El Área Jurídica y Protección de Datos es imprescindible dentro de Cruz Roja, encargándose de los diversos temas legales que nos afectan a toda la entidad. Debido a su relevancia en Zona CREO hemos querido resolver varias cuestiones sobre diferentes aspectos que son muy relevantes para nuestro día a día y que necesitamos tener claro como saber qué documentos, fotos o vídeos podemos compartir al exterior, el uso del chaleco en las fotos de Cruz Roja en nuestras redes sociales, etc. La responsable autonómica del Área Jurídica y Protección de datos, Laura Navacerrada, es quien mejor nos puede aclarar y responder al respecto.
Laura llegó a Cruz Roja en el año 2016, cuando comenzó en el ámbito de secretaría encargándose de los temas jurídicos. En 2019, debido a la relevancia que tomó la protección de datos personales se creó el Área Jurídica y Protección de Datos, donde Laura comenzó como responsable. Con Laura hemos querido hablar sobre los distintas funciones que desempeñan en dicha área, en relación a todos los datos, fotografías y demás información que como usuarios vamos dejando esparcidos por Internet, centrándonos sobre todo en lo relacionado al personal laboral de Cruz Roja.
Con motivo de la publicación por la AEPD de la última actualización de la “Guía para la notificación de brechas de datos personales” publicada en el mes de mayo, ha resultado actualizado el procedimiento establecido por CRE. En cuanto a este procedimiento, ¿a qué tipo de personas implica? ¿Qué tipo de riesgos asumimos como entidad cuando existen este tipo de brechas de seguridad?
Hemos de ser conscientes, todo el personal laboral y voluntario de Cruz Roja, que las fugas de datos personales o brechas de seguridad constituyen la verdadera vulneración del derecho fundamental que todas las personas tenemos a la protección de nuestros datos. Como miembros de la Institución, tenemos a nuestra disposición el manejo de multitud de datos personales, del propio personal integrante de la entidad, de los participantes que acuden a nuestras sedes, de menores…y además no sólo identificativos, sino de salud, religión, raza…los cuáles hay que proteger de una manera más delicada, ya que son datos especialmente protegidos. Si bien, en caso de que exista una brecha de seguridad, Cruz Roja sería la responsable de la vulneración del derecho a la protección de datos, hemos de asumir que nuestra labor diaria es la que podría provocar esa infracción y, por lo tanto, hemos de incorporar la protección de datos como un punto importante en el ejercicio de las funciones que tenemos encomendadas dentro de la Organización.
¿Cómo nos afecta a nivel de personal laboral de Cruz Roja en la Comunidad de Madrid en cuanto a qué cosas podemos compartir y qué cosas no podemos compartir?
Lo principal en este sentido es tener claro que compartir documentación que contiene datos personales es realizar un tratamiento de esos datos. Para ello, debemos tener firmado, como regla general, el consentimiento informado de la persona cuyos datos personales se van a compartir, y que dentro de la finalidad de ese consentimiento firmado figure el realizar ese aspecto del tratamiento. Si contamos con ello, podemos perfectamente compartir documentación entre trabajadores/as, voluntarios/as e incluso personas externas cuando sea autorizada la cesión de esos datos, manteniendo en todos los casos mencionados las medidas de seguridad que se han ido indicando (uso de One Drive, correos encriptados, copias ocultas, política de mesas limpias, control de custodia de llaves de armarios, etc).
Por otro lado, en este punto hay que hacer una mención especial al tratamiento que se realice de las imágenes y vídeos que captemos en nuestra actividad. También son datos personales y por tanto, debemos obtener el consentimiento firmado sobre la cesión de dichas imágenes captadas.
«Sobre la cesión de imagen de menores, el consentimiento lo han de facilitar las personas que ostentan la patria potestad»
A la hora de utilizar cualquier fotografía a nivel personal o que se vaya a utilizar en Cruz Roja, ¿hasta qué punto es importante tener firmada la cesión de derechos? ¿Qué implica el no tener firmada la cesión de derechos de imagen en caso de que exista una denuncia o nos pidan quitarla?
Sobre esta cuestión, ya he comentado que las imágenes que captemos para fotografías o vídeos son datos personales, que indudablemente si se captan de cuerpo entero o sobre un rasgo muy característico de la persona, no generan duda sobre la identidad de la misma. Además, la difusión que pueden alcanzar esas imágenes es exponencial si se realiza a través de redes sociales o páginas de internet. Por tanto, debemos ser aún más cuidadosos con estos datos personales pues el impacto que puede generar una imagen de alguien de quien no tengamos recabado el consentimiento, puede ser realmente elevado, lo que también provocaría que ascendiera tanto la gravedad de la infracción cometida, como la sanción impuesta.
Un punto importante también a tener en cuenta es que hay que distinguir entre la cesión de la imagen de adultos y la de menores (hay un formato distinto para cada tipología). Sobre la cesión de imagen de menores, el consentimiento lo han de facilitar las personas que ostentan la patria potestad, y además hay que prestar especial atención a la imagen que se capta, no pudiendo publicar las que infrinjan determinados derechos del menor, recogidos en Leyes Orgánicas sobre la materia.
«Vamos a iniciar una política de Paperless “menos papel y más tecnología”, tendente a almacenar digitalmente todo consentimiento o cesión de datos personales»
En muchos casos el voluntariado o personal laboral utiliza el chaleco de Cruz Roja para sus redes sociales personales, ¿se puede hacer esto?
Este asunto ya no se enmarca propiamente en la protección de los datos personales, que sólo afecta a personas físicas y no jurídicas (como lo es nuestra Entidad), sino que este asunto afecta directamente al honor, reputación e imagen de la Cruz Roja. El uso del emblema de Cruz Roja por cualquiera de nosotros a nivel privado, está prohibido, salvo que se realice promoción de actividades propias de la Institución, y siempre con autorización expresa de la misma. Debemos proteger el emblema de Cruz Roja como un bien preciado, pues el mal uso que se haga del mismo podría acarrear una infracción de los Principios Fundamentales que marcan la actuación de la Institución.
«Debemos tener firmado, como regla general, el consentimiento informado de la persona cuyos datos personales se van a compartir»
¿Qué pasos se están dando para poder mejorar en estos aspectos?
Una de las acciones de mejora que se está desarrollando es la realización de las auditorías en materia de protección de datos en las distintas sedes de Cruz Roja, en la Comunidad de Madrid. Se están verificando una serie de cuestiones que minimizan el riesgo de que exista una infracción en esta materia, ante una posible actuación de una autoridad de control; o que un particular pueda formular una denuncia ante la Agencia Española de Protección de Datos (AEPD).
Como punto de mejora, también indicar que en consonancia con el ahorro de costes, la sostenibilidad y el cuidado del medio ambiente, vamos a iniciar una política de Paperless “menos papel y más tecnología”, tendente a almacenar digitalmente todo consentimiento o cesión de datos personales, comenzando por las cesiones de imágenes comentadas.
Para finalizar me gustaría animar a todo el personal voluntario y laboral a tener cada día más presente todas estas cuestiones, pues cada granito de arena que aportemos desde nuestra posición o actividad, por pequeña que sea, tiene mucha relevancia y puede evitar un gran perjuicio a la Institución, tanto económico (ya que las sanciones pueden alcanzar los 10 millones de euros si la infracción es muy grave), como reputacional.
