Como todos sabemos, con la vuelta a la “nueva normalidad” muchas organizaciones han decidido alargar unos meses más el teletrabajo e incluso lo han integrado en su forma de trabajar. Uno de los principales cambios que nos ha traído la pandemia en este sentido es, sin duda, el fomento del teletrabajo en todo el tejido empresarial español.

Se trata de un tema que es considerado como indispensable para los trabajadores de nuestro país. Dicha afirmación se pone en evidencia en el estudio Resetting Normal”, del cual se desprende que actualmente al 77% de los ocupados le gustaría combinar el trabajo a distancia con el presencial.

Pero ¿qué aspectos han de tener en cuenta empresas y trabajadores para gestionar el teletrabajo de una forma correcta?

Para dar respuesta, hemos de partir del anteproyecto de ley, elaborado por el Ministerio de Trabajo y que ha sido, presentado el pasado 26 de junio, para regular el empleo a distancia. Los expertos indican que “El anteproyecto de ley del teletrabajo establece mínimos, garantías y derechos para evitar abusos”.

El propio anteproyecto hace una distinción entre el teletrabajo y el trabajo a distancia de la siguiente forma:

  • Teletrabajo: Es aquel que se realiza “mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.”
  • Trabajo a distancia: Modalidad de trabajo que “se presta en el domicilio de la persona trabajadora o en el lugar libremente elegido por esta, durante toda su jornada o parte de ella, de modo no ocasional”.

De dicho anteproyecto cabe destacar una serie de puntos clave:

  • Ámbito de Aplicación: Será de aplicación al trabajo a distancia que se lleva a cabo «en un periodo de referencia de tres meses, un mínimo del 30% de la jornada, o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo». Esto es, dos días de jornada completa a la semana. Esta ley no se aplicará al personal laboral al servicio de las Administraciones Públicas, que se regirá por una normativa específica.
  • Derechos de los trabajadores: Los empleados que presten su trabajo a distancia en la entidad tendrán exactamente los mismos derechos que los que lo hagan de forma presencial en las instalaciones de la entidad.
  • Voluntariedad: El trabajo a distancia se realizará de forma voluntaria, premisa que se aplica tanto a empleador como a empleado, de tal manera que si se va a utilizar esta forma de prestación de servicio se elaborara un acuerdo entre ambas partes (siempre por escrito).
  • Gastos: La normativa deja claro que los trabajadores a distancia tendrán derecho a que la empresa les facilite «todos los medios, equipos y herramientas necesarios para el desarrollo de la actividad». Su coste será «sufragado o compensado por la empresa», y el mecanismo para determinar, compensar o abonar esos gastos (como los de electricidad, gas o internet) quedarán establecidos en «los convenios o acuerdos colectivos».
  • Horario: El trabajador a distancia tendrá derecho a un horario flexible, respetando siempre los tiempos de disponibilidad obligatoria y la normativa sobre tiempo de trabajo y descanso. Asimismo, le aplica igualmente la realización del registro de la jornada laboral previsto en el Art.34.9 ET.

Centramos ahora nuestra atención en los puntos de la norma que tienen relación con la normativa en materia de protección de datos:

  • Uso de medios digitales: La empresa deberá respetar los principios de «idoneidad, necesidad y proporcionalidad de los medios utilizados» (Art.5 del Reglamento General de Protección de Datos, en adelante RGPD) en el control sobre la actividad laboral del trabajador, al que se garantiza el derecho a la intimidad y protección de datos (Art.18 de la Constitución Española). El hecho de que el empleado teletrabaje desde su domicilio no implica que el empleador pueda acceder a su información, controlar su trabajo, etc. Siempre ha de velar por el cumplimiento de la normativa en materia de protección de datos (RGPD Y Ley Orgánica de Protección de Datos - LOPDGDD), independientemente de la forma de prestación del servicio que se acuerde.
  • Derecho de Desconexión Digital (Art.88 LOPDGDD): en base al anteproyecto que analizamos, la empresa debe garantizar la desconexión digital del empleado fuera del horario de trabajo (en nuestro blog hemos realizado una serie de artículos al respecto, si quieres visualizarlos pincha aquí), lo que conlleva una limitación en el uso de medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada. Los medios y las medidas necesarias para garantizar el derecho a la desconexión digital y la organización adecuada de la jornada laboral podrán establecerse en los convenios o acuerdos colectivos.

