Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Publicado en Blog

Como ya hemos indicado en otros artículos de nuestro blog (pincha aquí), tanto el Reglamento General de Protección de Datos (RGPD) en sus artículos 15 a 22, como la ley orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) en sus artículos 13 a 18, reconocen a los titulares de datos de carácter personal el ejercicio de una serie de derechos (conocidos como ARSOPOL) ante el responsable del tratamiento de sus datos:

  • Derecho de acceso.
  • Derecho de rectificación.
  • Derecho de oposición.
  • Derecho de supresión (conocido como derecho “al olvido”).
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad.
  • Derecho de oposición al tratamiento de decisiones automatizadas.

Si bien es cierto que la mayoría de las entidades a las que les aplica la normativa en materia de protección de datos conocen en mayor o menor medida los derechos ARSOPOL, existen determinados aspectos relacionados con el ejercicio de estos por parte del interesado, que a día de hoy siguen generando dudas.

¿Qué cuestiones es imprescindible tener en cuenta en este sentido? (Art.12 LOPDGDD):

  • Su ejercicio ha de ser gratuito.
  • Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:
  • Cobrar un canon proporcional a los costes administrativos soportados.
  • Negarse a actuar. 
  • Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
  • El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. (Correo electrónico, carta certificada, etc.)
  • Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
  • Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
  • El interesado puede ejercer los derechos directamente o por medio de su representante legal o voluntario.

Por otro lado, también estimamos necesario hacer referencia a los requisitos que ha de cumplir el interesado a la hora de solicitar el ejercicio de sus derechos, que la propia AEPD incluye en los formularios de ejercicio de derechos (acceso, rectificación, oposición, supresión,  limitación del tratamiento, portabilidad, oposición al tratamiento de decisiones automatizadas), disponibles en su página web:

a) Nombre, apellidos del interesado. En los casos que existan dudas acerca de la identidad del interesado, se solicitará fotocopia de su documento nacional de identidad o pasaporte (art. 12.6 RGPD) y, en los casos que se admita, de la persona que le represente, así como del documento acreditativo de tal representación. La fotocopia del documento nacional de identidad o del pasaporte podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a derecho.

b) Petición en que se concreta la solicitud.

c) Domicilio a efectos de notificaciones, fecha y firma del solicitante.

d) Documentos acreditativos de la petición que formula, en su caso.

Como regla general y tal y como nos indica la Agencia Española de Protección de Datos (AEPD), esta sería la forma y los datos que deben de acompañar la solicitud. Sin embargo, hace unos meses se publicaba una resolución de la propia AEPD (R/00540/2019) que puede suponer un cambio a la hora de gestionar y tramitar determinadas solicitudes de ejercicio de derechos:

Se trata de una reclamación formulada por un particular contra el partido político Ciudadanos por no haber atendido su derecho de supresión.

El interesado se había dado de alta en una plataforma propiedad del partido, pero unos meses después decide darse de baja y solicitar la supresión de sus datos de la indicada plataforma web. Al proceder al ejercicio de su derecho, el responsable del tratamiento le solicita una fotocopia de su DNI para poder acreditar su identidad y hacer efectivo su derecho, negándose a aportar tal documentación el interesado. A su vez, este es el motivo que la entidad reclamada alega como justificante para no dar respuesta a la solicitud.

Publicado en Blog

Hay bromas que pueden salir caras, y, sino que se lo digan a la empresa titular de la conocida app de realización de bromas telefónicas JUASAPP.

Esta aplicación, que aún se puede descargar, se hizo muy popular en 2014, y permite a cualquier tercero escoger de entre un listado una broma, en formato de archivo de audio pregrabado vía telefónica, para que sea enviada al número de destino seleccionado por dicho usuario, pudiendo mantener el anonimato de la persona que gasta la broma.

Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la misma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.

Algunas de estas bromas consistían, por citar algunos ejemplos, en alertar a una madre de un incidente en el comedor del colegio de su hijo, acusar a una persona de robar la luz, hacerse pasar por una asesoría jurídica en relación con una multa de tráfico, etc.

No todos los receptores de dichas bromas encontraron “la gracia” en estos hechos, sino que los denunciaron ante la Agencia Española de Protección de Datos (AEPD), manifestando que habían visto vulnerada su intimidad.

La AEPD, vistas las denuncias presentadas acordó iniciar varios procedimientos sancionadores, dictando finalmente resolución sobre los mismos  (ver aquí), e imponía a la entidad una sanción de 7.500 euros por considerar infringidos ciertos preceptos de la ya derogada Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD).

Dicha resolución fue recurrida por los denunciantes llegando tanto a la Audiencia Nacional, (AN) que confirmaba la sanción impuesta en su Sentencia de 29 de noviembre de 2018, como al Tribunal Supremo (TS), que igualmente ratificaba el pasado mes de junio la resolución dictada en su día por la AEPD en su Sentencia STS 1771/2020.

El TS se centra ahora en dar respuesta a las tres alegaciones planteadas por la entidad titular de la app en sus recursos:

  1. Que la actividad desarrollada mediante JUASAPP se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.

Según la entidad, el hecho de gastar una broma es una actividad personal, y ellos actúan como simples mediadores entre el "abromado" y la persona que quiere gastar la broma contratada a través de esa app, poniendo a su disposición los medios, pero no usando la información para ningún otro fin que prestar el servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario que ha gastado la broma.

Publicado en Blog

Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

Publicado en Blog

¿Quién no utiliza una App en su día a día? Hasta la persona que menos utilice su teléfono móvil inteligente hace uso al menos de una aplicación móvil para conectarse con los demás, mirar el tiempo que va a hacer en su localidad, o simplemente revisar su bandeja de correo electrónico.

Pero ¿Desde cuándo llevamos haciendo uso de las famosas Apps? Aunque parezca mentira las aplicaciones móviles llevan conviviendo con nosotros mucho más tiempo del que pensamos.
¿Recordáis el Nokia 3310? ¿Y el juego de la Snake que tanto tiempo enganchaba a sus usuarios? Pues sí, era el inicio de las aplicaciones móviles.

El término App proviene de la palabra inglesa “Application” que significa aplicación. Comenzó a utilizarse en 2007 y 2008 para hacer referencia a las aplicaciones de los móviles.
Las Apps empiezan a cobrar importancia tras el lanzamiento, por parte de Apple, del primer Iphone y de la App Store, y por parte del eterno enemigo Android, el Android Market, que hoy en día conocemos como Google Play.

Una aplicación móvil o App es un programa informático diseñado para ser ejecutado desde una interfaz móvil, es decir, en smartphones (teléfonos inteligentes), tabletas, u otros dispositivos móviles similares. Todas ellas tienen unas características especiales:

Publicado en Blog

Esa es la pregunta que se nos plantea tras el nuevo pronunciamiento de la Agencia Española de Protección de Datos, (en adelante, AEPD). El Informe E/03925/2020, emitido por la Autoridad de Control hace escasos días, archiva actuaciones contra la empresa ATOS IT SOLUTIONS AND SERVICES IBERIA, S.L, tras la interposición de la correspondiente reclamación por una trabajadora de la entidad, y miembro, a su vez, del Comité de Empresa, como consecuencia de la recogida y tratamiento de la huella dactilar de los trabajadores cómo método de fichaje horario.

¿Cuáles son los hechos en los que la reclamante basa su denuncia? Atendiendo a las exigencias que el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), imponen a responsables y encargados del tratamiento, respecto del tratamiento de un dato de carácter biométrico, cómo es la huella dactilar, la denunciante alega que:

- La entidad, recoge datos biométricos sin recabar el consentimiento explícito de los trabajadores ni cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD.
- No se ha efectuado una evaluación de impacto, siendo esta obligatoria en base al artículo 35 del RGPD.
- No tiene constancia de que se haya elaborado el correspondiente Registro de Actividades del Tratamiento conforme establece el artículo 30 del RGPD y 31 de la LOPDGDD.

Saliendo al paso de las alegaciones de la reclamante, la entidad reclamada aporta toda aquella documentación que demuestra el cumplimiento normativo y en las que, cómo veremos, la AEPD basa su decisión: cláusulas informativas publicadas en diferentes canales corporativos, registro de actividades del tratamiento y, en relación con la evaluación de impacto, dos análisis de necesidad de realización y dos evaluaciones de impacto relativas a control de acceso y al sistema de registro de jornada.

Nos parece necesario recordar, en este punto, que la huella dactilar es un dato de carácter biométrico entendiendo por tales a aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (artículo 4.14 RGPD). No hay duda, la huella dactilar es un dato biométrico. Pero ¿y dato especialmente protegido? Considera, la AEPD, que para aclarar las dudas interpretativas que surgen a este respecto, se debe traer a colación la distinción entre identificación y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Publicado en Blog

El pasado 17 de julio iniciábamos el día con una resolución del Tribunal de Justicia de la Unión Europea (TJUE) de mucho peso en el ámbito de la protección de datos. Dicha resolución anula el conocido “Privacy Shield” que hacía posible que se llevasen a cabo transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EE. UU).

Las transferencias internacionales: suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

El “Privacy Shield” (Escudo de privacidad): es el acuerdo firmado en 2016 en sustitución al anterior marco legal conocido como “Safe Harbour” (Puerto seguro), se encarga de proteger los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos aportando claridad jurídica para las empresas que dependen de transferencias internacionales de datos. Asimismo, la propia Decisión 2016/1250 indica queel escudo de la privacidad UE-EE. UU. se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión”.

Pero, ¿qué ha llevado al TJUE a tomar esta decisión?

El origen de la Decisión del TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2015 (sentencia del TJUE 6 de octubre de 2015).

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

En base a las reclamaciones indicadas, los principales motivos por los que el TJUE ha tomado la decisión de invalidación del escudo de privacidad son:

En primer lugar, por el riesgo que entiende que presentan los programas de vigilancia estadounidenses para los datos de carácter personal de todos los ciudadanos europeos, dado que expone que el escudo de privacidad puede llegar a menoscabar los derechos fundamentales de las personas cuyos datos se transfieren a servidores que se encuentran alojados en Estados Unidos. El Tribunal estima dicha pretensión toda vez que el tratamiento de los datos no se limita a lo estrictamente necesario, si no que podrían llegar a utilizarse para otros fines que difieren totalmente de lo estipulado, y esto es así ya que la legislación norteamericana en materia de protección de datos es considerada por los jueces como “menos estricta” que la europea, indicando textualmente el TJUE:

«las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», aspecto que no se está cumpliendo a través del “Privacy Shield”.

En segundo lugar, otro de los principales motivos por los que lleva al TJUE a tomar la decisión de anular el escudo de privacidad, es la constatación de las limitaciones del derecho a la tutela judicial efectiva que existen en EE. UU. Se ha podido comprobar que la normativa de Estados Unidos no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, lo cual está yendo en contra de las garantías prestadas por los países de la Unión Europea.

Entonces, ¿qué alternativas tienen las empresas para realizar Transferencias Internacionales a EE. UU con el Escudo de Privacidad invalidado?

Publicado en Blog

Hace unos días, todos nos hacíamos eco por distintos medios, de que el presidente de la conocida cadena de supermercados MERCADONA, comunicaba la decisión de la compañía de implementar en cuarenta de sus tiendas de España, un sistema de detección anticipada en las cámaras de acceso de las tiendas basado en el uso de tecnologías de reconocimiento facial, con el fin de reforzar la seguridad tanto de los clientes como de los propios trabajadores, evitando que se produzcan robos en los locales e impidiendo el acceso de ciertas personas.

En concreto, este sistema es capaz de captar durante 0,3 segundos los rostros, cotejarlos con ficheros de imágenes y detectar la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la cadena de supermercados o contra alguno de sus empleados; y una vez detectada la infracción y tras haberse contrastado que se trata de esa persona, se lo notifica a las Fuerzas y Cuerpos de Seguridad del Estado.

