Procesamiento de datos para el reasentamiento
El reasentamiento requiere el procesamiento de datos personales de las personas refugiadas. Estos datos personales se recopilan y procesan con el fin de evaluar la elegibilidad y la idoneidad de una persona para el reasentamiento, y para facilitar la salida hacia el país de reasentamiento y la recepción en el mismo. Durante el proceso de reasentamiento el procesamiento de datos personales incluye:
- El procesamiento de datos ya i) recopilados directamente por el ACNUR (por ejemplo, en el registro), ii) recibidos de socios (por ejemplo, información relativa a la protección) o iii) generados por el ACNUR (por ejemplo, evaluaciones de la determinación de la condición de refugiado).
- La recopilación y verificación de datos mediante una entrevista de reasentamiento.
- El intercambio de datos con terceras partes implicadas en el proceso de reasentamiento (por ejemplo, al presentar un caso de reasentamiento a un Estado de reasentamiento).
- La colaboración y el seguimiento de casos entre el personal o los socios del ACNUR, o con un país de reasentamiento.
Los datos personales se refieren a cualquier información relacionada con un individuo identificado o identificable. Comprenden, por ejemplo, datos biográficos y de parentesco, fotografías, datos biométricos, datos de contacto, constataciones de hecho relativas a solicitudes de asilo, afiliaciones políticas, servicio militar, así como documentos personales y manifestaciones de opinión (como en las evaluaciones médicas, las evaluaciones de las necesidades y otras notas para el expediente).
Un titular de datos es una persona cuyos datos personales son objeto de procesamiento. Ver el marco de protección de datos y privacidad del ACNUR.
La protección de datos como forma de rendir cuentas ante las personas refugiadas
Las personas refugiadas, como todos nosotros, viven en un mundo cada vez más interconectado y dominado por los datos, en el que se recopilan, almacenan y comparten constantemente datos personales, en particular cada vez que utilizamos un dispositivo digital o accedemos a un servicio digital. Ahora bien, los principios y la terminología relacionados con la protección de datos pueden parecer complejos y difíciles de comprender, y a menudo las personas no entienden sus propios derechos como titulares de datos o no saben cómo ejercerlos.
La entrevista de reasentamiento constituye una oportunidad importante para que el ACNUR informe a las personas refugiadas de una manera accesible sobre el procesamiento de sus datos, su derecho a la protección en este sentido y cómo pueden ejercer sus derechos como titulares de datos para tener capacidad de decisión sobre el procesamiento. Facilitar esta información forma parte del compromiso del ACNUR de garantizar la rendición de cuentas a las personas afectadas y constituye un requisito en virtud del marco de protección de datos personales y privacidad del ACNUR. Por consiguiente, las oficinas deben asegurarse de que los trabajadores de casos estén capacitados para explicar a las personas refugiadas cómo se utilizarán y compartirán sus datos a lo largo del proceso de reasentamiento, en consonancia con el marco de protección de datos personales y privacidad del ACNUR.
El marco de protección de datos personales y privacidad del ACNUR establece las normas para el procesamiento de datos personales dirigidas a proteger la dignidad y los derechos fundamentales de los titulares de datos, en particular su derecho a la privacidad. A tal efecto, la Política general de protección de datos personales y privacidad (GDPP, por sus siglas en inglés):
i) restringe la recopilación, el almacenamiento, el uso posterior y el intercambio de datos personales por parte del ACNUR de acuerdo con nueve principios, y
ii) tiene por objeto garantizar que las personas puedan conocer, comprender y decidir sobre el procesamiento de sus datos personales
Principios básicos de la protección de datos y la privacidad en el reasentamiento
En la GDPP se establecen nueve principios de protección de datos y privacidad que el ACNUR debe respetar al procesar datos personales: procesamiento justo y legítimo, especificación del propósito, proporcionalidad y necesidad, limitación de retención, exactitud, confidencialidad, seguridad, transparencia y rendición de cuentas. La siguiente sección se centra en siete de ellos. Próximamente se ofrecerán orientaciones específicas sobre los principios restantes (rendición de cuentas y limitación de retención) en el contexto del reasentamiento.
El principio del procesamiento justo y legítimo
En virtud de este principio, el ACNUR debe procesar los datos personales de manera justa y únicamente con base en uno o más de los fundamentos legítimos establecidos en el apartado 18 de la GDPP.
En el contexto del reasentamiento
además de ofrecer protección internacional, el cometido de facilitar soluciones duraderas para las personas refugiadas constituye el núcleo del mandato del ACNUR. Por tanto, siempre que el procesamiento de datos personales esté justificado a efectos de reasentamiento, el ACNUR siempre puede basarse en el fundamento legítimo del apartado 18 de la GDPP, según el cual el procesamiento es necesario para, o posibilita de otro modo, el desempeño del mandato del ACNUR. A la hora de asesorar a las personas refugiadas, puede que sea de escasa utilidad ofrecer una explicación detallada del concepto de “procesamiento legítimo” (a menos que se solicite o resulte apropiado), y que en su lugar resulte más instructivo demostrar i) que la recopilación y el procesamiento de datos personales —incluidos los datos de identidad y la información sobre la solicitud de asilo y la necesidad de reasentamiento— son necesarios para el proceso de reasentamiento en virtud del mandato del ACNUR, y ii) que el ACNUR está obligado a procesar estos datos personales para el reasentamiento de una manera justa. La obligación de procesamiento justo significa que los datos personales únicamente pueden obtenerse y utilizarse de la manera en que el titular de los datos esperaría razonablemente, y que los datos no deben utilizarse de manera que puedan tener un impacto injustificadamente adverso o discriminatorio.
Acerca del consentimiento
El reasentamiento es voluntario y no todas las personas refugiadas desean ser reasentadas. Sin embargo, aquellas personas refugiadas que son identificadas para el reasentamiento debido a sus necesidades de protección suelen tener pocas opciones disponibles y pueden sufrir importantes perjuicios sin el reasentamiento. El desequilibrio de poder entre las personas refugiadas que necesitan reasentamiento y el ACNUR es enorme. Al mismo tiempo, el procesamiento de datos personales es indispensable para considerar el reasentamiento; es imposible que una persona se beneficie del reasentamiento sin que se procesen sus datos personales. Por consiguiente, una persona refugiada no tiene la posibilidad real de rechazar el procesamiento de sus datos personales como parte de su procesamiento para el reasentamiento. De este modo, no puede cumplirse la condición básica para que el consentimiento sea válido —es decir, que se otorgue libremente— de acuerdo con la norma establecida por el marco de protección de datos del ACNUR y en la legislación sobre protección de datos personales y privacidad en general. Por ello, el ACNUR no se basa en el consentimiento como fundamento legítimo para el tratamiento de datos personales con fines de reasentamiento.
El principio de especificación del propósito
La especificación del propósito es el principio según el cual los datos personales únicamente se procesarán para fines específicos coherentes con el mandato y las funciones del ACNUR. Esto también significa que el procesamiento posterior debe ser compatible con el propósito o propósitos iniciales para los que se recopilaron originalmente los datos. En el apartado 20 de la GDPP se incluye una lista de propósitos para el procesamiento posterior que siempre se consideran compatibles con el mandato del ACNUR, uno de los cuales es “cuando [el procesamiento] sea necesario para la prestación de protección y asistencia a largo plazo y la búsqueda de soluciones…”.
En el contexto del reasentamiento
al procesar casos de reasentamiento, el ACNUR suele necesitar utilizar datos personales recopilados con anterioridad a la consideración del reasentamiento, por ejemplo durante las actividades de registro o en la determinación de la condición de refugiado, o en el transcurso de la prestación de protección y asistencia por parte de los socios del ACNUR. Aunque en el momento de la recopilación no se hubiera especificado que el reasentamiento puede ser uno de los propósitos para los que se pueden seguir procesando los datos personales de una persona, del apartado 20 de la GDPP se desprende que el procesamiento de casos para el reasentamiento es un “propósito compatible”. No obstante, las personas refugiadas en proceso de reasentamiento siempre deben ser informadas del propósito para el que se utilizan sus datos, de modo que puedan ejercer su “derecho de oposición” si así lo desean.
El principio de proporcionalidad y necesidad (minimización de los datos)
Este principio está vinculado al principio de especificación del propósito y significa que la cantidad de datos personales recopilados y compartidos debe ser adecuada, pertinente y limitarse a lo necesario en relación con el propósito identificado, y no exceder dicho propósito.
En el contexto del reasentamiento
el RRF debe contener información suficiente para permitir a los Estados evaluar la elegibilidad y admisibilidad de cada miembro del caso para el reasentamiento. No debe contener datos que resulten innecesarios o desproporcionados con respecto al tipo o la cantidad de información requerida por las autoridades del Estado receptor para tal propósito. Por ejemplo, normalmente sería innecesario y desproporcionado incluir datos personales detallados de otras personas que no figuren en el Caso de Reasentamiento, como la inclusión en la sección de Familiares del número de teléfono y la dirección exacta de los familiares que residan en un país de reasentamiento.
En general, en virtud de este principio también cabe recordar que los datos personales que se consideran necesarios y proporcionados para su presentación por parte del ACNUR a las autoridades estatales podrían no ser necesarios y proporcionados a efectos de su posterior intercambio con fines de viaje y asentamiento. Dado que el RRF está diseñado principalmente para documentar las necesidades de reasentamiento y la elegibilidad para la protección internacional, y para permitir la adjudicación del caso por parte del Estado, el ACNUR desaconseja a los países de reasentamiento compartir el documento RRF con la OIM, los proveedores de servicios de asentamiento y las autoridades municipales, sin que la autoridad estatal pertinente lo redacte adecuadamente. En su lugar, el ACNUR anima a los Estados a utilizar el Formulario de orientación pre-partida y de información para la recepción, que está concebido para limitar el intercambio ulterior de datos personales, al tiempo que proporciona información adecuada a terceros con fines específicos relacionados con sus respectivas funciones y responsabilidades. Conviene tener en cuenta también que un acuerdo de intercambio de datos (conocido en inglés como Data Sharing Agreement o DSA) con el país de reasentamiento debe establecer las condiciones para la divulgación de datos personales a terceras partes y al titular de datos (ver Acuerdos de intercambio de datos con fines de reasentamiento más adelante).
El principio de exactitud
Según el principio de exactitud, el ACNUR debe adoptar todas las medidas razonables para garantizar que los datos personales sean exactos y estén actualizados, de modo que cumplan los propósitos para los que se procesan. A tal efecto, los trabajadores de casos deben revisar, verificar y actualizar los datos personales durante todo el procesamiento del caso.
Este principio no debe confundirse con el deber general de las personas con y por las que ACNUR trabaja de cooperar con el ACNUR proporcionando información veraz y completa cuando soliciten acogerse a intervenciones de protección, asistencia o soluciones duraderas. Sin embargo, el principio de exactitud y el deber de cooperar con el ACNUR van de la mano. Durante el asesoramiento, el ACNUR debe informar a las personas de su deber de ayudar al ACNUR a registrar sus datos personales de forma exacta y completa, según su leal saber y entender, y de ayudar al ACNUR a corregir y/o actualizar los datos posteriormente, conforme pase el tiempo.
En el contexto del reasentamiento
los trabajadores de casos trabajarán con las personas durante sus entrevistas de reasentamiento a fin de detectar y resolver cualquier incoherencia y error en sus datos personales en proGres, y registrar debidamente las correcciones y las circunstancias en las que se realizaron. Los trabajadores de casos también redactan el resumen de la solicitud de asilo que figura en la Sección 4 del RRF de forma que refleje con exactitud los hechos comprobados de la solicitud. Con el fin de asegurar la exactitud de la recopilación de datos durante la entrevista de reasentamiento, se recomienda altamente a los trabajadores de casos que vuelvan a leer al titular de los datos la información principal registrada durante la entrevista. Se pedirá al solicitante que firme una Declaración (Sección 8 del RRF), afirmando que la información que ha proporcionado es correcta, completa y veraz según su conocimiento.
El principio de confidencialidad
Según el principio de confidencialidad, el ACNUR debe procesar los datos personales teniendo debidamente en cuenta la confidencialidad, de conformidad con los reglamentos, normas, políticas, instrucciones administrativas y otros instrumentos pertinentes establecidos o adoptados por el ACNUR o las Naciones Unidas (párrafo 25 de la GDPP). Obsérvese, en particular, la cláusula 1.2 i) del Estatuto del Personal de las Naciones Unidas, que estipula que los miembros del personal “se abstendrán de comunicar a cualquier gobierno, entidad, persona u otra fuente toda información que conozcan por razón de su cargo oficial y que sepan o debieran saber que no se ha hecho pública, excepto en el desempeño de sus funciones o cuando los autorice para ello el Secretario General/la Secretaria General”. Además, en el Principio 6 del Código de Conducta del ACNUR se explica que “la divulgación de información delicada o confidencial, sin autorización, puede poner en grave peligro la eficiencia y la credibilidad de ACNUR y de su personal y comprometer a los beneficiarios”.
Cualquier intercambio de datos personales fuera del ACNUR con terceras partes debe ser conforme no solo con el principio de confidencialidad, sino también con todos los demás principios de protección de datos y privacidad de la GDPP. La tercera parte debe ofrecer un nivel adecuado de protección de los datos personales compartidos, en consonancia con los principios de protección de datos y privacidad.
