El pasado 15 de junio el Tribunal Supremo dictaba sentencia que confirma la Resolución de La Agencia Española de Protección de Datos (AEPD) en el procedimiento PS/00290/2015, en el cual se interponía una multa de 40.001€ a la Mutua Madrileña, por incumplimiento de los preceptos recogidos en la normativa en materia de protección de datos, confirmando la no exoneración de la responsabilidad del responsable de tratamiento (en este caso, de la Mutua) al no haber atendido correctamente al derecho de oposición de envío de publicidad de uno de sus clientes ante una tercera empresa con la cual la Mutua había contratado la publicidad de sus productos.

La Mutua, por su parte, entiende que, en virtud del artículo 48 del vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), no se verían obligados a facilitar a la empresa contratista los datos de aquellos clientes que hubiesen ejercitado su derecho de oposición al envío de publicidad ante la propia Mutua. El citado artículo indica que “los responsables a los que el afectado haya manifestado su negativa a recibir publicidad podrán conservar los mínimos datos imprescindibles para identificarlo y adoptar las medidas necesarias que eviten el envío de publicidad”.

Por consiguiente, la Mutua declara no haber lugar a infracción del artículo 44.3 e) de la derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal,  que actualmente se corresponde con el artículo 72.1 k) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que considera como infracción muy grave “el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679” (RGPD).

Cabe recordar, que el RGPD recoge en su artículo 21 el derecho de oposición, pudiendo ser ejercido en cualquier momento por el interesado, siempre y cuando los datos objeto de tratamiento afecten a la licitud del mismo, en concreto en lo relativo al tratamiento en cumplimiento de una misión realizada en interés público o para satisfacer intereses legítimos perseguidos por el responsable o un tercero, conforme a lo dispuesto en los artículos 6.1 e) y f) RGPD.

El RDLOPD establece en su artículo 35.3, con relación a este ejercicio del derecho de oposición que, en todo caso y en el plazo máximo de 10 días a contar desde la recepción de la solicitud, “el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto”.

A tenor de lo expuesto, observamos que la principal cuestión que debe establecer el citado Tribunal es si la Mutua está o no obligada a hacer efectivo el derecho de oposición de su cliente, que así se lo solicitó expresamente, ante la entidad tercera contratante.

Publicado en Blog

A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.

¿Qué finalidad tiene la Orden ministerial?

Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».

Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:

  • El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y  cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
  • Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.

¿Cómo puede afectar esto al derecho fundamental a la protección de datos?

Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:

El Reglamento General de Protección de Datos (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.

Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.

Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:

Publicado en Blog

Hoy en este post nos hacemos eco de la fuerte campaña de difusión que en estas últimas semanas ha puesto en marcha la Agencia Española de Protección de Datos (AEPD) de su nueva herramienta canal prioritario, para aquellos casos de violencia digital en Internet.

La proliferación de dispositivos móviles y el acceso generalizado a Internet, están propiciando la difusión, en muchas ocasiones de manera ilegítima e incontrolada, de nuestros datos personales a través de perfiles en redes sociales y otros sitios web.

En este contexto, toda persona, hombre o mujer, de cualquier edad, puede llegar a verse afectada por este tipo de situaciones.

Para evitar la difusión masiva de esta clase de contenidos, la AEPD pone a disposición de los ciudadanos un canal específico para la atención prioritaria de estos casos.

¿Pero en qué supuestos se puede acudir a este canal?

Este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos de las fotografías o vídeos tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género.

En este sentido, debemos tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas.

Por ello, podrás acudir a este canal sólo en casos excepcionales en los que, por tratarse de datos especialmente sensibles, la privacidad de la persona afectada se esté poniendo en grave peligro.

¿Entonces, podremos acudir a este canal cuando la difusión se lleve a cabo a través de Whatsapp o Telegram, o por medio de correo electrónico?

Publicado en Blog

En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.

Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como "sugerencias para etiquetar".

¿Cómo funciona esta técnica?

En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.

Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.

Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.

Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?

Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.

Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:

  • Normativa a nivel europeo:

El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.

En el caso que nos atañe y en base a la normativa europea solamente se podría  haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.

  • Normativa de Illinois:

En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.

La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.

En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.

Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.

Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?

Publicado en Blog
Miércoles, 06 Noviembre 2019 14:32

FÚTBOL ESPAÑOL VS PROTECCIÓN DE DATOS

En la sociedad actual se encuentra normalizado que un equipo de fútbol informe públicamente del alcance de las lesiones de sus jugadores. Nos podemos encontrar incluso, con casos en los que se publican fotografías del post-operatorio para que la afición pueda “verificar” que todo ha salido correctamente. Tanto es así que, a día de hoy, cualquier aficionado puede conocer con facilidad, cuáles son las lesiones que el jugador del que es seguidor ha podido sufrir en una temporada.

Todo esto es debido a que se establece como una “costumbre” futbolística el que los entrenadores del equipo hablen del estado físico y de salud de los jugadores emitiendo un parte médico al respecto para tranquilizar a los aficionados. Precisamente respecto de estas cuestiones se ha pronunciado un jugador del Real Madrid (Gareth Bale) a la hora de solicitar a los responsables médicos de su club que no emitan ningún informe sobre su última lesión, abogando a su privacidad, utilizando su derecho a la protección de datos y a su privacidad, lo que los medios de prensa han denominado esto como “La ley Bale”.

Pero ¿hasta qué punto esto es legal? ¿Qué ocurre con el derecho a la protección de los datos personales de esos jugadores y su intimidad?

En primer lugar, para determinar hasta qué punto es legal o no debemos tener en cuenta que nos encontramos ante una cesión o comunicación de datos, y al igual que cualquier otro tratamiento de datos de carácter personal, debe cumplir con una serie de principios, los cuales se encuentran consagrados en el Reglamento General de Protección de Datos (RGPD) y son los siguientes:

  • Limitación del fin: El tratamiento de datos personales debe estar limitado a fines legítimos para los cuales los datos personales fueron recogidos originalmente del interesado.
  • Minimización de datos: Durante la recogida de datos, sólo se pueden solicitar los datos personales absolutamente necesarios para tal fin.
  • Exactitud: Los datos personales de los interesados deben ser siempre precisos y estar actualizados.
  • Integridad y Confidencialidad: Los datos personales deben ser tratados de forma que se garantice la seguridad apropiada, incluyendo protección contra el tratamiento no autorizado o ilegal. Además, los responsables deben asegurar que los datos no pueden ser modificados por personas no autorizadas.
  • Limitación del almacenamiento: Los datos personales deben ser conservados solamente el tiempo necesario.
  • Licitud, lealtad y transparencia: El RGPD indica que todos los tratamientos de datos personales deban ser leales; ósea, que las empresas no realicen tratamientos que no sean legítimos. Además de lo anterior, las empresas deben ser transparentes con respecto al tratamiento de datos personales, e informar siempre al interesado de manera abierta y transparente.

De todos los principios indicados, en el caso que estamos analizando el principio que mas debemos tener en cuenta es el principio de licitud.

¿Cómo se debería de actuar para cumplir con el principio de licitud?

Debemos de acudir al apartado 1º del artículo 6 del RGPD, en el que se estipula que el tratamiento solo será lícito si se cumple al menos una de las siguientes bases jurídicas para el tratamiento:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

En este caso concreto la única base jurídica que podría ser de aplicación sería el consentimiento del interesado. Por lo tanto, en el caso de que el equipo de fútbol decidiese ceder los datos médicos del jugador sin su previo consentimiento, estaría incurriendo en un incumplimiento normativo en materia de protección de datos, dado que no tendría una base jurídica para poder realizar dicha comunicación.

Pero ¿bastaría con ese consentimiento para tratar datos de salud?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.

Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.

Recientemente, la Agencia Española de Protección de Datos (en adelante AEPD), ha archivado las actuaciones en el procedimiento E/01824/2019, en una reclamación presentada contra VODAFONE, por intentar comunicarse con un usuario a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales. Es por lo que, en este supuesto, el dato del número de teléfono se utiliza dentro de la relación contractual. Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del citado artículo, la AEPD resuelve que no existe vulneración en materia de protección de datos.

Si bien es cierto que en esta Resolución la AEPD concluye que es lícito el uso del dato del teléfono para ponernos en contacto con nuestros clientes vía WhatsApp, amparado en la existencia de una relación contractual, en lo que a comunicaciones comerciales por medios electrónicos se refiere, debemos acudir a lo dispuesto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI) que establece como regla general, la obligación de recabar el consentimiento de forma previa, expresa e informada acerca del tipo de tratamiento de datos y su finalidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

En este sentido conviene recordar al respecto, un informe jurídico de la AEPD en cuanto al envío de comunicaciones comerciales vía electrónica se refiere:

La remisión de comunicaciones comerciales por medios electrónicos se encuentra regulada por el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, cuyo apartado 1 dispone claramente que:

“Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso la entidad podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

En todo caso, la entidad deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

La Ley obliga, además, a las entidades a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

De este modo, el citado artículo 21 LSSI opera como límite, al que habrá de estarse en todo caso, cuando las acciones de mercadotecnia o publicidad se lleven a cabo a través de medios electrónicos, al establecerse para estos supuestos la regla general del consentimiento expreso del interesado para su realización, a menos que dichas acciones se refieran a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

A estos efectos, señala el informe anteriormente citado, que la Ley 34/2002 constituye una norma especial en relación con estas actividades, por lo que no podría acudirse para resolver la cuestión planteada en este punto a las previsiones del reglamento general de protección de datos, sino que habrá de tenerse en cuenta lo dispuesto en esta norma especial cuando las comunicaciones se lleven a cabo a través de medios electrónicos.