Tan importante es prestar atención al cumplimiento de la normativa en materia de protección de datos en este ámbito, que el gabinete jurídico de la Agencia Española de Protección de Datos (AEPD), ha emitido un Informe (Informe 0073/2020) cuyos puntos clave analizamos, en concreto, la sección 5ª del anteproyecto, que desarrolla los derechos relacionados con el uso de medios digitales:

Artículo 17. Derecho a la intimidad y a la protección de datos.

1. La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y a la protección de datos, en los términos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de acuerdo con los principios de idoneidad, necesidad y proporcionalidad de los medios utilizados.

2. La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.

3. Las empresas deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos legal y constitucionalmente. En su elaboración deberá participar la representación de las personas trabajadoras.

La negociación colectiva o, en su defecto, los acuerdos de empresa podrán especificar los términos dentro de los cuales las personas trabajadoras pueden hacer uso por motivos personales de los equipos informáticos puestos a su disposición por parte de la empresa para el desarrollo del trabajo a distancia, teniendo en cuenta los usos sociales de dichos medios y las particularidades del trabajo a distancia.”

El problema de este precepto, a ojos de la AEPD, no es otro que el aunar en un mismo artículo el derecho a la protección de datos y el derecho a la intimidad.

¿Por qué? el Derecho a la protección de Datos (Art. 18.4 C.E.) es un derecho fundamental totalmente independiente del derecho del Derecho a la Intimidad (Art.18.1 C.E.)  a pesar de que se encuentren englobados en un mismo precepto. Incluso el propio Tribunal Constitucional (TC) se ha pronunciado en reiteradas ocasiones, cabiendo destacar la ST292/2000, de 30 de noviembre de 2000, la cual marca un antes y un después en el derecho a la protección de datos, dado que le considera como un derecho autónomo e independiente.

El TC indica en sus resoluciones (Como, por ejemplo, SSTC 11/1998) que las diferencias entre ambos derechos se encuentran básicamente en la función, contenido y objeto:

En primer lugar, en cuanto a la función del derecho a la intimidad es la de proteger al individuo frente a cualquier invasión que pueda realizarse en aquel ámbito de su vida personal y familiar, mientras que la función del derecho a la protección de datos persigue garantizar a las personas un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.

En segundo lugar, el objeto, en concreto el del derecho a la protección de datos es mucho más amplio en comparación con el del derecho a la intimidad. Esto es así dado que el derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes para o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

Por último, en lo relativo al contenido, mientras que el derecho a la intimidad confiere a las personas el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido, el derecho a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a las personas para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

Asimismo, destaca la AEPD que el hecho de que se realice trabajo a distancia no exime al empleador de contar con una base legitimadora para el tratamiento de los datos de sus trabajadores. Tal y como conocemos, dichas legitimaciones se encuentran recogidas en el Art.6 RGPD resultando de aplicación, en el tratamiento de datos de carácter personal en las relaciones laborales, las siguientes:

En resumen y a modo de conclusión, atendiendo a las distintas cuestiones planteadas a lo largo de su informe, la AEPD considera necesario que en la normativa relativa al “Trabajo a Distancia” se realicen artículos separados, de tal manera que el derecho a la protección de datos tenga un artículo único y exclusivo para su materia, en el que deberían de reflejarse los siguientes puntos:

  1. Los tratamientos de datos de carácter personal de las personas físicas se realizarán con estricta sujeción a lo dispuesto en el RGPD, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y en la LOPDGDD.
  1. El empleador, previo el análisis de los riesgos para los derechos y libertades de las personas físicas y, en su caso, de la evaluación de impacto en la protección de datos, está obligado a adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar el cumplimiento de la normativa señalada en el apartado anterior.
  1. Mediante convenio colectivo se procurará establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el trabajo a distancia, sobre todo para los casos en los que se lleve a cabo tratamientos de datos de carácter personal de categorías sensibles como puede ser, Datos de salud, biométricos, raciales, ideológicos, etc. (Art. 9 RGPD).

Con el inicio del curso escolar, una de las cuestiones que se plantea con mayor frecuencia en los centros escolares es si pueden o no hacer públicos listados con datos de carácter personal relativos a los miembros de la comunidad educativa, como, por ejemplo:

  • Listado de admitidos
  • Listado de concesión de becas
  • Censos electorales

Para proceder a resolver esta frecuente cuestión, hemos considerado oportuno acudir a una resolución de la Agencia Española de Protección de Datos (AEPD). En concreto al PS/00024/2019.

En el procedimiento sancionador indicado nos encontramos con un centro escolar dependiente de la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, que expuso un listado definitivo de alumnos admitidos, tanto en la fachada principal y acristalada del centro, como en su página web.

¿Creéis que el centro ha cumplido con la normativa en materia de protección de datos a la hora de realizar esa publicación?

Pues bien, la AEPD considera, en el mencionado procedimiento sancionador, que no se ha respetado la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos 2016/679 (RGPD) y la ), en base a lo que se le ha interpuesto una sanción de apercibimiento por los siguientes motivos:

  1. En primer lugar, partimos de la base de que el centro escolar se encuentra legitimado para proceder a la publicación de los listados en base al artículo 45 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), que indica que: Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente. La AEPD no cuestiona la legitimación del centro en la publicación de los listados, si no que considera que a pesar de contar con una legitimación para la publicación, debería de haberlo realizado respetando en todo momento los derechos inherentes a los afectados en materia de protección de datos, cuestión que no aconteció.
  1. Además, se considera infringido por parte del centro el , que regula el principio de integridad y confidencialidad y que indica que: los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Considera, así, la AEPD que no se ha garantizado la seguridad adecuada de los datos personales al proceder a su publicación tanto en el tablón como en la página web, lo que supone, a ojos de la AEPD una exposición indiscriminada de la información de carácter personal publicada (datos identificativos) a terceros no interesados.
  1. Finalmente, la AEPD considera que también se ha infringido el artículo 5 LOPDGDD por parte del centro, es decir el deber de confidencialidad, legalmente exigible a su persona. Entiende, la AEPD que consta probado que el centro incumplió este deber al no haber tomado medidas técnicas u organizativas previas tendentes a garantizar un nivel adecuado de seguridad que impidiera la comunicación y/o acceso indiscriminado de esa información de carácter personal por parte de terceros no interesados en el procedimiento de concurrencia competitiva de admisión de alumnos o en el proceso de elección de representantes de los padres en el Consejo Escolar.

Este incumplimiento se encuentra, íntimamente ligado con una infracción del artículo 24.2 del RGPD que recoge la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Recordemos que esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad y que las medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En consecuencia, y en función de los fundamentos esgrimidos por la AEPD, se impone a la Consejería de Educación, Universidad y formación profesional de la Junta de Galicia, entidad de la que depende el centro, una sanción de apercibimiento

Como podemos ver en los fundamentos anteriormente analizados, , el hecho de publicar listados, en espacios y canales de comunicación en abierto, con datos de carácter personal de los miembros de la comunidad educativa puede acarrear graves consecuencias para el centro si no se hace cumpliendo con los principios en materia de protección de datos.

 

Entonces, ¿Hay alguna forma de realizar estas publicaciones y no ser sancionado?

Como ya hemos indicado en otros artículos de nuestro blog (pincha aquí), tanto el Reglamento General de Protección de Datos (RGPD) en sus artículos 15 a 22, como la ley orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) en sus artículos 13 a 18, reconocen a los titulares de datos de carácter personal el ejercicio de una serie de derechos (conocidos como ARSOPOL) ante el responsable del tratamiento de sus datos:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de oposición.
  • Derecho de supresión (conocido como derecho “al olvido”).
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad.
  • Derecho de oposición al tratamiento de decisiones automatizadas.

Si bien es cierto que la mayoría de las entidades a las que les aplica la normativa en materia de protección de datos conocen en mayor o menor medida los derechos ARSOPOL, existen determinados aspectos relacionados con el ejercicio de estos por parte del interesado, que a día de hoy siguen generando dudas.

¿Qué cuestiones es imprescindible tener en cuenta en este sentido? (Art.12 LOPDGDD):

  • Su ejercicio ha de ser gratuito.
  • Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:
  • Cobrar un canon proporcional a los costes administrativos soportados.
  • Negarse a actuar. 
  • Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
  • El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. (Correo electrónico, carta certificada, etc.)
  • Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
  • Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
  • El interesado puede ejercer los derechos directamente o por medio de su representante legal o voluntario.

Por otro lado, también estimamos necesario hacer referencia a los requisitos que ha de cumplir el interesado a la hora de solicitar el ejercicio de sus derechos, que la propia AEPD incluye en los formularios de ejercicio de derechos (acceso, rectificación, oposición, supresión,  limitación del tratamiento, portabilidad, oposición al tratamiento de decisiones automatizadas), disponibles en su página web:

a) Nombre, apellidos del interesado. En los casos que existan dudas acerca de la identidad del interesado, se solicitará fotocopia de su documento nacional de identidad o pasaporte (art. 12.6 RGPD) y, en los casos que se admita, de la persona que le represente, así como del documento acreditativo de tal representación. La fotocopia del documento nacional de identidad o del pasaporte podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a derecho.

b) Petición en que se concreta la solicitud.

c) Domicilio a efectos de notificaciones, fecha y firma del solicitante.

d) Documentos acreditativos de la petición que formula, en su caso.

Como regla general y tal y como nos indica la Agencia Española de Protección de Datos (AEPD), esta sería la forma y los datos que deben de acompañar la solicitud. Sin embargo, hace unos meses se publicaba una resolución de la propia AEPD (R/00540/2019) que puede suponer un cambio a la hora de gestionar y tramitar determinadas solicitudes de ejercicio de derechos:

Se trata de una reclamación formulada por un particular contra el partido político Ciudadanos por no haber atendido su derecho de supresión.

El interesado se había dado de alta en una plataforma propiedad del partido, pero unos meses después decide darse de baja y solicitar la supresión de sus datos de la indicada plataforma web. Al proceder al ejercicio de su derecho, el responsable del tratamiento le solicita una fotocopia de su DNI para poder acreditar su identidad y hacer efectivo su derecho, negándose a aportar tal documentación el interesado. A su vez, este es el motivo que la entidad reclamada alega como justificante para no dar respuesta a la solicitud.

El pasado 17 de julio iniciábamos el día con una resolución del Tribunal de Justicia de la Unión Europea (TJUE) de mucho peso en el ámbito de la protección de datos. Dicha resolución anula el conocido “Privacy Shield” que hacía posible que se llevasen a cabo transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EE. UU).

Las transferencias internacionales: suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

El “Privacy Shield” (Escudo de privacidad): es el acuerdo firmado en 2016 en sustitución al anterior marco legal conocido como “Safe Harbour” (Puerto seguro), se encarga de proteger los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos aportando claridad jurídica para las empresas que dependen de transferencias internacionales de datos. Asimismo, la propia Decisión 2016/1250 indica queel escudo de la privacidad UE-EE. UU. se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión”.

Pero, ¿qué ha llevado al TJUE a tomar esta decisión?

El origen de la Decisión del TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2015 (sentencia del TJUE 6 de octubre de 2015).

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

En base a las reclamaciones indicadas, los principales motivos por los que el TJUE ha tomado la decisión de invalidación del escudo de privacidad son:

En primer lugar, por el riesgo que entiende que presentan los programas de vigilancia estadounidenses para los datos de carácter personal de todos los ciudadanos europeos, dado que expone que el escudo de privacidad puede llegar a menoscabar los derechos fundamentales de las personas cuyos datos se transfieren a servidores que se encuentran alojados en Estados Unidos. El Tribunal estima dicha pretensión toda vez que el tratamiento de los datos no se limita a lo estrictamente necesario, si no que podrían llegar a utilizarse para otros fines que difieren totalmente de lo estipulado, y esto es así ya que la legislación norteamericana en materia de protección de datos es considerada por los jueces como “menos estricta” que la europea, indicando textualmente el TJUE:

«las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», aspecto que no se está cumpliendo a través del “Privacy Shield”.

En segundo lugar, otro de los principales motivos por los que lleva al TJUE a tomar la decisión de anular el escudo de privacidad, es la constatación de las limitaciones del derecho a la tutela judicial efectiva que existen en EE. UU. Se ha podido comprobar que la normativa de Estados Unidos no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, lo cual está yendo en contra de las garantías prestadas por los países de la Unión Europea.

Entonces, ¿qué alternativas tienen las empresas para realizar Transferencias Internacionales a EE. UU con el Escudo de Privacidad invalidado?

El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el Plan de inspección de oficio en la atención sociosanitaria. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.

Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:

  • Resumen ejecutivo
  • Introducción
  • Objetivos
  • Concepto de atención sociosanitaria
  • Situación del espacio sociosanitario en España
  • Metodología y actuaciones realizadas en el plan
  • Conclusiones y recomendaciones
  • Preguntas frecuentes
  • Retos futuros
  • Anexos

En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.

¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?

  1. Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
  2. Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
  3. Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
  4. Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.

De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:

  • Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
  • Datos sanitarios (Historia clínica, tratamientos, etc.)
  • Historia social (Informes sociales, sociofamiliares, etc.)
  • Informes psicopedagógicos
  • Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
  • Registro de incidencias ocurridas durante la estancia en el centro.
  • Contrato de convivencia firmado con el centro.
  • Plan de atención personalizada del usuario.
  • Datos de contacto de familiares o responsables del usuario.

Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

¿Cuáles son las conclusiones más relevantes del plan?

A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.

¿Qué finalidad tiene la Orden ministerial?

Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».

Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:

  • El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y  cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
  • Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.

¿Cómo puede afectar esto al derecho fundamental a la protección de datos?

Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:

El Reglamento General de Protección de Datos (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.

Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.

Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:

Es probable que hayas oído hablar del whistleblowing, pero ¿de dónde proviene dicho término y que significa?

Para conocer el origen el término “whistleblower”, hemos de acudir a la práctica de los oficiales de policía británicos, los cuales hacían sonar sus silbatos (whistle) soplando (blow), en el caso de que presenciasen la comisión de un presunto delito. De este modo se alertaba tanto a las autoridades como a los ciudadanos del peligro.

Actualmente, este término se refiere al ciudadano que informa de que se está cometiendo un acto delictivo en la organización para la que presta servicios.

¿Para qué se utiliza el canal (whistleblowing)?

Como hemos ido adelantando, dicho canal se usa para denunciar un hecho constitutivo de delito, peligro o fraude dentro de una empresa. Si bien es cierto que tiene especial relevancia en el sistema público, también se utiliza en el sistema privado, siendo alguno de los delitos susceptibles de denuncia los que citamos a continuación:

·         Blanqueo de capitales.

·         Delitos en materia de protección de datos.

·         Contra la propiedad intelectual e industrial.

·         Evasiones de impuestos.

·         Contra la Hacienda Pública, etc.

A este respecto, consideramos importante el hacer referencia a la persona que realiza la denuncia (whistlebower), ¿qué tipo de protección tiene?

En líneas generales, España no dispone de ninguna normativa que regule específicamente las medidas de protección mínimas que debería recibir cualquier persona que se encuentre en posición de denunciar una irregularidad o ilícito cometido en una organización, tanto pública como privada. Si bien es cierto que hay determinadas normas que regulan algunos aspectos de estos canales, estas no entran en la protección de la persona que se encarga de realizar la denuncia. Hemos de resaltar entre dichas normas la originaria de la popularización de este término en España:

·  LO 5/2010, de 22 de junio que introduce el artículo 31 bis en nuestro Código Penal, la cual se aprobó en Diciembre de 2010, estableciendo así un estatuto de responsabilidad penal para las personas jurídicas de forma autónoma e independiente del de sus representantes legales y administradores. Además, introduce como atenuante e incluso eximente a esa responsabilidad el demostrar haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Es a partir de esta reforma cuando se hace más popular en las empresas españolas la implantación de canales de denuncias internos.

También cabe destacar que diversos organismos a lo largo de los años han ido pronunciándose en relación con el canal whistleblowing, como, por ejemplo:

1.    Grupo de Trabajo del Artículo 29, en el Dictamen 1/2006, en el cual el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.

2.    Fiscalía General del Estado, a través de la Circular 1/2016, de la cual hemos de destacar que ya adelantaba lo siguiente: "para que la obligación de utilizar el canal de denunciar pueda ser exigida a los empleados será imprescindible que la empresa implemente adicionalmente una "regulación protectora específica del denunciante (whistleblower)".

No obstante, es cierto que algunas de nuestras Comunidades Autónomas sí que se han encargado de regular en esta materia. Entre otras, podemos destacar el caso de Castilla y León a través de la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones en relación con las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública, estableciendo a su vez garantías para los informantes.

Asimismo, no queremos pasar a analizar la Directiva sin recordar que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 24 también hace referencia a los canales de denuncia internos, diciendo textualmente:

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

En la actualidad, muchas empresas dudan acerca de si deben o no firmar contratos con entidades externas que les prestan servicios, como pueden ser las Mutuas, aseguradoras o empresas de prevención de riesgos laborales, entre otras.

Con carácter previo a clarificar esta cuestión, hemos de comenzar haciendo referencia a que la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional transitoria quinta, nos indica cómo tenemos que actuar en lo que respecta a los contratos en materia de protección de datos:

“los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022”.

Por lo tanto, en relación con este artículo, debemos de tener actualizados todos los contratos con nuestros encargados del tratamiento para el año 2022, pero ¿también debemos de realizar este contrato con nuestra Mutua?

Precisamente sobre este tema versará el presente artículo, y para ello, resulta necesario analizar el informe 172302/2018 de la Agencia Española de Protección de Datos (en adelante, AEPD).

A este respecto, en el informe mencionado, la AEPD resuelve una consulta que se le plantea:

¿Las Mutuas colaboradoras con la Seguridad Social tienen la calidad de responsables del tratamiento? O, por el contrario, ¿Deberíamos de firmar un contrato con ellas al ser Encargados del tratamiento?

Como punto de partida cabe aclarar que el Reglamento (UE) 2016/679 de protección de datos (en adelante, RGPD) define la figura de responsable y encargado del tratamiento del siguiente modo:

Artículo 4.7. RGPD configura al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento…”.

Artículo 4.8 RGPD se refiere al encargado del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

Por lo tanto, como podemos comprobar, la clave en la distinción de ambas figuras, reside en que el responsable determina los fines y medios del tratamiento de los datos, mientras que el encargado debe de tratar los datos limitándose a las indicaciones del responsable del tratamiento.

Una vez distinguidas las dos figuras, como ya hemos comentado en alguno de los artículos de nuestro blog (AquíAquí ) es necesario referenciar el artículo 28.3 RGPD, el cual exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable. En dicho contrato deberá de contemplarse, entre otras, la estipulación en la que se indique que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, como hemos mencionado antes.

En este punto, nos centraremos en determinar cuál de las dos figuras asumen las Mutuas colaboradoras con la seguridad social, y, en consecuencia, si resulta necesario regular la relación existente entre las partes, mediante el contrato o acto jurídico mencionado.

Al respecto, la AEPD expone en el informe que estamos analizando las siguientes consideraciones para poder fundamentar el criterio establecido:

Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal