Guía sobre la Ley Oficial de Protección de Datos para partidos políticos

Transcripción

1 Guía sobre la Ley Oficial de Protección de Datos para partidos políticos elaboración Fabián Plaza de Piratas de Galicia maquetación

2 He aquí un breve tutorial sobre cómo cumplir la Ley Oficial de Protección de Datos (LOPD) y su Reglamento en un partido político. Se da por sentado que los ficheros son todos informatizados; es decir, que no hay ningún fichero en papel o similares (para los que las obligaciones legales podrían ser diferentes, sobre todo en tema de almacenaje). También se da por sentado que no se va a ceder los datos de carácter personal a nadie, y que no se recopila datos de menores y que la información no se obtiene por personas distintas del interesado. Del mismo modo, se presupone que los datos no serán usados para comunicaciones publicitarias. Dichas comunicaciones tienen otros requisitos legales. Los pasos que hay que seguir para cumplir con la LOPD son: 1 4 Dar de alta el fichero. Colocar los avisos legales / Obtención del consentimiento. Tener el documento de seguridad. Medidas de seguridad. Ejercicio de derechos ARCO (acceso, rectificación, cancelación oposición). 1

3 1 Dar de alta el fichero Lo primero que se tiene que hacer antes de crear un fichero que contenga datos de carácter personal es darlo de alta ante la Agencia Española de Protección de Datos. Eso se puede hacer por vía telemática, presencial o por correo (aunque la más fácil es la primera, claro). La AEPD ha creado un formulario de Reader llamado NOTA, que permite hacer el alta de una forma sencilla. Incluso tiene un modelo abreviado para determinados tipos de fichero; lamentablemente, ninguno de esos modelos es aplicable a los partidos políticos, así que es necesario cumplimentar el modelo estándar. Qué es el sistema NOTA? El sistema de NOtificaciones Telemáticas a la AEPD (NOTA) permite a los responsables de ficheros con datos de carácter personal de titularidad pública y de titularidad privada: Notificar sus ficheros a la Agencia Española de Protección de Datos a través de una herramienta que le informa y asesora. 4 Presentar de forma gratuita notificaciones a través de Internet con certificado de firma electrónica o, en caso de no tenerla, a través de una hoja de solicitud. Conocer el estado de tramitación de las notificaciones remitidas a través de Internet, mediante certificado de firma electrónica o mediante el código de envío generado por el formulario electrónico. Consultar el contenido completo de la inscripción de sus ficheros en la web de la Agencia. Además, para los responsables que utilicen sus propios programas informáticos o los desarrolladores de aplicativos de protección de datos, se encuentran disponibles los formatos y especificaciones que deben cumplir sus aplicaciones para enviar notificaciones a la AEPD. Accede a la web Después de dar de alta el fichero, la AEPD contestará otorgándole un número de registro. A partir de entonces, se puede ver nuestro fichero dentro de la lista de la AEPD. Es importante saber que los responsables del fichero tienen obligación de secreto sobre los datos tratados incluso después de que finalicen sus funciones.

4 Colocar los avisos legales / Obtención del consentimiento Una vez tengamos dado de alta el fichero debemos colocar los oportunos avisos dentro de la página web. La LOPD y su Reglamento nos exigen informar de los siguientes datos a quienes vayan a formar parte del fichero: De que existe un fichero de datos de carácter personal. La finalidad de dicho fichero. Quién es el destinatario del mismo (en este caso, el partido). Si las respuestas a las preguntas sobre datos personales son obligatorias o facultativas (normalmente serán facultativas). Cuáles son las consecuencias en caso de no responder. Ante quién se puede ejercer los derechos de acceso, rectificación, cancelación y oposición (tiene que ofrecerse un medio gratuito y sencillo, como una dirección de mail, pero también debe haber una dirección postal). Quién es el responsable del fichero (persona concreta). Antes de recopilar datos de carácter personal 4 se ha de obtener el consentimiento informado del interesado. Eso incluye explicarle todo lo anterior y ofrecerle una casilla que diga que lo ha leído y lo acepta. Puede hacerse poniendo un enlace a un texto estilo Política de privacidad que explique con detenimiento todos esos datos. La AEPD ha dictaminado muchas veces que una dirección de correo electrónico es un dato de carácter personal. Por lo tanto, aunque la única información que se recopile de los usuarios sea un correo electrónico, al fichero donde se almacene se le aplicará la LOPD y su Reglamento. En el texto de «Política de privacidad» estaría bien -aunque no es obligatorio- poner igualmente el número de registro que la AEPD dio a nuestro fichero.

5 Ejemplo de «Política de privacidad» Al ponerse en en contacto con nosotros almacenamos sus datos en un fichero y los tratamos con el objetivo de ponernos en contacto con usted y ofrecerle la información que solicita o, en su caso, gestionar su afiliación al partido o su condición de simpatizante del mismo. Esos datos también pueden ser usados para administrar su suscripción a nuestras listas de correo, de las que puede darse de baja en cualquier momento. Dicha suscripción solo se activará si usted lo solicita expresamente. El destinatario de dicho fichero es <INSERTAR NOMBRE DE PARTIDO>. Debe saber que únicamente guardamos los datos necesarios para ponernos en contacto con el remitente del mensaje original y para gestionar sus consultas y su acceso a las listas de correo, así como su condición de afiliado o simpatizante. En ningún caso cederemos sus datos personales a terceros. Los ficheros con sus datos personales están debidamente registrados ante la Agencia Española de Protección de Datos, con 4 el número de registro <INSERTAR NÚMERO>. El titular de dichos ficheros y el responsable de su tratamiento es <INSERTAR NOMBRE>. A la hora de enviarnos un mensaje, usted no tiene la obligación de proporcionarnos una información auténtica, pero si no lo hace nos resultará imposible contestar. Del mismo modo, si usted desea ser afiliado o simpatizante, tampoco tiene por qué proporcionarnos datos correctos, pero entonces no podremos legalmente gestionar su alta como afiliado o simpatizante. Si usted decide enviarnos sus datos personales a través de alguno de los medios de contacto con nosotros, se entiende que nos autoriza expresamente a tratarlos de la forma que acabamos de explicar. Usted puede ejercitar sus derechos de acceso, rectificación, cancelación y oposición a esos datos de carácter personal poniéndose en contacto con el titular de los ficheros en el correo electrónico <INSERTAR DIRECCIÓN DE MAIL>, o en la dirección postal siguiente: <INSERTAR DIRECCIÓN POSTAL>. 4

6 Tener el documento de seguridad Aunque no es necesario registrarlo ante la AEPD, la ley obliga a tener listo y actualizado un documento de seguridad. Dicho documento debe contener los siguientes datos: Ámbito de aplicación del documento. Especificación de los recursos (ficheros) protegidos. Medidas, normas y procedimientos para garantizar la seguridad exigida. Obligaciones del personal en relación con el tratamiento de datos. Estructura de los ficheros y descripción de los sistemas de información que los tratan. Procedimientos de notificación, gestión y respuesta ante incidencias. Procedimientos de copia de respaldo y de recuperación de datos. Medidas para el transporte de documentos y soportes. Medidas para la destrucción de documentos y soportes. Medidas para la reutilización de documentos y soportes. La periodicidad con la que se cambia 4 las contraseñas de acceso (máximo, un año). Funciones/obligaciones de los usuarios con acceso a los datos. Funciones de control y autorizaciones delegadas del responsable (y lista de personas delegadas). Es necesario mantener siempre al día dicho documento. Por ejemplo, si cambian las personas implicadas, debe cambiar el fichero.

7 4 Medidas de seguridad Es bien sabido que existen tres niveles de seguridad para ficheros que contengan datos de carácter personal: básico, medio y alto. Cuál es el aplicable a los ficheros de un partido político? Lo explica el Artículo 81 (Aplicación de los niveles de seguridad) del Reglamento: 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 9 de la Ley Orgánica 1/1999, de 1 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales 4 de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquéllos que contengan datos derivados de actos de violencia de género. 4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 10 de este reglamento.. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 6

8 6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. 7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero. 8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad. El resumen es el siguiente: Todos los ficheros deben cumplir las medidas de seguridad de nivel básico. Los ficheros sobre ideología (como por ejemplo los de afiliados a un partido político) tienen un nivel de seguridad alto. Una excepción a esto son los ficheros 4 cuyo único fin es gestionar las cuotas de afiliados a un partido. Estos ficheros pueden quedarse en el nivel de seguridad básico. En otras palabras: solo podrán ser de nivel de seguridad básico los ficheros destinados únicamente a gestionar las cuotas. Los demás ficheros son de nivel de seguridad alta. Todo lo anterior coloca en nivel de seguridad ALTO los ficheros de direcciones de correo electrónico de afiliados destinados a una lista de correo. 7

9 Veamos cuáles son esas obligaciones en materia de seguridad: OBLIGACIONES DE NIVEL BÁSICO: Tener un documento de seguridad con el contenido descrito. Que los encargados del tratamiento de datos (los que introduzcan los datos o los modifiquen) conozcan sus obligaciones en materia de seguridad y las consecuencias en caso de incumplimiento. Que el responsable limite el acceso a datos personales para realizar trabajos que no impliquen tratamiento de datos (es decir, que no se pueda acceder a los datos por personas no autorizadas). Los usuarios solo deben poder acceder a los datos necesarios para ejercer sus funciones. El responsable debe tener un registro de qué usuarios pueden acceder a qué datos. Los usuarios deben ser identificables de forma inequívoca e individualizada. Si la autenticación se hace a través de contraseñas, su procedimiento de asignación, distribución, almacenaje debe asegurar la confidencialidad e integridad de las mismas. Solo el personal autorizado debe poder conceder/alterar/anular los derechos de acceso. Si los datos son tratados fuera del lugar donde se encuentre el responsable del fichero (que será el caso con muchos de nuestros ficheros), hace falta una autorización por escrito del responsable del fichero. Dicha autorización debe estar en el documento de seguridad y determinar un periodo de validez (un plazo tras el que se acaba y hay que renovarla). Las copias de respaldo para trabajos temporales o auxiliares deben cumplir con las medidas del nivel de seguridad correspondiente. Todo fichero temporal o copia de trabajo debe ser borrado cuando no sea necesario. Las medidas de seguridad para accesos por redes de comunicaciones han de ser similares a las existentes para accesos en modo local. Debe haber un procedimiento de notificación y gestión de las incidencias que afecten a los datos. En caso de incidencia, se debe generar un registro 4 que incluya el tipo de incidencia, momento en que se produzca/detecte, la persona que realiza la notificación, a quién se le comunica, los efectos derivados de la incidencia y las medidas correctoras aplicadas. Se ha de hacer una copia de respaldo de los datos cada semana (a menos que los datos no hayan sido modificados en ese plazo). Debe haber un procedimiento de recuperación de los datos en caso de pérdida o destrucción de los mismos. Los soportes que contengan datos de carácter personal deben permitir identificar la información que contienen (en el nombre del fichero, la etiqueta del CD,...). Los soportes que contengan datos de carácter personal deben estar inventariados. Los soportes que contengan datos de carácter personal solo deben ser accesibles a las personas autorizadas. La salida de ficheros de datos de carácter personal ( incluso como adjuntos en un correo electrónico!) debe ser autorizada por el responsable o al menos aparecer autorizada en el documento de seguridad. Durante el traslado de ficheros se ha de adoptar las medidas necesarias para evitar la sustracción/pérdida/acceso indebido a los datos. Al desechar documentos o soportes con datos personales se ha de destruir dichos datos de forma que se impida su recuperación posterior. Si se hace pruebas de implantación de datos con datos reales, se ha de garantizar la seguridad necesaria, se ha de hacer previamente una copia de seguridad y se debe hacer constar en el documento de seguridad. El responsable debe verificar cada seis meses que todo el sistema de protección de datos funcione como es debido. 8

10 OBLIGACIONES DE NIVEL ALTO El documento de seguridad debe incluir quiénes son los responsables de seguridad. El documento de seguridad debe incluir los controles periódicos para verificar su cumplimiento. La identificación de los soportes debe realizarse usando sistemas de etiquetado que permitan a los usuarios autorizados conocer el contenido, pero que dificulten su identificación para el resto de personas. La distribución de soportes de datos de carácter personal debe hacerse cifrando los datos o con algún sistema que garantice que dicha información no será accesible / manipulada durante su transporte. Los datos que contengan los dispositivos portátiles deben cifrarse cuando estén fuera de las instalaciones bajo el control del responsable. Se debe conservar una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel donde se encuentren los equipos informáticos que los tratan. Dicho lugar debe cumplir con las adecuadas medidas de seguridad. Se debe guardar, de cada intento de acceso a los datos, la identificación de usuario/fecha y hora del acceso / fichero accedido / tipo de acceso / si ha sido autorizado o denegado. Si el acceso ha sido autorizado se debe guardar la información que permita identificar el registro accedido. El periodo mínimo de conservación de los accesos ha de ser de años. El responsable de seguridad debe revisar al menos una vez al mes la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados. Al transmitir los datos por redes públicas/inalámbricas de telecomunicaciones se debe cifrar los datos o garantizarse de otro modo que la información no es inteligible / manipulada por terceros. 4 9

11 Ejercicio de derechos ARCO (acceso, rectificación, cancelación oposición) Todo el mundo tiene derecho a acceder a sus datos, rectificarlos, cancelarlos o directamente oponerse a que se trate sus datos. Cuando se ejerciten estos derechos, se ha de verificar la identidad del solicitante para asegurarse de que es el interesado. Si no se acredita la identidad del solicitante, se debe denegar la solicitud. Para indentificar al interesado se debe solicitar nombre, fotocopia del DNI o similar, una dirección para notificaciones, fecha y firma. Aunque no consten datos personales del solicitante, se debe contestar a su solicitud. Derecho de acceso El ejercicio de este derecho ha de hacerse efectivo en el plazo de 0 días. Este derecho no puede obligar al 4uso de dispositivos mecánicos específicos. Tampoco puede hacerse de forma ininteligible. Se debe ofrecer al interesado la opción entre visualización en pantalla, escrito por correo, telecopia o correo electrónico. Se puede denegar el derecho de acceso si se ha solicitado ya en los 1 meses anteriores y no existe un interés legítimo. Al ejercer este derecho, se debe informar al interesado de que puede recabar la tutela de la AEPD o de las autoridades de control de las comunidades autónomas. 10

12 Derecho de rectificación El ejercicio de este derecho ha de hacerse efectivo en el plazo de 10 días. Aunque se ejerza este derecho, se debe conservar los datos durante el tiempo de prescripción legal de responsabilidades nacidas del tratamiento (tres años). Los datos antiguos deben ser conservados, pero también deben estar bloqueados de manera que no se pueda acceder a ellos. Derecho de cancelación El ejercicio de este derecho ha de hacerse efectivo en el plazo de 10 días. Se puede denegar este derecho cuando los datos deban ser legal o contractualmente conservados. Al ejercer este derecho, se debe informar 4 al interesado de que puede recabar la tutela de la AEPD o de las autoridades de control de las comunidades autónomas. Aunque se ejerza este derecho, se debe conservar los datos durante el tiempo de prescripción legal de responsabilidades nacidas del tratamiento (tres años). Los datos deben ser conservados, pero también deben estar bloqueados de manera que no se pueda acceder a ellos. 11