Tenemos dudas sobre la LOPD y las fotos que se hacen a menores que pertenecen a nuestra asociación

Hola.

Intento dar luz. Por ahora lo primero que me sale deciros es que enhorabuena. No creáis que hay tantas entidades de infancia y juventud que se tomen tan enserio y tangan tan claro este tema de la protección de datos.

Como ya sabréis hay varios escalones en cuanto a la información que hay que proteger. Desde los datos básicos del menor (nombre, domicilio, contacto…) hasta registros sobre el seguimiento personalizado de las actividades del menor en la asociación (tipo evaluaciones, hojas de seguimiento, incluso observación de objetivos individualizados)... para cada tipo de información un archivo que hay que dar de alta.

Vamos al lío… y el lío se llama INTERNET.

Como interpreto solicitáis a los responsables de los menores (padres o tutores) la autorización pertinente para tomar imágenes de sus hijos dentro de la actividades de la asociación para que esta las use dentro d elos fines que les son propios. Uno de esos fines es la propia promoción de las actividades de la asociación.

Seguimos. Supuestos de falta de control con posible responsabilidad de la asociación.

A.- Imágenes tomadas por los propios menores y distribuidas por las redes sociales (tuenti, facebook, twitter, whathsapp, youtube y similares).

Respuesta: La asociación no puede hacerse responsable de las imágenes tomadas por los propios menores en el seno de las actividades de la asociación. Serán sus responsables legales (padres o tutores) los que subsidiariamente deban responder. Para que la asociación esté más cubierta en sus estatutos o reglamento de régimen interno debería aprobarse algo referido a esto: “queda prohibido el uso de dispositivos de grabación de imagen y sonido y su difusión posterior de las actividades de la asociación salvo permiso explícito de los órganos directivos de la misma y siempre bajo la responsabilidad de aquellos”

B.- Imágenes tomadas por responsables de la asociación e igualmente distribuidas que las del caso A de forma privativa y sin control por parte de la Asociación

En este caso, y dado que estamos hablando casi siempre de personas mayores de edad vale igualmente la nota anterior. Aquí es posible imponer un control más férreo puesto que el colectivo de monitores será más reducido.

En la normativa interna de la asociación deberá quedar muy clara la exención explícita de responsabilidad y la asunción plena por parte del que haya metido la pata. Para ello a lo mejor tenéis que modificar los impresos de protección de datos para que los mayores de edad asuman su responsabilidad y se mencione la exoneración de la asociación ante estos hechos. Esto posibilitaría que algún padre no pudiera ir contra la asociación como responsable subsidiario en caso de conflicto.

C.- Imágenes tomadas “oficialmente” por la asociación y distribuidas por los medios habituales de la asociación: su página web, su perfil de facebook o twitter, su cuenta de youtube, publicaciones escritas…

Estas se supone que son las que han autorizado los padres en los papelitos de LOPD.

El cuidado que hay que tener en este caso es que los canales utilizados sean exactamente los propios de la asociación y que sean inequivocadamente esos y no otros. Expresamente debe quedar claro que fuera de esos ámbitos la asociación no va a asumir responsabilidades.

Espero haya ayudado

Buenos días Nieves,

En respuesta a tu consulta te comento varias cosas:
1. La entidad debe estar cumpliendo con la LOPD de acuerdo a las exigencias de medidas técnicas, entorno jurídico y procesos de gestión. Te lo señalo porque muchas entidades han notificado los ficheros ante la Agencia y creen que ya cumplen con la Ley o han elaborado un primer documento de seguridad sin alimentarlo y actualizarlo con los cambios en la información registrada o si llevar los listados, registros e inventarios. Revisa bien que hacen, como lo hacen y asesórate al respecto.

2. Con respecto al tratamiento de imágenes de los menores, lo primero es tener una autorización expresa de los padres, donde se les informa la finalidad o el para que van a ser utilizadas esas fotografías, con lo cual es responsabilidad de la entidad hacer cumplir con lo estipulado en esa autorización, lo que ya tiene que ver con el control y la supervisión que deben tener con los monitores dentro del ejercicio de su trabajo.

3. Cuando un monitor que trabaja para la entidad, tiene datos de sus socios (nombre, teléfonos, correos electrónicos), está manejando los datos que la entidad debe salvaguardar. Eso significa que dentro del cumplimiento del entorno jurídico, debe haber firmado un documento de funciones y obligaciones del personal en el que se le informa que debe hacer para cumplir con la LOPD y seguir los lineamientos establecidos por la entidad para la que trabaja.

4. Que se puede y que no se puede hacer, lo determina la entidad que es responsable de los datos y lo deja registrado en el documento de seguridad en que deben tener establecido el “COMO” van a cumplir con cada una de las medidas de seguridad que exige la LOPD. A los empleados en el ejercicio de su función, se les puede restringir el uso de las redes sociales, o no hacerlo si lo consideran úitl para el trabajo, depende de lo que como entidad deseen hacer. Pero debe haber instrucciones claras al respecto para cuidarse de acciones inapropiadas.

5. Si los datos de carácter personal de los socios (teléfonos, correos electrónicos, etc.) van a ser entregados a los monitores, debe realizar los registros de gestión de soportes, en el que se autoriza la salida y entrada de información de la entidad. Esa salida de soportes puede ser puntual o permanente.

6. El cumplimiento de la LOPD es responsabilidad de la entidad y debe actuar en consecuencia dando las instrucciones oportunas a sus monitores y cerciorándose que se cumplan.

Cordial saludo,

PERO... SI ESTE APARTADO ÚLTIMO (El cumplimiento de la LOPD es responsabilidad de la entidad y debe actuar en consecuencia dando las instrucciones oportunas a sus monitores y cerciorándose que se cumplan) NO SE CUMPLE, Y NO SOMOS CAPACES DE CONTROLAR LAS ACCIONES DE LOS MONITORES, QUE PODEMOS HACER?

Continúo.

La forma de proteger a la asociación es, además de cumplir la LOPD con la diligencia de un buen padre de familia (sic del Código Civil), es delimitar la actividad de la asociación y fijar claramente cuáles son los medios de comunicación y los lugares donde se gestiona la información que genera la actividad de la misma.

Declaración de exención de responsabilidad cuando en el seno y los límites definidos de actuación se ha obrado con diligencia es suficiente como para que se esté cubierto.

Se les puede exigir explícitamente a los monitores de la asociación que la información aportada y generada en el seno de la asociación queda protegido en los términos de la LOPD y que el uso indebido de esta podría se definida como incorrecta.

Te pongo un ejemplo. En un hospital el historial médico de un paciente es de los datos que más protegido se encuentra en la LOPD. Si un médico hace mal uso de esta información pero el hospital tiene una gestión adecuada de estos ficheros ¿quién será responsable del mal uso de esta información, el médico o el hospital?
Otra pregunta. El damniificado (el paciente en este caso) ¿contra quien actuará, contra el hospital o contra el médico? Pude actuar contra los dos y bien es cierto que el hospital deberá demostrar que ha actuado con diligencia tanto en la custodia de la información como en cerciorarse de que el médico tenía la información y formación necesaria para la gestión de esos ficheros.

No se trata tanto de controlar a los monitores, por tanto, como de que ellos sean responsables de lo que hagan y sean conscientes de las consecuencias de un uso indebido de la información.

Hay que tener en cuenta que no todos los ficheros de la LOPD tienen el mismo riesgo pero desgraciadamente todos aquellos que llevan información de menores son los que cuentan con mayores garantías de protección por parte de las leyes.

En definitiva. Tenéis que proteger a la asociación haciendo responsables de los malos usos de la información a quien no respete las normas. Pero esto debe hacerse de forma notoria, explícita, individualizada y con acuse de recibo por parte de los monitores.

Nos vemos.

Estimada Nieves,

Estoy de acuerdo con las otras aportaciones acerca del generar consciencia en el personal y además de la firma del documento de funciones y obligaciones del personal como he explicado en el numeral 3.

Sin embargo, lo que plateas es una incapacidad de la entidad para supervisar, controlar y hacer cumplir las obligaciones de ley. Eso es otro tema que no tiene que ver con la LOPD, sino con la gestión que realizan del personal.

Sólo puedo decirte que si cualquier empresa, después de especificar los procedimientos obligatorios por ley a su personal, no logra que los cumplan, debe ser diligente y seleccionar personas que lo hagan. Una cosa es que la entidad pueda respaldarse en el documento firmado de funciones y obligaciones del personal, ante un error puntual de un empleado, y otra muy distinta es que la entidad tenga conocimiento del incumplimiento permanente de la ley y respaldado en ese documento no haga nada al respecto. No creo que ante una denuncia o inspección pueda evadir la responsabilidad en este último caso.

Cordial Saludo,

Clara Ospina