Política de Protección de Datos de NRC

1. Introducción

El Consejo Noruego para Refugiados (NRC por su sigla en inglés) apoya a personas que huyen de conflictos en países de todo el mundo. Para brindar la ayuda adecuada, NRC debe recabar información, incluyendo datos personales. NRC procesa información personal para cumplir con sus obligaciones hacia los beneficiarios, los empleados, las autoridades oficiales, los donantes, las copartes y otros interesados.

La Política de Protección de Datos de NRC establece los estándares de la organización en cuanto a cómo proteger la privacidad de las personas cuyos datos son procesados de conformidad con la legislación vigente y los principios humanitarios, tales como:

La Visión de NRC: Derechos respetados, personas protegidas.

La Declaración de Principios de NRC: NRC trabaja para proteger los derechos de las personas desplazadas y vulnerables en medio de las crisis.

Principio de protección según el Proyecto Sphere: Evite exponer a las personas a mayores daños como resultado de sus acciones.

El Artículo 12 de la Declaración Universal de los Derechos Humanos: Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia.

El Marco Jurídico

El personal, los socios y proveedores de NRC que procesan información personal en nombre de NRC deben hacerlo de conformidad con la Directiva 95/46/CE de la Unión Europea relativa a la protección de datos personales (NRC es una organización con sede en Noruega, sujeta a la mayor parte de la legislación de la UE) y con la legislación sobre la protección de información vigente en el país en que se desarrolla el tratamiento de la información personal. Esto se aplica tanto a la información personal almacenada en formato electrónico como a aquella escrita en papel. Si existiera un conflicto entre la legislación de la UE y la normativa local, NRC siempre cumplirá con la reglamentación más estricta.

Otros tipos de legislación, tales como la normativa fiscal y las leyes laborales y de empleo, pueden ser igualmente pertinentes en cuanto a qué tipo de información personal sobre los empleados NRC puede procesar y cómo hacerlo.

Políticas

El Código de Conducta de NRC tiene carácter “normativo” en cuanto a la manera como el personal de NRC debe comportarse en el manejo de información delicada y confidencial. En conformidad con esta política, debe garantizarse la privacidad de todas las personas cuyos datos están siendo procesados por NRC. Esta política, junto con las directivas y los principios presentados en este documento, forma parte del control interno de NRC en lo que se refiere al tratamiento de datos personales.

2. Definiciones

Las siguientes definiciones describen la terminología relacionada con la protección de datos y se utilizarán en todos los documentos relacionados con el tema.

Datos personales Se entiende por datos personales cualquier información relacionada con una persona natural identificada o identificable (“sujeto de datos”). Una persona identificable es alguien que puede ser identificado, directa o indirectamente, en particular en relación con un número de identificación o con uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social, tales como, pero no exclusivamente, el nombre, la dirección, el número de teléfono, la dirección electrónica, una foto, etc.

Datos personales de carácter delicado   Los datos personales de carácter delicado son elementos de información sobre el origen racial o étnico, las opiniones políticas, las creencias filosóficas o religiosas, el estado de salud, la orientación sexual, la afiliación sindical, o el hecho de haber sido considerado sospechoso o acusado o condenado de cualquier delito.   En ciertos países, el tratamiento de la información personal delicada puede requerir la autorización de la autoridad nacional de protección de datos.   Es importante tener conciencia de que en las situaciones complejas de emergencia y de conflicto, cualquier tipo de información personal puede ser considerada “delicada”, aunque no corresponda a la definición de información de carácter delicado en la legislación sobre el tema. Esto tiene que ver con el contexto y con qué (daños) podría traerle ese tipo de información a las personas en caso de que cayera en malas manos.

Procesamiento El procesamiento de datos personales (“procesamiento”) se refiere a cualquier operación, o serie de operaciones, aplicadas a la información personal, con medios automáticos o no, tales como la recolección, la grabación, la organización, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la impresión, la publicación, la divulgación por medio de transmisión o diseminación o poniéndola a disposición por cualquier otro medio, adaptación o combinación, supresión, borrado o destrucción.