No cabe duda de la polémica que ha suscitado esta decisión, ya no solo por el impacto que tiene sobre la privacidad de las personas y que analizaremos en este artículo, sino porque, además, el proveedor del sistema utilizado y por tanto encargado del tratamiento, es AnyVision, una entidad israelí líder mundial de plataformas de reconocimiento facial, que se ha visto involucrada en varios escándalos recientes, tales como que su tecnología ha sido utilizada para identificar y vigilar a ciudadanos palestinos en Cisjordania.

Ya hemos analizado recientemente en este blog ciertas técnicas de reconocimiento facial. En concreto, las técnicas proctoring para la realización de los exámenes online o los sistemas de videovigilancia con reconocimiento facial, donde la Agencia Española de Protección de Datos (AEPD) ha emitido informes sobre aquellas cuestiones que generaban ciertas dudas.

Sin embargo, y si bien es cierto que la AEPD ya ha iniciado una investigación de oficio, la única información que tenemos por ahora, es la que proporciona la propia entidad a través de sus redes sociales, la información básica que aparece reflejada en los carteles informativos que han sido colocados en la entrada de cada uno de los establecimientos, y su propia Política de Privacidad ubicada en la web de la compañía, donde se proporciona la información adicional. De estas vías, podemos extraer la siguiente información:

- Existe un tratamiento de datos biométricos en aquellas tiendas de España donde esté implantado el sistema de detección anticipada.

- La finalidad del tratamiento consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas.

- Estos datos serán tratados por razones de interés público con las consiguientes consideraciones previstas por la normativa de protección de datos.

- Los datos que recoge el sistema se tratan y se custodian durante el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.

De todas formas, los datos recogidos accesoriamente para cumplir con esta finalidad permanecerán en el servidor únicamente en el proceso de comprobación, que como decíamos al inicio, es de unas décimas de segundo. Una vez realizada esta comprobación procede a destruirse definitivamente.

- Estas imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado para proteger la seguridad de los clientes y trabajadores y el cumplimiento de las medidas decretadas judicialmente.

Ahora bien, ¿es esto suficiente para considerar que es lícita la implementación de estos sistemas de detección anticipada?

En primer lugar, debemos de partir de que se entiende por técnica de reconocimiento facial, toda tecnología que permite la identificación de una persona mediante el análisis de las características biométricas de su rostro.

De la detección del rostro de las personas en las cámaras, se extraen una serie de características que conforman un patrón biométrico facial que se coteja con información ya existente en ciertas bases de datos y se obtiene un porcentaje de similitud con la persona que se identifica para después tomar una decisión.

Aunque, por ejemplo, ya se está trabajando también esta técnica con un proyecto piloto en algún aeropuerto de España que consiste en que través del reconocimiento facial, se cruza el filtro de seguridad y se permite embarcar de forma más ágil; sin embargo, este caso que estamos analizando se trata de la primera experiencia masiva de implementación de esta técnica llevada a cabo en nuestro país.

En segundo lugar, ahondando en el tratamiento en cuestión, debemos aclarar que el rostro de una persona, en virtud del artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera un dato de carácter personal, pues nos permite identificar a una persona física.

Publicado en Blog

El pasado 15 de junio el Tribunal Supremo dictaba sentencia que confirma la Resolución de La Agencia Española de Protección de Datos (AEPD) en el procedimiento PS/00290/2015, en el cual se interponía una multa de 40.001€ a la Mutua Madrileña, por incumplimiento de los preceptos recogidos en la normativa en materia de protección de datos, confirmando la no exoneración de la responsabilidad del responsable de tratamiento (en este caso, de la Mutua) al no haber atendido correctamente al derecho de oposición de envío de publicidad de uno de sus clientes ante una tercera empresa con la cual la Mutua había contratado la publicidad de sus productos.

La Mutua, por su parte, entiende que, en virtud del artículo 48 del vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), no se verían obligados a facilitar a la empresa contratista los datos de aquellos clientes que hubiesen ejercitado su derecho de oposición al envío de publicidad ante la propia Mutua. El citado artículo indica que “los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”.

Por consiguiente, la Mutua declara no haber lugar a infracción del artículo 44.3 e) de la derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,  que actualmente se corresponde con el artículo 72.1 k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679” (RGPD).

Cabe recordar, que el RGPD recoge en su artículo 21 el derecho de oposición, pudiendo ser ejercido en cualquier momento por el interesado, siempre y cuando los datos objeto de tratamiento afecten a la licitud del mismo, en concreto en lo relativo al tratamiento en cumplimiento de una misión realizada en interés público o para satisfacer intereses legítimos perseguidos por el responsable o un tercero, conforme a lo dispuesto en los artículos 6.1 e) y f) RGPD.

El RDLOPD establece en su artículo 35.3, con relación a este ejercicio del derecho de oposición que, en todo caso y en el plazo máximo de 10 días a contar desde la recepción de la solicitud, “el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto”.

A tenor de lo expuesto, observamos que la principal cuestión que debe establecer el citado Tribunal es si la Mutua está o no obligada a hacer efectivo el derecho de oposición de su cliente, que así se lo solicitó expresamente, ante la entidad tercera contratante.

Publicado en Blog

Cuando parece que la pandemia COVID-19 empieza a dar un respiro en determinados países, estos van volviendo, según las pautas marcadas por sus autoridades competentes al respecto, a la “normalidad”. Una normalidad que lejos de ser lo que hasta ahora entendíamos por tal, implica interactuar con medidas de contención tales cómo distancias de seguridad, tomas de temperatura en algunos comercios y centros de trabajo…etc. Nos encontramos en la era post COVID-19.

No es la primera vez que hablamos de la “nueva normalidad” en el presente blog (aquí y aquí). No obstante, a lo largo de la publicación de hoy, centraremos nuestra atención en cómo está, esta, afectando al ámbito laboral. ¿Qué repercusiones ha traído consigo esta pandemia para empresas y trabajadores?

Cuando hace ya algunos meses fue decretado en España el estado de alarma mediante Real Decreto 463/2020, de 14 de marzo, nuestra realidad social y laboral dio un giro de 180 grados. Como sociedad, nos enfrentamos a cambio de hábitos diarios, de costumbres sociales y de pautas laborales que obligó a muchas empresas a moldear, de manera repentina, sus modos de trabajo; instaurándose, el teletrabajo como el modelo por excelencia. A instancia de los diferentes Reales Decretos de medidas urgentes, publicados a lo largo de los pasados meses para hacer frente al impacto económico y social provocado por la pandemia, el teletrabajo debía ser el método de trabajo preferente por el que se debía optar, si ello era técnica y razonablemente posible y si el esfuerzo de adaptación necesario resultaba proporcionado para las empresas.

El incuestionable avance de las nuevas tecnologías facilitó el proceso de adaptación a la nueva realidad laboral convirtiéndose estas en un elemento esencial en esta situación de excepcionalidad sanitaria.  No obstante, el uso de las nuevas tecnologías es muy amplio y, a la vez que estas servían de herramienta para facilitar el aislamiento social, también fueron vistas por muchas empresas como una oportunidad para controlar lo que sus trabajadores hacían en casa.

Ello mediante el uso de software de vigilancia que permiten registrar el uso del teclado, los movimientos del ratón, los sitios web que se visitan, o a través de sistemas que captan fotografías o vídeos para comprobar que el trabajador se encuentra en su puesto de trabajo. Sin embargo, hay empresas que buscan dar un paso más en este control laboral haciendo uso de herramientas que monitorean la rapidez con la que los empleados completan diferentes tareas o las interacciones entre los empleados para identificar quién colabora más dentro de una empresa, que los directivos pueden usar para identificar a los empleados que les convendría mantener, y a aquellos que no.

¿Realmente son proporcionales estas medidas, enfocadas en la productividad del trabajador?, ¿cumplen, estas, con la normativa actualmente vigente en materia de protección de datos?

Publicado en Blog
Página 1 de 18

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal