Saltar a contenido

Protección de datos

English Português

Objetivo

Esta página ayuda a Cafh a cuidar la información que le ha sido confiada. El foco principal está en los datos de miembros usados para registros, coordinación y servicio.

Por qué importa esta página

Incluso un conjunto pequeño de datos merece respeto. La información de miembros se guarda en un marco de confianza, y esa confianza pide claridad, medida y buen registro. Prácticas simples sobre acceso, almacenamiento, exportación, respaldo y trabajo con terceros ayudan a Cafh a cuidar a las personas de manera constante. También ayudan al comité a responder con coherencia cuando aparece una consulta o un incidente.

Riesgos que esta página busca reducir

  • Acceso no autorizado
  • Recolección de datos en exceso
  • Copias dispersas en herramientas personales
  • Respaldos débiles o recuperación fallida
  • Manejo pobre de datos por parte de proveedores
  • Daño a miembros por exposición o pérdida

Reglas centrales

Estas reglas dan a Cafh una disciplina simple de privacidad. La meta no es un programa legal grande. La meta es recolectar menos, compartir menos y llevar mejores registros sobre lo que Cafh guarda y para qué.

  • Clasificar la información según sensibilidad e impacto potencial.
  • Otorgar acceso sólo a quienes lo necesitan para su función.
  • Utilizar repositorios aprobados en lugar de copias dispersas.
  • Retirar accesos de inmediato tras un cambio de rol o de vínculo.
  • Mantener un registro simple de privacidad para datos de miembros, proveedores, país de almacenamiento, fechas de retención y notas de seguridad.

Base de datos de miembros

La base de datos de miembros pide cuidado constante. Es uno de los pocos lugares donde datos personales, operación diaria y confianza se encuentran en el mismo sistema. Una propiedad débil o registros débiles pueden causar daño aun con una plataforma técnica sólida.

  • Mantener un responsable claro de la base de datos.
  • Mantener un contacto técnico o proveedor para soporte.
  • Usar contraseñas fuertes y segundo factor.
  • Revisar accesos cada 3 meses.
  • Registrar exportaciones, cambios masivos y cambios de estructura.
  • Probar respaldos y recuperación en un ritmo definido.

Dispositivos personales y copias locales

La mayoría de las personas de Cafh usa dispositivos personales. Esa realidad aumenta riesgo de copias dispersas, pérdida, robo y protección desigual. Por eso Cafh debe mantener datos restringidos dentro de sistemas aprobados y reducir copias locales en dispositivos personales.

Para dispositivos personales:

  • Guardar datos restringidos en local sólo para una tarea breve y clara
  • Borrar copias locales al cerrar la tarea
  • Evitar carpetas personales de sincronización para datos restringidos
  • Evitar perfiles familiares o compartidos para archivos de Cafh
  • Registrar exportaciones de datos de miembros y otros archivos sensibles
  • Escalar cualquier dispositivo perdido, robado o comprometido que tenga datos de Cafh

Conciencia de RGPD para datos de miembros de la UE

Para registros de miembros ligados a personas de la UE o del EEE, el comité debe tratar el caso como sensible al RGPD. Esta revisión debe hacerse aunque Cafh o un proveedor operen fuera de la UE. El comité debe registrar el propósito del uso de datos, la base jurídica, los sistemas involucrados y los proveedores que reciben los datos.

Para estos registros:

  • Dar al miembro un aviso de privacidad claro y en lenguaje simple
  • Guardar sólo los datos necesarios para el propósito declarado
  • Mantener los datos actualizados
  • Fijar fechas de revisión o borrado
  • Registrar país de almacenamiento y ruta de transferencia

Derechos de miembros de la UE

Estos derechos son prácticos. Dan a las personas una vía para pedir qué guarda Cafh, cómo lo usa y cómo corrige errores. El comité debe tratar cada solicitud con cuidado y con registro escrito.

Bajo el RGPD, miembros de la UE pueden pedir:

  • Información sobre el uso de sus datos
  • Acceso a sus datos
  • Corrección de datos inexactos
  • Borrado en casos donde los datos ya no deban conservarse o se hayan usado de forma ilícita
  • Limitación del tratamiento en casos concretos
  • Portabilidad cuando ese derecho corresponda
  • Oposición en casos concretos

Procedimiento para solicitudes de privacidad de la UE

Un proceso sereno protege tanto a la persona como a la organización. Ayuda a responder con exactitud y evita que la revisión dependa de memoria o mensajes informales.

  1. Registrar fecha de la solicitud, persona y derecho solicitado.
  2. Confirmar identidad antes de revelar o cambiar datos.
  3. Enviar el caso al comité el mismo día.
  4. Identificar cada sistema y proveedor que tenga esos datos.
  5. Responder sin demora y con meta de 1 mes.
  6. Registrar acción tomada, fecha y datos que deban seguir guardados por razones legales u operativas.
  7. Cuando Cafh no pueda conceder toda la solicitud, registrar el motivo e informar la vía de reclamo.

Procesamiento por terceros

Muchas fallas de privacidad empiezan fuera de la base principal. Empiezan en exportaciones, canales de soporte, respaldos o herramientas de terceros. Por eso la revisión de proveedores forma parte de la protección de datos.

Con cada proveedor externo que administre datos de Cafh, confirmar:

  • Qué datos recolectan
  • Dónde los almacenan
  • Quién puede acceder
  • Cómo se exportan o eliminan
  • Qué ocurre al finalizar el servicio

Para datos de miembros de la UE, el comité debe confirmar además:

  • Si el proveedor actúa sólo bajo instrucciones de Cafh
  • Si el contrato cubre confidencialidad, seguridad, solicitudes de derechos y apoyo ante incidentes
  • Si los datos salen del EEE
  • Qué base de transferencia respalda esa salida, como decisión de adecuación o cláusulas contractuales tipo
  • Qué subencargados pueden recibir esos datos

Respuesta

La pérdida potencial de datos, el acceso no autorizado o la compartición accidental deben escalarse rápidamente para reducir impacto y facilitar la contención.

Para datos de miembros de la UE, tratar pérdida, exposición o acceso no autorizado como caso RGPD desde el inicio. Registrar cuándo Cafh tomó conocimiento del caso. Evaluar de inmediato el riesgo para derechos y libertades. Cuando ese riesgo exista, preparar aviso a la autoridad relevante dentro de 72 horas desde el conocimiento. Cuando el riesgo sea alto, preparar aviso claro para las personas afectadas. Mantener unidos el registro del incidente, el registro del proveedor y las correcciones posteriores.

Datos públicos y restringidos

El portal no necesita un sistema complejo de etiquetas. Sí necesita una línea clara entre material abierto y material que puede afectar a miembros o al trabajo interno. Esa línea ayuda a elegir la herramienta y el canal correctos.

  • El contenido del sitio público es dato público.
  • Los perfiles de miembros y registros internos son datos restringidos.
  • Toda nueva compartición de datos restringidos debe pasar por el comité.

Otras normas de privacidad a tener presentes

RGPD no es la única regla que puede importar. Cafh trabaja entre países, idiomas y proveedores. Esa realidad puede traer más de un deber legal al mismo caso.

  • El UK GDPR puede importar para registros ligados a personas del Reino Unido.
  • La LGPD de Brasil puede importar para registros, proveedores u operaciones ligadas a Brasil.
  • Normas nacionales sobre archivos, impuestos, trabajo y entidades sin fines de lucro pueden afectar retención y avisos.
  • Cuando dos normas de privacidad apunten a caminos distintos, usar el camino más estricto hasta completar la revisión del comité.