Crowdfunding (V): la seguridad de los datos personales
Los promotores de los proyectos expuestos en las plataformas de crowdfunding que operan en España están obligados por la Ley de Protección de Datos de Carácter Personal (LOPD) y por la Ley de Servicios de la Sociedad de Información y Comercio Electrónico (LSSI). Pero muy pocos lo hacen constar de forma explícita es sus páginas de presentación.
En el caso de las LOPD, sabemos que existen tres niveles de seguridad:
- En el NIVEL BÁSICO estarán todos aquellos ficheros que no deban estar, por una u otra razón, en un nivel de seguridad superior
- En el NIVEL MEDIO estarán, entre otros, los que contengan datos acerca de la solvencia, operaciones financieras y de crédito o sanciones administrativas
- En el NIVEL ALTO todos aquellos ficheros que contengan datos íntimos de las personas: creencias religiosas, afiliación política, salud o vida sexual
Para todo ello, los promotores de los proyectos ofertados para su patrocinio en plataformas de crowdfunding deberán:
- Declarar la existencia de esos ficheros ante la Agencia de Protección de Datos
- Redactar los Documentos de Seguridad
- Adecuar las comunicaciones con sus donantes/prestatarios a la regulación sobre el tratamiento de datos personales
- Adecuar sus sistemas de almacenamiento informático
- Adecuar los vínculos con terceros que deban recibir esta información para el desarrollo de su trabajo
Las distintas plataformas avisan en sus condiciones legales acerca de la necesidad de transferir los datos de los donantes a los promotores de los proyectos para los que se pide financiación; pero ninguna hace mención de que se responsabilice del tratamiento que estos le den a esos datos.
Como recordatorio, el tratamiento de los datos en nivel básico (esto es obligatorio para todos los promotores) incluyen:
- Inventario de todas las funciones y obligaciones del personal que tenga acceso a los datos; así como su perfil de acceso y medidas de control
- Registro de incidencias
- Gestión de soportes y documentos (tanto grabaciones como en papel); y autorización expresa para esa salida
- Copias de respaldo y recuperación; cada semana como mínimo salvo que no se hagan modificaciones, caso en el que se comprobarán las copias cada seis meses