RGPD

Niveles de protección de datos en fichas personas

 

Implementación en DeporWin de los conceptos de restricción, cancelación, eliminación y bloqueo de datos de la RGPD

 

Antecedentes

 

Una persona de nuestra base de datos puede estar en los siguientes estados:

 

  1. Posible cliente (una persona que se ha interesado por los servicios de la instalación): Los datos personales que se recojan deberían ser los justos para poderle hacer llegar la información solicitada: Nombre, DNI, Edad, Sexo, email y móvil. Otra información como, por ejemplo, qué servicios le interesan no se consideran datos personales.

 

El interesado ha de facilitar voluntariamente dicha información y requerirá la aceptación de al menos un consentimiento (habitualmente, consentimiento comercial) donde se indicará (entre otras cosas) el uso que se le dará a dicha información y aclarando que sus datos personales se conservarán hasta que el propio interesado manifieste lo contrario. Sin este consentimiento, no estamos autorizados a registrar ni conservar sus datos personales.

 

Resumiendo: A partir del consentimiento del cliente, podemos conservar los datos de forma indefinida hasta que el propio cliente anule dicho consentimiento, momento en el que se deben cancelar de la base de datos (en este caso, no sería aplicable el bloqueo de sus datos puesto que no hay legitimación para hacerlo)

 

Mención especial tienen los menores de 14 años que requerirán la validación del consentimiento por parte de ambos progenitores (excepto casos de separación, viudedad o familias monoparentales)

 

En determinados casos, puede ser necesario restringir el acceso a los datos personales

 

  1. Activo (relación contractual con el centro): Hay un interés legítimo en tener acceso a su información personal por lo que se puede conservar de forma indefinida la información personal del interesado (siempre y cuando tenga un uso justificado y proporcional)

 

 

  1. Baja (ha sido activo, pero ya no tiene una relación contractual con el centro): Según el RGPD, los datos han de conservarse exclusivamente durante el tiempo necesario para su tratamiento, pero deja libertad para fijar este plazo de tiempo según cada circunstancia.

 

En el caso de las instalaciones deportivas, tres meses sería un plazo aceptable por parte del usuario, aunque un año sería lo razonable para la instalación (para campañas comerciales o de recuperación), por lo que queda a criterio del propietario de la Base de Datos marcar dicho tiempo.

 

Este plazo en el que la información será utilizada y accesible debe indicarse muy claramente en el contrato de cesión de datos, teniendo en cuenta que el interesado debe poder solicitar la supresión o desactivación de sus datos en cualquier momento.

 

Pasado el plazo de tiempo indicado, se puede notificar al interesado que sus datos personales se cancelarán de la base de datos, ofreciendo la posibilidad de conservarlos mediante un consentimiento.

En el caso de que el interesado acepte dicho consentimiento, su información personal se podrá conservar de forma indefinida hasta la cancelación de dicho consentimiento.

 

Una estrategia adecuada para esta solicitud es solicitar el consentimiento de conservación de datos personales con el fin de que si el usuario decide iniciar una relación contractual no tenga que volver a facilitarlos y opcionalmente uno o más consentimientos de comunicados de marketing o comerciales, de forma que el interesado tenga la opción de que se conserven sus datos personales sin por ello estar expuesto al uso comercial de sus datos.

 

Si el usuario no acepta la conservación de sus datos, se debe proceder a su cancelación de la base de datos

 

  1. Derecho al olvido (el interesado solicita la eliminación total de sus datos personales): Solo aplicable a personas que no estén activas (no tengan una relación contractual con el centro).

Esta es una solicitud expresa por parte del interesado, que tiene que ser atendida en un plazo de un mes (prorrogable dos meses más en circunstancias especiales).

 

Este derecho choca con obligaciones legales y fiscales. Para solucionarlo, aparece el concepto de ‘bloqueo‘ de la información personal, que, básicamente, es hacerla accesible solo a determinados responsables de la organización.

 

Conceptos restricción/cancelación/eliminación/bloqueo de datos:

 

  1. Restricción: El acceso a la información del interesado se limita a determinado grupo de operadores (por ser perfiles sensibles, como sería el caso de personas con un determinado reconocimiento social)

     

  2. Cancelación: Los datos se conservan en la base de datos, pero no se hará uso de ellos (la ficha permanece desactivada). Solo cuando el interesado lo solicite, se podrá volver a activar.

     

  3. Eliminación: Los datos se eliminan de forma permanente de la base de datos. Solo sería aplicable a interesados con los que no se haya establecido una relación contractual, en caso contrario, se debería bloquear

     

  4. Bloqueo: La información ha de quedar totalmente inaccesible (por ejemplo, cifrada) de forma que solo los máximos responsables de la organización puedan acceder a ella (por ejemplo, por un requerimiento judicial)

     

     

 

Cómo gestiona DeporWin estos cuatro estados de información:

 

  1. Restricción: Configurando un perfil de forma que limite el acceso a dicha ficha en función del grupo de operadores:

     

     

  2. Cancelación: Mediante la casilla ‘activo’ podemos indicar si los datos han de poder estar accesibles. En el momento que una ficha se desactiva (solo cuando no tenga ningún contrato activo):

     

    1. No aparecerá en ningún listado en el que aparezcan datos personales (parametrizable)
    2. No aparecerá en pantalla
    3. En el caso de realizar una búsqueda que de cómo resultado esta ficha, se solicitará su activación teniendo solo determinado grupo de usuarios potestad para activarla de nuevo.
  3. Eliminación: Supresión total de la ficha en la base de datos, incluyendo campañas CRM, correos enviados, ficheros adjuntos e historial. No es aplicable en el caso de que el usuario tenga algún pago, en ese caso se procederá al bloqueo.

Bloqueo: Se cifrarán los datos personales (datos, documentos adjuntos, fotografía, histórico, etc.). Solo un responsable de máximo nivel podrá deshacer el cifrado para poder acceder a la información.

Implementación

 

1.Restricción

Se impide el acceso a determinadas fichas (con perfil determinado) según el grupo de operadores

(Ya implementado en pantalla personas actual)


2.Cancelación
Los datos personales se conservan en BBDD, pero no se podrá hacer uso de ellos (‘ficha desactivada’), no se mostrarán en la ficha y no se podrán usar en listados, informes, etc. (Para activar esta opción se añade el parámetro general ‘EliminarDatosAlDesactivarFichaPersona’)

  • Un nuevo proceso de inicio en DeporWin desactivará automáticamente las fichas ‘obsoletas’. (Para activar esta opción se añade el parámetro general ‘DesactivarFichasPersonaObsoletas’).

  • El proceso también podrá lanzarse manualmente desde la pantalla de ‘Parámetros Persona’

  • Se considerará una ficha ‘obsoleta’ en función de los siguientes criterios:
    1.No tiene ningún consentimiento de comunicaciones comerciales otorgado.
    2.No es una ficha de empleado, monitor o comercial.
    3.No tiene acceso ilimitado.
    4.No tiene ningún contrato activo (abono, actividad, servicio NMS, etc.).
    5.No tiene deudas pendientes.
    6.Han pasado más de x días (parámetro general por defecto 90 días) desde el último pago creado (como titular o usuario).
    7.Han pasado más de x días (parámetro general por defecto 30 días) desde la creación de la ficha.
  • En las opciones de Activar/Desactivar ficha de persona y ‘Eliminar datos RGPD’ se añaden restricciones de funcionalidad por grupo de usuario. (‘ELIMINAR DATOS RGPD’, ‘ACTIVAR FICHA PERSONA’, ‘DESACTIVAR FICHA PERSONA’)
  • Además, se registrará en el historial de la ficha la activación/desactivación de la misma (operador, fecha/hora, etc.)
  • No se podrá acceder a una ficha desactivada, de forma que si se intenta acceder o se realiza una búsqueda en una ficha desactivada se solicitará la activación para poder acceder a la ficha.
  • Aunque no sean visibles los datos en fichas desactivadas si se tendrán en cuenta en las búsquedas de persona, es decir, se podrá realizar búsqueda de fichas de persona no activas incluyendo filtros de datos personales.
  • Al activar de nuevo una ficha se recuperarán los datos personales y volverán a estar visibles y accesibles.

 

 

 

 



3.Bloqueo

  • Los datos personales se encriptan en BBDD (con cifrado seguro ‘Triple DES’) y no se podrá hacer uso de ellos (‘ficha bloqueada’), no se mostrarán en la ficha y no se podrán usar en listados, informes, etc.
  • También se guardarán encriptados los datos de historial, notas, emails, SMS, registros de exportación, datos bancarios, documentos del gestor documental y foto.
  • Esta operativa es una alternativa a la opción de ‘Eliminar Datos RGPD’ en casos en que sea necesario preservar documentos, facturas, datos económicos, etc.
    A efectos prácticos ningún dato o documento de la persona está disponible en la aplicación para ningún operador. Sólo un operador autorizado (‘de máximo nivel’) podrá recuperarlos por algún motivo de fuerza mayor.
  • Al bloquear una ficha se podrá imprimir un documento mediante el proceso ReporWin ‘BLOQUEAR DATOS PERSONALES’.
  • En las opciones de Bloquear/Desbloquear ficha de persona se añaden restricciones de funcionalidad por grupo de usuario (‘BLOQUEAR DATOS RGPD’, ‘DESBLOQUEAR FICHA PERSONA’).
    Dado la ‘excepcionalidad’ de la operativa de desbloqueo, por defecto ningún grupo de usuarios tendrá permisos para desbloquear.
  • Además, se registrará en el historial de la ficha el bloqueo/desbloqueo de la misma (operador, fecha/hora, etc.)
  • Para determinar el estado de la persona respecto a la RGPD se añaden nuevos campos en la tabla ‘Personas’:
    EstadoRGPD (1=Activa, 2=Desactivada, 3=Reactivada, 4=Bloqueada, 5=Desbloqueada, 6=Eliminada)
    FechaEstadoRGPD
  • Se añade nuevo proceso de inicio en DeporWin para eliminar los datos RGPD automáticamente de las fichas canceladas pasado cierto tiempo (por defecto 5 años).
    Para configurar esta opción se añaden los parámetros generales
    ‘EliminarFichasPersonaBloqueadas’
    y ‘NumeroDiasEliminarFichaPersonaBloqueada’.


 


 

 

4.Desbloqueo

  • Se ha creado una nueva pantalla de búsqueda para las fichas «Bloqueadas». Esta pantalla tiene los filtros de DNI, Nombre, Apellidos, Teléfono y email. (1)
  • En la barra superior, tenemos las acciones a para realizar la búsqueda, limpiar filtros, ocultar/mostrar los filtros y Tipo de Filtro (puede ser Valor Exacto, Comienza por, Acaba Por y Contiene) (2)
  • La Búsqueda será en background y se nos mostrará una barra en la parte inferior de la ventana en la que se nos mostrará el progreso. Cada vez que el sistema encuentre una ficha bloqueada que cumpla los filtros, la irá añadiendo a la tabla de datos, de tal manera que si hay muchos registros, los iremos viendo aparecer de uno en uno, permitiéndonos cancelar la búsqueda en caso de que ya lo hayamos visto o no queramos que siga buscando (3)
  • Una vez encontrado el registro deseado, podremos realizar dos acciones, Seleccionar el registro o Desbloquearlo (4). En caso de desbloqueo, el sistema nos pedirá también la razón del mismo.