Consultas Online
Consulta formulada por:
Tenemos dudas sobre la LOPD y las fotos que se hacen a menores que pertenecen a nuestra asociación
29.04.13
Hola,
Ante todo gracias por su servicio.
Soy presidenta de una asociación que desde hace 16 años venimos trabajando con menores y sus familias. Hace unos años decidimos entrar y llevar a cabo todos los requisitos que la Agencia de protección de datos exige actualmente. Pero cada vez que realizamos una salida hay monitores que realizan fotos a los menores realizando actividades y en ocasiones no las entregan a la entidad. Cuando los padres o tutores de los menores entregan una autorización a la asociación donde se autoriza a realizar fotos, pero entendemos que es a la entidad para fines concretos, explicados.
También observamos que los monitores tienen y manejan los números de móviles de algunos menores, así como la aceptación en sus cuentas personales de facebook o tuenti u otros medios. ¿Esto se puede realizar? ¿O tenemos que tomar otras medidas, cuando a los monitores se les ha informado y formado sobre la ley de protección de datos? ¿Qué otras cosas se puede realizar para proteger a los menores y que no cargue sobre las espaldas de los responsables de la protección de datos el incumplimiento de determinados monitores?
Gracias.
Respuestas
Aportada por:
Consultor de Control de Gestión y Profesor
Trabaja en:
Asesor particular
30.04.13
Hola.
Intento dar luz. Por ahora lo primero que me sale deciros es que enhorabuena. No creáis que hay tantas entidades de infancia y juventud que se tomen tan enserio y tangan tan claro este tema de la protección de datos.
Como ya sabréis hay varios escalones en cuanto a la información que hay que proteger. Desde los datos básicos del menor (nombre, domicilio, contacto…) hasta registros sobre el seguimiento personalizado de las actividades del menor en la asociación (tipo evaluaciones, hojas de seguimiento, incluso observación de objetivos individualizados)... para cada tipo de información un archivo que hay que dar de alta.
Vamos al lío… y el lío se llama INTERNET.
Como interpreto solicitáis a los responsables de los menores (padres o tutores) la autorización pertinente para tomar imágenes de sus hijos dentro de la actividades de la asociación para que esta las use dentro d elos fines que les son propios. Uno de esos fines es la propia promoción de las actividades de la asociación.
Seguimos. Supuestos de falta de control con posible responsabilidad de la asociación.
A.- Imágenes tomadas por los propios menores y distribuidas por las redes sociales (tuenti, facebook, twitter, whathsapp, youtube y similares).
Respuesta: La asociación no puede hacerse responsable de las imágenes tomadas por los propios menores en el seno de las actividades de la asociación. Serán sus responsables legales (padres o tutores) los que subsidiariamente deban responder. Para que la asociación esté más cubierta en sus estatutos o reglamento de régimen interno debería aprobarse algo referido a esto: “queda prohibido el uso de dispositivos de grabación de imagen y sonido y su difusión posterior de las actividades de la asociación salvo permiso explícito de los órganos directivos de la misma y siempre bajo la responsabilidad de aquellos”
B.- Imágenes tomadas por responsables de la asociación e igualmente distribuidas que las del caso A de forma privativa y sin control por parte de la Asociación
En este caso, y dado que estamos hablando casi siempre de personas mayores de edad vale igualmente la nota anterior. Aquí es posible imponer un control más férreo puesto que el colectivo de monitores será más reducido.
En la normativa interna de la asociación deberá quedar muy clara la exención explícita de responsabilidad y la asunción plena por parte del que haya metido la pata. Para ello a lo mejor tenéis que modificar los impresos de protección de datos para que los mayores de edad asuman su responsabilidad y se mencione la exoneración de la asociación ante estos hechos. Esto posibilitaría que algún padre no pudiera ir contra la asociación como responsable subsidiario en caso de conflicto.
C.- Imágenes tomadas “oficialmente” por la asociación y distribuidas por los medios habituales de la asociación: su página web, su perfil de facebook o twitter, su cuenta de youtube, publicaciones escritas…
Estas se supone que son las que han autorizado los padres en los papelitos de LOPD.
El cuidado que hay que tener en este caso es que los canales utilizados sean exactamente los propios de la asociación y que sean inequivocadamente esos y no otros. Expresamente debe quedar claro que fuera de esos ámbitos la asociación no va a asumir responsabilidades.
Espero haya ayudado
Aportada por:
Consultora Especializada en Protección de Datos. Shocktech y Protechplus, S.L.U. www.protechplus.es
Trabaja en:
Asesor particular
30.04.13
Buenos días Nieves,
En respuesta a tu consulta te comento varias cosas:
1. La entidad debe estar cumpliendo con la LOPD de acuerdo a las exigencias de medidas técnicas, entorno jurídico y procesos de gestión. Te lo señalo porque muchas entidades han notificado los ficheros ante la Agencia y creen que ya cumplen con la Ley o han elaborado un primer documento de seguridad sin alimentarlo y actualizarlo con los cambios en la información registrada o si llevar los listados, registros e inventarios. Revisa bien que hacen, como lo hacen y asesórate al respecto.
2. Con respecto al tratamiento de imágenes de los menores, lo primero es tener una autorización expresa de los padres, donde se les informa la finalidad o el para que van a ser utilizadas esas fotografías, con lo cual es responsabilidad de la entidad hacer cumplir con lo estipulado en esa autorización, lo que ya tiene que ver con el control y la supervisión que deben tener con los monitores dentro del ejercicio de su trabajo.
3. Cuando un monitor que trabaja para la entidad, tiene datos de sus socios (nombre, teléfonos, correos electrónicos), está manejando los datos que la entidad debe salvaguardar. Eso significa que dentro del cumplimiento del entorno jurídico, debe haber firmado un documento de funciones y obligaciones del personal en el que se le informa que debe hacer para cumplir con la LOPD y seguir los lineamientos establecidos por la entidad para la que trabaja.
4. Que se puede y que no se puede hacer, lo determina la entidad que es responsable de los datos y lo deja registrado en el documento de seguridad en que deben tener establecido el “COMO” van a cumplir con cada una de las medidas de seguridad que exige la LOPD. A los empleados en el ejercicio de su función, se les puede restringir el uso de las redes sociales, o no hacerlo si lo consideran úitl para el trabajo, depende de lo que como entidad deseen hacer. Pero debe haber instrucciones claras al respecto para cuidarse de acciones inapropiadas.
5. Si los datos de carácter personal de los socios (teléfonos, correos electrónicos, etc.) van a ser entregados a los monitores, debe realizar los registros de gestión de soportes, en el que se autoriza la salida y entrada de información de la entidad. Esa salida de soportes puede ser puntual o permanente.
6. El cumplimiento de la LOPD es responsabilidad de la entidad y debe actuar en consecuencia dando las instrucciones oportunas a sus monitores y cerciorándose que se cumplan.
Cordial saludo,
Respuesta del participante:
30.04.13
PERO... SI ESTE APARTADO ÚLTIMO (El cumplimiento de la LOPD es responsabilidad de la entidad y debe actuar en consecuencia dando las instrucciones oportunas a sus monitores y cerciorándose que se cumplan) NO SE CUMPLE, Y NO SOMOS CAPACES DE CONTROLAR LAS ACCIONES DE LOS MONITORES, QUE PODEMOS HACER?
Aportada por:
Consultor de Control de Gestión y Profesor
Trabaja en:
Asesor particular
02.05.13
Continúo.
La forma de proteger a la asociación es, además de cumplir la LOPD con la diligencia de un buen padre de familia (sic del Código Civil), es delimitar la actividad de la asociación y fijar claramente cuáles son los medios de comunicación y los lugares donde se gestiona la información que genera la actividad de la misma.
Declaración de exención de responsabilidad cuando en el seno y los límites definidos de actuación se ha obrado con diligencia es suficiente como para que se esté cubierto.
Se les puede exigir explícitamente a los monitores de la asociación que la información aportada y generada en el seno de la asociación queda protegido en los términos de la LOPD y que el uso indebido de esta podría se definida como incorrecta.
Te pongo un ejemplo. En un hospital el historial médico de un paciente es de los datos que más protegido se encuentra en la LOPD. Si un médico hace mal uso de esta información pero el hospital tiene una gestión adecuada de estos ficheros ¿quién será responsable del mal uso de esta información, el médico o el hospital?
Otra pregunta. El damniificado (el paciente en este caso) ¿contra quien actuará, contra el hospital o contra el médico? Pude actuar contra los dos y bien es cierto que el hospital deberá demostrar que ha actuado con diligencia tanto en la custodia de la información como en cerciorarse de que el médico tenía la información y formación necesaria para la gestión de esos ficheros.
No se trata tanto de controlar a los monitores, por tanto, como de que ellos sean responsables de lo que hagan y sean conscientes de las consecuencias de un uso indebido de la información.
Hay que tener en cuenta que no todos los ficheros de la LOPD tienen el mismo riesgo pero desgraciadamente todos aquellos que llevan información de menores son los que cuentan con mayores garantías de protección por parte de las leyes.
En definitiva. Tenéis que proteger a la asociación haciendo responsables de los malos usos de la información a quien no respete las normas. Pero esto debe hacerse de forma notoria, explícita, individualizada y con acuse de recibo por parte de los monitores.
Nos vemos.
Opinión anónima
03.05.13
Nosotros lo solucionamos haciendo que los colaboradores firmen un documento de confidencialidad, amén de los manuales que tenemos elaborados en protección de datos y tratamiento de imágenes de menores de edad (fotos de espaldas, de grupo, en plano alejado, etc).
De todos modos y por experiencia propia, como mejor se comprende la problemática por parte de los voluntarios y colaboradores de tercer sector es cuando entienden que lo que hacen puede señalar a un niño, niña o adolescente en riesgo o en situación de vulneración y que estamos dando información a personas que pueden intentar aprovechar esa circunstancia, que ademas esos niños, niñas y adolescentes crecerán y les estamos estigmatizando de por vida en una problemática con la que pueden no querer ser relacionados a futuro (que hoy por hoy, no existe el derecho al olvido en redes sociales y que hasta que no se aplique el nuevo reglamento europeo no será así...). La concienciación es tu mejor arma, la gente que esta en voluntariado y/trabaja en tercer sector está porque cree en lo que hace y si se les enseña que respetando la LOPD lo que hacen es respetar un derecho fundamental, normalmente son mucho más consecuente con fotos y vídeos.
No obstante y aparte de lo que ya te han comentado, en lo que estoy totalmente de acuerdo, es interesante que firmen un documento de confidencialidad y que hagáis un documento de buenas prácticas con respecto a vuestra actividad y que lo lean, entiendan y firmen.
Nuestra responsabilidad sólo puede llegar hasta donde empieza la del resto de individuos.
Un saludo,
Aportada por:
Consultora Especializada en Protección de Datos. Shocktech y Protechplus, S.L.U. www.protechplus.es
Trabaja en:
Asesor particular
07.05.13
Estimada Nieves,
Estoy de acuerdo con las otras aportaciones acerca del generar consciencia en el personal y además de la firma del documento de funciones y obligaciones del personal como he explicado en el numeral 3.
Sin embargo, lo que plateas es una incapacidad de la entidad para supervisar, controlar y hacer cumplir las obligaciones de ley. Eso es otro tema que no tiene que ver con la LOPD, sino con la gestión que realizan del personal.
Sólo puedo decirte que si cualquier empresa, después de especificar los procedimientos obligatorios por ley a su personal, no logra que los cumplan, debe ser diligente y seleccionar personas que lo hagan. Una cosa es que la entidad pueda respaldarse en el documento firmado de funciones y obligaciones del personal, ante un error puntual de un empleado, y otra muy distinta es que la entidad tenga conocimiento del incumplimiento permanente de la ley y respaldado en ese documento no haga nada al respecto. No creo que ante una denuncia o inspección pueda evadir la responsabilidad en este último caso.
Cordial Saludo,
Clara Ospina