El control laboral como derecho del empleador, no es absoluto. La AEPD lo ratifica.

Publicado en Blog
by
Miércoles, 11 Noviembre 2020
Visto 336 veces

En un mundo como el actual, en constante cambio, es innegable el impacto que la tecnología tiene en el ámbito laboral. El papel que juegan las tecnologías no sólo afecta a la manera en que desarrollamos nuestro trabajo, sino también en el modo en que este es supervisado y, consecuentemente, controlado por el empleador. Así, no es la primera vez que analizamos, en el presente blog, el control laboral, su marco jurídico y la repercusión del mismo en el ámbito de protección de datos de los trabajadores (aquí, aquí y aquí).

En cuanto a métodos de control laboral se refiere, existe una amplia variedad a elección de la empresa o responsable del tratamiento atendiendo a qué es lo que se pretende controlar. Entre ellos: sistemas de videovigilancia, microchips de geolocalización en vehículos y dispositivos de empresa….etc. No obstante, si algo es claro es que no todos los métodos tienen el mismo impacto en nuestra privacidad; porque, admitámoslo, contar con un sistema de videovigilancia en determinados espacios de nuestro trabajo puede aportarnos hasta un cierto grado de seguridad y protección frente a la comisión de hechos ilícitos frente a nuestra persona pero ¿y si lo que controlasen fuesen nuestras palabras? ¿qué ocurriría entonces?.

Bien, esta es la casuística ante la que nos encontramos en el pronunciamiento que analizamos en nuestra publicación de hoy y que fue objeto de denuncia ante la Agencia Española de Protección de Datos (en adelante, AEPD) por parte de la Confederación sindical de la unión general de trabajadores.

El sindicato reclamante denunciaba:

- Por un lado, que se producían grabaciones de conversaciones personales de los trabajadores en su entorno laboral sin que éstos hubiesen prestado su consentimiento ni autorización.
- Por otro, la desinformación, por parte de la empresa, al comité de empresa, sobre el objeto y tratamiento de estas grabaciones.

A la vista de los hechos denunciados, y los documentos aportados por el reclamante, se admite a trámite la denuncia y se inician las investigaciones oportunas, por parte de la autoridad de control, de los argumentos alegados por el reclamante; dando, consecuentemente, traslado de la denuncia a la entidad reclamada.

La entidad reclamada alega que la decisión de incorporar este mecanismo de control responde a los siguientes hechos:

- Una serie de denuncias de las encargadas de turno en relación con agravios recibidos por parte de sus trabajadoras.
- Intento de agresión física que sufre una de las encargadas por parte de una trabajadora.
- Quejas del Comité de Empresa acerca de la forma de dirigirse las Encargadas de turno a las trabajadoras.

Alega, asimismo que todas las conversaciones son en el ámbito de trabajo y que, en ningún caso, se captan conversaciones personales así como que las mismas son conservadas siempre que se detecte alguna conducta vejatoria objeto de denuncia pero que, en ningún caso, se conservan conversaciones que no supongan conductas ilícitas por parte de las trabajadoras.

Analizados los fundamentos de la entidad reclamada, la AEPD acuerda iniciar procedimiento sancionador (PS-00067-2020) a la misma, por un posible incumplimiento del principio de información recogido en el artículo 13 del Reglamento General de Protección de Datos (en adelante, RGPD).

Fundamentos esgrimidos por la AEPD en su procedimiento sancionador.

¿Pueden los centros publicar listados con datos de carácter personal y cumplir con el RGPD?

Publicado en Blog
by
Viernes, 06 Noviembre 2020
Visto 294 veces

Con el inicio del curso escolar, una de las cuestiones que se plantea con mayor frecuencia en los centros escolares es si pueden o no hacer públicos listados con datos de carácter personal relativos a los miembros de la comunidad educativa, como, por ejemplo:

  • Listado de admitidos
  • Listado de concesión de becas
  • Censos electorales

Para proceder a resolver esta frecuente cuestión, hemos considerado oportuno acudir a una resolución de la Agencia Española de Protección de Datos (AEPD). En concreto al PS/00024/2019.

En el procedimiento sancionador indicado nos encontramos con un centro escolar dependiente de la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, que expuso un listado definitivo de alumnos admitidos, tanto en la fachada principal y acristalada del centro, como en su página web.

¿Creéis que el centro ha cumplido con la normativa en materia de protección de datos a la hora de realizar esa publicación?

Pues bien, la AEPD considera, en el mencionado procedimiento sancionador, que no se ha respetado la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos 2016/679 (RGPD) y la ), en base a lo que se le ha interpuesto una sanción de apercibimiento por los siguientes motivos:

  1. En primer lugar, partimos de la base de que el centro escolar se encuentra legitimado para proceder a la publicación de los listados en base al artículo 45 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), que indica que: Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente. La AEPD no cuestiona la legitimación del centro en la publicación de los listados, si no que considera que a pesar de contar con una legitimación para la publicación, debería de haberlo realizado respetando en todo momento los derechos inherentes a los afectados en materia de protección de datos, cuestión que no aconteció.
  1. Además, se considera infringido por parte del centro el , que regula el principio de integridad y confidencialidad y que indica que: los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Considera, así, la AEPD que no se ha garantizado la seguridad adecuada de los datos personales al proceder a su publicación tanto en el tablón como en la página web, lo que supone, a ojos de la AEPD una exposición indiscriminada de la información de carácter personal publicada (datos identificativos) a terceros no interesados.
  1. Finalmente, la AEPD considera que también se ha infringido el artículo 5 LOPDGDD por parte del centro, es decir el deber de confidencialidad, legalmente exigible a su persona. Entiende, la AEPD que consta probado que el centro incumplió este deber al no haber tomado medidas técnicas u organizativas previas tendentes a garantizar un nivel adecuado de seguridad que impidiera la comunicación y/o acceso indiscriminado de esa información de carácter personal por parte de terceros no interesados en el procedimiento de concurrencia competitiva de admisión de alumnos o en el proceso de elección de representantes de los padres en el Consejo Escolar.

Este incumplimiento se encuentra, íntimamente ligado con una infracción del artículo 24.2 del RGPD que recoge la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Recordemos que esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad y que las medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En consecuencia, y en función de los fundamentos esgrimidos por la AEPD, se impone a la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, entidad de la que depende el centro, una sanción de apercibimiento

Como podemos ver en los fundamentos anteriormente analizados, , el hecho de publicar listados, en espacios y canales de comunicación en abierto, con datos de carácter personal de los miembros de la comunidad educativa puede acarrear graves consecuencias para el centro si no se hace cumpliendo con los principios en materia de protección de datos.

 

Entonces, ¿Hay alguna forma de realizar estas publicaciones y no ser sancionado?

Página 5 de 181

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal