Recientemente hemos conocido una noticia polémica que ha avivado el debate sobre el uso de nuevas tecnologías en la privacidad de la población. Y no es para menos, ya que China a comienzos de este mes ha asentado un precedente peligroso a nivel mundial.

A partir de ahora, los ciudadanos chinos deben acceder a registrar los parámetros biométricos faciales si desean adquirir un teléfono móvil nuevo. Desde Pekín se argumenta que han adoptado estas medidas con la finalidad de “proteger los derechos y los intereses legítimos de los ciudadanos en el ciberespacio” pero las alarmas se han disparado, pues entendemos que lo que persiguen las autoridades es verificar las identidades de todos los usuarios en Internet, suponiendo una restricción para todas las personas que sólo buscan comunicarse libremente.

Actualmente China cuenta con una tecnología poco fiable, generalizada e innecesaria para llevar a cabo este “control” de la sociedad china. No olvidemos que ya existe una política de registro de la tarjeta SIM, por lo que el Estado ya es conocedor de la identidad del propietario de una SIM mediante identificación oficial, pasaporte o comprobante de domicilio. De esta manera, el registro obligatorio de la tarjeta SIM erradica el potencial problema del anonimato de las comunicaciones, pues permite el seguimiento de la ubicación y la vigilancia e intercepción de las comunicaciones. Numerosos estudios han afirmado que esta medida atenta contra el derecho a la privacidad y representa una amenaza para grupos vulnerables, siendo además una medida ineficaz para reducir el abuso de los servicios de telecomunicaciones para actividades criminales y fraudulentas. De hecho, han aumentado los delitos de suplantación de identidad, fomentando así el crecimiento del mercado negro para todos aquellos que desean permanecer en el anonimato, así como la compra de SIM extranjeras o el uso de teléfonos satélites para evitar completar los requisitos del registro de la tarjeta. David Kaye, profesor de derecho en la Universidad de California y relator especial de la ONU sobre la Promoción y Protección del Derecho a la Libertad de Opinión y Expresión ya señaló “el registro obligatorio de la tarjeta SIM puede proporcionar a los gobiernos la capacidad de monitorear a los individuos y periodistas mucho más allá de cualquier interés legítimo del gobierno”.

Publicado en Blog

Cuando hablamos de privacidad de un individuo hemos de partir de la base de estar ante un derecho reconocido en la Constitución Española (en adelante CE), concretamente en el artículo 18 y que le atribuye a este la potestad de mantener su intimidad fuera del control de terceros, asegurándose la no divulgación de aquellos aspectos privados e íntimos de su vida. A ojos del presente artículo no podemos dejar de lado la referencia a una de las esferas que configuran esta privacidad y que, con el avance de las nuevas tecnologías ha asumido una importancia exponencial: la privacidad digital. Y es que, desgraciadamente, la falta de la misma en el entorno web, es una realidad que ya está moldeando nuestras vidas.

Es un hecho. El usuario se ha convertido protagonista del llamado Internet Social, es él quién aporta sus contenidos, suministra información y decide qué comparte con terceros. Se configura así el llamado derecho a la intimidad digital, entendiendo, por tal, aquel del que disponen los interesados en lo que respecta a la salvaguarda de sus datos privados en el ámbito de las nuevas tecnologías de la información, en especial, a la información que circula por Internet.

Pero ¿qué ocurre cuando este derecho es vulnerado por terceros como consecuencia de la publicación, sin nuestro consentimiento, de información que pertenece a nuestra esfera íntima y privada? Es en esta coyuntura en la que se encontró la joven víctima del conocido caso “La Manada” como consecuencia de la exposición web de datos de carácter personal vinculados a su persona.

Entrando en materia, los hechos objeto de análisis en el presente artículo, fueron puestos en conocimiento de la Agencia Española de Protección de Datos (en adelante, AEPD) en mayo de 2018 mediante una reclamación en la que se indicaba la difusión de los posibles datos personales de la joven en foros abiertos de Internet. Ante tal información, la AEPD comienza las pertinentes labores de investigación que tienen como resultado, la incoación, contra el medio de prensa digital, “La Tribuna de Cartagena”, de un procedimiento sancionador (PS/00139/2019) como consecuencia de la publicación de un artículo en el que se detallaban el nombre, apellidos, edad y universidad en la que estudiaba la joven y al que acompañaba una fotografía de la misma.

Estos hechos supondrían una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos 15/1999 (en adelante, LOPD 15/99) que dispone que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Resulta necesario indicar que la AEPD fundamenta su decisión en la LOPD 15/99 porque los hechos acontecieron en un período en el que dicha normativa aún resultaba plenamente exigible. Aun así, a día de hoy, es por todos sabido que la LOPD 15/99 se encuentra ya derogada por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (en adelante, LOPDGDD); motivo por el cual, en el presente artículo, trataremos de identificar los preceptos de la actual normativa, Reglamento Europeo de Protección de Datos (RGPD) y LOPDGDD, que se corresponden con el artículo de la LOPD 15/99 infringido a ojos de la AEPD.

¿En qué fundamenta entonces la Agencia, la decisión emitida?

Publicado en Blog

Hace unos meses analizábamos en este Blog las repercusiones de la declaración de inconstitucionalidad del artículo 58 bis de la Ley Orgánica, 5/1985, de 19 de junio, de Régimen Electoral General (en adelante LOREG), incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos.

Ahora, y de nuevo tras la celebración de elecciones en noviembre, se ha hecho noticia el derecho fundamental a la protección de datos y su impacto en los envíos de propaganda electoral por parte de los partidos políticos, en esta ocasión por la práctica llevada a cabo por uno de los partidos políticos en pleno fin de campaña electoral, al recurrir como técnica de marketing al envío masivo de sms, dirigidos a dos millones de destinatarios, solicitando el voto de cara a las, ahora ya pasadas, elecciones generales.

Ante esta noticia, no se hizo esperar la correspondiente denuncia ante la Agencia Española de Protección de Datos (AEPD), y tampoco las declaraciones del partido político cuya técnica de marketing se ha visto cuestionada.

Sin perjuicio del futuro pronunciamiento de la AEPD a este respecto, consideramos conveniente analizar y tratar de dar respuesta a la siguiente pregunta

¿Con qué exigencias han de cumplir esta clase de envíos?

Publicado en Blog
Miércoles, 06 Noviembre 2019 14:32

FÚTBOL ESPAÑOL VS PROTECCIÓN DE DATOS

En la sociedad actual se encuentra normalizado que un equipo de fútbol informe públicamente del alcance de las lesiones de sus jugadores. Nos podemos encontrar incluso, con casos en los que se publican fotografías del post-operatorio para que la afición pueda “verificar” que todo ha salido correctamente. Tanto es así que, a día de hoy, cualquier aficionado puede conocer con facilidad, cuáles son las lesiones que el jugador del que es seguidor ha podido sufrir en una temporada.

Todo esto es debido a que se establece como una “costumbre” futbolística el que los entrenadores del equipo hablen del estado físico y de salud de los jugadores emitiendo un parte médico al respecto para tranquilizar a los aficionados. Precisamente respecto de estas cuestiones se ha pronunciado un jugador del Real Madrid (Gareth Bale) a la hora de solicitar a los responsables médicos de su club que no emitan ningún informe sobre su última lesión, abogando a su privacidad, utilizando su derecho a la protección de datos y a su privacidad, lo que los medios de prensa han denominado esto como “La ley Bale”.

Pero ¿hasta qué punto esto es legal? ¿Qué ocurre con el derecho a la protección de los datos personales de esos jugadores y su intimidad?

En primer lugar, para determinar hasta qué punto es legal o no debemos tener en cuenta que nos encontramos ante una cesión o comunicación de datos, y al igual que cualquier otro tratamiento de datos de carácter personal, debe cumplir con una serie de principios, los cuales se encuentran consagrados en el Reglamento General de Protección de Datos (RGPD) y son los siguientes:

  • Limitación del fin: El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado.
  • Minimización de datos: Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin.
  • Exactitud: Los datos personales de los interesados deben ser siempre precisos y estar actualizados.
  • Integridad y Confidencialidad: Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
  • Limitación del almacenamiento: Los datos personales deben ser conservados solamente el tiempo necesario.
  • Licitud, lealtad y transparencia: El RGPD indica que todos los tratamientos de datos personales deban ser leales; ósea, que las empresas no realicen tratamientos que no sean legítimos. Además de lo anterior, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar siempre al interesado de manera abierta y transparente.

De todos los principios indicados, en el caso que estamos analizando el principio que mas debemos tener en cuenta es el principio de licitud.

¿Cómo se debería de actuar para cumplir con el principio de licitud?

Debemos de acudir al apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes bases jurídicas para el tratamiento:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

En este caso concreto la única base jurídica que podría ser de aplicación sería el consentimiento del interesado. Por lo tanto, en el caso de que el equipo de fútbol decidiese ceder los datos médicos del jugador sin su previo consentimiento, estaría incurriendo en un incumplimiento normativo en materia de protección de datos, dado que no tendría una base jurídica para poder realizar dicha comunicación.

Pero ¿bastaría con ese consentimiento para tratar datos de salud?

Publicado en Blog

¿Qué tipo de relación vincula al sacerdocio con la Iglesia? ¿Tiene esta unión un carácter laboral? ¿Están unidos ambos mediante un contrato de trabajo? La categorización de la relación entre la Iglesia Católica y sus sacerdotes diocesanos ha sido una cuestión analizada, tanto desde el punto de vista de protección de datos como desde el punto de vista laboral.   

La primera pregunta que nos surge a este respecto es qué implicación o repercusión puede tener esta categorización en nuestra materia, toda vez que, la misma, inicialmente, podría parecer una cuestión más bien analizable desde el punto de vista del derecho laboral.

Pues bien, parece importante recalcar que, en materia de protección de datos, surgen especialidades que han de ser atendidas y analizadas. Este es el caso de la consideración, o no, de los sacerdotes, como personal laboral de la Iglesia. Así, lo cierto es que la categorización de dicha relación repercutirá, directamente, en la necesidad, o no, de la firma del compromiso de confidencialidad en materia de protección de datos.

Recordemos que el compromiso de confidencialidad se configura como exigencia derivada de la normativa vigente en materia de protección de datos (Reglamento Europeo (RGPD), y Ley Orgánica Española) y regula el deber de secreto y confidencialidad al que los trabajadores se ven sometidos respecto de aquella información a la que tengan acceso como consecuencia de su desempeño laboral.

Así, la histórica duda sobre la relación entre la Iglesia y sus sacerdotes, tuvo su resurgir tras la demanda por despido presentada por un sacerdote católico contra el Arzobispado de Madrid y la Archidiócesis de Getafe después de que estos organismos católicos le retiraran el estado clerical y le desvincularan del sacerdocio, al considerarse probada la existencia de la comisión de una serie de actos ilícitos según el Código de Derecho Canónico (en adelante, CDC). Vista esta demanda por el Tribunal Superior de Justicia de Madrid (en adelante, TSJM), se emite la Sentencia 1240/2017 en la que se analiza la existencia, o no, de un despido, en el sentido literal de la palabra.

Considera el Tribunal que no, al rechazar la tesis de laboralidad alegada por el demandante; todo ello por considerar que la incardinación del sacerdote en la Iglesia no se realiza mediante un contrato sino por medio de la adquisición de la condición de clérigo mediante una formación y unos procedimientos regulados en el CDC.

Para el Tribunal, la clave para poder considerar la existencia, o no, de una relación laboral entre la Iglesia Católica y sus sacerdotes, radica en la posibilidad o imposibilidad de considerar el vínculo entre ambos como un contrato de trabajo; para lo cual analiza cuáles son los presupuestos que han de concurrir en un contrato, para que este pueda ser calificado como laboral:

Publicado en Blog

Seguramente te hayas hecho eco de una noticia relacionada con la publicación, en diferentes medios de comunicación, de ciertas imágenes recogidas por el sistema de videovigilancia, instalado en un establecimiento comercial de una conocida cadena de supermercados, donde se mostraba a una persona que ostentaba un importante cargo político en nuestro país junto a un vigilante de seguridad tras, presuntamente, sustraer varios artículos del establecimiento.

Los hechos a los que nos referimos se produjeron el 4 de mayo de 2011, y las imágenes se publicaron en los medios de comunicación el 25 de abril de 2018,  a partir de ese momento la Agencia Española de Protección de Datos (AEPD) decide iniciar de oficio actuaciones de investigación e inspección.

Un año y medio después, la AEPD ha resuelto (ver Resolución R/00423/2019) eso sí, conforme a la ya derogada Ley 15/1999 de Protección de Datos (LOPD 15/1999) por estar ésta aún en vigor en el momento de apertura de las investigaciones, y en base a los siguientes puntos que vamos a analizar. No obstante, el criterio doctrinal adoptado es plenamente aplicable con la normativa actual y vigente, esto es, el Reglamento General Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD 3/2018).

  1. ACCESO A LAS IMÁGENES POR PARTE DE LA EMPRESA DE SEGURIDAD

Tanto el artículo 12.2 de la LOPD 15/1999 como el actual artículo 33.2 de la actual LOPDGDD 3/2018 y el artículo 28.3 del RGPD exigen que la realización de un tratamiento de datos por parte de un tercero se debe regular en un contrato u otro acto jurídico que vincule al encargado respecto del responsable y establezca expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable. Asimismo, el contrato debe establecer el objeto, la duración, la naturaleza, la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

Publicado en Blog

Es probable que hayas oído hablar del whistleblowing, pero ¿de dónde proviene dicho término y que significa?

Para conocer el origen el término “whistleblower”, hemos de acudir a la práctica de los oficiales de policía británicos, los cuales hacían sonar sus silbatos (whistle) soplando (blow), en el caso de que presenciasen la comisión de un presunto delito. De este modo se alertaba tanto a las autoridades como a los ciudadanos del peligro.

Actualmente, este término se refiere al ciudadano que informa de que se está cometiendo un acto delictivo en la organización para la que presta servicios.

¿Para qué se utiliza el canal (whistleblowing)?

Como hemos ido adelantando, dicho canal se usa para denunciar un hecho constitutivo de delito, peligro o fraude dentro de una empresa. Si bien es cierto que tiene especial relevancia en el sistema público, también se utiliza en el sistema privado, siendo alguno de los delitos susceptibles de denuncia los que citamos a continuación:

·         Blanqueo de capitales.

·         Delitos en materia de protección de datos.

·         Contra la propiedad intelectual e industrial.

·         Evasiones de impuestos.

·         Contra la Hacienda Pública, etc.

A este respecto, consideramos importante el hacer referencia a la persona que realiza la denuncia (whistlebower), ¿qué tipo de protección tiene?

En líneas generales, España no dispone de ninguna normativa que regule específicamente las medidas de protección mínimas que debería recibir cualquier persona que se encuentre en posición de denunciar una irregularidad o ilícito cometido en una organización, tanto pública como privada. Si bien es cierto que hay determinadas normas que regulan algunos aspectos de estos canales, estas no entran en la protección de la persona que se encarga de realizar la denuncia. Hemos de resaltar entre dichas normas la originaria de la popularización de este término en España:

·  LO 5/2010, de 22 de junio que introduce el artículo 31 bis en nuestro Código Penal, la cual se aprobó en Diciembre de 2010, estableciendo así un estatuto de responsabilidad penal para las personas jurídicas de forma autónoma e independiente del de sus representantes legales y administradores. Además, introduce como atenuante e incluso eximente a esa responsabilidad el demostrar haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Es a partir de esta reforma cuando se hace más popular en las empresas españolas la implantación de canales de denuncias internos.

También cabe destacar que diversos organismos a lo largo de los años han ido pronunciándose en relación con el canal whistleblowing, como, por ejemplo:

1.    Grupo de Trabajo del Artículo 29, en el Dictamen 1/2006, en el cual el WG29 se postula hacia canales de denuncia abiertos, es decir, de manera identificada, fundamentándolo hasta en seis razones diferentes, pero a pesar de su preferencia, no rechaza de forma categórica la posibilidad de que se puedan dar denuncias de forma anónima.

2.    Fiscalía General del Estado, a través de la Circular 1/2016, de la cual hemos de destacar que ya adelantaba lo siguiente: "para que la obligación de utilizar el canal de denunciar pueda ser exigida a los empleados será imprescindible que la empresa implemente adicionalmente una "regulación protectora específica del denunciante (whistleblower)".

No obstante, es cierto que algunas de nuestras Comunidades Autónomas sí que se han encargado de regular en esta materia. Entre otras, podemos destacar el caso de Castilla y León a través de la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones en relación con las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública, estableciendo a su vez garantías para los informantes.

Asimismo, no queremos pasar a analizar la Directiva sin recordar que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su artículo 24 también hace referencia a los canales de denuncia internos, diciendo textualmente:

“Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información”.

Publicado en Blog

El pasado 20 de junio, se publicaba la Directiva UE 2019/1024 del Parlamento Europeo del Consejo relativa a los datos abiertos y la reutilización de la información del sector público (en adelante Directiva UE 2019/1024 o la Directiva), con el fin de explotar plenamente el potencial de la información del sector público para la economía y la sociedad europea, para así afrontar los obstáculos de una amplia reutilización de datos abiertos, y actualizar el marco legislativo acorde con los avances en las tecnologías digitales. Así, modifica de forma sustancial, las anteriores normas que regulaban esta materia, la Directiva 2003/98/CE del Parlamento Europeo  y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público y la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica (en adelante Directiva 2013/37/UE).

Los cambios de fondo de esta Directiva se centran en la prestación de acceso en tiempo real a los datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos valiosos para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación, haciendo frente a la aparición de nuevas formas de acuerdos exclusivos, el uso de excepciones al principio de tarificación del coste marginal, así como la relación entre la presente Directiva y determinados instrumentos jurídicos conexos, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante RGPD) y las Directivas 96/9/CE, 2003/4/CE, y 2007/2/CE, del Parlamento Europeo y del Consejo.

Ahora bien, ¿en qué consisten realmente la reutilización de la información del sector público y los datos abiertos?

En lo que respecta a la reutilización de la información en el sector público, se entiende como tal, el uso de documentos que obran en poder de organismos del sector público y empresas públicas, por parte de personas físicas o jurídicas.

Por otra parte, la propia Directiva, en su considerando 16, entiende por datos abiertos, los datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin. A este respecto, las políticas de apertura de información que propician la disponibilidad y la reutilización generalizadas de la información del sector público con fines privados o comerciales, pueden desempeñar una función importante a la hora de fomentar el compromiso social e impulsar y promover el desarrollo de nuevos servicios basados en formas novedosas de combinar y utilizar esa información.

Partiendo de la consideración del acceso a la información como un derecho fundamental, así regulado en el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante la Carta), que comprende la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras, la información del sector público se considera una fuente extraordinaria de datos que pueden contribuir a mejorar el mercado único y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

En concreto, el artículo 1.1 de la Directiva, determina su ámbito de aplicación, y, atendiendo a ello, tendrán la consideración de datos abiertos:

a. Los documentos existentes conservados por organismos del sector público de los Estados miembros.

b. Los documentos existentes conservados por empresas públicas que:

c. Los datos de investigación, debiendo tener en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos.

Asimismo, en el apartado 2 del mismo artículo, se incluye un listado exhaustivo de supuestos de no aplicación, entre los que destacamos la letra h), ya contemplada en las modificaciones introducidas por la Directiva 2013/37/UE: aquellos documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas.

¿Tiene esta Directiva injerencia en materia de protección de datos personales?

Publicado en Blog

La entrada en vigor del Reglamento Europeo de Protección de Datos (en adelante RPGD) en mayo del 2016, trajo consigo tal cambio de paradigma en lo relativo a regulación y armonización de la normativa en materia de protección de datos en todos los países miembros de la UE, que, aún a día de hoy, transcurridos tres años desde su entrada en vigor y un año desde su plena aplicación, pasando a ser directamente aplicable en todos y cada uno de los estados miembros, nos es muy difícil predecir cómo las autoridades de control van a manifestarse y proceder a sancionar todos y cada uno de los incumplimientos de las obligaciones contenidas en el mismo.

En nuestro país, no ha sido hasta el pasado 7 de diciembre del 2018 hasta que nos hemos dotado de una regulación a nivel nacional tras la entrada en vigor del RGPD. La nueva Ley Orgánica de Protección de Datos y garantías de los derechos digitales (en adelante, LOPDGDD) tiene, como principal objetivo, el adaptar nuestro ordenamiento jurídico español en materia de protección de datos al RGPD, así como garantizar los derechos digitales de los ciudadanos, al amparo de lo dispuesto en el artículo 18.4 de la Constitución Española, precepto que limita el uso de la informática con el fin de garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de los derechos. 

La LOPDGDD incorpora grandes cambios respecto a las exigencias contenidas tanto en la ya derogada LOPD 15/1999 como en su Reglamento de Desarrollo, siendo el más significativo, el desarrollo en su Título X de la garantía de los derechos digitales de los ciudadanos.

No es motivo de este artículo proceder a enumerar todos los cambios normativos que la nueva LOPDGDD introduce respecto de la anterior normativa, al ya haber sido objeto de análisis en varias publicaciones (ver aquí, ver aquí), pero sí consideramos interesante el realizar un sucinto análisis del cambio que se ha producido respecto a la notificación y gestión de las brechas de seguridad, así como realizar un breve resumen de las brechas que han sido notificadas ante la Agencia Española de Protección de Datos (en adelante, AEPD) a lo largo del pasado año desde la plena aplicación del RGPD.

En primer lugar, debemos hacer una clara diferencia entre “incidente de seguridad” y “brecha de seguridad”, puesto que son dos términos que tienen a confundirse.

Publicado en Blog

Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog
Página 2 de 8

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal