Lorena Pérez Campillo, José A. Castillo Parrilla (UPV/EHU)
Organizar un congreso o una conferencia es una tarea complicada que implica un elevado número de cuestiones en materia de protección de datos. La mayoría de las personas no están dispuestas a que se vulnere su intimidad por el mero hecho de aceptar asistir o participar en un evento y debemos ser extremadamente respetuosos con su derecho a la intimidad. La violación de los principios básicos de protección de datos puede acarrear graves sanciones a los organizadores.
Nos centramos principalmente en los eventos públicos, ya que implican muchos más problemas que los eventos privados. Por “actos públicos” entendemos los actos abiertos al público, dirigidos a un número considerable de personas que podrían complicar el control de la información, o los actos que se anunciarán o publicarán después de celebrarse. Por el contrario, los “eventos privados” permitirían un mejor control de la información ya que (1) los eventos estarían dirigidos a un número reducido de personas y/o (2) los organizadores han pedido a los participantes que no publiquen información sobre el evento ni imágenes de personas sin su permiso. Los eventos públicos pueden tener un mayor riesgo de dañar la privacidad, por lo que las consideraciones sobre estos eventos deben ser más rigurosas. Lo que se dice en ellos puede ser aplicable a los eventos privados, aunque éstos no deban ser tan estrictos como los públicos.
Qué hacer |
|
Lo que no hay que hacer |
|
Lista de comprobación |
|
Algunas reflexiones preliminares que pueden ser especialmente relevantes
Asumimos que el centro de investigación/grupo de investigadores es el “responsable del tratamiento” (véase el art. 4(7) del RGPD) al elegir los fines y los medios del tratamiento previsto. Pero también puede haber diferentes responsables del tratamiento, como muestra este diagrama:
Posible controlador (o controladores conjuntos)
El papel que debe desempeñar cada institución organizadora debe quedar claro desde el principio del proceso de organización. Un acuerdo por escrito en el que se especifique el papel que debe desempeñar cada organización podría ser clave para garantizar un tratamiento adecuado de los datos personales. Si el responsable del tratamiento trabaja con proveedores que procesan datos, o si hay procesadores que dependen del responsable[1] del tratamiento, deben asegurarse de que los procesadores cumplen con el RGPD y la normativa nacional. Algunos ejemplos de proveedores de servicios son los proveedores de la nube o las plataformas intermediarias de gestión de eventos o software de conferencias. Habrá que asegurarse de que los encargados del tratamiento cumplen con el RGPD y la normativa nacional de protección de datos: legitimidad, deber de información, ejercicio de derechos, etc. Además, será necesario comprobar que los “acuerdos de tratamiento de datos” están actualizados de acuerdo con el RGPD. Siempre que sea posible, los responsables del tratamiento deben crear acuerdos vinculantes con los proveedores para asegurarse de que cumplen tanto con los requisitos legales como con las solicitudes realizadas por el responsable del tratamiento (por ejemplo, para eliminar o modificar los datos).
En un Congreso hay varias actividades que pueden verse afectadas por el procesamiento de datos:
Cuando se organiza un evento y se inscribe a los asistentes, se consideran datos personales generales (ya que normalmente no se recogen datos de categorías especiales), como el nombre, la dirección de correo electrónico o la procedencia (por ejemplo, la entidad a la que pertenecen).
Al mostrar los datos personales de los sujetos fuente resultantes de una posible investigación científica, los organizadores podrían tener que tratar con categorías especiales de datos personales.
Los organizadores del congreso deben distinguir entre los datos necesarios para solicitar el evento y otros datos. Los requisitos para el consentimiento deben ser diferentes, y especificar en cada caso (1) la finalidad del tratamiento de datos y (2) si es necesario dar el consentimiento para el tratamiento de datos (por ejemplo, para permitir el acceso al evento, por alguna razón logística o de control). De este modo, los asistentes pueden consentir libremente el tratamiento de los datos que no sean necesarios. En lo que respecta a los datos que no son necesarios para el evento, debe quedar claro que los asistentes (ahora, el sujeto de los datos) pueden retirar su consentimiento en cualquier momento sin consecuencias perjudiciales (véanse el artículo 7 y los artículos 42 y 43 del RGPD).
Además, debe tenerse en cuenta el principio de minimización de los datos (art. 5.c del RGPD). Por ejemplo, solicitar el correo electrónico, el número de teléfono y el domicilio puede no ser necesario si la finalidad del tratamiento de datos es permitir el contacto entre los organizadores y los asistentes. Por supuesto, el domicilio no cumpliría con el principio de minimización de datos en este caso. Dependiendo de las circunstancias, incluso el número de teléfono podría no ser necesario para contactar con los asistentes si son conscientes de que el correo electrónico debe consultarse con frecuencia. En resumen, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
Algunas recomendaciones prácticas que pueden ser útiles
- La finalidad del tratamiento de los datos recogidos debe ser clara. El responsable del tratamiento debe explicar si utilizará estos datos para publicitar futuras conferencias, o si los compartirá con los patrocinadores, por ejemplo. Deben ofrecer a los asistentes la posibilidad de dar su consentimiento por separado a diferentes solicitudes. Podrían, por ejemplo, utilizar pegatinas para dejar claro si un sujeto de datos desea ser grabado, pero no quiere que las grabaciones se coloquen en línea.
- Gestión del registro. Los asistentes pueden tener diferentes preferencias sobre esta cuestión. Algunos, por ejemplo, podrían no estar dispuestos a ser incluidos en las listas de asistentes. Para evitar problemas sobre este tema, se debe incluir un mensaje previo a la recogida de datos (tanto los necesarios como los no necesarios, tal y como se explica en el punto 5) advirtiendo de que se elaborará y distribuirá una lista de asistentes. Este mensaje debe tener las siguientes características (1) visible: los asistentes podrán ver la advertencia a primera vista; (2) completo: el mensaje informará de qué datos figurarán en la lista y a quién se distribuirá; y (3) reversible: el mensaje incluirá una forma sencilla de retirar el consentimiento advirtiendo de que una vez distribuida la lista es imposible recuperarla para retirar datos. Si esta lista se utiliza también para entregar tarjetas de identificación a los asistentes una vez llegados al lugar de celebración (si se trata de un evento físico), el mensaje podría incluir una pregunta de sí/no: “¿desea recibir una tarjeta de identificación con su nombre y procedencia?”.
- Los controladores deben asegurarse de los datos que realmente necesitan y no pedir más. Cuantos menos datos posean, menos problemas tendrán. Una vez finalizado el evento, los responsables del tratamiento deben eliminar todos los datos que no estén obligados a conservar por motivos legales. Los responsables del tratamiento deben comprobar el tipo de datos que tienen que conservar y el periodo especificado por la normativa aplicable. Deben informar de ello a todos los participantes desde el principio.
- Los controladores deben asegurarse de que todos los asistentes puedan decidir si quieren ser grabados, filmados o fotografiados. Recabar el consentimiento informado podría ser una excelente idea en este sentido, pero luego los controladores no deben olvidar que hay que respetar su derecho a la intimidad. Los controladores deben intentar establecer zonas “libres de cámaras”. Algunas partes del recinto deberían estar aisladas de cualquier tipo de imágenes o grabaciones. Una herramienta útil complementaria consiste en preparar diferentes tarjetas con distintos colores en función del consentimiento/no consentimiento de cada uno de los participantes para ser fotografiados. Junto a este tipo de medidas, y una vez celebrado el evento deberíamos disponer de alguna herramienta técnica que permita pixelar u ocultar las imágenes en las fotografías o vídeos, por ejemplo. Nos referimos, por ejemplo, a las grabaciones o fotografías de un grupo de asistentes durante el descanso de una conferencia.
- Si los controladores están grabando las sesiones y tienen previsto incluir la sección de preguntas y respuestas, deberán avisar previamente a los asistentes. Esto es especialmente importante si los presidentes de los paneles piden a los asistentes que se identifiquen antes de hacer preguntas.
- Los controladores deben pedir a todos los participantes (ponentes, presidentes…) que les faciliten los datos biográficos y las fotografías que quieran incluir en su breve biografía. Los controladores deben informar de antemano si las personas podrán acceder a la información. Si algunas de ellas no están dispuestas a incluir una fotografía, los controladores no pueden incumplir su voluntad. Por ejemplo, no pueden tomar una foto de Internet y utilizarla.
- Si el responsable del tratamiento necesita informar a los asistentes o participantes de algún dato económico para proceder al pago de las cuotas o al reembolso de los gastos de asistencia, deberá hacerlo desde la primera comunicación. Por ejemplo, en la hoja del formulario correspondiente. A veces las instituciones no trabajan bien las normas de minimización de datos. El responsable del tratamiento podría tener serios problemas si observa que los asistentes no están de acuerdo con sus políticas institucionales en materia de privacidad y protección de datos.
- El responsable del tratamiento debe ser consciente de que la información sobre las preferencias dietéticas puede revelar información sobre las creencias religiosas o la ideología, o incluso la salud o el estado (por ejemplo, embarazo). Debe gestionar esta información con mucho cuidado. Debe intentar incluir menús que no tengan esas consecuencias.
Algunas herramientas que puede utilizar
Al proporcionar información sobre el tratamiento
El responsable del tratamiento puede optar por proporcionar información básica. Si éste es el caso, es aconsejable incluir una tabla con los siguientes títulos para que la información pueda ser vista claramente por el interesado:
Controlador de datos | Asociación Europea XXXXC/Sociedad Europea de Oncología, etc. |
Finalidad del tratamiento de datos | Registro y gestión de los asistentes al evento |
Legitimación | Obligación legal… |
Destinatarios | No se cederá ningún dato a terceros, salvo obligación legal |
Derechos | Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional |
Información adicional | Puede encontrar información adicional y detallada sobre la protección de datos en nuestro sitio web: www.xxxxxxx/dataprotectionpolicy[2] |
“Antes de rellenar el formulario debe leer la información básica sobre protección de datos que se presenta en el enlace que aparece al final de la tabla”. |
Al tomar fotos/vídeos de los asistentes/presentadores…
El responsable del tratamiento puede utilizar un tipo de paquete informativo como el que se muestra a continuación. Deben indicarse los tipos de datos personales que se recogerán: cómo se recogerán los datos (por ejemplo, fotografías y vídeos) y dónde se recogerán (lugar). Además, debe indicarse la finalidad: por ejemplo, marketing, formación, etc. Los responsables del tratamiento también deben indicar el tipo de tratamiento de los datos (edición, publicación, visualización) y si se publicarán en los medios sociales o en un boletín informativo.
Fotografía/vídeo:
Su imagen y su voz pueden ser grabadas. Tenga en cuenta que _______________ tomará fotos y vídeos en las zonas públicas de la conferencia (salas de reuniones, salas de exposición, etc.). Podemos utilizar estos medios en materiales de marketing, productos educativos y publicaciones. Pueden publicarse en los medios de comunicación social . Marque si está de acuerdo en aparecer en. Twitter Facebook LinkedIn ….. |
Cuando se produce un streaming o una publicación de fotos…
- Se debe informar a los ciudadanos, con la mayor cantidad de información posible, si habrá cobertura de los medios de comunicación, utilizando medios externos o internos identificables. El responsable del tratamiento también debe indicar dónde se publicará.
- El consentimiento sobre el tratamiento de datos para cada finalidad debe ser diferente y los posibles interesados deben poder distinguir claramente cada uno de los diferentes consentimientos.
Transmisión en streaming:
“Les informamos que el evento y durante ambos días, tendrá una cobertura mediática, con medios externos (fuera del congreso, en su mayoría periodistas nacionales e internacionales) e internos. Hay becarios que han sido contratados expresamente por _______________ como la grabación audiovisual de los ponentes y algunas entrevistas, para su edición y postproducción. El congreso se publicará online mediante streaming (a través del siguiente canal de YouTube xxxxxxxxx) |
Cuando los eventos son seminarios web…
- Deben cumplirse las mismas obligaciones que si se tratara de eventos en un lugar físico, es decir, debe haber una base legitimadora (consentimiento, obligación contractual, etc.), el interesado debe ser informado, etc. Es posible que haya que adaptar algunos requisitos al entorno digital.
- La institución de investigación correspondiente o los investigadores que organizan este tipo de eventos (conferencias, congresos, webinars, etc.) incluirán un apartado con la finalidad “gestión de congresos” en el que se deberá detallar lo siguiente
|
- Según el artículo 4 del RGPD, un procesador de datos es una persona, autoridad, agencia u otro organismo que procesa datos personales en nombre del controlador (art. 4.8 del RGPD). ↑
- Toda la información requerida en el Art. 13 y 14 del RGPD de la UE está disponible en la sección “Política de protección de datos”. ↑