Por tanto, el régimen aplicable a las comunicaciones comerciales por medios electrónicos, en cuanto normativa específica, prevalece frente al régimen general del Reglamento de protección de datos, sin que la aprobación del mismo implique obligaciones adicionales, y sin perjuicio de que deba de procederse a la revisión de la Directiva 2002/58/CE para garantizar su coherencia con el RGPD.

Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil (WhatsApp).

¿Pero, como afecta a esta cuestión el reciente anuncio de la plataforma de mensajería?

Publicado en Blog

Como siempre hemos recalcado en este blog, cuando se vaya a realizar un tratamiento de datos de carácter personal debemos plantearnos si dicho tratamiento se realiza de forma lícita, y para ello, actualmente debemos examinar las bases que lo legitiman contempladas en el artículo 6 del Reglamento General de Protección de Datos (RGPD). En caso de que no se cumpla al menos con una de las condiciones que recoge este artículo, el tratamiento de datos se considerará ilícito.

Precisamente, sobre la licitud del tratamiento de los datos de los empleados de una empresa de Contact-Center, se ha pronunciado recientemente la Sala Cuarta de lo Social del Tribunal Supremo (TS) mediante una sentencia (ver aquí) con relación a la validez de la obtención del consentimiento de los empleados a través de una cláusula genérica recogida en el propio contrato laboral, para poder usar su imagen en las video llamadas realizadas para prestar los servicios de telemarketing.

En concreto, la cláusula tipo que incorpora la empresa a los contratos establece que “El trabajador consiente expresamente , conforme a la LO 1/1982, de 5 de mayo, RD 1720/2007 de Protección de Datos de carácter personal y Ley Orgánica 3/1985 de 29 de mayo, a la cesión de su imagen, tomada mediante cámara web o cualquier otro medio, siempre con el fin de desarrollar una actividad propia de telemarketing y cumplir, con el objeto del contrato y los requerimientos del contrato mercantil del cliente” .

El único fin que la empresa pretende conseguir con esta cláusula, es poder prestar correctamente sus servicios de atención al cliente, y para ello instala una cámara Webcam en los terminales de los trabajadores que intervienen en la videollamada.

Cabe señalar que, si, además, por cualquier motivo, la empresa desea utilizar la imagen de los trabajadores para la realización de actividades promocionales y publicitarias, en este caso la empresa sí estaba solicitando el consentimiento mediante una autorización específica y diferente.

Entonces, cabe plantearse dos preguntas:

¿Es necesario solicitar el consentimiento de los empleados para poder usar su imagen en el marco de las labores propias de su actividad? Y de ser necesario, ¿es válido obtenerlo mediante una cláusula contractual genérica?

Publicado en Blog

Solamente unos días después de que hayamos tenido las últimas elecciones en España, el Tribunal Constitucional (TC) se ha pronunciado al respecto del artículo 58 bis apartado 1 de la Ley Orgánica de Régimen Electoral General (LOREG) incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales(LOPDGDD), el cual permitía a los partidos políticos recopilar datos sobre las opiniones políticas de los ciudadanos, diciendo textualmente:

“La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas”.

Al respecto de este artículo, el pleno del TC ha aprobado por unanimidad una Sentencia cuyo fallo se ha conocido este mismo miércoles.

En este post vamos a destacar los puntos más importantes, en materia de protección de datos que se disponen en la mencionada Sentencia del TC.

¿Quién y porqué se interpuso este recurso?

El Recurso fue presentado por el Defensor de Pueblo en el mes de marzo, en el que, atendiendo a quejas y solicitudes de diferentes ciudadanos y juristas, se decidió solicitar la anulación del artículo 58.1 bis de la LOREG.

Los motivos de la interposición de este Recurso se fundamentan en la consideración de que se está produciendo la vulneración de los siguientes artículos de la Constitución Española (CE):

  • Principio de seguridad jurídica (Art. 9.3 CE).
  • Derecho a la libertad ideológica (Art. 16 CE).
  • Derecho a la Protección de Datos Personales (Art. 18.4 CE).
  • Derecho de participación política (Art.23.1 CE).
  • Principio de vinculatoriedad, reserva de ley y control constitucional de las leyes de desarrollo. (Art. 53.1 CE).

El Recurso fundamenta esta vulneración en el hecho de que el mencionado artículo permitía algo inédito en nuestro país, como es recopilar datos personales relativos a las opiniones políticas de los ciudadanos y utilizar este perfilado de cada persona enviar propaganda electoral por medios electrónicos o sistemas de mensajería.

Para poder entender por qué es algo inédito, hemos de tener en cuenta que las opiniones políticas de las personas son consideradas por la normativa de protección de datos como “datos de carácter personal especialmente protegidos” (art.9.2.a LOPDGDD), por lo que como regla general para tratar estos datos necesitaríamos el consentimiento explícito del interesado.

A lo anterior, debemos de añadir que el art 9.1. LOPGDD indica que el solo consentimiento del afectado no bastará para levantar la prohibición de tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para anular esta prohibición es precisamente para lo que se realizó la modificación normativa por la que se introdujo el apartado 1 del artículo 58 bis de la LOREG.

Cabe en este punto por tanto traer a colación los tres elementos más importantes de la interposición del recurso:

  • No se ha determinado la finalidad del tratamiento, más allá de la mención al “interés público”.
  • No se ha limitado el tratamiento de esos datos.
  • No se han establecido las garantías adecuadas para proteger los derechos fundamentales de los afectados.

Por lo que, debido a estas insuficiencias, se considera que el precepto impugnado habría incurrido en una doble y simultanea vulneración, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.

Precisamente esta consideración es ahora reafirmada por el TC en su sentencia, al estimar que el derecho fundamental afectado es el de protección de datos personales (Art.18.4 CE), desde una doble perspectiva:

En primer lugar, como derecho autónomo dirigido a controlar el flujo de informaciones concernientes a cada persona.

En segundo lugar, como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.

Una vez sentado esto, el TC enjuicia los tres elementos antes mencionados que conforman la impugnación central:

Publicado en Blog

¿Cuántas veces has recibido comunicaciones comerciales a través del correo electrónico o incluso en tu smartphone, de entidades que en ocasiones apenas conoces? Seguro que tantas, que resulta imposible contarlas, y mucho más recordarlas.

Lo cierto es, que estamos acostumbrados a aceptar términos y condiciones de contratación, o Políticas de Privacidad cuando realizamos la instalación de Apps en nuestros dispositivos móviles, compramos entradas para un evento, o incluso cuando queremos disfrutar de algún cupón de descuento.

Sin embargo, no siempre somos conscientes de los términos o cláusulas que hemos aceptado, y de cómo nuestros datos se pueden ver comprometidos debido a ello. En consecuencia, con gran frecuencia otorgamos nuestro consentimiento sin pensarlo un instante, accediendo entre otras cuestiones, a recibir comunicaciones comerciales, todo esto prácticamente sin darnos cuenta.

¿Qué podemos hacer para evitarlo?

Como ya sabemos, y hemos contado en otras ocasiones en este Blog (por ejemplo aquí, aquí, o aquí), es la Ley 34/2002, de 12 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), la norma que establece los términos que rigen el envío de informaciones comerciales a través de cualquier medio de comunicación electrónico.

De conformidad con el artículo 21 de la LSSI, con carácter general se encuentra prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Asimismo, también existe la posibilidad de realizar envíos de comunicaciones publicitarias cuando exista una relación contractual previa, siempre que, el prestador obtenga de forma lícita nuestros datos de contacto y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación.

En consecuencia, debemos saber que podremos recibir comunicaciones publicitarias en nuestro email o en nuestro móvil de manera lícita no solamente cuando hayamos otorgado nuestro consentimiento, sino también cuando la información que nos hagan llegar sea similar al producto o servicio que inicialmente hemos contratado.

En todo caso, no podemos olvidarnos de que el prestador de servicios deberá establecer, en cada envío publicitario, un mecanismo válido para que podamos oponernos al tratamiento de nuestros datos con los fines mencionados, mediante un procedimiento sencillo y gratuito.

Además, es necesario que tengamos presente que, solamente cuando hayamos ejercitado nuestro derecho de oposición y consideremos que este no ha sido atendido correctamente por el responsable del tratamiento prestador del servicio, podremos reclamar la tutela de nuestros derechos ante la AEPD.

¿Quiere esto decir que si nos damos de baja en la recepción de algún envío publicitario, dejaremos en todo caso de recibir esas comunicaciones?

Publicado en Blog
Página 1 de 3

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal