La organización y celebración de eventos, congresos, asambleas… en las que se recaban datos personales de asistentes y participantes debe cumplir con las obligaciones que establece la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Desde Cumple Protección de Datos os explicamos las actuaciones principales a llevar a cabo para asegurar este cumplimiento.
La LOPD establece una serie de obligaciones que han de cumplir las empresas, organizadores y responsables del tratamiento de los datos. Siempre que en un evento se recopile información personal de los asistentes y participantes, deben realizarse una serie de pasos.
A la hora de recabar los datos, la LOPD establece la obligación de informar previamente a la recogida de la finalidad con la que se recaban dichos datos personales. Deben conocer quién es el responsable del tratamiento y conocer dónde pueden ejercer sus derechos ARCO de acceso, rectificación, cancelación y oposición. En ningún caso se pedirán datos que no tengan relevancia para la finalidad de nuestro evento, al igual que no podrán usarse para otra implicación que no sea la comunicada. Cuando ya no sean necesarios deben ser cancelados. Los datos deben ser veraces y aludir a la situación real del usuario.
En caso de que se pidan datos de carácter sensible como los relativos a la salud del asistente como, por ejemplo, cuando solicitamos datos sobre alergias o intolerancias a determinados alimentos, el tratamiento de los mismos y las medidas de seguridad serán más estrictas. Entre las medidas adicionales estarán las de realizar copias de seguridad de dichos datos en una ubicación distinta, y si se hace en soportes que puedan salir de las instalaciones del responsable, la necesidad de cifrar dichos datos. Además están obligados a realizar auditorías periódicas para asegurar su privacidad. También será necesario mantener un registro de acceso exhaustivo a estos datos de sensibles y haber recabado un consentimiento expreso, no solo informar, para proceder a su tratamiento. Si los datos son de personas menores de 14 años, se debe pedir el consentimiento paterno para hacer uso de ellos. Por ello, como recomendación, si podemos evitar el registro de datos de salud, nos ayudará en el momento de aplicar medidas de seguridad menos complejas.
Al manejar datos personales, deberá notificarse a la Agencia Española de Protección de Datos la existencia de un fichero, acto que puede realizarse a través de la sede electrónica. Debemos indicar el responsable del fichero y de su tratamiento, la finalidad por la que se crea, su ubicación, el tipo de datos que maneja y su naturaleza, indicando cuando se trata de datos de carácter sensible como los relativos a la salud, las medidas de seguridad tomadas para evitar que los datos se filtren o caigan en manos ajenas, sean alterados o tratados por personas no autorizadas, e indicar si se producirá la cesión de dichos datos a terceros. Habrá que comunicar a la AEPD cualquier alteración en este fichero.
Si se producen accesos a los datos personales por cuenta de terceros, siempre debemos firmar un “encargo de tratamiento”, un contrato con esas empresas o particulares, estableciendo el uso que se le dará a dichos datos, que nunca podrá ser desproporcionado al fin para el que fueron obtenidos, y exigiendo en dicho contrato las adecuadas medidas de seguridad. En el mismo se exigirá la cancelación o devolución de los datos una vez se finalice el encargo establecido en el contrato. Solo se podrán ceder, sin estos contratos, cuando exista consentimiento informado para esa cesión en concreto.
En aquellos eventos en los que se vayan a obtener imágenes, grabar a los asistentes y participantes, debe cumplirse lo estipulado en la LOPD para el uso y captura de imágenes, éstas se consideran datos personales, por lo que debe aplicarse todo lo explicado anteriormente. Así, se debe informar de la captura de dichas imágenes, pedir el consentimiento para poder grabar y hacer uso de ellas, comunicar el fin para el que son tomadas, informar sobre el responsable del fichero, dónde se pueden ejercer los derechos ARCO, pedir el consentimiento en caso de que se vayan a ceder las imágenes a terceros, tomar las medidas de seguridad necesarias para hacer un buen uso. Cuando ya no sean necesarias deben ser canceladas.
Incumplir alguna de estas obligaciones de la LOPD puede ocasionar graves consecuencias económicas. Nos podemos enfrentar a sanciones elevadas impuestas por la AEPD. De ahí la importancia de dejar en manos de profesionales la protección de datos de carácter personal. En Cumple Protección de Datos contamos con personal experto con muchos años de experiencia que os ayudarán a que vuestro evento cumpla con las obligaciones legales.