PROTECCIÓN DE DATOS EN NAVIDAD

PROTECCIÓN DE DATOS EN NAVIDAD

Con motivo de estas fechas navideñas, marcadas por las cenas de empresas, eventos con niños, compras a través de internet… debemos tener en cuenta la normativa de protección de datos, para que nuestra única preocupación sea disfrutar de esta festividad. En este sentido, a lo largo de este post, resolveremos algunas dudas, que resultan frecuentes. 

¿Envío de felicitaciones de navidad y límites de la normativa en protección de datos?

En primer lugar, debemos hacer distinción entre el envío de tarjetas o felicitaciones navideñas en el ámbito personal y profesional. En este sentido, la normativa vigente de protección de datos, no impide que los ciudadanos remitan estas tarjetas dentro de su ámbito personal, destinadas a amigos o familiares.

Cuestión distinta resulta el envío de felicitaciones corporativas, siendo exigible el cumplimiento de los requisitos que establece la normativa. En este supuesto, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Además, si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales.

 

¿Vas a comprar en una tienda online?

Es una realidad afirmar que el comercio electrónico es uno de los canales principales de compraventa, y más en estas fechas navideñas, marcadas por el consumo.

En este sentido, en el informe de Ayden se sitúa al canal online como el segundo canal donde más ventas se generan. Además, también es interesante observar que las transacciones efectuadas a través de las aplicaciones y redes sociales suponen ya el 14% y 10%. De hecho, el comercio electrónico seguirá en forma de cara la próxima campaña de Navidad: según las predicciones que hace la compañía estadounidense de software Salesforce, las ventas online en todo el mundo se alzarán un 7%.

A lo largo del proceso de compra online, el consumidor puede ver comprometida su seguridad o privacidad, además de vulnerados sus derechos. En este sentido, a continuación, enumeramos una serie de consejos, facilitados por la autoridad de control, la Agencia Española de Protección de Datos.

 

Comprobar información legal del comercio: 

La información de la tienda online, requerida por distintas normas legales, suele incluirse en páginas con denominaciones como “Aviso legal”, “Términos de uso” o “Política de privacidad”. Éstas suelen ser accesibles mediante enlaces ubicados en los extremos superior o inferior de la página principal del comercio online. 

La información legal es fundamental porque: 

  • Ante un posible conflicto permite saber contra quién debemos reclamar.
  • Determina las leyes aplicables y las autoridades de control competentes.
  • Permite conocer los derechos que asisten a los usuarios. Es obligatorio que el comercio online proporcione, entre otros, estos datos
    • Nombre completo de la entidad (persona física, sociedad, fundación, etc.)
    • Número de identificación fiscal (NIF, NIE o CIF)
    • Datos de su inscripción en el registro mercantil
    • Dirección postal

Si recaban datos personales, deberán informar, entre otros datos: 

  • Quién es el responsable del tratamiento de datos, la finalidad del mismo y la legitimación para tratarlos.
  • El plazo de conservación de los datos, y la posibilidad de ejercitar los derechos de protección de datos.

¿Una de tus compras será un juguete conectado a Internet? 

En este sentido, a la hora de adquirir juguetes conectados a Internet, debemos tener en cuenta que estos intercambian información con fuentes externas y que, además requieren la instalación de una aplicación en el dispositivo móvil. La consecuencia es que, este tipo de juguetes, son capaces de recopilar información sobre el menor que lo usa, implicando que debamos prestar especial atención a qué pueden hacer, qué información recogen, etc., para poder proteger la privacidad del menor. 

En el caso de que te hayas decidido a regalar un juguete de estas características, a continuación, indicamos una serie de recomendaciones de la autoridad de control:

Su uso suele requerir la descarga de una aplicación en un dispositivo móvil. Pero, ¿cómo funcionan? Cuando captan imágenes o voces las envían a la aplicación, que a su vez las transmite a través de internet. Cuando se procesa la información, la contestación -ya sea una frase pregrabada o información obtenida en la Red- viaja de vuelta al juguete, que ofrece al usuario una respuesta.

Para completar este proceso, el juguete cuenta con herramientas como micrófono, cámara, altavoces o pantalla, que recopilan información sobre los usuarios -en su mayor parte menores- lo que puede suponer un riesgo para su privacidad y la protección de sus datos.

También es aconsejable saber qué datos se transmiten por internet, con qué objetivo y su destino final, así como los datos que se reciben de la Red y de dónde proceden. Es igualmente importante plantearse cómo se protegen los datos recogidos, el lugar donde van a almacenarse y si se van a enviar a terceros.

 

¿Captar imágenes de la obra de navidad del Colegio?

Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

 

¿Y las de la cena de empresa?

Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito.

Desde GRUPO DATA, como especialistas en materia de protección de datos y seguridad de la información, le animamos a que, si desea obtener mayor información o asesoramiento, no dude en contactar con nosotros.

 

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

LA CULTURA DE PROTECCIÓN DE DATOS» MEDIANTE LA FORMACIÓN

«LA CULTURA DE PROTECCIÓN DE DATOS» MEDIANTE LA FORMACIÓN

La formación del personal en cumplimiento de la Responsabilidad Proactiva y la protección de datos «desde el diseño”. 

En base al principio de «información y formación», el Responsable del tratamiento, para garantizar el cumplimiento en materia de protección de datos, debe habilitar y fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».

De igual modo, la autoridad de control, la Agencia Española de Protección de Datos, ha puesto de manifiesto que la utilización de medidas como la formación del personal define de forma explícita la intención y diligencia del responsable del tratamiento.

Además, debemos resaltar el riesgo que entraña el desconocimiento de la normativa en materia de protección de datos, pudiendo derivar en la causa de algún incumplimiento y una posterior sanción a la entidad. Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir con las obligaciones impuestas.

En este sentido, las entidades Responsables del tratamiento, debe adoptar un plan de formación y concienciación destinado a los usuarios intervinientes en el tratamiento de datos.

Desde GRUPO DATA, como entidad especializada en el asesoramiento en materia de protección de datos y seguridad de la información, os facilitamos una propuesta de plan formativo, destinado a la implantación de la cultura de protección de datos, siendo este:

1 Introducción materia de Protección de Datos
1.1 Antecedentes Legislativos y marco normativo actual
1.2 Novedades del Reglamento Europeo de Protección de Datos

1.3 Novedades Ley Orgánica 3/2018, de 5 de diciembre.

2 Figuras esenciales en materia de Protección de Datos
2.1 El Responsable del tratamiento
2.2 Funciones y obligaciones del Responsable del tratamiento
2.3 Corresponsables en el tratamiento de los datos
2.4 El encargado del tratamiento y su relación contractual con el responsable
2.5 Contenido mínimo de un contrato del art. 28 del RGPD

3 El registro de las actividades del tratamiento (RAT)
4.1 Contenido mínimo el RAT (art. 30 del RGPD)
4.3 Tratamiento de categorías especiales de datos personales
4.4 Situaciones específicas en el tratamiento de los datos personales

4 Deber de información a los interesados
4.1 El principio de transparencia
4.2 La información por capas
4.3 El consentimiento en el tratamiento de los datos personales

6 Ejercicio de los derechos de los interesados y las brechas de seguridad
6.1 Los derechos de los interesados en materia de Protección de Datos
6.2 Las brechas de seguridad

7 La Evaluación de Impacto y el Delegado de Protección de Datos
7.1 La Evaluación de Impacto (EIPD)
7.2 El Delegado de Protección de Datos (DPD)

8 Caso práctico: implantación en materia de Protección de Datos

 

Contenido actividad formativa. 

 

El plan de formación debe estar fundamentado en los tratamientos de datos de carácter personal identificados y, por lo tanto, debe prever acciones formativas específicas dirigidas a los usuarios intervinientes en el tratamiento de datos de carácter personal. 

 

Al mismo tiempo y con una periodicidad anual; deberán documentar el grado de cumplimiento del plan de formación. 

 

¿Quiénes deben nombrar un DPO? 

 

La acción formativa; en materia de protección de datos, se ha de dirigir para cumplir con los siguientes objetivos: 

  • Fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».
  • Dotar a los usuarios; de los conocimientos prácticos que les permitan el conocimiento e importancia del tratamiento de datos de carácter personal.
  • Sensibilizar a empleados del Responsable del tratamiento, sobre la importancia y la necesidad del correcto cumplimiento de las obligaciones de cumplimiento; impuestas por la normativa vigente.

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

DELEGADO DE PROTECCIÓN DE DATOS, UNA FIGURA DE OBLIGADO CUMPLIMIENTO

DELEGADO DE PROTECCIÓN DE DATOS, UNA FIGURA DE OBLIGADO CUMPLIMIENTO

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado del tratamiento. 

 

La introducción de la figura del Delegado con el nuevo RGPD 

 

Desde mayo del 2018 resulta de obligado cumplimiento el nuevo Reglamento Europeo de Protección de datos (en adelante RGPD), con el que nace una nueva figura denominada Delegado de Protección de datos (en adelante DPO). Esta figura tiene entre sus funciones principales asesorar, supervisar, e informar de las obligaciones y políticas en materia de protección de datos. También tiene como función, actuar como intermediario entre las autoridades de control en esta materia (Agencia Española de Protección de Datos, en adelante AEPD o agencias autonómicas) y el propio Responsable del Tratamiento.

 

¿Quiénes deben nombrar un DPO? 

 

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. 
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 

La Ley de protección de datos española (en adelante LOPDGDD), aclara y establece taxativamente, en su articulado 34, los supuestos en lo que resulta obligatorio contar con un Delegado de Protección de datos. 

 

¿Cuáles son las funciones de esta figura? 

 

Establecido lo anterior y como concreción del papel y función del DPO, deben tenerse en cuenta las siguientes consideraciones: 

    1. El DPO responde y debe reportar sobre su trabajo (informes, recomendaciones, etc.), directamente al Responsable de tratamiento (en adelante RT) u órgano directivo de la organización; de esta manera, éste se convierte en el interlocutor válido del DPO (art. 36.4 LOPDGDD). Dicho artículo establece que el DPO en el caso de documentar una vulneración en materia de protección de datos, procederá a la comunicación inmediata a los órganos de administración y dirección del Responsable o del Encargado. A su vez. Tanto el RT como el ET deben respaldar al DPO en el ejercicio de sus funciones (Art. 38.2).
       
    2. El DPO debe disponer de medios y recursos adecuados y suficientes para el desarrollo de sus funciones; por lo tanto, el RT o ET deben, en el momento de su designación concretar dichos recursos a disposición del DPO (Art. 38.2 del RGPD).
       
    3. Tanto en el caso de DPO interno como externo, se garantizará por parte del RT o ET la independencia y autonomía del DPO en el desarrollo de sus funciones. Para garantizar dicha autonomía e independencia, al margen de que no exista conflicto de intereses a la hora de su nombramiento, el DPO no podrá ser sancionado ni removido de su puesto por el desarrollo de sus funciones, salvo dolo o negligencia por su parte (Art. 38.3 RGPD).
       
    4. Por su parte, el DPO está obligado a mantener el secreto y la confidencialidad respecto a aquella información o datos a los que acceda con motivo del desarrollo de sus funciones (Art 38.5).

 

  • Según el art. 36.1 de la LOPDGDD, el DPO, en el desarrollo de sus funciones como tal, podrá inspeccionar procedimientos relativos a la protección de datos, acceder a datos personales y procesos de tratamiento, no pudiendo oponerse el RT o ET a dicho acceso.
    En este apartado cabría resaltar que sería muy conveniente y deseable que el RT o ET contaran con el asesoramiento previo del DPO a la hora de establecer dichos procesos o procedimientos; por tanto, nuestra recomendación es que la figura del DPO en las entidades sea incluida en las reuniones de la dirección estratégica de la misma, de tal forma que, la materia de protección de datos sea tenida en cuenta desde el diseño de dicha estrategia (“privacy by design”). De esta manera se garantizará el cumplimiento del art. 38.1 del RGPD: garantizar la “participación adecuada y en tiempo”, en todo lo concerniente a la Protección de Datos. 

 

 

  • En caso de que un interesado (titular de los datos) pretendiera presentar una reclamación, ejercer algún derecho en materia de protección de datos, así como realizar cualquier consulta relativa a la misma, ante el RT o ET, podrá dirigirse al DPO (art. 37.1 de la LOPDGDD).
    De hecho, los interesados podrán ponerse directamente en contacto con el DPO, para cualquier cuestión relativa a la Protección de Datos (Art. 38.4 RGPD).

 

 

  • En el supuesto de que dicha reclamación del interesado se dirigiera directamente a la autoridad de control, ésta la trasladará al DPO, para que le dé respuesta en el plazo de 1 mes al interesado, así como a la autoridad de control (art. 37.2 de la LOPDGDD). 

 

 

De manera ilustrativa, a continuación, contemplamos la regulación establecida en el RGPD, en relación a las funciones del DPO, en concreto en su art 39: 

A) En primer lugar, debemos indicar que lo que el RGPD establece en este artículo como Funciones del DPO es un catálogo de mínimos, es decir, se le pueden asignar más funciones por parte del RT o del ET. 

B) En cuanto a sus funciones concretas. 

    • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en protección de Datos. De esta función se puede inferir que es competencia del DPO la formación de dichos empleados.
    • Supervisar el cumplimiento de lo dispuesto en la normativa de  protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

PROTECCIÓN DE DATOS EN EL ÁMBITO SANITARIO

PROTECCIÓN DE DATOS EN EL ÁMBITO SANITARIO

¿Cómo afecta la protección de datos a la actividad del personal del ámbito sanitario? 

«quedan prohibidos el tratamiento de datos personales (…) y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

Al respecto, el apartado 2 del citado precepto, a la hora de establecer excepciones a dicha prohibición, concreta que: 

«el apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

 a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.”

En relación a esta cuestión, la normativa estatal se ha pronunciado manteniendo y reforzando dicha prohibición, estableciendo que ni siquiera el consentimiento explícito del afectado habilitaría al tratamiento de estos datos considerados de categoría especial; concretamente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante LOPDGDD), en el artículo 9 contempla que: 

«1.  A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos (…)..”

La razón esgrimida para el mantenimiento y refuerzo de esta prohibición, según el mismo texto legal, es la de evitar situaciones discriminatorias, que pudieran ocasionarse por el tratamiento de estos datos de categoría especial. 

Sin perjuicio de lo anterior, dicho tratamiento no siempre estará prohibido y como no podría ser de otro modo, la propia LOPDGDD antes mencionada, contempla en el artículo 9.2 de la misma, excepciones que habilitan el tratamiento de esta tipología de datos relativos a la salud: 

«2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (tratamiento por razones de interés público esencial, fines de medicina preventiva o laboral, así como por razón de interés público en el ámbito de la salud pública).

«En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

 

¿Qué normas con rango de ley, en la actualidad, habilitan el tratamiento de datos de salud? 

En este sentido, la disposición adicional decimoséptima de la ley citada con anterioridad, relativa al tratamiento de datos de salud, especifica que normas con rango de ley amparan y legitiman el uso de esta categoría especial de datos, resaltando entre estas normas, en el supuesto del personal sanitario, las siguientes:

A) La Ley 14/1986, de 25 de abril, General de Sanidad.

C) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

D) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

E) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.

G) La Ley 33/2011, de 4 de octubre, General de Salud Pública.

En el resto de apartados de esta disposición adicional, se contemplan los supuestos de leyes, referentes a cuestiones como PRL, sector seguro, etc.

Al margen de lo anterior, en el ámbito de la investigación biomédica, debemos resaltar que el consentimiento del titular de los datos si es considerado título habilitante para el tratamiento de los mismos, aunque para ello sea necesario el cumplimiento de ciertas particularidades. 

 

¿Qué supone la figura del Delegado de Protección de Datos en el ámbito sanitario? 

Entre las novedades más importantes que introduce el RGPD encontramos la obligatoriedad de designar un Delegado de Protección de Datos (en adelante DPD), en aquellos supuestos contemplados como tal en la norma. 

En sentido, en el ámbito sanitario, resulta obligada la designación del DPD, al tratar datos considerados de categoría especial, como es el dato de salud. Sin embargo, la propia LOPDGDD contempla la excepción a dicha obligatoriedad en el caso de tratarse de profesionales que ejerzan su actividad a título individual. 

La regulación completa y concreta de esta materia, la encontramos en el art. 35 del RGPD y en el art. 34.1 l) de la LOPDGDD. 

 

 

Particularidades de la Protección de Datos en el ámbito sanitario:

A) Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI? 

En este caso, como en todo lo concerniente a la protección de datos, nos encontramos con la necesaria ponderación entre dos derechos protegibles: 

  • El derecho a la intimidad o privado del empleado sanitario con respecto a sus datos de carácter personal. 
  • El derecho a la información que asiste a los pacientes. 

Aunque no existe unanimidad a la hora de establecer un criterio único, parece que lo más acertado en la práctica es optar por la inclusión del nombre y apellidos, así como el cargo en la tarjeta identificativa, prevaleciendo el derecho a ser informado del paciente (art. 13 del RGPD), resultando base legitimadora suficiente para dicho tratamiento el art. 6.1 b) del RGPD (“relación contractual”).

B) Acceso y contenido del historial clínico: 

En primer lugar, con respecto al acceso por parte del propio paciente (titular de los datos), el contenido de la historia clínica abarca todo lo contemplado en la misma, incluido las anotaciones subjetivas del profesional implicado. Sin embargo, debemos señalar que, en base al art. 18.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, se reserva al profesional el derecho a oponerse a tal acceso ejercitado por el paciente en relación a las anotaciones subjetivas del informe clínico. 

En segundo lugar, en relación al acceso al historial clínico por parte de familiares, herederos o vinculados de hecho al paciente, resulta una cuestión controvertida máximo después de la publicación de la LOPDGDD. Así esta norma reconoce el derecho de estos sujetos mencionados con anterioridad a acceder, así como solicitar la supresión o rectificación de los datos relativos a sus familiares fallecidos. No obstante, dicho acceso se encuentra sometido al cumplimiento de ciertos requisitos: 

  1. Que sea acreditada la condición de heredero, familiar o vinculado de hecho. 
  2. Se justifique la necesidad de acceso a los datos contenidos en el historial clínico (finalidad). 
  3. El titular de los datos no lo haya prohibido expresamente. 
  4. Sean suprimidas las anotaciones subjetivas de profesionales contenidas en el historial clínico, así como datos que perjudiquen a terceros o que pertenezcan a la intimidad del paciente (art. 18. 4 de la Ley 41/2002). 

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

LA INCIDENCIA DE LA PROTECCIÓN DE DATOS EN EL REGISTRO RETRIBUTIVO OBLIGATORIO

LA INCIDENCIA DE LA PROTECCIÓN DE DATOS EN EL REGISTRO RETRIBUTIVO OBLIGATORIO

Con motivo de la publicación, por parte de la Agencia Española de Protección de Datos, de la Guía sobre protección de datos y relaciones laborales, a continuación, detallamos la incidencia de esta materia en la obligación de registro salarial de todas las entidades, profesionales y organizaciones. 

 

Desde el pasado día 14 de abril de 2021, todas las entidades, profesionales y organizaciones, que cuenten con al menos un trabajador por cuenta ajena, se encuentran obligadas a registrar el salario con el objetivo de verificar que existe igualdad de remuneración entre hombre y mujeres dentro de la empresa.

En relación con la protección de datos personales conviene tener en cuenta las siguientes circunstancias: 

  1. Es una obligación legal, por lo que el empleador no requiere el consentimiento de las personas trabajadoras. 
  2. El registro de salarios no justifica el tratamiento de datos personales y la norma que lo regula no es una base jurídica para ello, pues en dicho registro no ha de constar el salario de cada persona trabajadora, sino los «valores medios» de los salarios, los complementos salariales y las percepciones extrasalariales de la plantilla «desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor». 
  3. Es un registro donde deben figurar datos disociados y no datos personales, ni información que permita identificar a una persona.
  4. No se contempla un derecho a la información, ni el ejercicio de derechos de acceso, rectificación, oposición y supresión, pues no se produce un tratamiento de datos personales.
  5. En cuanto a la consulta del registro salarial, el art. 5.3 del Real Decreto 902/2020, señala que en las empresas que cuenten con representación legal de las personas trabajadoras el acceso al registro se facilitará a éstas a través de la citada representación, teniendo derecho a conocer el contenido íntegro del mismo.

El registro de salario regulado en el art. 28.2 ET no tiene porqué implicar el tratamiento de datos, no obstante, el dato disociado podría convertirse en dato personal respecto de aquellas categorías o grupos profesionales con un reducido número de personas trabajadoras.

Por todo lo expuesto con anterioridad, en materia de protección de datos, deben implantarse las siguientes medidas: 

  • El registro debería contar con las medidas de seguridad basadas en el análisis de riesgos conforme al RGPD. 
  • El empleador debería informar a las personas trabajadoras del tratamiento de datos personales y de su finalidad. 
  • Los representantes de las personas trabajadoras estarían obligados a respetar la confidencialidad acerca de esa información. 

Como consecuencia de lo expuesto con anterioridad, la instamos a que opte por el asesoramiento adecuado a la hora de confeccionar el registro retributivo y ante cualquier duda que le surja, quedamos a su disposición.

 

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

ELECCIÓN DE PROVEEDORES Y PROTECCIÓN DE DATOS

ELECCIÓN DE PROVEEDORES Y PROTECCIÓN DE DATOS

El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.

La normativa anterior, regulaba este acuerdo, en este caso, la LOPD 15/99 en su art. 12 exigía la formalización, destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente. 

En cuanto a la obligación de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD). 

Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

En relación a las particularidades y contenido mínimo del acuerdo, a continuación, detallamos: 

  • Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. 
  • No resultan válidos los acuerdos verbales, debiendo constar por escrito. 
  • En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado. 

 

Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado

La LOPDGDD ha introducido una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:

“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD

“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.” 

De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:

“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”

“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”

Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías. 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan.

 

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

BREXIT EN REINO UNIDO Y EL FUTURO DE LA PROTECCIÓN DE DATOS

BREXIT EN REINO UNIDO Y EL FUTURO DE LA PROTECCIÓN DE DATOS

En materia de protección de datos, resulta necesario valorar las consecuencias jurídicas derivadas del Brexit en Reino Unido. 

Con motivo de la ruptura y salida de Reino Unido de la Unión Europea, resultaría aplicable el artículo 50 del Tratado de Lisboa. En este caso, Reino Unido no será considerado país europeo, operando desde este momento las consecuencias a la hora de determinar el tratamiento de datos de empresas españolas en Reino Unido y su posible consideración de transferencia internacional de datos. Esta cuestión debe primar en el proceso de adaptación de las entidades españolas, en materia de protección de datos, para no incurrir en incumplimientos derivados del proceso de ruptura de Reino Unido con la Unión Europea. 

En este sentido, debemos mencionar que Reino Unido en la actualidad cuenta con normativa nacional adaptada a la Directiva 95/46/CE de la Unión Europea. Por otro lado, el Reglamento Europeo de Protección de datos, resultó de aplicación el pasado 25 de mayo de 2018, siendo efectiva la salida de Reino Unido el 31 de enero de 2020.

Al respecto de este escenario, debemos aplicar lo dispuesto en el art. 3.2 del RGPD, el cual establece que: 

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”.

Tal y como deviene del precepto reseñado con anterioridad, Reino Unido deberá adaptarse a lo establecido en el RGPD en el tratamiento de datos de ciudadanos de la Unión Europea en el supuesto que desarrollen actividades de comercialización con países miembros o se dediquen al estudio de ciudadanos de la Unión Europea mediante elaboración de perfiles o análisis de preferencias. 

Por otro lado, deberá valorarse la necesidad de designación de representantes, por parte de responsables o encargados de la Unión Europea. 

En cuanto al concepto de las transferencias internacionales de datos, el Reino Unido no tendría que estar a la altura de los estándares fijados por la Unión Europea en materia de protección de datos, pero podría considerarse por parte de la Unión Europea, que no cumple o garantizar un nivel adecuado de seguridad en el tratamiento de datos.  

Por tanto, resulta claro que el Brexit tendrá como consecuencia la necesidad  de un nuevo marco legal entre Reino Unido y la Unión Europea, no resultando aplicable la libre circulación de datos garantizada en la Unión Europea. 

En el caso de empresas españolas que cuenten con filiales o efectúen tratamientos de datos en Reino Unido, las soluciones adoptadas por éste último, podría ser las siguientes: optar por seguir siendo miembro del Espacio Económico Europeo, para garantizar el nivel protección en seguridad; solicitar a la Unión Europea el reconocimiento de un nivel de protección adecuado para efectuar las transferencias internacionales datos, suscripción de acuerdos bilaterales entre los países miembros de la Unión Europea y Reino Unido; desarrollo de normas corporativas vinculantes para la legitimación de las transferencias internacionales de datos.  

Por todo lo anterior, el escenario en materia de protección de datos como consecuencia del Brexit resultará poco determinante, quedando a la espera de normas y jurisprudencia que otorgue claridad ante esta situación.

 

 

Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

LÍMITES DE LA NORMATIVA DE PROTECCIÓN DE DATOS AL CONTROL LABORAL MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

LÍMITES DE LA NORMATIVA DE PROTECCIÓN DE DATOS AL CONTROL LABORAL MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

En relación a los sistemas de videovigilancia e imágenes captadas a través de los mismos, la normativa vigente en materia de protección de datos, establece una serie de requisitos para otorgar validez a las pruebas obtenidas mediante estos medios. 

En la práctica, resulta habitual implantar sistemas de videovigilancia, para el control y seguridad de instalaciones, así como para el control laboral, sin valorar las implicaciones normativas y la incidencia de estas medidas en derechos fundamentales como es la intimidad del trabajador.

En aras de lo anterior, recientemente, el Tribunal Superior de Justicia de Andalucía ha confirmado una sentencia previa, que declara nulo el despido de vigilante de seguridad, por conductas como «descalzarse, dedicarse a ver películas en un dispositivo móvil y dormirse durante el horario de servicio«. El motivo es que, para acreditar tales hechos, la empresa esgrimía unas imágenes de una cámara de grabación que se encontraba «oculta« en el lugar de trabajo del empleado. Como consecuencia, tales imágenes fueron obtenidas de forma «ilícita» y vulneraban el derecho a la intimidad del afectado

En su sentencia, emitida el pasado 1 de junio, el TSJA razona que «el momento en el cual se pone de manifiesto y se puede tomar conocimiento por parte del trabajador de la existencia de una prueba como ilícita, se produce cuando la empresa pone a la luz la existencia de la grabación, que era totalmente ignorada por la parte demandante, de forma que no se puede trasladar al trabajador la obligación de conocer un medio de prueba que era arcano por parte de la empresa demandada«.

«Lo que ha sucedido es el incumplimiento en la obtención de este medio de prueba de todas las garantías exigidas por la jurisprudencia (*), lo que ha provocado la declaración de ilicitud de la grabación con fines de videovigilancia y lo que causa la vulneración del derecho fundamental a la intimidad, de forma que no se ha producido ninguna variación sustancial de la demanda«, establece el TSJA, que desestima el recurso de suplicación de la empresa y confirma la sentencia inicial que anula el despido.

La sentencia relata que la instalación del sistema de videovigilancia por parte de la compañía se había realizado en una fecha indeterminada, ocultando la ubicación de la misma y sin informar de la existencia de este sistema al trabajador, por tanto, incumpliendo las exigencias que establece el art. 89 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales. Este precepto relativo al derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, establece como limites a los sistemas implantados:

  • Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
  • La no admisión de instalación de sistemas de grabación de sonidos y de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores, tales como, aseos, vestuarios, comedores y análogos. 
  • Estos sistemas deberán respetar el principio de proporcionalidad, el de intervención mínima y las garantías previstas en la normativa vigente. 

Con anterioridad, el Tribunal Europeo de Derechos Humanos, en su Sentencia de 9 de enero de 2018, llegó a sostener “La Corte observa que la videovigilancia encubierta de un empleado en su lugar de trabajo debe considerarse, como tal, una intrusión considerable en su vida privada. Implica una documentación grabada y reproducible de la conducta de una persona en su lugar de trabajo, que él o ella, que está obligado por el contrato de trabajo para realizar el trabajo en ese lugar, no puede evadir.”

Desde esta interpretación adoptada por el Tribunal Europeo de Derechos Humanos al estado español, los tribunales del Orden Social han tomado nota en este sentido y consideran la prueba ilícita cuando no se cumplen los parámetros que garantizan los derechos de los trabajadores.

 

 

Por María González
Responsable del Departamento Jurídico

LOS SISTEMAS DE TELETRABAJO Y SU INCIDENCIA EN PROTECCIÓN DE DATOS

LOS SISTEMAS DE TELETRABAJO Y SU INCIDENCIA EN PROTECCIÓN DE DATOS

El teletrabajo se ha instalado en nuestro país como respuesta a las restricciones y medidas de contención de la pandemia aún vigentes, en un contexto legal caracterizado por la casi total ausencia de regulación específica.

Con motivo de la implantación de sistemas de teletrabajo, a lo largo del presente artículo, os trasladamos cuestiones a tener en cuenta para el cumplimiento de las exigencias en materia de protección de datos.

Entre las facultades de dirección de la empresa, se encuentran las relativas a fijar las instrucciones y recomendaciones de seguridad a los empleados. En este sentido, a continuación, os trasladamos una serie de pautas y medidas de seguridad desarrolladas por la autoridad de control.

Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo:

La entidad, como responsable del tratamiento, dispone de la potestad para determinar que ciertas actividades sean desarrolladas en situaciones de movilidad y teletrabajo.

Esta decisión puede ser parte de la estrategia de gestión de la entidad o puede estar motivada por situaciones de excepcionalidad, por tanto, debemos desarrollar soluciones previas para anticiparnos a estas circunstancias.

A continuación, se enumeran un conjunto de recomendaciones para el responsable del tratamiento que éste tendrá que adecuar a la situación concreta de su objeto de negocio:

1. Definir una política de protección de la información para situaciones de movilidad

 

• Basada en la política de protección de datos y seguridad de la información de la entidad, y formando parte de ella, es necesario definir una política específica para situaciones de movilidad que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

• El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

 

• Hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y que puedan dar lugar a la exposición de los datos personales del personal, interesados y servicios corporativos de la organización, en particular, a través de los servicios de correo y mensajería.

• Hay que recurrir a proveedores y encargados que ofrezcan soluciones probadas y garantías suficientes que, en el mismo sentido, eviten la exposición de los datos personales del personal, interesados y servicios corporativos de la organización

• Si estos acceden a datos de carácter personal, tendrán la consideración de encargados de tratamiento y la relación se regirá por un contrato u otro acto jurídico que vincule al encargado respecto del responsable.

3. Restringir el acceso a la información

 

• Los perfiles o niveles de acceso a los recursos y a la información tienen que configurarse en función de los roles de cada persona empleada, de una forma incluso más restrictiva respecto de los concedidos en los accesos desde la red interna.

4. Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad

 

• Los servidores de acceso remoto han de ser revisados y hay que asegurar que están correctamente actualizados y configurados para garantizar el cumplimiento de la política de protección de la información para situaciones de movilidad establecida por la organización, así como el control de los perfiles de acceso definidos.

5. Monitorizar los accesos realizados a la red corporativa desde el exterior

 

• Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

• Las brechas de seguridad que afecten a datos personales han de comunicarse a la Autoridad de Control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

• Se debe informar al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.

• Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo.

• Los mecanismos de monitorización implementados en el contexto de acceso remoto a recursos corporativos en situaciones de movilidad y teletrabajo deben respetar los derechos digitales establecidos en la LOPDGDD, en particular, el derecho a la intimidad y uso de dispositivos digitales y el derecho a la desconexión digital en el ámbito laboral.

6. Gestionar racionalmente la protección de datos y la seguridad

 

• Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

• En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos clientes de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

En la actualidad, la figura del teletrabajo como forma de trabajo a distancia está cogiendo auge frente a la organización empresarial tradicional, lo que sin duda trae consigo prácticas novedosas y más flexibles, estimulando cambios organizativos en las empresas y fortaleciendo la formación y empleabilidad de las personas trabajadoras. Sin embargo, también presenta posibles inconvenientes: protección de datos, brechas de seguridad, tecnoestrés, horario continuo, conectividad digital permanente, mayor aislamiento laboral, entre otros, resultando necesario un adecuado asesoramiento en materia de protección de datos.
Para obtener más información, no dude en contactar con nosotros.

 

 

Por María González
Responsable del Departamento Jurídico