Sujeto de datos   La persona individual cuyos datos están siendo procesados.

Responsable del tratamiento de datos (Data controller) Se entiende por responsable del tratamiento de datos (Data controller) la persona natural o jurídica, autoridad o agencia oficial o cualquier otra entidad que, sola o conjuntamente con otros, determina los propósitos y los medios del procesamiento de información personal. Cuando las leyes o la normativa nacional o de la Comunidad definen los propósitos y los medios del procesamiento, el responsable del tratamiento de datos, o los criterios específicos que rigen su nombramiento, pueden ser establecidos por la normativa nacional o las leyes de la Comunidad.

Procesador de datos Se entiende por procesador de datos la persona natural o jurídica, autoridad o agencia oficial o cualquier otra entidad que procesa información personal por cuenta del responsable del tratamiento de datos, incluyendo los socios, las empresas de subcontratación, proveedores de almacenamiento en la nube, proveedores de software (por ej. Agresso, Telecomputing, Webcruiter, etc.).

Consentimiento informado Por consentimiento informado del sujeto de datos se entiende cualquier indicación específica e informada, expresada libremente, mediante la cual el sujeto de datos manifiesta su acuerdo con el procesamiento de datos personales que se relacionan con él. En la medida de lo posible, NRC prefiere que ese consentimiento se exprese por escrito. NRC utilizará tales declaraciones de consentimiento en los diversos contextos en los que se procesan datos personales.

3. Principios

Para cumplir con la reglamentación sobre la protección de datos personales, NRC garantizará que los datos sean:

• Recabados para los fines establecidos, explícitos y legítimos, y no procesados de manera incompatible con tales fines;
• Procesados de manera legal y limpia;
• Adecuados, pertinentes y no excesivos con relación a los propósitos para los cuales han sido recabados y/o procesados;
• Exactos y, si es necesario, actualizados. Deben adoptarse todas las medidas razonables necesarias para garantizar que los datos inexactos o incompletos, habida cuenta de los fines para los cuales fueron recaudados o procesados, sean borrados o corregidos;
• Mantenidos de manera que permita la identificación de los sujetos de datos por un período no superior al estrictamente necesario para los fines para los cuales fueron recaudados o procesados;
• Puestos a disposición de los sujetos de datos, cumpliendo con su derecho a acceder a sus datos personales;
• Mantenidos/almacenados en condiciones de seguridad.

NRC garantizará que los datos personales se procesarán solamente si:

• El sujeto de datos ha expresado su consentimiento inequívoco; o
• El procesamiento es necesario para la ejecución de un contrato del cual el sujeto de datos es parte, o para tomar medidas a solicitud del sujeto de datos antes de celebrar un contrato; o
• El procesamiento es necesario para cumplir con la obligación jurídica a la cual el responsable está sujeto; o
• El procesamiento es necesario para proteger los intereses vitales del sujeto de datos; o
• El procesamiento es necesario para la ejecución de una tarea desarrollada en pro del interés público o en el ejercicio de la autoridad oficial conferida al responsable o a un tercero a quienes la información se le revela; o
• El procesamiento es necesario para fines de los legítimos intereses que persigue el responsable o un tercero o terceros a quienes se revela la información, excepto cuando los intereses relacionados con derechos y libertades fundamentales del sujeto de datos que requieren ser protegidos prevalezcan sobre tales intereses.

3.1. Propósitos

Los datos personales procesados por, o a nombre de NRC, sólo podrán utilizarse para fines informados/acordados, específicos y predeterminados. Por ejemplo, el manual de recursos humanos especifica cómo debe procesarse la información personal de los empleados, incluyendo indicaciones sobre el tipo de datos personales, la seguridad de los datos, quién puede acceder a ellos y el tiempo de retención.

