«No necesito saberlo todo, tan solo necesito saber dónde encontrar aquello que me hace falta cuando lo necesite»

Nuestro BLOG


El Tribunal Supremo se pronuncia sobre el uso de grabaciones con cámara oculta como prueba en un despido

Julio, 2022

El caso se refiere a la validez como prueba en el despido de una empleada del hogar de una grabación, donde se observa a la empleada manipulando y tratando de abrir sin éxito una caja fuerte, realizada con cámara oculta, dirigida a zona concreta del dormitorio de la vivienda y colocada a raíz de la constatación de un robo previamente denunciado a la Policía.
Insiste la Sentencia  en que se trata de examinar la validez probatoria de la videovigilancia efectuada en un juicio por despido, a la vista de la carga de la prueba que corresponde al empresario y la consiguiente necesidad de poder aportar medios pertinentes de prueba, y no de otras consecuencias que la conducta empresarial puede tener desde la perspectiva más amplia de la legislación de protección de datos en su conjunto.
No deja de ser, en todo caso significativo, ya que el derecho a la protección de datos personales es un derecho fundamental, si bien, como nos recuerda la Sentencia remitiéndose a lo indicado por el Tribunal Constitucional «el derecho a la protección de datos no es ilimitado, y aunque la Constitución no le imponga expresamente límites específicos, ni remita a los poderes públicos para su determinación como ha hecho con otros derechos fundamentales, no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, pues así lo exige el principio de unidad de la Constitución» (STC 292/2000). Es decir, una ponderación de la proporcionalidad de la medida adoptada puede excluir la vulneración de este derecho fundamental.
En este caso, la prueba se considera válida a pesar de la ausencia total de información, información que exige la normativa de protección de datos cuando se realiza un tratamiento de datos personales, como es el caso de la videovigilancia; si bien se llama la atención sobre las significadas diferencias entre un sistema de videovigilancia permanente y un sistema de videovigilancia instalado ad hoc ante la existencia de fundadas sospechas, considerando que mientras la obligación de información puede modularse en el segundo caso, resultaría difícilmente justificado y desproporcionado en el primero.
No cabe la aplicación en el supuesto al que se refiere la Sentencia de la excepción doméstica al no estar completamente desconectada en este caso de la actividad profesional, dado que la consecuencia directa del tratamiento es el despido de la trabajadora y la grabación se produce durante su jornada.
Sin embargo, se tiene en cuenta a efectos de la ponderación, en este caso, el alcance de la cantidad previamente sustraída (30.000 euros, además de monedas y billetes antiguos y algunas joyas); que la cámara únicamente enfocaba al armario en el que estaba instalada la caja fuerte, sin que lo hiciera sobre ningún otro punto de la habitación ni del hogar familiar; la gran vulnerabilidad de la empleadora; y el hecho de que no es fácil imaginar con qué otra prueba podrían acreditarse dichos incumplimiento y autoría, que la empleadora está obligada a probar en el juicio por despido.
Se plantea, en todo caso, que se trata de un supuesto excepcional y singular y que solo excepcionalmente se podrá prescindir del distintivo informativo. Además, se tiene en cuenta que el posible incumplimiento de la legislación de protección de datos tiene otras consecuencias y otras posibles protecciones, que no se agotan en el debate sobre la validez de la prueba de videovigilancia en un proceso por despido, pudiendo recurrir ante la AEPD o a otros medios del derecho civil, administrativo o penal para la protección de la vida privada en el contexto de la videovigilancia en el lugar de trabajo.

Alcance de la implantación de la figura del Delegado/a de Protección de Datos (DPD)
Septiembre, 2022
Según información publicada por la Agencia Española de Protección de Datos (AEPD), a 2 de septiembre de este año 95.736 entidades habían procedido a notificar la designación de un DPD. De esa cifra, solo 8.895 de esas notificaciones correspondían a entidades públicas, lo que resulta llamativo teniendo en cuenta que, de acuerdo con el artículo 37 del RGPD, las autoridades y organismos públicos tienen obligación de designar esta figura.
Otro dato interesante es que esos responsables del tratamiento son asesorados y supervisados por unos 11.000 DPD. Un reparto equitativo arrojaría un resultado de entre 8 y 9 entidades por cada DPD, lo que según el tamaño o la intensidad y complejidad de los tratamientos podría ser asequible. También hay que considerar el respaldo que pueda tener la función dentro de la estructura de la empresa o en un grupo de empresas: si adicionalmente existen comités, departamentos de privacidad o protección de datos, responsables en las distintas áreas, apoyo del área jurídica o técnica según los perfiles... Pero lo que resulta sorprendente es que algunos de ellos, incluso sin olvidar que la figura puede ser una persona jurídica con un nutrido equipo de profesionales detrás, están notificados como DPD de más de 5.000, 7.000 o incluso 12.000 responsables del tratamiento.
Esto lleva a pensar en la posible existencia del DPD fantasma, pero también en que es probable que muchas de esas notificaciones no correspondan a responsables del tratamiento con obligación de designar DPD y simplemente se realiza la notificación por una cuestión de imagen o porque responde a ofertas de «todo incluido» sin un análisis previo de las necesidades del responsable del tratamiento, y que puedan no estar sustentadas a la larga en un desarrollo suficiente de las funciones que el RGPD asigna al DPD. A estos efectos conviene recordar que, incluso aunque no sea obligatorio, el DPD designado debe cumplir con todas las funciones establecidas por la normativa.
Esta situación ha llevado a la AEPD a anunciar un cambio en su forma de actuar en adelante, lo que podría suponer el requerimiento en el curso de la tramitación de reclamaciones de los informes del DPD que sustenten las decisiones adoptadas por el responsable del tratamiento, pudiendo considerar como una agravante en caso de iniciarse un procedimiento sancionador el hecho de que el responsable del tratamiento se hubiese apartado de las recomendaciones del DPD.
También resulta curioso constatar el escaso éxito hasta la fecha del esquema de certificación de la AEPD para Delegados de Protección de Datos, respecto al que hay que tener en cuenta que existen otras certificaciones y que no es obligatorio estar certificado para ejercer funciones de DPD ni ser notificado como tal a la autoridad de control. De hecho el número de profesionales certificados se reducía en junio a 844. En todo caso se esperan nuevos cambios y mejoras en el esquema, y consideramos que estar en posesión de esta u otras certificaciones no deja de ser una garantía más que puede ayudar a los responsables del tratamiento a la hora de proceder a la designación de esta figura.

La actuación de las asociaciones en defensa de los consumidores en el marco del RGPD
Abril, 2022
El Tribunal de Justicia de la Unión Europea (Sentencia en el asunto C-319/20 Meta Platforms Ireland) se ha pronunciado sobre la posibilidad de que dichas asociaciones puedan ejercitar acciones con independencia de la vulneración concreta del derecho a la protección de los datos personales de un interesado y sin un mandato conferido a tal fin.
El Tribunal reconoce que, aunque el RGPD ha desarrollado una armonización de las legislaciones nacionales de los Estados miembros en materia de protección de datos, deja en algunas de sus disposiciones un margen de apreciación que les permite desarrollar normas complementarias siempre que no sean contrarias a los requisitos establecidos y a los objetivos del RGPD.
Una asociación en defensa de los consumidores está, por tanto, comprendida en el concepto de «entidad con legitimación activa» con arreglo al RGPD en la medida en que persigue un objetivo de interés público consistente en garantizar los derechos de los consumidores. Reconoce el Tribunal que la infracción de normas relativas a la protección de los consumidores o a las prácticas comerciales desleales puede estar vinculada a la infracción de normas en materia de protección de datos personales.
Así, no es necesario para ejercer una acción de representación identificar, previamente y de forma individual, a la persona concretamente afectada por el tratamiento de datos o alegar una vulneración concreta de los derechos que confieren las normas en materia de protección de datos.
De esta forma, el Tribunal de Justicia no se opone a normas nacionales que contemplen el ejercicio de acciones de representación contra la vulneración de derechos conferidos por el RGPD en el marco de regulaciones en defensa de los consumidores o de lucha contra prácticas comerciales desleales o la prohibición del uso de condiciones generales nulas, en la medida en que las prácticas llevadas a cabo infringiendo dichas normas supongan un tratamiento de datos que pueda afectar a los derechos que el RGPD confiere a las personas físicas identificadas o identificables.

La AEPD publica una nueva guía dirigida a profesionales del sector sanitario
Junio, 2022
Aunque aclara que la guía está principalmente orientada a la actividad profesional a título individual de dichos profesionales también puede ser tenida en cuenta por aquellos que desarrollen su actividad en centros sanitarios.
Especialmente reseñable es que la Guía dedica una sección a determinar quién es el responsable del tratamiento en cada caso, ya que será el centro sanitario, en la medida en que decida sobre los datos que se recaban, fines y medios, independientemente de que las decisiones en materia sanitaria las tome el profesional, cuestión que muchas veces no queda suficientemente clara y es esencial para evitar problemas cuando llega el fin de la relación establecida entre las partes.
En todo caso hay que distinguir los supuestos en que el centro sanitario contrata la prestación de servicios de un profesional de aquellos en que este alquila un espacio para prestar por su cuenta los servicios haciendo uso de las instalaciones del centro. Incluso casos en los que se combinan ambas opciones requiriendo hacer una distinción entre los pacientes correspondientes a cada una de las partes.
No se descartan tampoco casos de corresponsabilidad en los que varios profesionales o un profesional y un centro sanitario sí comparten la determinación de los fines o los medios del tratamiento.
Dedica también la Guía un amplio apartado a las posibilidades de acceso a las historias clínicas, tanto a nivel interno (personal médico, administrativo, con funciones de control o auditoría) en el que se diferencia entre algunas finalidades (gestión asistencial, fines docentes, de investigación) como ante solicitudes de terceros (tribunales, autoridades sanitarias o administrativas).
Siempre es interesante en este tipo de guías revisar el apartado dedicado a situaciones específicas, en este caso relacionadas con la posible comunicación de datos a terceros, como la llamada a los pacientes en consulta, la información intercambiada en mostradores de admisión, la autenticación a la hora de cambiar o anular una cita, la atención telefónica cuando se solicitan datos de salud o el número de habitación, o la información que se puede incluir en un justificante a acompañantes de pacientes ingresados.
Esta iniciativa se suma a la publicación de un apartado específico dedicado a la salud en el menú de Áreas de actuación de su página web www.aepd.es.

La Audiencia Nacional remarca los límites a la prohibición del uso privado del email corporativo
Julio, 2022
En sentencia de 22 de julio de 2022 (SAN 3645/2022) la AN se pronuncia sobre si la notificación realizada de forma unilateral por una empresa a sus trabajadores relativa al uso de equipos informáticos y correos corporativos vulnera el art. 87.3 de la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Tras años de jurisprudencia, con más o menos vaivenes, sobre la posibilidad de acceso por parte del empresario a equipos y correos electrónicos corporativos facilitados a los trabajadores para el desempeño de sus funciones y su uso de carácter privado por parte de estos, podíamos llegar a la conclusión de que la clave inicial estaba en la información facilitada a los trabajadores, lo que era determinante para valorar la existencia o no de una expectativa de privacidad por su parte, cuya eliminación completa solo podía conseguirse mediante una prohibición sin matices.
Aún con esto la cosa no es tan sencilla, ya que llegado el caso ya concreto de un despido derivado del abuso o cuya causa se hubiese detectado o corroborado a partir del mencionado acceso había que tener en cuenta, tal y como desglosaba el Tribunal Europeo de Derechos Humanos, una serie de factores:
a) el grado de intromisión del empresario;
b) la concurrencia de legítima razón empresarial justificativa de la monitorización;
c) la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo;
d) el destino dado por la empresa al resultado del control;
e) la previsión de garantías para el trabajador.
La Sentencia mencionada no entra a valorar el contenido de la comunicación más allá de que establece criterios de utilización de dispositivos digitales facilitados por la empresa a su personal, sino que falla que es contraria al artículo 87.3 de la LOPDGDD por no haber contado en su elaboración con la representación legal de los trabajadores (RLT) declarando la nulidad de la notificación.
Veremos las consecuencias que esto tiene en caso de despido y el peso que pueda tener la valoración del resto de factores si estas políticas llegasen a considerarse nulas en caso de que no habiendo contado con la RLT en su elaboración no se hubiese subsanado este requisito a raíz de la entrada en vigor de la LOPDGDD.
Lo que sí parece es que la participación de la RLT y la necesaria, por este motivo, revisión de los criterios previamente establecidos alejará más aún aquellas políticas rígidas basadas en la prohibición, en todo caso insuficientes cuando después de su aprobación y notificación se iban desdibujando al compás de los usos sociales y la ausencia real de control.


El nuevo Esquema Nacional de Seguridad apuesta por la ciberseguridad
Mayo, 2022
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, que deroga la norma anterior de 2010, actualiza las medidas contempladas para abordar la progresiva transformación digital de las administraciones públicas y las amenazas de ciberseguridad.
Desde el año 2010 el incremento de ciberataques, que además son cada vez más sofisticados, ha mantenido en guardia a los expertos en seguridad, llegando a convertir la ciberseguridad en una especialidad con entidad propia. Esto se suma a la cada vez mayor dependencia de las tecnologías de la información y las comunicaciones y la interconexión entre los distintos sistemas, lo que aumenta el impacto que puede tener una incidencia de seguridad y la consecuente paralización de los servicios tanto desde el punto de vista social como desde el del ejercicio de los derechos y libertades de los ciudadanos.
Posteriormente a la publicación del ENS, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, amplió su ámbito de aplicación a todo el sector público: administraciones públicas que se relacionen entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos.
Por su parte, la disposición adicional primera la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, prescribe la implantación de las medidas de seguridad del ENS a las entidades del sector público y a las del sector privado que colaboren con estas en la prestación de servicios públicos que involucren el tratamiento de datos personales; y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales establece que deben aplicar las medidas del ENS las autoridades competentes respecto al tratamiento de datos personales regulado en dicha norma.
Este progresivo «contagio» de las medidas del ENS queda ahora contemplado en el ámbito de aplicación de la norma vigente, estableciendo la obligación de que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación del real decreto contemplen todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extiende también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
A partir de su publicación en el año 2010, el esquema debía desarrollarse y perfeccionarse manteniéndose actualizado permanentemente, actualización que han hecho necesaria tanto los avances normativos en marco europeo y nacional como la evolución de las amenazas, nuevos vectores de ataque y mecanismos de respuesta.
Una novedad es que se añade el «perfil de cumplimiento específico» o la capacidad para adaptar los requisitos del ENS a la realidad de ciertos colectivos o tipos de sistemas basándose en la semejanza que presentan multiplicidad de entidades o servicios en atención a los riesgos a que están expuestos, lo que hará más fácil y eficaz su implantación. A partir de ese perfil y la declaración de aplicabilidad inicial se podrán suprimir o incluir medidas, aumentar o disminuir su grado de exigencia o sustituirlas por medidas compensatorias.
El anterior ENS estaba constituido por unos principios básicos y unos requisitos mínimos para garantizar la seguridad de la información y los servicios prestados por las administraciones públicas. Los principios se mantienen y perfilan añadiendo el de vigilancia continua.
Se detalla, además, la figura del responsable del sistema, que, si bien ya aparecía en la norma anterior, no estaba definida y no se encontraba entre las figuras recogidas a efectos de la diferenciación de responsabilidades.
En cuanto a los requisitos mínimos se mantienen elevando a categoría algunas cuestiones que ya se contemplaban como medidas de seguridad y con cambios en la terminología.
Se articula un protocolo de actuación de respuesta a incidentes de seguridad en torno al CCN-CERT teniendo también en cuenta las notificaciones de organizaciones del sector privado que presten servicios a entidades públicas, que se recibirán a través de INCIBE-CERT.
Por su parte, la modificación del marco táctico y operativo en el que se desenvuelven las ciberamenazas y sus correlativas salvaguardas ha obligado a actualizar el elenco de medidas de seguridad del anexo II, con objeto de añadir, eliminar o modificar controles y subcontroles, al tiempo que se incluye un nuevo sistema de referencias más moderno y adecuado, sobre la base de la existencia de un requisito general y de unos posibles refuerzos, alineados con el nivel de seguridad perseguido. Se añade una nueva familia de medidas del marco operacional: servicios en la nube.
En cuanto al eslabón más débil, el ENS encomienda al CCN y al Instituto Nacional de Administración Pública el desarrollo de programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público.
La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación del real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.
Desde luego, para algunas entidades esta norma supone realmente una oportunidad de actualización, y quizá para otras suponga el impulso que necesitaban para abordar de una vez por todas su implementación tantas veces postergada.

 

La protección de datos en el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
Marzo, 2022
Con su aprobación se incorporará al Derecho español la Directiva (UE) 2019/1937, de 23 de octubre de 2019 en la que se concretan las directrices dirigidas a establecer en los Estados miembros normas comunes que aseguren la protección efectiva de aquellas personas que informan de infracciones del Derecho de la Unión Europea.
Considera la Directiva que la colaboración ciudadana a la hora de facilitar aquellas informaciones que puedan ayudar a la investigación y consiguiente persecución de conductas ilegales, ha de ser debidamente regulada y protegida, asentando en la sociedad la conciencia de que debe perseguirse a quienes quebrantan la ley, de que no se van a tolerar los amedrentamientos por parte de los infractores y que no deben consentirse ni silenciarse los incumplimientos. Para ello, se regula la creación de canales internos y externos de comunicación cuya configuración deberá satisfacer ciertas exigencias, entre ellas la confidencialidad.
En el ámbito privado estarán obligadas a configurar un sistema interno de información todas aquellas empresas que tengan más de cincuenta trabajadores. En los grupos de empresas será la sociedad dominante la que decida la organización de los canales de comunicación. Con relación al sector público, la ley ha extendido en toda su amplitud la obligación de contar con canales internos de informaciones. Además, se obliga a contar con un sistema interno de informaciones a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación.
La ley procede también a la implementación de un canal externo cuya llevanza corresponde a la Autoridad Independiente de Protección del Informante con la posible implementación de canales equivalentes por parte de las comunidades autónomas con competencia limitada a su territorio.
Suponen por tanto estas obligaciones el tratamiento de datos de carácter personal sujetos al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), cuyo artículo 24 ya regulaba la creación y mantenimiento de sistemas de información internos. Sin embargo, se ve necesario completar dichas previsiones y extenderlas también a los tratamientos de datos que se lleven a cabo en los canales de comunicación externos y a los supuestos de revelación pública.
En cuanto a legitimación, como no podía ser de otra forma, la norma huye del consentimiento: cabe el cumplimiento de una obligación legal cuando sea obligatorio disponer de un sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos al amparo de la existencia de un interés público cuando no lo sea o el tratamiento se lleve a cabo en el ámbito de la revelación pública.
Algo que va a complicar la operativa actual es que los canales internos deberán contemplar la posibilidad de comunicación escrita, pero también verbal, por teléfono, mensajería de voz o reunión presencial, por lo que habrá que prever la posibilidad de grabar las comunicaciones realizadas por estos medios e informar adecuadamente a los interesados; y en caso de conservar la comunicación documentalmente mediante una transcripción ofrecer la posibilidad de comprobar, rectificar y aceptar mediante su firma la transcripción del mensaje. Además, deben compaginarse estas obligaciones con la posibilidad de presentar comunicaciones anónimas, ante las cuales se complica que los informantes puedan disfrutar, por ejemplo, de su derecho a recibir acuse de recibo, así como a que se les informe de las acciones u omisiones que se les atribuyen, y a ser oídos en cualquier momento, salvo que abandonasen o pusiesen en riesgo su anonimato.
Se añadirían dos elementos al contenido de la información dirigida al informante tal y como está regulado por la normativa de protección de datos: uno es que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros; y el otro, los canales externos de información a los que se puede dirigir ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea
No es una novedad que en el caso en que el canal sea gestionado por un tercero, este tendrá la consideración de encargado del tratamiento, si bien lo recomendable es que se mantenga en el ámbito de la gestión interna, para lo que habrá que establecer un adecuado equilibrio con la necesaria independencia con la que deberá contar.
Respecto al ejercicio de derechos, se contempla la existencia de motivos legítimos imperiosos que legitiman continuar el tratamiento en caso de que la persona investigada ejerza el derecho de oposición, y nunca será objeto del derecho de acceso a datos el de la identidad del informante. Además, se limita la posibilidad de comunicación de dicha identidad solo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.
Se establece en el anteproyecto qué figuras tendrán acceso al sistema de comunicación interno, aunque deja abierta la posibilidad de añadir a otras personas cuando resulte necesario para la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.
Más llamativo resulta que se exija a las entidades obligadas a disponer de un sistema interno de comunicaciones, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, así como las que en su caso se constituyan, que cuenten con un delegado de protección de datos, cuya competencia abarcará no solo el sistema de información, sino también el resto de tratamientos de datos realizados por la entidad. En muchos casos se puede tratar de entidades privadas que hasta ahora no tenían dicha obligación, lo que previsiblemente supondrá nuevos quebraderos de cabeza en empresas de pequeño tamaño.

 

La AEPD aprueba el primer código de conducta sectorial desde la entrada en vigor del Reglamento de Protección de Datos
Febrero, 2022
La Agencia Española de Protección de Datos (AEPD) ha aprobado el «Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia» promovido por Farmaindustria.
Es el primero aprobado desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD). En él se regula cómo deben aplicar la normativa de protección de datos los promotores de estudios clínicos con medicamentos y las Organizaciones de investigación por contrato (CRO) que decidan adherirse al mismo.
Tanto el RGPD como la LOPDGDD realizan una importante apuesta por el establecimiento de sistemas de autorregulación que vengan a completar el contenido de sus disposiciones, adaptándolas a las especialidades de los tratamientos desarrollados por un determinado sector de actividad y completando así el régimen impuesto con carácter general por la citada normativa. Estos códigos constituyen un elemento de autorregulación voluntario, pero deben ser aprobados por la autoridad de control.
FARMAINDUSTRIA es la Asociación Nacional Empresarial de la Industria Farmacéutica establecida en España. Agrupa a más de un centenar de Laboratorios Asociados, que representan la práctica totalidad de las ventas de medicamentos de prescripción en España. Este nuevo código de Farmaindustria sustituye y adecúa el anterior de 2009 a la actual normativa y se espera que sirva para fortalecer la investigación clínica y la farmacovigilancia y solventar las dudas que plantea el tratamiento de datos de carácter personal en este entorno.
El objeto del Código de Conducta es establecer las reglas que rijan el tratamiento de datos personales de los sujetos de ensayos clínicos, pacientes y profesionales sanitarios que se lleve a cabo con ocasión de la realización de una investigación clínica, y en el cumplimiento de las obligaciones de farmacovigilancia establecidas en la normativa reguladora de los medicamentos.
En el código se clarifican en el ámbito de la investigación científica los roles de los distintos intervinientes en el tratamiento, especificando que el promotor de la investigación y el centro sanitario o investigador principal tendrán la condición de responsables de sus respectivos tratamientos, correspondiendo a cada uno de ellos las obligaciones derivadas de su actividad, sin que quepa apreciar la existencia de responsabilidad solidaria entre ellos por los incumplimientos que cometiera la otra parte. Además, se hace hincapié en la necesidad de separar la información de protección de datos de la información al paciente conforme a la normativa de ensayos clínicos, y se regula el tratamiento de datos por parte de promotores únicamente de datos codificados en la idea de que no es necesario en este caso el tratamiento de datos sin codificar.
En materia de farmacovigilancia, se mantiene la diferenciación entre el tratamiento de los datos personales identificativos y codificados. Se establece un protocolo uniforme de farmacovigilancia diferenciando los distintos canales a través de los cuales puede recibirse la notificación y el sujeto que la realice, incluyendo como novedad el supuesto en que la información referida a un acontecimiento adverso fuera conocida a través de las redes sociales.
El código de conducta establece el régimen de supervisión y control de sus disposiciones, incluyendo:
• La naturaleza, composición, estructura y funciones del Órgano de Gobierno del Código de Conducta (OGCC).
• El régimen sancionador aplicable a los adheridos al Código.
• El procedimiento de resolución extrajudicial de controversias, tanto cuando las mismas procedan de una reclamación de un afectado como cuando se inste la actuación del Órgano de Gobierno por la Agencia Española de Protección de Datos.

 

El artículo 9 de la LOPD no establece una obligación de resultado respecto a las medidas de seguridad, sino de medios

Febrero, 2022

El Tribunal Supremo reconoce la exigencia de implantar medidas de seguridad como una obligación de medios, pero estos deben adecuarse al estado de la técnica.
Esta es la conclusión que se puede extraer de la sentencia de 15 de febrero en la que se recurre la sentencia de la Audiencia Nacional (AN) que desestimó el recurso interpuesto contra una sanción de la AEPD por infracción del artículo 44.3h de la LOPD a una empresa de telefonía. No podemos perder de vista que en el momento de los hechos aún estaba en vigor dicha norma y que la normativa actual ha traído cambios relevantes en materia de seguridad, pero ya entonces el artículo 9 de la LOPD hacía referencia a los riegos a los que están expuestos los datos de carácter personal, y la Directiva 95/46/CE hablaba de riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
La empresa vendía dispositivos de telefonía en la tienda y ofrecía in situ su financiación mediante la cumplimentación de un formulario que debía ser firmado físicamente por el solicitante y era tramitado a través de una aplicación. Uno de los requisitos obligatorios para cursar la solicitud era disponer de una dirección de correo electrónico a la que se enviaría copia del contrato y las condiciones generales.
Se reconoce como un hecho no controvertido que fallaron las medidas de seguridad y los contratos de financiación de 14 particulares que contenían datos personales -nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante- se enviaron a un tercero ajeno a la relación contractual.
La causa probable fue que una de las trabajadoras de la tienda a la hora de rellenar el formulario de solicitud de financiación de algunos clientes incluyó una dirección de correo inventada creyéndola inexistente al referirse a la provincia donde se encuentra sita la tienda, con la única intención de no ver bloqueado el procedimiento de financiación, dado que el sistema técnico diseñado no le permitía continuar con el contrato de financiación si no se introducía una dirección de correo electrónico.
Se exponen en la sentencia las diferencias entre las obligaciones de resultado, en las que existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto; y las obligaciones de medios, en las que el compromiso que se adquiere es el de adoptar medios técnicos y organizativos idóneos y suficientes, así como desplegar una actividad diligente en su implantación y utilización que tiendan a conseguir el resultado esperado.
En el primer caso, la empresa respondería ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, y en el segundo bastaría con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable, es decir, también respondería ante esa falta de diligencia, aunque tuviese las medidas implantadas.
Se menciona en la sentencia que en este segundo caso la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado, sin embargo, se omite una referencia expresa al riesgo y sí se menciona la necesidad de implantar medidas de nivel básico, de acuerdo con los niveles de seguridad vigentes en ese momento.
Adicionalmente, el TS recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores.
Se argumenta que el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. También que el estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email (doble opt-in), condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
Reconoce la propia sentencia que el sistema de verificación del correo electrónico conocido como "doble opt-in" consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad. ¿Es esto realmente necesario cuando el proceso se está realizando en persona, que puede por tanto identificarse con su documento de identidad, teniendo en cuenta que los datos facilitados directamente por el interesado se consideran exactos de acuerdo con el artículo 8.5 del RDLOPD entonces vigente?
Continúa la sentencia indicando que se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación. ¿Es esto realmente necesario cuando el interesado está físicamente en el lugar y firma un documento de solicitud en el que se le puede facilitar dicha información, sin perjuicio de enviarla adicionalmente al correo electrónico que igualmente queda reflejado en la solicitud?
Por último, indica que este sistema evita que los documentos vayan a una dirección equivocada. En definitiva, se trata de comprobar que la información recogida es correcta y veraz. ¿No sería posible hacer esto indicando al interesado que revise que sus datos son correctos antes de firmar y tramitar la solicitud? ¿Tiene sentido que a una persona que está presencialmente en la tienda se le haga cumplimentar un trámite a través de un medio técnico que no está empleando en ese momento y podría no tener accesible? ¿Por qué tendría que aceptar las condiciones con un sistema a distancia si está físicamente en el lugar?
La sentencia de la Audiencia Nacional recurrida considera además que la empresa incumplió su obligación de comprobar de forma fehaciente, [...] la
veracidad de la documentación aportada por los clientes. ¿Es esto posible respecto a toda la información aportada?, ¿también sería necesario hacer una llamada para ver si responde esa persona y verificar que su teléfono es un dato veraz?, ¿es proporcionado respecto a los datos de contacto facilitados previa identificación para la compra de un teléfono móvil realizada presencialmente?
A la hora de realizar el actualmente necesario análisis de riesgos nos preguntaríamos: ¿es probable que una persona que se identifica presencialmente facilitando sus datos y su documento de identidad para contratar dé una dirección de correo electrónico falsa o de un tercero desconocido?, ¿con qué objeto?, ¿y en caso de tratarse de una suplantación de identidad empleando un documento de identidad robado, el hecho de enviar un correo para comprobar que es aceptado a una dirección que no corresponde al auténtico titular sino al suplantador, permitiría detectar el fraude?
Puesto que en el momento de los hechos aún no estaba en vigor el RGPD, las medidas de seguridad no debían responder obligatoriamente a una evaluación de riesgos, pero si hubiese sido así, ¿se habría contemplado el riesgo de que una empleada habiendo recibido formación en protección de datos y seguridad inventase un dato pensando que no existía y por tanto no se trataba de un dato de carácter personal para forzar el sistema y la probabilidad de que habiendo hecho esto el correo electrónico resultase real? Parece bastante improbable.
Sin embargo, a pesar de las dudas planteadas sobre la idoneidad de la medida y sin tener en cuenta la probabilidad de que se materializase la amenaza, la sentencia concluye que puesto que existían unas medidas técnicas disponibles la empresa debería haberlas adoptado. No se tiene en cuenta si realmente tienen sentido en el caso de una contratación en persona o en qué medida podía dicha medida paralizar la operación, por cuánto tiempo ni con qué consecuencias.
Parece más razonable que se hubiesen contemplado la posibilidad de que algún comprador no dispusiese de correo electrónico y habilitar un sistema paralelo que permitiese recibir la documentación en su domicilio o en persona sin necesidad de enviarla al correo electrónico, sin embargo, la idea que se transmite es que si no se adoptan todas las medidas posibles existentes en cada momento siempre se mantendrá la incertidumbre de que un error lleve a considerar la infracción de la normativa por incumplimiento de medidas de seguridad. ¿Qué valor tendrá en el caso de producirse una brecha de seguridad el análisis de riesgos realizado?
Dice la sentencia que el hecho de que fuese la actuación negligente de una empleada habiéndose implantando unas determinadas medidas de seguridad no exime a la empresa de responsabilidad, ya que estaba obligada a controlar que no se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios, sin embargo, la incorporación de una dirección de correo electrónico no parece que fuese una medida de seguridad, sino una forma de poner a disposición del interesado la documentación ya firmada sin necesidad de facilitársela en papel. ¿Podía la empresa realmente controlar dicho uso?

Renovación de cargos en la Agencia Española de Protección de Datos

Diciembre, 2021
Después del anuncio el pasado 21 de octubre de los candidatos propuestos por los principales partidos españoles para renovar los cargos de presidencia y adjuntía de la AEPD, surgió la polémica respecto a que no se había respetado el nuevo procedimiento recogido en el Estatuto de la AEDP aprobado por Real Decreto 389/2021, de 1 de junio, solo unos meses antes.
La actual directora de la AEPD permanece en funciones en dicho cargo desde julio de 2019, cuando finalizó el periodo de cuatro años para el que fue elegida, por lo que es urgente normalizar la situación del organismo para que se puedan afrontar con seguridad y garantías los nuevos retos que se plantean en protección de datos, en los que la participación de la AEPD es indispensable.
Ante la denuncia de diferentes colectivos, el mes pasado se publicó en el BOE la orden por la que se convoca el proceso selectivo para la designación de la Presidencia y de la Adjuntía a la Presidencia de la AEPD. De esta forma se inicia la vía para respetar los requisitos exigidos en dicha selección, que deberán permitir acreditar respecto a los candidatos y candidatas que se presenten que se trata de personas de reconocida competencia profesional, en particular en materia de protección de datos, sobre la base del mérito, la capacidad, la competencia y la idoneidad, entre los que se pueden recoger las capacidades legales de la persona candidata, la experiencia profesional, la capacidad de desarrollar el trabajo o los conocimientos técnicos, en particular referidos al ámbito de protección de datos.
Ya se ha hecho pública la lista de candidatos admitidos, así que solo nos queda esperar que se complete el proceso del que seguro saldrán elegidas las personas más adecuadas para los cargos.

Instrucción de la AEPD respecto a su función consultiva

Noviembre, 2021
La AEPD recibe constantes consultas por parte de interesados, responsables del tratamiento y profesionales de la privacidad que buscan aclarar diversos aspectos relacionados con el tratamiento de datos personales, tanto en cuento al ejercicio de sus derechos como al cumplimiento de la normativa en aspectos que pueden ser interpretables.
Transcurridos más de cinco años desde la entrada en vigor del RGPD, recordemos que hubo un margen de dos años hasta que fue de aplicación, la AEPD ha querido poner orden delimitando claramente el alcance de sus funciones en materia consultiva.
Por un lado se apoya en la intensa labor realizada estos años con la publicación de diferentes guías y herramientas que pueden ayudar a los responsables y profesionales de diversos sectores a la hora de adecuar diferentes tipos de tratamientos, y en el hecho de que sus funciones son fundamentalmente de supervisión, lo que hace que deba mantener una postura de imparcialidad incompatible con el asesoramiento individualizado y las consultas de carácter particular.
Por otro pone el foco en el principio de responsabilidad proactiva y la obligación de los responsables del tratamiento de adoptar las decisiones que consideren más adecuadas atendiendo a los riesgos que se puedan derivar del tratamiento para los derechos y libertades de los interesados, además de recurrir al asesoramiento y supervisión de los delegados de protección de datos cuando este sea necesario o recomendable.
Por último, la AEPD siempre ha seguido como criterio el no responder las consultas de despachos de abogados o consultores que se dedican precisamente a resolver este tipo de cuestiones para sus clientes.
De esta forma se establecen cuatro supuestos en que la AEPD puede ser consultada:
a) Se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria.
b) Se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos.
c) La AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva.
d) Se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
En todo caso la AEPD aclara que esto no afectará al normal funcionamiento y operatividad del canal específico de atención y consulta que tiene implantado para menores, que continuará prestando sus servicios en las condiciones en las que se viene realizando.

Principios básicos en protección de datos a la hora de implantar un canal de denuncia Octubre, 2021
Falta poco para que se cumpla el plazo para trasponer a nuestro ordenamiento jurídico la DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
El plazo dado por la norma a los Estados miembros finaliza el 17 de diciembre de 2021 y, aunque previsiblemente en el caso de España no se cumplirá, no hay duda de que más tarde o más temprano los canales de denuncia se convertirán en una herramienta indispensable para descubrir y prevenir este tipo de infracciones y proteger el bienestar de la sociedad.
La importancia de la protección de los denunciantes es clave para que estos mecanismos funcionen adecuadamente, pero no debemos olvidar que suponen un tratamiento de datos de carácter personal y, por tanto, junto al principio de la confidencialidad hay que tener en cuenta el resto de obligaciones que deben acompañar a todo tratamiento. La AEPD nos lo recuerda haciendo hincapié en los siguientes aspectos:
Informar a los trabajadores
Es primordial que los trabajadores estén informados de la existencia del sistema de denuncias y del tratamiento de los datos que conlleva la formulación de una denuncia. Se puede comunicar directamente en el contrato de trabajo; individual o colectivamente al implementar o modificar el sistema, o mediante circulares informativas al personal y a sus representantes.
Respetar el principio de proporcionalidad y limitación de la finalidad
Las denuncias deberán hacer referencia únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado y, del mismo modo, la información obtenida por esta vía no podrá usarse con una finalidad distinta a la prevista para la puesta en marcha del sistema.
Protección de los datos del denunciante
La ley permite los sistemas de denuncia anónima pero, en el caso de que esta no lo sea, la información del denunciante debe quedar a salvo y no facilitar su identificación al denunciado. Esto implica implementar medidas reforzadas de seguridad y confidencialidad de la información.
Limitación del acceso a la información
El acceso debe limitarse exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento o al encargado del tratamiento designado a tal efecto. Solo será lícito el acceso de otras personas o su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o la tramitación de los procedimientos judiciales que, en su caso, procedan.
Conservación y eliminación de los datos
Los datos deben conversarse solo el tiempo necesario para la investigación de los hechos, a no ser que de aquella se desprenda la adopción de determinadas medidas  contra el denunciado, en cuyo supuesto sería posible conservar los datos por un plazo superior. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias.
Derechos de protección de datos
Deberán garantizarse los derechos de acceso, rectificación, supresión y oposición del denunciado, sin que ello implique revelar la identidad del denunciante.  El denunciado debería poder conocer en el menor tiempo posible el hecho que se le imputa a fin de poder defender debidamente sus intereses, por lo que esta información debe facilitársele tras un tiempo prudencial en que se lleve a cabo la investigación preliminar de los hechos.


Carta de derechos digitales, a la vanguardia internacional en la protección de los derechos de la ciudadanía

Julio, 2021

Ese es objetivo del Gobierno y con ese fin publica la Carta de derechos digitales sentando las bases de derechos novedosos relacionados con la inteligencia artificial o el uso de algoritmos. La Carta no tiene carácter normativo, sino que su objetivo es reconocer los nuevos retos de aplicación e interpretación que la adaptación de los derechos al entorno digital plantea y garantizar una digitalización humanista, que ponga a las personas en el centro.

Vivimos en una sociedad digital de cuyos entornos, dispositivos y servicios dependemos más cada día. En este contexto, no se trata necesariamente de descubrir derechos digitales pretendiendo que sean algo distinto de los derechos fundamentales ya reconocidos o de que las nuevas tecnologías y el ecosistema digital se erijan por definición en fuente de nuevos derechos, sino de perfilar los más relevantes en el entorno y los espacios digitales o describir derechos instrumentales o auxiliares de los primeros.

Los nuevos escenarios, contextos y conflictos a que da lugar la generalización en el uso de estas tecnologías deben resolverse mediante la adaptación de los derechos y la interpretación sistemática del ordenamiento jurídico. Además, resalta el documento en sus consideraciones previas que se trata de situaciones y escenarios que no se limitan a Internet.

Uno de los principios en los que se sientan las bases de la Carta es el cumplimiento normativo desde el diseño, que incorpora el análisis de la regulación aplicable vigente desde el inicio del proceso de desarrollo tecnológico.

la Carta incluye seis categorías principales de derechos: derechos de libertad; derechos de igualdad; derechos de participación y de conformación del espacio público; derechos del entorno laboral y empresarial; derechos digitales en entornos específicos y derechos de garantías y eficacias.

Además, nace con un triple objetivo: descriptivo, prospectivo y asertivo. Descriptivo de los contextos y escenarios digitales determinantes de conflictos entre los derechos, valores y bienes de siempre, pero que exigen nueva ponderación. Prospectivo al anticipar futuros escenarios que pueden ya predecirse. Asertivo en el sentido de revalidar y legitimar los principios, técnicas y políticas que, desde la cultura misma de los derechos fundamentales, deberían aplicarse en los entornos y espacios digitales presentes y futuros.

Con el precedente de los derechos digitales reconocidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el recientemente aprobado Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, la Carta se plantea además como un marco de referencia para la acción de los poderes públicos que nos permita desenvolvernos en el entorno digital aprovechando y desarrollando todas sus potencialidades y oportunidades y conjurando sus riesgos.

Nueva herramienta para identificar los factores de riesgo presentes en un tratamiento

Junio, 2021

Los responsables de tratamientos se enfrentan habitualmente a dificultades a la hora de determinar el nivel de riesgo de un tratamiento concreto, especialmente en el momento de valorar si es necesario o no realizar una evaluación de impacto relativa a la protección de datos. La AEPD ofrece una nueva ayuda EVALUA_RIESGO RGDP.

Se trata de una herramienta sencilla, fácil de utilizar, y en formato Excel. Si bien no incorpora todos los posibles factores de riesgo asociados a cualquier tratamiento, puesto que corresponde al responsable identificar los que son específicos del tratamiento que va a realizar para incorporarlos en la evaluación, sí incluye un catálogo amplio de factores relacionados con la finalidad, el ámbito, la naturaleza y el contexto del tratamiento, que nos puede ayudar para no olvidar elementos que deben ser tenidos en cuenta en la valoración global y que considerados de forma aislada podrían llevarnos a subestimar el riesgo.

Como resultado emite un informe con una evaluación mínima del riesgo intrínseco, que si es necesario debe ser ajustada por el responsable. Además, permite indicar el nivel de mitigación del riesgo una vez implantadas las medidas que el responsable ha decidido adoptar para obtener una valoración del riesgo residual. Por supuesto, esto no sustituye a la realización de un análisis de riesgos o una EIPD, pero sí constituye un apoyo.

Adicionalmente la AEPD ha publicado una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto que incorpora, manteniendo la línea ya iniciada en las guías anteriores elaboradas sobre estas mismas materias, las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, y sirve como recopilatorio de la experiencia acumulada en estos años desde la aplicación del RGPD.

Es de agradecer que se ponga el acento en esta nueva guía en la idea de que la gestión del riesgo para los derechos y libertades no está orientada a gestionar el riesgo para la organización derivado de un incumplimiento normativo, superando la distinción que realizaba en su primera guía de dos dimensiones de los riesgos para los derechos y libertades de las personas físicas, entre las que consideraba los riesgos asociados al cumplimiento de los requisitos regulatorios e incluso remitía al listado de cumplimiento normativo que tiene publicado en su página web. Actualmente, indica la guía que es una interpretación errónea entender el enfoque de riesgos del RGPD como una forma de reemplazar los requisitos de cumplimiento normativo mediante controles o medidas técnicas y organizativas.


 


Actualización de las cláusulas contractuales tipo

Junio, 2021

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Estas transferencias pueden realizarlas responsables y encargados del tratamiento sin autorización de la autoridad de control en determinados supuestos. Uno de ellos es contar con cláusulas tipo de protección de datos adoptadas por la Comisión.

La Comisión Europea ha publicado el pasado 4 de junio las nuevas cláusulas contractuales tipo, que además de sustituir a las anteriores adaptándolas al RGPD pretenden poder enmarcar un abanico de transferencias:

· de responsable a responsable (R-R);

· de responsable a encargado (R-E);

· de encargado a responsable (E-R) y

· de encargado a encargado (E-E).

Las nuevas cláusulas incorporan los principios de «accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II, que declaró la nulidad del Privacy Shield. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo.

También deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente. Las cláuslas contractuales vigentes hasta ahora quedarán derogadas a partir del 27 de septiembre de 2021, aunque los contratos celebrados con anterioridad con arreglo a dichas Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones del tratamiento que regulan no cambien y las garantías se sigan considerando adecuadas.



Decisiones de adecuación para las transferencias internacionales al Reino Unido

Junio, 2021

A raíz del Brexit todo un conjunto de relaciones entre la Unión Europea y el Reino Unido asentadas sobre la base de su pertenencia al club de los hasta entonces 28 países miembros debieron ser minuciosamente revisadas, entre ellas, los intercambios de datos, que de pronto adquirían la condición de transferencias internacionales de datos.

Desde ese momento los flujos de datos entre el Espacio Económico Europeo y el Reino Unido se han estado rigiendo por un régimen provisional incluido en el acuerdo comercial que estaba próximo a vencer.

No debemos olvidar que mientras ha sido parte de la UE, el Reino Unido ha estado sujeto a la normativa europea de protección de datos, la Directiva 95/46/CE inicialmente y el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en el momento de la ruptura, por lo que el marco de principios y derechos en el que ambas partes han desarrollado sus relaciones no podía diferir mucho a pesar de esta. Sin embargo, esta situación no tiene por qué mantenerse necesariamente en el tiempo, por lo que además adecuar la situación jurídica de los intercambios al nuevo contexto, se prevé un seguimiento de la evolución jurídica del Reino Unido en adelante.

De esta forma, la Comisión Europea (CE) ha adoptado el 28 de junio dos decisiones de adecuación para las transferencias de datos personales a Reino Unido, con objeto de que la información pueda circular libremente como hasta ahora sin necesidad de otras garantías ni la autorización por parte de las autoridades de control.

Se trata de dos decisiones de adecuación: una al amparo del reglamento general de protección de datos y otra para la directiva sobre protección de datos en el ámbito penal.

Se incluye, además y por primera vez, la llamada «cláusula de extinción» en caso de futuras divergencias entre Bruselas y Londres, según ha expresado la Comisión. Esto supone que las decisiones expirarán automáticamente cuatro años después de su entrada en vigor y deberán ser renovadas, lo cual solo podrá suceder si el Reino Unido sigue garantizando un nivel adecuado de protección de datos. Aun así, durante los cuatro años, la Comisión podría intervenir en cualquier momento si el Reino Unido se desvía del nivel de protección actualmente vigente.

Se publica la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales

Mayo, 2021

Ya pocos lo recordarán, pero junto con el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), se publicó una directiva, la 2016/680, también de 27 de abril, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Mientras que el RGPD era de aplicación directa, la directiva debía ser transpuesta a nuestro ordenamiento jurídico, sin embargo, se fueron superando los plazos con los que contaba España para informar sobre las medidas adoptadas para su transposición, así como los de requerimiento por parte de la Comisión exhortando a adoptar dichas medidas. Finalmente, unos días después de ser aprobado el proyecto de ley orgánica para su transposición, España fue condenada por no haber realizado la transposición ni informado sobre las medidas adoptadas para ello a 15.5 millones de euros a tanto alzado y una multa coercitiva diaria de 89.548,20 euros por cada día de retraso en la transposición.

La publicación de esta ley viene a poner fin a esta situación y regula la actuación de autoridades competentes, que quedan delimitadas en su artículo 4, respecto al tratamiento de datos personales con los citados fines, si bien si esas mismas autoridades realizan tratamientos de datos con otros fines quedan sujetas al RGPD.

Aunque la regulación transita de forma paralela por los mismos caminos que el RGPD, ya en sus principios podemos detectar dos diferencias sustanciales, puesto que no se hace referencia a la transparencia y el principio de seguridad vuelve a tener esa denominación, que da una idea más completa de todos sus componentes.

Su artículo 7 nos viene a recordar la necesaria colaboración que requiere este tipo de tratamientos y la falta de transparencia, de ahí la ausencia mencionada anteriormente, ante el interesado con el fin de evitar poner en riesgo la actividad investigadora. Por otra parte, al tratarse de un ámbito más acotado de tratamiento, a diferencia del RGPD, sí se establecen plazos concretos de conservación, así como periodicidad en la verificación de si la conservación sigue siendo procedente.

Otra especialidad respecto a la regulación general es la determinación de los colectivos que pueden resultar afectados: personas que se presume pueden haber cometido o colaborado en la comisión de una infracción, personas condenadas o sancionadas, víctimas o afectados y terceros involucrados; igualmente la distinción entre datos basados en hechos de aquellos que puedan ser apreciaciones personales.

Además de las previsibles especificidades en materia de ejercicio de derechos, los responsables cuentan como todos con la obligación de tener un registro de actividades de tratamiento, pero adicionalmente deben mantener registros de operaciones cuando se realicen en sistemas de tratamiento automatizados, al menos de las siguientes: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión, y en el caso de consulta y comunicación poder determinar quién ha hecho qué, cuándo y para quién.

En materia de seguridad se establece un marco más claro de medidas, siempre basadas en un análisis de riesgos previo, pero dirigidas a los siguientes controles: en el acceso a los equipamientos, los soportes de datos, el almacenamiento, los usuarios, el acceso a los datos, la transmisión, la introducción, el transporte, el restablecimiento, la fiabilidad e integridad. En todo caso el registro de operaciones se convierte en medida necesaria y clave de todo marco de seguridad.

El delegado de protección de datos, obligatorio salvo en el caso de tratamiento de datos con fines jurisdiccionales, cumple al igual que en el régimen general las necesarias funciones de asesoramiento y supervisión. Además se regula en qué casos y con qué condiciones pueden realizarse transferencias internacionales de datos, que en todo caso deberán tener como destinatarias otras autoridades competentes y para los fines regulados en la norma. Las sanciones, cuando son económicas, pueden alcanzar el millón de euros.

Además de introducir modificaciones en distintas normas, entre ellas la propia LOPDGDD, la ley incluye en la Sección 2 de su Capítulo II la regulación del tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad, hasta ahora recogido en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos, que completaría la nueva regulación en lo que no resulte contrario a su contenido.

¿Anonimización o seudonimización?

Abril, 2021

El RGPD nos trajo junto con nuevas obligaciones y derechos, nuevos conceptos, como la seudonimización. Antes de eso caminábamos de forma imprecisa entre términos como disociación o codificación que muchas veces se intentaban hacer pasar como anonimización en la idea de huir de la aplicación de la normativa.

A pesar de la claridad con la que el RGPD establece la distinción entre datos anonimizados y seudonimizados, para hacer caer definitivamente a estos últimos en las garras de la normativa, aún hay mucha confusión con estos conceptos y generalmente se cree que para anonimizar es suficiente con eliminar el nombre y apellidos de los interesados.

La AEPD ha publicado un documento en el que recoge de forma sencilla y directa 10 malentendidos relacionados con la anonimización que nos pueden ayudar a establecer una distinción clara y saber cuándo es de aplicación o no la normativa.

Cuestiones como que el cifrado no es anonimización o que esta no es permanente, dado que los recursos informáticos y las nuevas tecnologías disponibles para que se pueda lograr la reidentificación de datos van evolucionando, y datos que actualmente pueden ser considerados anónimos con técnicas que pueden estar por llegar pueden volver a ser identificables. También que la aplicación de sistemas utilizados por otros con éxito podrían no ser útiles si cambia el contexto o los datos a los que se refiere el tratamiento.

En definitiva, un documento interesante a tener en cuenta.

 

Nuevo portal web del CGPJ como autoridad de control en materia de protección de datos

Enero, 2021

El Consejo General del Poder Judicial es la autoridad de control en materia de protección de datos en los tratamientos jurisdiccionales. El artículo 236 nonies de la Ley Orgánica del Poder Judicial (LOPJ) así lo establece.

Para desarrollar las funciones que le corresponden, en 2017 se constituyó en el Consejo General del Poder Judicial el denominado Comité de Protección de Datos, integrado por tres vocales del órgano de gobierno de los jueces y representantes de los diferentes órganos técnicos del CGPJ.

Es decir, aunque equivocadamente presentásemos una reclamación relativa al tratamiento de datos personales por parte de un juzgado o tribunal ante la Agencia Española de Protección de Datos, esta daría traslado al CGPJ para su resolución.

Con ocasión de la celebración, el 28 de enero, del Día Europeo de la Protección de Datos, que se celebra para dar a conocer a los ciudadanos sus derechos y responsabilidades en materia de protección de datos y privacidad, el CGPJ ha lanzado su portal web como uno de los apartados a los que se puede acceder desde su sitio web:

https://www.poderjudicial.es/cgpj/es/Poder-Judicial/En-Portada/El-CGPJ-lanza-un-portal-web-como-autoridad-de-control-en-materia-de-proteccion-de-datos-en-los-tratamientos-jurisdiccionales

En este apartado podemos encontrar, normativa, formularios, preguntas frecuentes e informes y resoluciones del CGPJ.

La fecha elegida para su publicación conmemora además el Convenio número 108 del Consejo de Europa sobre protección de datos de carácter personal, que es el único instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos. El Convenio 108 ha sido modificado a raíz de la entrada en aplicación del RGPD haciendo hincapié entre otras cosas en la necesidad de que las autoridades de supervisión no se limiten a ser instrumentos sancionadores, sino que participen activamente en la concienciación y formación en esta materia, lo que está en la línea del nuevo portal web del CGPJ.

 

Medidas que complementan las herramientas para realizar transferencias internacionales

Noviembre, 2020

A nadie se le escapa que el hecho de invalidar la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero mantener la validez de las Cláusulas Contractuales Tipo (CCT) si se utilizan con empresas ubicadas en EE. UU. puede ser un poco contradictorio, dados los motivos argumentados por el TJUE en la sentencia para invalidar el  Privacy Shield.

Esta situación difícilmente se va a solucionar con medidas adicionales establecidas contractualmente, pero debemos entender que hay más países en el mundo a los que exportar datos y, cuando lo hagamos, no nos debemos limitar a elegir la herramienta a utilizar, sino que es necesario que el exportador, con ayuda del importador, evalúe caso a caso si la ley o las prácticas en ese tercer país afectan a la efectividad no solo de las CCT sino de cualquiera de las herramientas escogidas de las establecidas en el artículo 46 del RGPD. Una evaluación negativa, a su vez, no significaría la suspensión inmediata del proyecto, sino que se abre la puerta a implementar medidas adicionales para alcanzar el nivel de protección requerido por la legislación europea, no necesariamente idéntico al de la UE, pero esencialmente equivalente.

El Comité Europeo de Protección de Datos (CEPD) consciente de la ardua tarea que esto supone ha publicado sus Recomendaciones 01/2020 sobre medidas complementarias a las herramientas de transferencia para asegurar el cumplimiento del nivel de protección de datos personales de la UE, que aún se encuentran en fase de consulta pública.

Para llevar a cabo este ejercicio, el CEPD sugiere que se den, por parte del exportador, una serie de pasos:

1.      Establecer un mapa de las transferencias internacionales que se realizan y verificar que son adecuadas, pertinentes y limitadas a lo necesario de acuerdo con el propósito de realizar la transferencia a ese país.

2.      Identificar la herramienta adecuada para cada una de la lista recogida en el capítulo V del RGPD.

3.      Evaluar si las leyes o prácticas en ese tercer país pueden afectar a la eficacia antes mencionada, afortunadamente, en el contexto de la transferencia.

4.      En el caso en que la evaluación revele que la legislación del tercer país puede afectar a la eficacia de las garantías, es necesario identificar y adoptar medidas adicionales, de las que el documento ofrece algunos ejemplos:

Medidas técnicas. Fundamentalmente el cifrado o la seudonimización de los datos.

Medidas contractuales, como la obligación de adoptar determinadas medidas técnicas o prohibirlas, o exigir transparencia.

Medidas organizativas, mediante la elaboración de políticas internas que definan responsabilidades, canales claros de comunicación o pautas sobre cómo actuar en el caso en que se realice una solicitud por parte de una autoridad pública.

5.      Adoptar las formalidades requeridas para implementar las medidas identificadas en función de la herramienta de las recogidas en el artículo 46 que estuviésemos utilizando para realizar la transferencia. Por ejemplo, podría ser necesaria una consulta a la autoridad de control.

 6.      Reevaluar en intervalos de tiempo adecuaos el nivel de protección alcanzado y si algún nuevo acontecimiento sobrevenido puede afectar al mismo.

Esto es solamente una ayuda, ya que el propio CEPD reconoce en la sentencia del TJUE el peso otorgado al principio de responsabilidad proactiva dejando sobre los hombros del exportador la evaluación y la decisión de seguir adelante, sin perjuicio de las capacidades de supervisión y consecuente suspensión de las transferencias por parte de las autoridades de control.


Cómo saber si debo comunicar una brecha de seguridad a los interesados

Octubre, 2020

En realidad lo que supone el auténtico quebradero de cabeza para las entidades es si se debe notificar una brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) y para ello podemos recurrir a las nociones que ofrece la Guía para la gestión y notificación de brechas de seguridad de la AEPD, que lógicamente no tiene todas las respuestas, pero da algunas pistas.

Toda brecha de seguridad que se comunique a los interesados deberá ser objeto de notificación a la AEPD antes o después, pero no viceversa. Habiendo notificado a la AEPD una brecha de seguridad incluso es posible que sea la propia Agencia la que exija al responsable del tratamiento que lo haga, y la diferencia entre hacerlo o no está en determinar si el riesgo probable que entraña la violación de seguridad es alto.

Para ello, la AEPD ha publicado una herramienta que nos ayuda a tomar esa decisión, ya que en función del riesgo, la comunicación a los interesados podría tener que realizarse a la mayor brevedad y por tanto antes de realizar la notificación a la AEPD, pero pueden surgirnos dudas y desde luego no es la imagen que cualquier entidad quiere dar a sus clientes, personal o colaboradores.

La herramienta nos pregunta, en primer lugar, el sector en el que opera el responsable del tratamiento, para que posteriormente indiquemos si el incidente ha sido accidental o intencionado, si ha sido interno o externo, y si es un ciberincidente.

La herramienta pregunta por las consecuencias del mismo y en qué grado se ven afectados los interesados, si ya se han materializado esas consecuencias o las posibilidades de que lo hagan. Se deben tener en cuenta los tipos de datos que se han visto afectados, así como los colectivos perjudicados (si son menores u otros colectivos especialmente vulnerables) y el volumen de personas a las que ha podido afectar.

Por último, solicita información sobre la fecha en que se ha detectado y en que se ha producido la incidencia, para pasar a indicar su recomendación sobre la comunicación o no de la brecha a los interesados.

Es posible que no dispongamos de toda la información necesaria, y de hecho la propia herramienta cuenta en muchos apartados con una opción de «Desconocido», pero utilizarla y dejar constancia de las respuestas facilitadas, además de actuar de acuerdo con la recomendación indicada, incluso aunque después se descubriese como desacertada, nos permite generar evidencias respecto al cumplimiento de la responsabilidad proactiva, y cualquier herramienta que ayude en ese sentido será bienvenida.

La AEPD actualiza su Guía sobre uso de las cookies

Agosto, 2020

Recientemente, la Agencia Española de Protección de Datos ha actualizado la Guía sobre el uso de las cookies a las Directrices sobre consentimiento revisadas por el Comité Europeo de Protección de Datos (CEPD) el pasado mes de mayo, estableciendo hasta el 31 de octubre como plazo para su implementación.

No es que hubiese sido seguida masivamente por los creadores de contenidos de las páginas web, porque es muy habitual seguir leyendo las frases que la guía ya consideraba en su primera versión de noviembre de 2019 que inducen a confusión o desvirtúan la claridad del mensaje, como «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted» o «para mejorar su navegación», o «podemos utilizar sus datos personales para ofrecer servicios personalizados». También es habitual encontrar páginas que incluyen como modalidad de consentimiento un botón de aceptación simultáneamente a la posibilidad de seguir navegando.

Repasando las novedades de la guía, especialmente relevante es el cambio de criterio en cuanto al consentimiento. En su primera versión, la AEPD admitía como válido el consentimiento basado en la acción «seguir navegando». Para eso, el aviso debía insertarse en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pudiese existir seguridad de que no pasase desapercibido para el usuario. Añadía además la guía que podría considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no fuese la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio.

Todos los ejemplos incorporados ahora a la guía incluyen un botón de ACEPTAR y es que el CEPD ha establecido que seguir navegando no es una forma válida de prestar el consentimiento. No se descartan, en todo caso, otras formas distintas a un botón del tipo ACEPTAR, pero acciones complejas o menos obvias que el uso de botones de aceptación o guardado de la configuración escogida deberán explicarse al usuario.  

Para que este tipo de acciones se consideren consentimiento, las condiciones en que se produzca la conducta deben ofrecer suficiente certeza de que este es informado e inequívoco y además debe poder probarse que dicha conducta se ha realizado. En todo caso se reafirma de forma más contundente que permanecer visualizando la pantalla, hacer scroll o navegar por el sitio web no se considerará una clara acción afirmativa bajo ninguna circunstancia.

La guía actualizada incluye un nuevo ejemplo sobre cómo solicitar en este contexto el consentimiento explícito del interesado en el caso de que se llegasen a tratar categorías especiales de datos, y rechaza los «muros de cookies» que, no ofreciendo una alternativa al consentimiento, supeditan a este el acceso a servicios y funcionalidades. En todo caso, las alternativas deberán ser equivalentes y no sería válido si el servicio lo ofrece una entidad ajena al editor.  

En cuanto a la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies, desaparece la referencia al software de navegación utilizado o el sistema operativo del terminal, y cuando se menciona la posibilidad de configurar el navegador como modalidad de obtención del consentimiento, aunque se mantiene que debe ser separado para cada finalidad e identificar al responsable del tratamiento, indica que a estos efectos es suficiente incluir la marca o nombre con el que el responsable se identifique de cara al público. Aun así, este sistema no se considera válido como mecanismo único para que el usuario pueda denegar o revocar el consentimiento para el uso de cookies, sino que tiene que poder hacerlo desde la página web del editor o ser informado de las herramientas que empleen terceros con este fin en el caso en que sean estos quienes utilicen las cookies.

La toma de temperatura para detectar contagiados de la COVID-19

Julio, 2020

Se ha discutido mucho sobre el tratamiento de datos que consiste en la toma de temperatura para detectar posibles casos de COVID-19, pero no queremos entrar a valorar los mismos puntos que ya han sido tratados hasta la saciedad, sino aquellos que nos llaman especialmente la atención.

En primer lugar la idoneidad del tratamiento. No es solo que puede haber contagiados asintomáticos que por tanto nos van a pasar desapercibidos, que la fiebre puede no ser detectada si hemos tomado previamente un antipirético o que puede deberse a otras causas, en cuyo caso debería hacerse dicha valoración, que podría incluso tener la complejidad de un diagnóstico médico, simplemente para entrar en un supermercado o tomarte un café. Es verdad que, aun así, podría ser detectado algún caso y eso sería un éxito, pero ¿tiene sentido, teniendo en cuenta todo lo indicado, establecer en según qué casos medidas que pueden ser tomadas de forma individual por cada uno sin llegar a producirse tratamiento de datos? ¿Cuántos no nos tomamos la temperatura antes de salir de casa si vamos a un lugar en el que sabemos que nos van a tomar la temperatura? ¿Tiene todo esto sentido?

No hay duda en todo caso de que no deja de ser una medida que da cobertura a la posible detección de algún contagiado y que supone un lavado de cara a efectos de dar una buena imagen respecto a la adopción de medidas suficientes, motivo por el que, a pesar de las dudas y las objeciones, son tratamientos que se están realizando.

Otra cuestión que llama la atención son aquellos tratamientos que consisten en la toma de temperatura que no se consideran sujetos a la normativa de protección de datos por entenderse como tratamientos no automatizados que no están contenidos o destinados a ser incluidos en un fichero. A esta categoría de tratamientos se han incorporado aquellos realizados con un termómetro digital por una persona que se limiten simplemente a la toma y comprobación de la temperatura, sin que quede registrada en ningún sitio ni la temperatura ni el resultado de la misma, es decir, el acceso o no de la persona al recinto. No vamos a entrar en los motivos por los que los tratamientos realizados con este tipo de aparatos se consideran no automatizados, pero sí llama la atención que esta interpretación nos deje huérfanos de protección cuando la medida no deja de suponer el conocimiento por un tercero de información relacionada con nuestra salud y que además puede tener unas consecuencias ampliamente limitativas, se registre o no.

Sí se menciona que el que no sea de aplicación la normativa de protección de datos no excluye la plena vigencia del derecho a la intimidad, aunque si esta opción tuviese virtualidad no sería posible utilizar dicha medida en estos casos y mucho menos en aquellos amparados por el derecho a la protección de datos, precisamente por ser más intrusivos. Incluso adoptando las máximas precauciones en el momento de la medición de forma que otras personas distintas de aquella que realiza la misma no pudiesen tener conocimiento del hecho de que la temperatura es alta o sus consecuencias, solo poniéndose en la situación de algún caso que se ha mencionado, como la posibilidad de que una mujer con un sofoco tuviese que explicarle a otra persona cuya función es tomar la temperatura, sin necesidad de que sea sanitario, recordemos que estos tratamientos no se consideran sujetos a la normativa, que en realidad lo que pasa es que tiene la menopausia, difícilmente se puede pensar en ningún tipo de intimidad.

Vuelve la inseguridad jurídica a la hora de realizar transferencias internacionales  a EE. UU.

Julio, 2020

El TJUE ha invalidado la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU., pero no la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.

El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la Unión Europea a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. Este mecanismo sustituía al anterior marco legal denominado Puerto Seguro (Safe Harbour), que fue igualmente invalidado por el Tribunal de Justicia en 2015.

Si se utiliza el Escudo de Privacidad, las empresas estadounidenses deben primero adscribirse a este marco en el registro a tal efecto del Departamento de Comercio de los EE. UU. y cumplir con las obligaciones establecidas en los Principios de Privacidad, cuyo cumplimiento debe ser garantizado por dicho Departamento.

Los motivos por los que nuevamente se pone en cuestión el mecanismo adoptado son, por una parte, que los programas de vigilancia basados en la normativa interna de los Estados Unidos relativa al acceso y utilización por las autoridades estadounidenses de los datos transferidos desde la Unión no se limitan a lo estrictamente necesario, y que si bien la misma normativa establece exigencias que las autoridades estadounidenses deben respetar al aplicar los programas de vigilancia, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales.

Añade, además, que el mecanismo del Defensor del Pueblo contemplado en dicha Decisión, no proporciona a esas personas ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo como la existencia de normas que le faculten para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses.

La reclamación de un usuario de Facebook austriaco que no quería que sus datos fuesen transferidos por la compañía desde Irlanda a servidores ubicados en Estados Unidos ha dado un vuelco a multitud de operaciones que se venían realizando amparadas por dicho mecanismo. Actualmente, hay 5.378 organizaciones adscritas cuyos datos se puede consultar en la Privacy Shield List.

Aquellas transferencias que puedan redirigirse a la formalización de cláusulas contractuales tipo podrán seguir realizándose, pero especialmente preocupante es el uso de aplicaciones gratuitas o de bajo coste por parte de multitud de pequeñas empresas que deberán replantearse su uso, lo que en todo caso puede redundar en beneficio de aquellas compañías que hayan apostado por ofrecer sus servicios desde servidores ubicados en la Unión Europea. Mientras tanto, la Unión Europea se ha comprometido en trabajar junto con Estados Unidos para desarrollar un mecanismo más fuerte y duradero, pero esta situación vuelve a sumir a muchas empresas en las oscuras aguas de la inseguridad jurídica.

 

Lucir anticuerpos de la COVID-19 en el currículum

Junio, 2020

No es algo que pueda impedirse, igual que cada uno publica en sus redes sociales la información que considere, valorando o no los riesgos que esto supone para sus derechos y libertades.

Indica la AEPD en un reciente comunicado que no debe reflejarse, haciendo alusión a que la entidad destinataria no podría tener en cuenta esa información y que podría llegar a tener que destruir el currículum en caso de no ser posible eliminarla, lo que a la larga sería contraproducente para el candidato, que no sería considerado en el proceso selectivo.

Independientemente de lo que decida hacer el candidato, el comunicado transmite un mensaje contundente a los empleadores: dicha información no podrá influir en la decisión que finalmente se adopte.

No hay legitimación suficiente para hacerlo, por un lado porque se considera que la solicitud de ese concreto dato de salud no es necesaria para la ejecución o formalización de un contrato, excluyendo la posible aplicación del artículo 6.1.b) del RGPD; por otro porque la otra posible legitimación basada en el consentimiento del artículo 6.1.a) no gozaría de uno de sus componentes esenciales al no ser libremente prestado, puesto que el interesado no puede otorgarlo o retirarlo sin sufrir perjuicio, existiendo un claro desequilibrio entre las partes.

Esto se puede decir igualmente de la excepción prevista en el artículo 9.2 del RGPD respecto a la prohibición del tratamiento de datos de salud.

El tratamiento, además, excedería

del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales, al no tener los candidatos la condición de trabajadores, y al no distinguir en todo caso los protocolos aplicables entre trabajadores que hayan padecido o no la enfermedad.

Tampoco se considera legítima la propia finalidad del tratamiento al dar lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Concluye la AEPD indicando que dicho dato de salud no puede ser objeto de tratamiento por la empresa ni, en consecuencia, solicitado a los candidatos a un empleo.

Avanzando en el teletrabajo


Junio, 2020

Hasta hace poco el teletrabajo se contemplaba como una forma de contribuir a la conciliación y al bienestar de los trabajadores, pero a partir de la declaración del estado de alarma se ha perfilado, además, como la mejor manera de proteger su salud en situaciones de emergencia que, lamentablemente, podrían llegar a perder su carácter de excepcionales.

El hecho de que la situación se estabilice y avancemos en la posibilidad de volver a prestar servicios de forma presencial, no impide que podamos valorar sus beneficios y la necesidad de establecer vías para implantar formas de teletrabajo más eficientes y hacerlo de manera ordenada.

La anunciada regulación laboral parece que contemplará medidas de compensación al trabajador por el uso de recursos particulares, como su equipo particular o su conexión a internet, algo que se ha visto por muchos como un abuso por parte de las entidades y que ha sido tolerado precisamente con motivo de la mencionada excepcionalidad.

No se debe olvidar que el deber de proteger a los trabajadores frente a los riesgos laborales no decae en entornos de teletrabajo, debiendo ser valoradas las condiciones del lugar donde se desarrollará la jornada laboral y en su caso la provisión de mobiliario de oficina adecuado.

Aunque la acogida del teletrabajo ha sido global por las circunstancias en que se ha realizado, es necesario de cara a establecer unos protocolos adecuados, determinar las áreas en las que es posible aplicarlo sin afectar al desarrollo de las funciones de los trabajadores. Hay determinados trabajos que no pueden ser prestados a distancia y menos aún de forma telemática, y algunos requieren de una parte de asistencia presencial, para lo que se pueden reservar determinadas jornadas a lo largo de la semana, incluso, con carácter general, con objeto de celebrar reuniones o asistir a cursos de formación, lo que a su vez redundaría en las ventajas de mantener la cualidad socializadora de los centros de trabajo.

Además, tienen que establecerse los criterios y requisitos que deben cumplir los trabajadores para poder acogerse al mismo, determinar jornadas flexibles de trabajo y la forma en que se va a controlar, así como garantizar el derecho a la desconexión digital. La protección de datos de carácter personal también está plenamente vigente en este ámbito.

Los trabajadores tendrán que recibir formación suficiente sobre seguridad en su nuevo entorno de trabajo y cómo deben usar las herramientas necesarias para mantener la relación a distancia, que deberán haber sido previamente determinadas por la entidad: conexión segura mediante VPN, un sistema de teleconferencias que no obligue al trabajador a usar cuentas particulares y gratuitas, disponer de una cuenta de correo electrónico, etc.

Son muchos los aspectos que deben contemplarse y desde luego no dejar al trabajador aislado en caso de incidencias, así como mantener los canales abiertos con el responsable o el delegado de protección de datos de la entidad.

 

Aplicaciones de rastreo


Junio, 2020

Una de las medidas que se ha demostrado más eficaces para prevenir posibles rebrotes de la COVID-19 es la implantación de un adecuado sistema de rastreo de contagios y sus contactos. A ello pueden colaborar de forma eficaz las tecnologías de la información, pero ¿hasta qué punto estamos dispuestos a sacrificar nuestra privacidad para proteger nuestra salud?

Lo llamativo de este tipo de aplicaciones es que no están pensadas para obtener un beneficio personal. Cuando comunicamos que estamos contagiados ya es tarde para nosotros, pero podemos evitar nuevos contagios al permitir localizar a aquellas personas con las que hemos mantenido un contacto durante tiempo suficiente para que a su vez hayan sido contagiados y avisarles, de forma que puedan tomar las medidas necesarias para evitar contagiar a otras personas. Utilizándola, por tanto, protegemos a los demás.

A estas alturas parece que hay un consenso generalizado respecto a los aspectos fundamentales para que estas aplicaciones ofrezcan unas mínimas garantías de protección de nuestros datos de acuerdo con las Directrices 04/2020 sobre herramientas de rastreo de contactos del Comité Europeo de Protección de Datos (CEPD), de 21 de abril de 2020:

  • Emplear datos anónimos, de forma que sea posible alertar a las personas que han estado cerca del infectado sin revelar su identidad.
  • Basarse en la tecnología de proximidad Bluetooth, de forma que no se permita el rastreo de la ubicación de las personas.
  • Que el almacenamiento de los datos sea descentralizado, es decir, en el teléfono móvil del usuario.

Aún a la espera de que en España se realice la anunciada prueba piloto y sin garantías de que finalmente vaya a aplicarse en todo el país, hay que tener en cuenta que estas no son las únicas dificultades que deben salvar este tipo de aplicaciones.

Por un lado, deben ser de descarga voluntaria, por lo que su eficacia queda sujeta a la responsabilidad individual y a ello no ayuda la alarma surgida en torno al posible uso inadecuado de datos personales, la participación de empresas privadas y los plazos de conservación de la información.

También hay que tener en cuenta aspectos prácticos como el consumo de batería, de forma que esto no desincentive su uso.

Otro aspecto importante es la interoperabilidad, especialmente en un entorno como el de la Unión Europea, en el que además se empiezan a promover los desplazamientos, de forma que sea posible seguir utilizando la aplicación de tu país en otros lugares.

Y quizá asumir que la anonimización, dado el grado de conectividad alcanzado es difícil. Aunque nuestro número de teléfono móvil no llegue a transmitirse al servidor, esta información puede ser inferida por nuestro proveedor de telecomunicaciones al detectar un flujo de datos hacia el servidor en cuestión, lo que únicamente puede significar que he comunicado que estoy contagiado, y esto se traduce en la necesidad de realizar un análisis profundo de los posibles riesgos e incluso cuáles de ellos debemos estar dispuestos a asumir para proteger a otros.