Disquetes, CDs, discos duros, dispositivos USB …etc. Hablamos de recursos utilizados, durante años, por parte de entidades y organizaciones para el almacenamiento de la información generada como consecuencia de su actividad. Todos estos recursos tenían un gran límite en común: el espacio.

Es, por tanto, lógico que, como consecuencia de la evolución tecnológica, los sistemas de almacenamiento se hayan ido perfeccionando y ajustando a las necesidades de las entidades en cada momento. Por ello, desde hace ya unos años, venimos asistiendo al fenómeno Cloud Computing o almacenamiento en nube.

Pero ¿a qué nos referimos realmente cuando hablamos de este nuevo concepto de almacenamiento? Es un tipo de servicio, utilizado también por aplicaciones, que permite almacenar todo tipo de contenido en un servidor conectado a la red, siendo la principal ventaja de estos sistemas, la flexibilidad que ofrecen que, en la práctica, se traduce en la posibilidad de acceder a la información almacenada desde cualquier lugar, con cualquier dispositivo, todos los días del año.

Consciente de la importancia de estos nuevos sistemas de almacenamiento, y su incuestionable impacto en la protección de datos de carácter personal, la Agencia Española de Protección de Datos (en adelante, la AEPD) publicó dos guías que son, ahora, objeto de análisis en el presente artículo:

Guía para clientes que contraten servicios de cloud computing que, a pesar de haber sido publicada hace ya unos años, fue actualizada por parte de la AEPD tras la plena exigibilidad del Reglamento Europeo de Protección de Datos (en adelante RGPD), en mayo de 2018.

Informe sobre la utilización, por parte de profesores y alumnos, de aplicaciones que almacenan datos en nube, con sistemas ajenos a las plataformas educativas y que surge como resultado de una inspección sectorial que, de oficio, inicia la AEPD sobre servicios de cloud computing en el sector educativo hace unos años.

Es importante recalcar, en este punto, que en la actualidad, no existe un único sistema de almacenamiento en nube. Así, podemos distinguir:

- Nube pública. Cuando el proveedor proporciona sus recursos de forma abierta. Entre sus ventajas más destacadas se encuentra la rapidez para utilizar sus servicios de almacenamiento gratuito.

- Nube privada. En aquellos casos en los que el responsable del tratamiento “compra” un espacio y realiza su propia gestión y administración de la información. Servicio que puede implementarse por la misma entidad que la utiliza o bien, externalizarse con una entidad tercera que actuará bajo supervisión y en función de las necesidades del responsable del tratamiento. Aquí, sus principales ventajas radican en la mayor seguridad que ofrecen así como en el control que, sobre la información, tiene la empresa.

- Otros modelos de nubes, más flexibles y que permiten una mejor adaptación a las necesidades específicas de cada empresa. Así, entre los modelos nos encontramos con soluciones como:

- Nubes híbridas en las que se ofrecen ciertos servicios de forma pública y otros de forma privada.
- Nubes comunitarias cuando dichos servicios son compartidos en una comunidad cerrada.
- Nubes combinadas aquellas que tienen disponibilidad de combinar dos o más nubes sean privadas o públicas que pueden ser administradas por diferentes usuarios o proveedores.

Accesibilidad, disponibilidad y comodidad. Está claro que el uso de servicios de almacenamiento en nube ofrece un gran número de ventajas a los responsables de tratamiento en el desarrollo de su actividad. Sin embargo, no podemos dejar a un lado los riesgos que inciden en la seguridad de los datos de carácter personal almacenados en dichos sistemas. Dichos riesgos recaen, principalmente, en:

1. La falta transparencia en la información sobre las condiciones en las que se presta el servicio. Al ser el proveedor quién conoce todos los detalles del servicio que ofrece, será fundamental que nos facilite información sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos. A menor información obtenida, mayor será la dificultad para el responsable de evaluar los riesgos y establecer los controles adecuados.

2. La falta de control que el responsable puede llegar a tener sobre el uso y gestión de los datos personales como consecuencia de las dificultades que puede encontrarse a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido, los obstáculos a una gestión efectiva del tratamiento …etc.

¿Cómo se pueden afrontar, entonces, estos riesgos?

Una afirmación indiscutible, actualmente, es que la información propiedad de una organización, ya sea desde el punto de vista comercial o de protección de datos, es uno de los activos más valiosos de los que estas disponen. Una información cuya transmisión inmediata se ha vuelto necesaria para garantizar la operatividad dentro de una empresa. Y ¿cómo podemos llevar esta transmisión a cabo? A través de diversos métodos de conexión, de entre los cuales, el más extendido hasta hace unos años era la conexión por cable.

No obstante, la evolución tecnológica y la entrada en juego de los métodos de conexión inalámbricos han permitido que dispositivos como ordenadores, smartphones, o tablets puedan llegar a interconectarse entre sí, sin necesidad de hacer uso de un cable, proporcionando así, una libertad de movimiento a la hora de conectarse a los recursos que pueda ofrecer una organización, sin que esta conexión esté supeditada a una ubicación física.

Las ventajas acerca de este tipo de conexiones inalámbricas son más que evidentes, siendo la ausencia de cables, y consecuentemente de su necesidad de revisión y mantenimiento, y la alta movilidad, las más destacables. Sin embargo, no podemos dejar de lado las vulnerabilidades que, en materia de seguridad, se encuentran asociadas a su uso y que, en última instancia, pueden poner en riesgo los activos de la empresa. Estos riesgos deberán ser tenidos en cuenta y analizados a la hora de establecer las políticas y medidas que los mitiguen o reduzcan al mínimo, garantizando en consecuencia, la seguridad de las comunicaciones.

En definitiva, se trata de establecer medidas destinadas a cerrar la puerta de nuestro entorno virtual a la delincuencia informática. Para ello, el Instituto Nacional de Ciberseguridad (en adelante, INCIBE) publicó una Guía de Seguridad cuya finalidad no es otra que ofrecer unas pautas que podrán ser tenidas en cuenta, por parte de las organizaciones, para reforzar la seguridad de sus conexiones inalámbricas.

Así, la primera pregunta que debemos responder es, ¿qué es una red inalámbrica? En palabras del INCIBE, sería aquella formada por dispositivos capaces de intercomunicarse entre sí o con otra red (como Internet), sin necesidad de elementos físicos que las conecten como pueden ser los cables. De entre todas las redes inalámbricas existentes, centraremos nuestra atención en las más extendidas, las Redes de Área Local Inalámbricas, conocidas como redes wifi.

Dentro del marco organizativo de una empresa, resulta necesaria la existencia de una configuración, previamente establecida y documentada, que garantice la seguridad de las conexiones, para preservar la privacidad de la información. Para ello, la Guía objeto de análisis en el presente artículo, nos propone unas medidas de seguridad a seguir tales como:

En una sociedad en la que la explotación de datos de carácter personal y la privacidad del usuario pueden llegar a verse enfrentados, resulta necesario establecer mecanismos que permitan que el avance de la sociedad de la información continúe, sin que este pueda suponer un menoscabo de la protección de los datos de carácter personal de los usuarios.

A este respecto se pronunció la Agencia Española de Protección de Datos (en adelante, AEPD) mediante la publicación de una guía que recoge una serie de orientaciones y garantías a tener en cuenta, por parte de responsables y encargados del tratamiento, en los procesos de anonimización de datos de carácter personal. La mencionada guía tiene como fin último, plasmar cómo ha de llevarse a cabo el proceso de anonimización de los datos de carácter personal para eliminar o, en su defecto, reducir al mínimo los riesgos inherentes a la reidentificación de los datos personales previamente anonimizados.

Pero ¿qué es y qué supone, realmente, la anonimización de los datos de carácter personal?

La anonimización ha sido considerada, por la propia AEPD, como “la ruptura de la cadena de identificación de las personas.”. En otras palabras, se trata del proceso mediante el cual, eliminaremos aquellos datos susceptibles de identificar, directa o indirectamente, a personas concretas, manteniéndose, así, sólo aquella tipología de datos que no puedan asociarse, de ninguna manera, con la persona titular de los mismos. Hablamos de datos tales cómo rangos de edad, nivel medio de renta, estudios...etc., que, en definitiva, no afectan a la privacidad personal y que pueden ser usados con fines estadísticos o analíticos.

Es en este punto, donde conviene recordar que los datos anonimizados se encontrarían fuera del ámbito de aplicación de la normativa vigente en materia de protección de datos, esto es, el Reglamento Europeo de Protección de Datos (en adelante, RGPD) y la Ley Orgánica Española de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante, LOPD – GDD). Así lo recoge el propio RGPD en su considerando 26 cuando indica que: “(…), el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

A este respecto, y para que el tratamiento de esos datos quede fuera de la aplicación del RGPD y la LOPD - GDD, es necesario que el proceso de anonimización sea plenamente efectivo, de tal manera que resulte imposible, o casi, identificar, por ningún medio, a una persona física concreta, una vez los datos hayan sido anonimizados.

No obstante, a día de hoy, y como consecuencia del avance tecnológico, la anonimización absoluta no puede garantizarse. Así lo expresa la AEPD. El motivo radica en que la misma capacidad de la tecnología, que nos permite anonimizar datos personales, puede ser utilizada para la reidentificación de las personas, de tal manera que lo que en un determinado momento podía ser irreversible, tal vez no lo sea en el futuro.  

Por ello, la clave sobre la efectividad, o no, del proceso de anonimización de los datos, recaerá en el esfuerzo que le suponga, a la persona o entidad con acceso posterior a la información anonimizada, reidentificar los datos anonimizados. Así, la anonimización adquirirá una mayor fortaleza si este esfuerzo es de tal magnitud, que o bien el coste de dicho proceso no pueda ser asumible, o bien, no compense el beneficio que se obtendría con la reidentificación.

¿Cómo ha de desarrollarse, entonces, el proceso de anonimización?

¿Alguna vez te has preguntado cuántas cámaras de vigilancia pueden captar tu imagen de camino a casa? Lo cierto es que, en nuestra sociedad de hoy día, vivimos rodeados de grandes hermanos que “vigilan” cada una de nuestras áreas de actividad personal y laboral: el supermercado, el banco, la farmacia, la calle, el Centro Comercial … etc.

Acostumbrados a ello, o no, las cámaras de videovigilancia son una realidad constatada en nuestra vida. Y no sólo eso, sino que el número de las mismas se ha visto aumentado exponencialmente a lo largo de los últimos años.

En lo que se refiere a la finalidad última perseguida con la instalación de estos dispositivos, esta puede ser muy variada: por seguridad, como medio de obtención de pruebas, para vigilancia o control laboral, como apoyo para la información meteorológica, para la promoción turística o, incluso, para el control y vigilancia del tráfico en nuestras ciudades y carreteras.

Es precisamente respecto a esta última finalidad mencionada, sobre la que centraremos el desarrollo del post de hoy. Para ello, tomaremos como punto de partida un reciente Informe publicado por la Agencia Española de Protección de Datos (en adelante, AEPD) y en el cual, se aborda la legalidad sobre la instalación de cámaras fijas con fines de control del tráfico ubicadas, concretamente, en semáforos.

Ya lo comentábamos en nuestro post de la semana pasada (ver aquí); los dispositivos de videovigilancia pueden tener un carácter fijo o móvil. Y si bien, en el mencionado post, centrábamos nuestra atención en las cámaras móviles, en esta ocasión nos focalizaremos en las cámaras de videovigilancia fijas. ¿Son estás cámaras acordes a la legislación vigente?, ¿Qué requisitos han de cumplir para ello?

Recordemos que las cámaras que vigilan la vía y espacios públicos sólo pueden ser operadas, con carácter general, por las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dispone la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (en adelante, LO 4/1997) y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997 (en adelante, RD 596/1999).

Atendiendo a lo establecido en el marco normativo regulatorio descrito, así como en el Informe jurídico de la AEPD objeto de este artículo, las cámaras fijas instaladas deberán cumplir con el principio de proporcionalidad, de modo que el sistema escogido sea tal y como indica el artículo 6 de la LO 4/1997:

- Idóneo para el mantenimiento de la seguridad ciudadana.
- Ponderado o equilibrado por derivarse de su instalación más beneficios o ventajas para el interés general que perjuicios sobre los derechos de honor, propia imagen e intimidad de los ciudadanos afectados.
- Necesario como consecuencia de la existencia de un razonable riesgo para la seguridad ciudadana.

¿Quién será el órgano competente y encargado para instalar dichas cámaras de videovigilancia fijas?

Lo primero que hemos de indicar es que, tal y como recoge el artículo 3 de la LO 4/1997, la instalación de videocámaras de carácter fijo está sujeta al régimen de autorización. Serán las Administraciones públicas con competencia para la regulación del tráfico las que, a través de una resolución, previo informe preceptivo y vinculante de la Comisión de Garantías de la Videovigilancia de la Comunidad Autónoma correspondiente, autorizarán la instalación y el uso de las cámaras de videovigilancia. Así lo establece el artículo 2 de la disposición adicional única del RD 596/1999.  

En lo que se refiere al contenido de dicha resolución, es el propio artículo 3 de la LO 4/1997, el que recoge los requisitos que deberán tener las resoluciones que autoricen las instalaciones fijas:

Es una realidad constatada el que, desde hace ya algunos años, estamos asistiendo a un cambio en la forma de realizar nuestras compras y contrataciones. La llegada y afianzamiento de las nuevas tecnologías de la información han contribuido al desarrollo de un nuevo método de compra, el e-commerce, que resulta ser más cómodo y rápido para el usuario, en el que las adquisiciones no están sujetas a horarios de apertura y en el que basta con tener a mano un dispositivo con conexión a internet para, a golpe de clic, adquirir los productos y servicios deseados.

Una reciente encuesta publicada por el Instituto Nacional de Estadística (INE) refleja un incremento exponencial, a lo largo de los últimos años, en el porcentaje de población española que realiza adquisiciones de bienes y servicios online. Incremento que supone, a su vez, una puerta abierta a ciberdelincuentes que, conocedores de las debilidades de los usuarios y haciendo uso de técnicas cada vez más sofisticadas, estafan a numerosos consumidores.

Para hacer frente a cómo prevenir y actuar ante estas situaciones, así como para paliar la inseguridad que sigue estando presente en muchos hogares españoles a la hora de comprar por internet, la Agencia Española de Protección de Datos (en adelante, AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional elaboraron, de manera conjunta, la guía práctica de compra segura en Internet. Una guía cuya finalidad principal es la de promover buenas prácticas que favorezcan la confianza de los internautas en las contrataciones en un ámbito, como es el entorno digital, en el que este valor se conforma como un pilar fundamental.

Entonces, ¿Cuáles son los pasos a seguir antes, durante y después de nuestra compra online para hacer de la misma una compra segura?

DE MANERA PREVIA A LA REALIZACION DE LA COMPRA

En aras de evitar que los datos intercambiados entre el usuario y la tienda online se vean comprometidos como consecuencia de una infección por malware, tan importante es configurar correctamente el dispositivo que vamos a utilizar, como navegar a través de una conexión de confianza que salvaguarde nuestra información. ¿Qué puedo hacer como usuario?:

- Instalar una herramienta antivirus y analizar el dispositivo antes de realizar la transacción para detectar posibles amenazas. 
- Disponer de las últimas versiones de los sistemas operativos así como de las app utilizadas.
- No hacer uso de dispositivos electrónicos y redes WiFi públicas en aquellas transacciones en las que hay intercambio de información confidencial.

Una vez que hayamos puesto a punto nuestros dispositivos, el siguiente paso será realizar la compra sólo en aquellas páginas web o apps que nos ofrezcan unos mínimos de seguridad, tales como la utilización de un protocolo HTTPS, encargado de proteger la seguridad de la información intercambiada durante el proceso de compra cifrando dicha información y verificando la identidad del sitio web.

Asimismo, el usuario deberá revisar la información legal que proporciona el titular de la página web: quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten, política de envío y devolución. Dicha información será facilitada a través de los textos de aviso legal, política de cookies, y política de privacidad respecto de los cuales ya nos pronunciamos en un post del presente blog (aquí).

 DURANTE LA REALIZACIÓN DE LA COMPRA

Ya es oficial. Tras dos años de intensos trabajos de elaboración y meses de espera para la aprobación del texto definitivo, el Boletín Oficial del Estado publicó, el pasado 6 de diciembre (BOE núm. 294), la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD), en vigor y con plenos efectos desde el día siguiente a su publicación en el Boletín, esto es, desde el viernes 7 de diciembre.

¿Y ahora qué?

Este hecho implica, consecuentemente, y tal y como recoge la disposición derogatoria única de la nueva Ley, la derogación de la LOPD 15/1999, a excepción de sus artículos 22, 23 y 24, que siguen vigentes en tanto en cuanto no sean expresamente modificados, sustituidos o derogados; así como la derogación del Real Decreto Legislativo 5/2018 de medidas urgentes que el Ministerio de Justicia convalidó en el Parlamento, el pasado 27 de julio, para evitar un vacío legislativo hasta que esta nueva Ley se aprobara.

No son pocas las ocasiones en las que hemos indicado que la, ya, Ley Orgánica tiene como finalidad principal la adaptación a la legislación española en materia de protección de datos, de las premisas recogidas en el Reglamento Europeo de Protección de Datos (en adelante, RGPD). Sin embargo, las disposiciones que conforman el nuevo texto normativo van más allá, ya que amplían las obligaciones digitales de las entidades que recojan y lleven a cabo tratamientos de datos de carácter personal con un fin profesional.

¿Por qué motivo se dota de tal importancia a las obligaciones digitales de las entidades?

A día de hoy, es incuestionable el impacto que las nuevas tecnologías tienen en nuestra sociedad en general, y en el ámbito empresarial y educativo en particular, de tal manera que una gran parte de nuestra actividad profesional y privada se desarrolla en la Red. Por ello, y dando respuesta a la imperiosa necesidad de regular, unos derechos digitales, que sean acordes al modelo de vida de la sociedad actual, se crea el Título X denominado “garantía de los Derechos Digitales”.

Conscientes de su importancia, mediante el presente artículo, continuaremos con el análisis, ya comenzado hace unas semanas (post, posty post), de este novedoso Titulo, centrándonos, en esta ocasión, en el desarrollo de los derechos a la actualización de informaciones en medios de comunicación digitales (artículo 86) y al olvido digital (artículos 93 y 94).

DERECHO A LA ACTUALIZACIÓN DE INFORMACIONES EN MEDIOS DE COMUNICACIÓN DIGITALES.

Este derecho, se desarrolla en consonancia con el derecho de rectificación en Internet (artículo 85) ya analizado en el presente blog; concretamente con el apartado tercero de dicho artículo que establece que la atención a la solicitud de rectificación dirigida contra un medio de comunicación digital deberá ir acompañada de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo.

En consecuencia, es el artículo 86, el que articula ese derecho personalísimo que tienen los interesados a solicitar, motivadamente, de los medios de comunicación digitales, la inclusión de ese aviso aclaratorio junto a las noticias que le conciernan y siempre que la información contenida en la noticia original no refleje su situación actual por el acaecimiento de circunstancias posteriores a la fecha de la publicación.

Como bien sabemos, la publicación de una noticia en los medios de prensa, se encuentra amparado en la libertad de expresión regulada en el artículo 20 de la Constitución Española. Sin embargo, es necesario que la información facilitada a través de dichas noticias sea una información veraz. Si a esto le sumamos que en el caso de que dichas informaciones se publiquen en portales web indudablemente conlleva un mayor efecto divulgativo, con su consecuente repercusión en la protección de datos del afectado; el derecho de actualización cobra una importancia todavía mayor.

Para la atención de este derecho, será necesario, tal y como recoge el precepto objeto del presente análisis, que la información reflejada en los medios de comunicación digital, y sobre la que se solicita una aclaración, cause al interesado un perjuicio para su persona.

¿Cuándo tiene especial relevancia la atención de este derecho de actualización?

"España, cada vez más cerca de aprobar su nueva LOPD". Esta noticia, ha sido, a lo largo de estas últimas semanas, una de las cuestiones más comentadas, a nivel nacional, en el ámbito de la protección de datos.

Cómo ya mencionamos en nuestro post de la semana anterior, el pasado 9 de octubre, se alcanzó, por parte de los distintos grupos parlamentarios, un consenso político para la aprobación de la nueva versión de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, Proyecto) que, actualmente, y siguiendo el orden de las etapas que integran el procedimiento legislativo, se encuentra en fase de tramitación en el Senado, desde que el pasado 18 de octubre el Pleno del Congreso de los Diputados aprobase, por unanimidad, la nueva versión de este Proyecto de Ley.

Por todos es sabido que el Proyecto tiene como finalidad principal la adaptación de la normativa española de protección de datos personales al marco desarrollado por el Reglamento Europeo de Protección de Datos, clarificando algunos de los puntos más relevantes desarrollados en el mismo. Sin embargo, no hemos de perder de vista, que la protección de datos y el tratamiento de la información personal va evolucionando y modificándose conforme las nuevas tecnologías avanzan. En aras de poder ajustarnos a esa evolución y garantizar la máxima protección a los interesados, este Proyecto busca ampliar a Internet, la exigencia y aplicación de los derechos y libertades reconocidos en la Constitución Española y en los Tratados Internacionales tal y como el propio Proyecto recoge en su artículo 79.

¿Cómo lleva a efecto la nueva versión del Proyecto este propósito?

A través de la creación del Título X, denominado “Garantías de los derechos digitales”. Un título, conformado por un total de 19 artículos, que se ha convertido en uno de los grandes protagonistas de este texto normativo, y cuyo objeto principal es reconocer y garantizar un elenco de derechos digitales de los ciudadanos.

Parte, este articulado, de la búsqueda de una garantía de acceso universal a Internet para todos los ciudadanos, con independencia de la condición personal, social, económica o geográfica de los mismos y con el fin último de luchar contra las brechas de género, residenciales, generacionales o por razón de la discapacidad (artículo 81).

Asimismo, se establecen obligaciones para los proveedores de servicios que deberán proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos, así como informar a los usuarios de sus derechos en materia de seguridad de las comunicaciones (artículo 80).

¿En qué otros ámbitos centra su desarrollo este nuevo título?

Continuamos, una semana más, con el análisis de una de las situaciones específicas recogidas en el artículo 91.1 del Capítulo IX del Reglamento Europeo de Protección de Datos (RGPD): Las normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.

Si a lo largo de nuestro anterior artículo, desarrollábamos los aspectos más básicos del Decreto General publicado por la Conferencia Episcopal Española sobre la protección de datos de la Iglesia Católica en España, en adelante, Decreto General, en nuestro post de hoy, nos enfocaremos en analizar la configuración del Delegado de Protección de Datos (DPD) dentro de la Iglesia Católica Española.

El DPD, como figura, no es algo novedoso para nosotros pues desde que entrase en vigor, en 2016, el RGPD, el Delegado se conformó como uno de los grandes protagonistas de la misma. Conscientes de su importancia, desde Prodat, hemos dedicado varios artículos al desarrollo y análisis de los aspectos más importantes en torno al DPD (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).

Sin embargo, ¿cómo regula el Decreto General, esta figura, en la Iglesia Católica Española

Para analizar esta cuestión, hemos de partir de la diferenciación que el propio Decreto hace en su artículo 4 al recoger dos categorías de DPD:

- El Delegado de Protección de Datos Diocesano que será la persona designada por el Obispo (artículo 4 apartado 25 del Decreto General).
- El Delegado de Protección de Datos de la Conferencia Episcopal Española (artículo 4 apartado 26 del Decreto General) que será la persona designada por la Conferencia Episcopal Española.

La principal diferencia entre ambas figuras será su ámbito competencial pues mientras que el DPD Diocesano actuará en el ámbito de la entidad que lo haya designado, la actuación del DPD de la Conferencia Episcopal se ceñirá al propio de la Conferencia Episcopal Española.

¿Qué entidades están obligadas a designar un DPD?

El artículo 36.1 del Decreto General, nos ofrece un listado de las entidades que deberán designar esta figura:

1. Las Iglesias particulares de la Iglesia Católica en España;
2. Las entidades de la Iglesia Católica en España, de carácter diocesano, supradiocesano o de ámbito nacional, cuando el tratamiento se produzca dentro de sus actividades.
3. Las entidades canónicas de Derecho pontificio o de ámbito internacional y las entidades civiles relacionadas con la Iglesia Católica.
4. La Conferencia Episcopal Española.

Asimismo, se podrá designar un único DPD Diocesano para las entidades recogidas en el artículo 3 del Decreto General cuando así lo apruebe la autoridad eclesiástica competente, tal y como recoge el artículo 36 en su apartado 9.

Toda vez que el nombramiento del DPD sea firme, este deberá ser comunicado a la autoridad de control, por parte del responsable o encargado del tratamiento, y siempre a través del DPD de la Conferencia Episcopal (artículo 36.8 del Decreto General).

Así, y en lo referente a quién deberá asumir, en cada una de las entidades anteriormente mencionadas la posición de DPD, es el propio artículo 36 quién nos lo indica en su apartado 5:

Actualmente es incuestionable que asistimos, de un modo cada vez más frecuente, al uso, por parte de empresas privadas y entidades públicas, de diversos sistemas de control en el ámbito laboral tales como sistemas de monitorización, videovigilancia o mecanismos de registro biométrico y geolocalización de los trabajadores.

Pero ¿están amparadas estas tecnologías por la legalidad vigente?, ¿qué implicaciones conllevan en materia de protección de datos?, ¿qué limites han de tenerse en cuenta a la hora de valorar su implantación y uso? Y la jurisprudencia, ¿qué dice al respecto?

De entre todas estas tecnologías mencionadas centraremos nuestra atención, a ojos de este artículo, en los sistemas de geolocalización de los trabajadores vía GPS, en vehículos o a través de teléfonos móviles, por ser este uno de los sistemas más en alza en los últimos tiempos en las empresas como medio de control de los empleados, así como un recurrente punto de controversia en el ámbito laboral.

Lo primero que debemos dilucidar, es si nos encontramos, o no, ante un tratamiento de datos de carácter personal cuando una empresa accede a los datos derivados de la geolocalización de un empleado.

El artículo 4 del Reglamento Europeo de Protección de datos (RGPD) define los datos de carácter personal como “toda información sobre una persona física identificada o identificable (…)”. Asimismo, los datos de localización fueron ya definidos en el artículo 2 de la Directiva 2002/58/CE como "cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público".

A pesar de que el nuevo Reglamento de privacidad electrónica e-privacy, que sustituye a la Directiva 2002/58/CE, no recoge como tal este concepto; el mismo ha venido siendo mantenido tanto por la Agencia Española de Protección de datos (AEPD) como por el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, en su artículo 64.b.

Partiendo de ambas definiciones, ¿podremos, entonces, considerar los datos de localización como datos de carácter personal? La AEPD es clara a este respecto al indicar que los datos de localización se refieren siempre a una persona física identificada o identificable, consecuentemente, podremos considerarlos como datos de carácter personal, quedando su tratamiento sujeto a las disposiciones contenidas en la normativa vigente en materia de protección de datos. Así lo refleja en varias de sus resoluciones, de entre las que destacamos: E/00827/2018 y E/00868/2018.

¿Será, entonces, necesario contar con el consentimiento previo del trabajador?

Es, sin duda, una de las cuestiones que más incertidumbre causa entre los empresarios que valoran la instalación y uso de estos sistemas de control.

Tal y como adelantamos en nuestro artículo anterior, a lo largo del presente blog, continuaremos analizando el impacto que, el Reglamento Europeo de Protección de datos (en adelante, RGPD) y el Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD), tienen en el régimen legal aplicable a los sistemas de videovigilancia. Para ello, tomaremos como base la Guía sobre videovigilancia publicada por la Agencia Española de Protección de Datos hace ya algunas semanas:

1. Otros supuestos específicos en los que el fin perseguido con el tratamiento de las imágenes es la seguridad:

1.1. Comunidades de propietarios, viviendas y otros supuestos.

a. Zonas comunes. La captación de imágenes en estas zonas requerirá, sin excepción, el acuerdo de la Junta de Propietarios en los términos previstos en la Ley de Propiedad Horizontal, no siendo posible la captación de imágenes de la vía pública (salvo la franja mínima de acceso a los inmuebles) ni de terrenos y viviendas colindantes. La comunidad de propietarios adquiere, así, la posición de responsable de tratamiento debiendo cumplir con las obligaciones marcadas por la normativa de protección de datos a este respecto.

b. Viviendas unifamiliares. ¿Aplica el nuevo marco normativo a los sistemas de videovigilancia que un propietario coloca en su domicilio particular? Para dar respuesta a esta controvertida pregunta, hemos de distinguir dos situaciones:

- Cuando los sistemas de videovigilancia se instalen dentro de la vivienda, se considerará que la instalación se realiza en el ejercicio de una actividad personal o doméstica no siéndole de aplicación, en consecuencia, la normativa de protección de datos (artículo 2.2.c del RGPD).

- Cuando los sistemas de videovigilancia se instalen en el exterior de la vivienda, estos podrán captar imágenes de vecinos o personas ajenas en entradas, fachadas…etc.; quedando dicho tratamiento dentro del ámbito de aplicación de la norma.

c. Plazas de garaje. La instalación de cámaras en estas áreas será lícita siempre que las imágenes captadas se limiten exclusivamente a la plaza de aparcamiento propiedad del titular, y consecuente responsable de tratamiento, junto con aquel espacio mínimo imposible de evitar para vigilar la plaza. Esta instalación requerirá, siempre, autorización previa de la Junta de Propietarios.

d. Servidumbres de paso. La captación de imágenes de los usuarios que puedan transitar por las servidumbres de paso será legítima siempre y cuando la finalidad perseguida sea la preservación del propio inmueble. Será el propietario del inmueble quien asuma la posición de responsable del tratamiento.

e. Videoporteros y mirillas digitales. A la hora de determinar la aplicación, o no, del RGPD en estos supuestos, será necesario conocer el fin con el que dichos sistemas se instalan:

Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal