Es posible tenerlo en el escritorio o también debería mantenerse en una carpeta privada?

Siempre debemos trabajar desde la nube. Podríamos descargarnos en el escritorio ese listado durante la sesión de trabajo, pero lo ideal sería eliminarlo una vez hayamos dejado de trabajar con él. Si, en supuestos excepcionales debe permanecer varias jornadas en el escritorio deberíamos, al menos, guardarlo cifrado.

 

En otro supuesto, respecto a nuestros propios documentos personales, si por ejemplo tenemos nuestro DNI escaneado en el ordenador, en ‘mis documentos’ ¿estamos infringiendo la ley?

En términos generales no deberíamos utilizar el ordenador de trabajo para cuestiones personales, pero, si en casos puntuales lo utilizamos, por ejemplo porque tenemos que escanear nuestro DNI, no pasa nada porque son nuestros propios datos personales.

 

¿A qué sanción nos arriesgamos, como entidad, al infringir esta  nueva ley?

Las sanciones son de cuantía muy elevada, y se mueven entre los 20 o 40 millones de euros, dependiendo del volumen de negocios de la organización y del tipo de falta que se realice. Por ejemplo, no atender a una petición de cancelación de datos personales es una de las faltas consideradas como graves.

 

¿Cómo está CRECAM a nivel de cumplimiento de la ley orgánica de protección de datos?

Hemos tenido una auditoría en la que han salido a relucir ciertos aspectos en los que debemos mejorar y corregir, pero yo soy optimista, y es que estamos trabajando en la mejora de muchos aspectos.

Vamos a codificar las impresoras, estamos trabajando en un nuevo sistema de acceso al edificio, estamos regulando de manera más estricta la protección de datos con respecto a proveedores y en los contratos…todas estas medidas mejorarán nuestra situación en cuanto al nivel de cumplimiento.

 

A una persona voluntaria, ¿le afecta de la misma manera esta ley que a una persona trabajadora?

Si, ya que tiene los mismos derechos (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación del tratamiento de datos) y obligaciones que una persona trabajadora. De hecho, goza de incluso más derechos, porque al no tener una relación laboral, sus datos no pueden ser tratados por Cruz Roja para finalidades que pueden englobarse en ese contexto.

 

Último caso hipotético: Somos CRJ y organizamos un evento en el que hay un ‘photocall’, cuando sacamos fotos en él, es necesario que esas fotos que vayamos a publicar, por ejemplo en Zona Creo o en la Memoria, ¿deben tener por escrito el consentimiento de las personas que salen en la foto?

Si es para uso puramente interno no, pero en el momento en que la utilización sea pública sí será necesario el consentimiento escrito. No obstante, el hecho de posar en photocall se puede entender como prestación de consentimiento presunto.

 

Esos documentos de consentimiento, ¿dónde los podemos encontrar?

Por ahora, me los podéis solicitar directamente a mí.

 

¿Algo que querrías decir a las personas trabajadoras y voluntarias respecto a este tema?

Querría agradecer a todo el mundo la importancia que, desde un primer momento, le han dado a este tema, lo cual está facilitando mucho la implantación de las nuevas medidas, tanto desde las direcciones locales como autonómicas. Todas las personas de la organización están muy concienciadas. Nuestro reto es lograr un óptimo nivel de protección de los datos personales y normalizar las medidas técnicas y organizativas para mantenerlo.

Agradecemos a Laura sus respuestas, su amabilidad para explicarnos de forma clara y concisa un tema tan complicado a primera vista. ¡Seguro que ahora ya todos y todas tenemos un poquito más claro qué podemos y qué no podemos hacer!

¡Gracias Laura!

DEJA UNA RESPUESTA

Deja un comentario!
Introduce tu nombre

PROTECCION DE DATOS PERSONALES: En cumplimiento de la normativa vigente en Protección de Datos, en particular, el Reglamento General de Protección de Datos (Reglamento UE 2016/679), Cruz Roja Española le informa que todos los datos de carácter personal facilitados en el presente formulario, así como cualquier otra información y/o documentación que pudiera hacernos llegar, serán tratados con la finalidad de atender la consulta realizada, remitirle la información solicitada  y llevar un registro estadístico de consultas.

Usted puede ejercer, en cualquier momento, los derechos de acceso rectificación, cancelación, oposición así como los contenidos en el Capítulo III del Reglamento (UE) 2016/679) dirigiendo un escrito a Cruz Roja Española, (Att/ Delegado de Protección de Datos), Avenida Reina Victoria, 26-28, 28003 Madrid, o a la dirección de correo dpo@cruzroja.es, previa acreditación de su identidad.

 

Para más información, consulte nuestra política de privacidad.