Cuando se procesa la información personal, debe definirse claramente el propósito de tal procesamiento; y la información personal puede utilizarse solamente para el propósito para el cual fue recabada. Hay que tener presente que es posible definir propósitos múltiples para la recabación de datos personales de un sujeto de datos.

Asegurarse de que la cantidad de información personal recabada sea la mínima indispensable. Sólo se puede procesar la información necesaria para el propósito específico, y no puede almacenarse por más tiempo que el absolutamente necesario para satisfacer el propósito original. La especificación del propósito debe incluir:

• ¿A quién representa (¿El responsable del tratamiento de datos?)
• ¿Cuál es el propósito de la recopilación de datos? ¿Por qué necesita recabar información personal?
• ¿Qué tipo de información personal se necesita?
• ¿Por cuánto tiempo necesitamos guardar los datos?
• ¿Quién podrá acceder a la información personal (roles y responsabilidades)? ¿Y será compartida con terceros?

La especificación escrita del propósito debe almacenarse como parte de la documentación del proyecto.

Debe asegurarse de que cualquier requerimiento de información personal de carácter delicado se justifique y se limite a lo estrictamente necesario.

Tenga en cuenta que en algunos países donde opera NRC, el tratamiento de datos personales puede requerir el registro ante el comisionado nacional de protección de información (antes de comenzar la recaudación de información).

3.2 Obtenga la información de manera limpia

Toda la información procesada por, o en nombre de, NRC debe recopilarse y utilizarse de manera limpia. El procesamiento debe contar con una base formal, de tal manera que se cumplan las siguientes condiciones:

1. La legislación nacional lo permite o lo requiere

El NRC puede procesar información sobre empleados, consultores y donantes privados de conformidad con la legislación laboral, fiscal, de comercialización y otra normativa nacional.

Consentimiento informado

A falta de justificativos jurídicos, NRC solicitará consentimiento informado al procesar datos personales. El consentimiento debe darse de manera libre, voluntaria e informada, lo que significa que antes de recabar la información personal, el sujeto de datos (o el tutor del sujeto de datos en el caso de un menor de edad) debe ser informado sobre el propósito y sobre sus derechos a acceder a, y a corregir, sus datos personales.

El consentimiento debe expresarse por medio de un acto explícito por parte del sujeto de datos, preferiblemente a través de su firma o marcando las casillas de opciones en las herramientas electrónicas de recolección de datos. No se recomienda el consentimiento verbal, pues NRC debe poder demostrar con pruebas ante las autoridades de protección de datos que obtuvo el consentimiento informado. Si no es posible obtener el consentimiento verificable del sujeto de datos por razones de emergencia o de conflicto, el representante de NRC debe documentar cómo se obtuvo el consentimiento verbal. Todo consentimiento verificable (o la documentación del representante de NRC) debe archivarse para futura referencia.

Cualquier uso secundario de los datos personales debe estar sujeto a la base jurídica existente o a una nueva base. Si el procesamiento es incompatible con el propósito original, no es posible cambiar el propósito sin antes obtener un nuevo consentimiento informado del sujeto de datos.

Proteger los intereses vitales de la persona

El NRC puede procesar los datos personales sin fundamentación legal o consentimiento cuando es necesario para garantizar la seguridad del sujeto de datos y la persona no está en capacidad de dar su consentimiento por razones de incapacidad física o legal.

En este caso, el representante de NRC debe escribir/documentar las razones por las cuales se procesa la información de esta manera, para que NRC pueda explicar la situación posteriormente al sujeto de datos o a las autoridades de protección de información.

 3.3 Calidad de la información

El NRC debe garantizar la implementación de las medidas técnicas y organizativas adecuadas para proteger los datos personales de la destrucción accidental o ilícita, de la pérdida o alteración accidental, de la divulgación o el acceso no autorizados, especialmente cuando el procesamiento implica la transmisión de los datos a través de una red, así como de toda otra forma ilícita de procesamiento.

Tales medidas deberán garantizar un nivel adecuado de seguridad frente a los riesgos que representan el procesamiento y la naturaleza de los datos por proteger.

Cuando el procesamiento se realiza por cuenta suya, el responsable del procesamiento de datos debe elegir un procesador que ofrezca suficientes garantías con respecto a medidas de seguridad y organizativas aplicables al tratamiento de datos por realizarse, y debe asegurar el cumplimiento de tales medidas.

La ejecución del tratamiento de datos por un procesador debe estar sujeta a un contrato o a otro acto legal que comprometa al procesador de datos ante NRC y, especialmente, que estipule que el procesador de datos actuará únicamente según las instrucciones de NRC.

El NRC garantizará que los datos personales se validarán con respecto al propósito y que se mantendrán actualizados.

La información personal deberá ser:

• Adecuada y pertinente con respecto al propósito del procesamiento;
• Suficiente para tener significado;
• No excesiva – únicamente el tipo de información necesaria para cumplir el propósito;
• Actualizada cuando sea incorrecta.

3.4 Retención de datos

El NRC conservará los datos personales sólo el tiempo necesario para cumplir el propósito y los requerimientos de los donantes o de las autoridades oficiales.

La información personal se borrará (o, en el caso de documentos en papel, se quemará o triturará):

• Si ya no sirve al propósito establecido;
• Si no existen obligaciones legales o acuerdos con donantes que exijan su retención;
• Si hay datos incorrectos que no se pueden corregir.

3.5 El derecho de acceso a la información

El NRC garantizará que los datos personales estén a disposición del sujeto de datos cuando este los solicite. Cuando se lo pida el sujeto de datos, NRC le brindará información sobre qué tipo de datos estamos conservando sobre él, por qué la conservamos y con quién hemos compartido, o tenemos la intención de compartir, sus datos personales.

Debe establecerse la identidad de la persona que solicita la información personal antes de divulgarla. Si el sujeto de datos se da cuenta de que la información es incorrecta, es responsabilidad de NRC garantizar que los datos se corrijan, o se borren si no se pueden corregir.

El derecho del sujeto de datos de ver qué tipo de información personal sobre él tiene NRC no incluye el derecho a ver documentos completos. No se debe facilitar información que divulga datos sobre terceras personas.

3.6 El almacenamiento de información debe ser seguro

El NRC garantizará el almacenamiento de la información personal en condiciones de seguridad. Los datos procesados por, o a cuenta de, NRC deberán mantenerse protegidos del acceso no autorizado, de pérdida y divulgación no deseada, así como de cambios o borrado. Las medidas de seguridad serán proporcionales a los riesgos antes mencionados y a la sensibilidad de los datos. Esto es especialmente importante si el procesamiento implica la transmisión de datos por medio de una red o el transporte fuera de las instalaciones de NRC (tanto de documentos en papel como de información almacenada en aparatos electrónicos).

Al procesar datos personales, es responsabilidad de NRC tomar medidas planificadas y sistemáticas para garantizar un nivel satisfactorio de seguridad de la información en términos de confidencialidad, integridad y disponibilidad.

Ejemplos de medidas de seguridad

• Autenticación con una clave o su equivalente a los equipos o fuentes de datos que contienen información personal;
• Autenticación multifactorial para acceder a información personal electrónica;
• Garantizar control de acceso con base en la especificación del propósito (ver Sección 3.1);
• Registrar actividades/transacciones en la red y fuentes de datos que incluyen información personal;
• Asegurar copia de seguridad y comprobar si es posible recuperar la información;
• Utilizar cifrado al transferir datos personales a través de una red;
• Asegurar las instalaciones donde se guardan datos personales (tanto electrónicos como físicos) para evitar cualquier acceso no autorizado;
• Establecer un sistema para la destrucción de datos (tanto electrónicos como físicos) en emergencias tales como la evacuación de oficinas.

3.7 La responsabilidad de NRC frente a la Ley de Protección de Datos

El NRC establecerá y documentará medidas para asegurar el cumplimiento con esta política. La responsabilidad de ello recae en cada programa de país, oficina regional, oficina de representación, así como en la Oficina Principal.

Esto incluye:

• En todo momento mantener un documento actualizado que contenga información sobre el tipo de datos personales que se están procesando, dónde están almacenados y por cuánto tiempo, mencionando quiénes (con roles, no con nombres) pueden tener acceso a ellos;
• Documentar las acciones sistemáticas que se planean y que son necesarias para cumplir con los requerimientos de esta política;
• En todo momento, mantener un registro actualizado sobre las violaciones de datos (pérdida o revelación no intencional de datos personales) y las medidas correctivas;
• Asegurar que los acuerdos firmados con socios y/o proveedores sobre procesamiento de datos impongan los mismos requisitos que los que recaen en NRC.

Registro o licencia del Comisionado de Protección de Datos

Si NRC proyecta recopilar información que, según la ley de protección de datos, es información de carácter sensible, es responsabilidad de NRC cerciorarse si las autoridades nacionales de protección de datos requieren que se registre el procesamiento de esos datos, o si se necesita una licencia por parte de esas autoridades. El registro o la obtención de la licencia siempre se deben realizar con anterioridad al procesamiento (es decir, antes de comenzar a recabar los datos).

En el documento Anexo 1 a esta política se redacta el consentimiento informado para tratamiento de datos personales y delicados por parte de NRC que debe ser completado por NRC y aprobado por el Sujeto de datos.

4. Cuándo NRC procesa datos por cuenta ajena

Siempre que NRC sea contratado como socio de ejecución y procese datos por cuenta ajena, actuamos como procesadores de datos y debemos asegurarnos de que exista un acuerdo de procesador de datos firmado con el responsable de datos que especifique las exigencias de este. En tal caso, NRC garantizará que cada miembro del personal de NRC involucrado en la colaboración se familiarice con los términos del acuerdo. si alguna política de protección de datos está en contradicción con la política de protección de datos de NRC, NRC siempre acatará los requisitos más estrictos.

Ejemplo: recabación de datos para el registro de beneficiarios por cuenta de ACNUR.

5. Cuándo se publican fotos de personas individuales

Una tarea importante de NRC es abogar por las personas cuyos derechos e intereses han sido violados. Un poderoso instrumento para realizar este trabajo es publicar historias y fotos de individuos y grupos de personas.

Una imagen se considera un dato personal cuando identifica a una persona, y la regla general es que se requiere de consentimiento informado. Las fotos que muestran un grupo de personas en las que la situación, la actividad o el evento es el tema de las fotos, pueden publicarse sin consentimiento siempre que sean inocuas y de ninguna manera ofendan a las personas retratadas. Sin embargo, se mantienen válidas las reglas sobre la calidad y la seguridad de la información.

En caso de duda, considere lo siguiente:

• ¿Es éticamente correcto publicar la foto?
• ¿La imagen muestra una concentración de personas al aire libre o eventos de interés general?
• ¿Existe la posibilidad de que la imagen pueda representar posteriormente un peligro para la seguridad personal, la dignidad o el bienestar físico o psicológico de la(s) persona(s) en la foto?

Sección 5 del Código de Conducta de NRC: “Garantizaré que la imagen de las personas y sus circunstancias se represente de manera justa en términos de sus capacidades y vulnerabilidades. Deben realizarse todos los esfuerzos para explicar cómo se utilizarán las fotos y las historias y para obtener el permiso de esas personas para la utilización de sus fotos e historias”.

¿Aún tiene dudas? Solicite consentimiento informado o absténgase de publicar la imagen.

---