En el contexto del reasentamiento
respetar la confidencialidad de los datos personales procesados para el reasentamiento es esencial para crear un entorno de seguridad y confianza para las personas refugiadas, y para mantener la integridad de los procedimientos de reasentamiento. El deber de confidencialidad de todo el personal que tenga acceso a datos personales, incluidos los trabajadores de casos y los intérpretes, debe entenderse claramente y consolidarse a través de la capacitación, la actualización del Código de Conducta y los procedimientos operativos estándar. El personal del ACNUR debe abstenerse de realizar comentarios sobre casos individuales que permitan identificar a las personas afectadas, a menos que sea necesario. Los datos personales deben almacenarse de modo que solo el personal autorizado pueda acceder a ellos en función de sus necesidades y transferirse únicamente a través de canales de comunicación protegidos (ver más adelante El principio de seguridad y la sección 2.5 Gestión de expedientes y mantenimiento de registros). El ACNUR comparte los RRF con los países de reasentamiento entendiendo que ofrecen un nivel adecuado de protección de los datos personales que en ellos figuran, lo que incluye el respeto de la confidencialidad de los datos.
El principio de confidencialidad también impide en general que los trabajadores de casos de reasentamiento compartan información sensible relacionada específicamente con un miembro de un Caso de Reasentamiento con cualquier otro miembro del caso, y mucho menos con un miembro de otra familia o de la comunidad en general. La información incluida en un Caso de Reasentamiento puede ser especialmente delicada (por ejemplo, información relacionada con la violencia de género) y si un trabajador del caso de reasentamiento la revelara incumpliendo su deber de confidencialidad, podría tener graves repercusiones para el titular de los datos o para otra persona.
Cualquier divulgación autorizada de datos personales requiere un fundamento legítimo y debe tener un propósito específico coherente con el mandato y las funciones del ACNUR. Las divulgaciones autorizadas también deben respetar todos los demás principios de protección de datos y privacidad.
El principio de seguridad
Según este principio, el ACNUR debe aplicar las garantías y los procedimientos organizativos, administrativos, físicos y técnicos adecuados para proteger la seguridad de los datos personales, en particular contra el acceso y el procesamiento no autorizados y contra la pérdida, la alteración, el daño o la destrucción accidentales. El respeto de este principio constituye una condición previa para garantizar la confidencialidad de los datos personales.
En el contexto del reasentamiento
os procedimientos operativos estándar deben garantizar una gestión física y electrónica segura y responsable de los archivos, el correo electrónico y el uso de Internet, así como la aplicación de métodos seguros de transferencia de archivos y la gestión controlada de los usuarios de las herramientas PRIMES, incluido proGres, y de cualquier otro sistema utilizado en el proceso de reasentamiento. Ver la sección 2.5 Gestión de expedientes y mantenimiento de registros.
El intercambio o transferencia de archivos de RRF, documentos justificativos, evaluaciones y otros documentos que contengan datos personales debe realizarse de forma que se garantice la privacidad y la protección de los datos personales. La mejor práctica consiste en utilizar únicamente herramientas corporativas de transferencia de datos cifrados respaldadas por ACNUR, como PRIMES, Microsoft SharePoint y Secure File Sharing (SFS) de conformidad con las políticas sobre seguridad de la información de ACNUR. SFS ofrece seguridad adicional al permitir la eliminación programada de los archivos y restringir el acceso a los archivos solo al propietario/creador y a destinatarios específicos, por defecto.
Si la comunicación sobre casos individuales se realiza a través del correo electrónico de Outlook, deben tenerse en cuenta en todo momento los métodos de minimización de datos y de mejora de la privacidad, por ejemplo, utilizando el número de caso/persona de proGres en lugar de los nombres personales. Siempre que sea posible, en la comunicación interna sobre los casos por correo electrónico se utilizarán enlaces a entidades de proGres, como Personas, Grupos de Registro, Remisiones, Casos de Determinación de la condición de refugiado y Casos de Reasentamiento, siempre que los destinatarios tengan perfiles de usuario de proGres adecuados. En el asunto de los correos electrónicos nunca deben aparecer nombres ni otros datos personales. El personal también debe asegurarse de que los correos electrónicos que contengan datos personales de personas refugiadas solo se reenvíen a otros destinatarios cuando sea estrictamente necesario.
Los datos personales no deben compartirse a través de canales de comunicación no admitidos o no autorizados, como el correo electrónico privado, las aplicaciones de mensajería comercial (WhatsApp, etc.) o las plataformas de intercambio de archivos (Dropbox, etc.).
Para más información y orientación, consultar la página Herramientas, soluciones y servicios de ciberseguridad, en la intranet, así como la Guía sobe almacenamiento electrónico y la transferencia de datos personales de personas de interés fuera de PRIMES y la Política sobre seguridad de la información del ACNUR.
El principio de transparencia
Según este principio, el ACNUR debe tratar los datos personales ofreciendo transparencia al titular de los mismos. En otras palabras, las personas deben saber cómo el ACNUR recopila, utiliza, comparte y procesa sus datos personales. El principio de transparencia otorga a los titulares de los datos la facultad de exigir responsabilidades al ACNUR y de ejercer la tutela sobre sus datos personales. Garantizar la mayor transparencia posible en el procesamiento de datos forma parte de la rendición de cuentas del ACNUR ante las personas afectadas y debe considerarse parte de un enfoque de protección integral que comienza en el registro inicial y se refuerza posteriormente durante las diferentes interacciones con las personas desplazadas y apátridas.
En el contexto del reasentamiento
durante la orientación introductoria, es decir, antes de que se recojan datos personales en una entrevista, el ACNUR debe informar a las personas refugiadas sobre cuáles son los tipos de datos personales que será necesario procesar durante el proceso de reasentamiento, con quién se compartirán sus datos y por qué, y explicar cuáles son los derechos del titular de datos y cómo pueden ejercerse. Para respetar el principio de transparencia, esta información debe facilitarse de forma clara, concisa y fácil de entender. Por lo tanto, los trabajadores de casos deben adaptar la orientación sobre protección de datos en función del grado de comprensión del interesado. Esto supone, por ejemplo, adoptar un enfoque apto para niños, niñas y adolescentes, cuando proceda, y encontrar formas accesibles de informar a personas de diversos orígenes sobre el procesamiento de sus datos personales para el reasentamiento. El grado de transparencia del procesamiento de datos debe determinarse desde la perspectiva del titular de los datos. Ver “El derecho a la información” en la sección siguiente.
Derechos del titular de datos
Entre las normas de protección de datos y privacidad de la Parte 2 de la GDPP se incluyen los siguientes derechos de los interesados en relación con el procesamiento de sus datos personales:
- el derecho a la información;
- el derecho de acceso;
- el derecho de rectificación;
- el derecho de supresión; y
- el derecho de oposición.
Antes de acceder a una solicitud para ejercer un derecho del titular de los datos, el ACNUR deberá verificar la identidad de la persona en cuestión.
Los derechos de los titulares de datos no son absolutos, y el ACNUR puede, en las circunstancias de un caso individual, denegar el ejercicio de un derecho del titular de datos, en su totalidad o en parte, por las razones establecidas en el apartado 49 de la GDPP.
Además, en caso necesario, el ACNUR podrá establecer límites al ejercicio del derecho del titular de los datos que sean “de aplicación general”, es decir, que se apliquen a todos los titulares de datos, por los motivos expuestos en el apartado 62 de la GDPP y con sujeción a las condiciones establecidas en el apartado 63 de la GDPP. Se recomienda altamente consultar al Oficial Principal de Protección de Datos (conocido en inglés como Chief DPO) cuando se considere establecer un “límite de aplicación general” a un derecho de un titular de datos. Además, se debe consultar al Servicio de Reasentamiento y de Vías Complementarias, que debe dar su aprobación a cualquier límite “de aplicación general” al derecho de un titular de datos en el contexto del reasentamiento que se esté considerando en una oficina de país o buró regional. Dicha limitación debe documentarse y notificarse formalmente al Oficial Principal de Protección de Datos.
Cualquier denegación de una solicitud individual para ejercer el derecho de un interesado deberá quedar registrada y comunicarse por escrito a la persona interesada.
Si una persona considera que no se ha respetado el ejercicio de sus derechos, puede presentar un reclamo al Responsable del Procesamiento de Datos Personales (conocido en inglés como Personal Data Controller), con arreglo a los apartados 51 a 53 de la GDPP. Si no están satisfechos con la respuesta a su reclamación, pueden presentar una solicitud de reparación (ver los apartados 54 a 60, así como el 75 d)). Los procedimientos operativos estándar en materia de reasentamiento deben incluir o hacer referencia a los procesos establecidos en la oficina para recibir, registrar y responder a las solicitudes y reclamaciones relacionadas con el ejercicio de los derechos de los titulares de datos.
El derecho a la información
Los interesados tienen derecho a recibir información sobre el procesamiento de sus datos personales, incluyendo, por ejemplo, si sus datos se compartirán con terceras partes y cómo ejercer sus derechos como titulares de los datos. El derecho a ser informado en este sentido constituye el eje central de la protección de datos; una información clara y transparente ayuda a los titulares de los datos a conocer y comprender y, por tanto, a ejercer control sobre el procesamiento de sus datos personales por parte del ACNUR.
En el contexto del reasentamiento
los solicitantes de reasentamiento deben ser informados durante la orientación inicial, en particular, sobre lo siguiente:
- Qué categorías de datos personales se recopilarán, almacenarán y compartirán con terceras partes y con qué propósitos (por ejemplo, datos de identidad para verificar la identidad, datos de solicitud de asilo y necesidades de reasentamiento para evaluar la elegibilidad y las necesidades específicas pertinentes y otros datos para el transporte y el apoyo a la recepción).
- El hecho de que únicamente se procesarán los datos que sean necesarios y proporcionados para lograr dichos propósitos.
- Cómo ejercer sus derechos como titulares de datos.
Ver la sección 4.4 La Entrevista de reasentamiento para obtener más detalles sobre la orientación inicial.
El derecho de acceso
Los titulares de datos tienen derecho a acceder a sus propios datos personales y el ACNUR debe hacer lo posible por lograr la transparencia a este respecto. Concretamente, los datos personales que se hayan recabado del titular de los datos deben, en general, ser de libre acceso.
Corresponde al ACNUR decidir el formato en que debe facilitarse al titular la copia de los datos personales solicitados. Sin embargo, cuando los datos personales figuren en una copia de un documento facilitado por el titular de los datos (por ejemplo, un pasaporte o un certificado), en principio deberá facilitarse una copia idéntica de dicho documento (téngase en cuenta que el ACNUR no debe conservar los originales de tales documentos).
En los apartados 49 y 61-62 de la GDPP figuran disposiciones que permiten al ACNUR denegar legítimamente, en su totalidad o en parte, el ejercicio del derecho de acceso.
En el contexto del reasentamiento
una solicitud de reasentamiento no solo incluye datos personales del solicitante de reasentamiento, sino también de otras personas, como los miembros de la familia que forman parte de un Caso de Reasentamiento, los familiares enumerados en la Sección 3 del RRF y el personal del ACNUR. También puede incluir evaluaciones del ACNUR (por ejemplo, el propio RRF, una determinación del interés superior (BID, por sus siglas en inglés), u otros informes) y análisis (por ejemplo, sobre la solicitud de asilo y la necesidad de reasentamiento, y relativos a la situación de protección en el país de asilo).
Al considerar una solicitud de acceso al RRF o a otros documentos de la presentación del caso de reasentamiento, el Responsable del Procesamiento de Datos Personales (conocido en inglés como Personal Data Controller) debe examinar hasta qué punto el solicitante tiene derecho a acceder a esos datos, teniendo en cuenta i) si, basándose en las circunstancias del caso individual, existe la necesidad de realizar alguna restricción permitida en virtud del apartado 49 de la GDPP, y ii) si la solicitud de acceso incurre en alguna limitación de aplicación general al derecho de acceso realizado en virtud de los apartados 62-63 de la GDPP.
Si se determina que el solicitante no tiene derecho a acceder a todos los datos personales en cuestión, se le facilitarán extractos redactados. El acceso a esta información deberá quedar documentado en el expediente.
El derecho de rectificación
El derecho de rectificación es el derecho a corregir o completar datos personales inexactos o incompletos. Los titulares de datos pueden ejercer este derecho en cualquier momento, por ejemplo, in situ durante la recopilación de sus datos personales, o en una fase posterior.
En el contexto del reasentamiento
durante las entrevistas de reasentamiento, los trabajadores de casos deben volver a leer la información principal registrada a fin de garantizar que los solicitantes tengan la oportunidad de corregir y completar sus datos personales, según sea necesario. Los trabajadores de casos deben tener en cuenta que, según el caso, la rectificación de los datos personales puede tener que tratarse como una inconsistencia o una alegación de fraude en virtud de la Política para hacer frente al fraude cometido por personas de interés del ACNUR.
El derecho de supresión
Un titular de datos tiene derecho a solicitar la supresión de los datos personales para cuyo procesamiento no exista una base legítima o cuando la información ya no sea necesaria para los propósitos especificados (o compatibles) para los que se recopiló. Esto sucede a menos que existan motivos para conservar los datos para alguno de los propósitos enumerados en el apartado 23 de la GDPP, como, por ejemplo, para el “archivo” y la “rendición de cuentas de las acciones del ACNUR”.
En el contexto del reasentamiento
gran parte de los datos personales procesados con propósitos de reasentamiento también deben procesarse para otros fines operativos, en particular para intervenciones de protección y asistencia. A menos que los datos personales se necesiten únicamente para fines de reasentamiento, su supresión podría perjudicar gravemente a la persona refugiada de que se trate. Normalmente, lo más apropiado sería recordar a la persona refugiada su derecho a oponerse al procesamiento de sus datos personales para los fines específicos del reasentamiento (ver más adelante). Además, todos los expedientes individuales de las personas con y por las que ACNUR trabaja —abiertos o cerrados— se consideran registros permanentes en virtud de la Política de Gestión de registros y expedientes del ACNUR, y como tales, los datos personales contenidos en un expediente de reasentamiento no se eliminan a menos que su valor a largo plazo no sea suficiente para justificar su archivo.
El derecho de oposición
El titular de datos tiene derecho a oponerse al procesamiento de sus datos personales, en cualquier momento, por motivos legítimos relacionados con su situación particular. De aceptarse la oposición, los datos personales dejarán de procesarse para el propósito al que se refiera la oposición y, si no hay base legítima para procesar los datos para ningún otro propósito, en principio deberán suprimirse.
En el contexto del reasentamiento
por lo general, no habrá motivos legítimos para oponerse al procesamiento de datos personales con propósitos de reasentamiento cuando dicho procesamiento sea necesario y proporcionado para determinar la elegibilidad y la idoneidad para el reasentamiento (por ejemplo, datos identificativos, solicitud de asilo, motivos de exclusión, admisibilidad). Salvo en el caso de que la persona refugiada de que se trate desee retirarse del proceso de reasentamiento, en cuyo caso, dado que el reasentamiento es voluntario, la objeción siempre sería legítima. Si bien en principio un solicitante de reasentamiento también puede oponerse a que se comparta su RRF con un país de reasentamiento específico, es probable que la objeción no prospere a menos que el solicitante pueda demostrar motivos legítimos relacionados con su situación particular, dado que no siempre el ACNUR puede presentar el caso a otro país en el que el solicitante preferiría ser reasentado.
Los trabajadores de casos de reasentamiento deben orientar cuidadosamente a las personas refugiadas que expresen una objeción al procesamiento de determinados datos personales durante el proceso de reasentamiento, en particular cuando la consecuencia de admitir una objeción pudiera suponer que su caso ya no pueda considerarse para el reasentamiento. Dicho esto, los trabajadores de casos de reasentamiento deben tener presente la dignidad y la privacidad de los titulares de los datos y volver a considerar si los datos personales que se oponen a compartir son realmente necesarios y materiales para la solicitud de reasentamiento. Por ejemplo, puede que una necesidad específica, una experiencia pasada o una dificultad particular no sean datos personales necesarios para la consideración del reasentamiento, dependiendo del contexto y de las expectativas razonables del país de reasentamiento de ser alertado sobre información específica. Este tipo de objeciones deben examinarse con un supervisor de reasentamiento y con el solicitante, y llegar juntos a un acuerdo sobre hasta qué punto es necesario procesar datos personales especialmente sensibles y sobre si podrían realizarse ajustes organizativos, contractuales o técnicos en el procesamiento para proteger mejor la dignidad, la seguridad y el derecho a la intimidad del solicitante. Por ejemplo, una de las posibles soluciones puede ser señalar a un país de reasentamiento que una información concreta es muy confidencial y delicada o que es muy difícil que el interesado hable de ella.
Acuerdos de intercambio de datos con fines de reasentamiento
Es habitual que se solicite al ACNUR que comparta datos personales con terceros, incluidos, entre otros, gobiernos, organismos de las Naciones Unidas u organizaciones no gubernamentales. El intercambio de datos personales en el reasentamiento se realiza, por ejemplo, mediante la presentación de Casos de Reasentamiento a los Estados de reasentamiento y el seguimiento de estas presentaciones, incluidas las actualizaciones de los datos personales compartidos.
En la parte 6 de la Política de protección de datos (DPP, por sus siglas en inglés) (que es más detallada que la GDPP en cuanto a las condiciones para compartir datos personales con terceros) se establece que, cuando sea probable que el intercambio de datos personales sea grande, repetido o estructural, el ACNUR debe tratar de firmar un acuerdo de intercambio de datos, antes del intercambio, a menos que existan razones justificadas para no hacerlo. En este sentido, el ACNUR ha entablado conversaciones bilaterales con múltiples gobiernos de Estados de reasentamiento y otras entidades con el fin de celebrar acuerdos de intercambio de datos, habida cuenta de que el proceso de reasentamiento requiere el intercambio periódico de datos personales.
En el contexto del reasentamiento
cuando el alcance de un acuerdo de intercambio de datos en el contexto del reasentamiento abarque presentaciones de casos de reasentamiento de más de un país de asilo, se considerará que se trata de un acuerdo de intercambio de datos global y, por lo tanto, entrará en el ámbito del Servicio de Reasentamiento y Vías Complementarias (RCPS) del ACNUR y será firmado por el Responsable del Procesamiento de Datos Personales (conocido en inglés como Personal Data Controller) para el reasentamiento en la División de Protección Internacional. De acuerdo con la Política de protección de datos (DPP), el Oficial Principal de Protección de Datos y Privacidad (conocido en inglés como Chief DPO) y el Servicio de Asuntos Jurídicos (LAS, por sus siglas en inglés) debe ser consultados durante el proceso de redacción y deben revisar y aprobar los acuerdos antes de su finalización. El Servicio de Reasentamiento y Vías Complementarias mantiene un registro de los acuerdos globales de intercambio de datos celebrados en el contexto del reasentamiento, que se encuentra a disposición de los Responsables del Procesamiento de Datos Personales (Personal Data Controllers) interesados que lo soliciten.
En caso de que se requiera un acuerdo de intercambio de datos, se aconseja que el Responsable del Procesamiento de Datos Personales de la oficina en el país consulte al Punto Focal de Protección de Datos del buró regional correspondiente y obtenga el visto bueno del Oficial Principal de Protección de Datos y Privacidad y del Servicio de Asuntos Jurídicos, que también consultarán al Servicio de Reasentamiento y Vías Complementarias al objeto de velar por la coherencia global.
Habida cuenta de que la elaboración y conclusión de acuerdos de intercambio de datos son procesos continuos que tienen lugar mientras se llevan a cabo las actividades de reasentamiento, el ACNUR debe tener en cuenta continuamente el nivel de protección de datos que ofrecen las terceras partes con las que se comparten datos personales, que debe ser adecuado y acorde con los principios de protección de datos y privacidad de la GDPP del ACNUR (apartado 44). Además, independientemente de la existencia de un acuerdo de intercambio de datos, el ACNUR debe aplicar de forma coherente los principios de protección de datos y privacidad anteriormente citados cuando comparta datos con fines de reasentamiento.
Algunos aspectos clave sobre la aplicación de las normas sobre protección de datos y privacidad de ACNUR en el reasentamiento
- Los datos personales únicamente pueden procesarse para fines específicos coherentes con el mandato y las funciones del ACNUR.
- El ACNUR debe informar a las personas refugiadas sobre cuáles son los tipos de datos personales que será necesario procesar durante el proceso de reasentamiento, con quién se compartirán sus datos y por qué, y explicar cuáles son los derechos del titular de datos y cómo pueden ejercerse.
- Un RRF no debe contener datos que resulten innecesarios o desproporcionados con respecto a la cantidad de información requerida por las autoridades del Estado receptor.
- Los procedimientos operativos estándar en materia de reasentamiento deben establecer procesos que garanticen el respeto de los derechos de los titulares de datos, incluida la recepción y respuesta a las reclamaciones de los titulares de datos.
- En los procedimientos operativos estándar se deberá tener en cuenta el hecho de que las solicitudes de corrección de datos personales pueden dar lugar a incoherencias o acusaciones de fraude que deberán abordarse de conformidad con la Política para hacer frente al fraude cometido por personas de interés del ACNUR y las guías operativas conexas.
- Cuando se comuniquen casos individuales, se recomiendan los sitios de SharePoint Teams o Secure File Sharing. Las comunicaciones por correo electrónico que contengan datos personales deben contener números de proGres y no nombres. En el asunto de los correos electrónicos nunca deben aparecer datos personales.
- En aras de la confidencialidad, los datos personales deben almacenarse de manera que solo pueda acceder a ellos el personal autorizado que necesite conocerlos, y deben transferirse únicamente a través de canales de comunicación protegidos.