Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog

En estos momentos especiales suele ser típico que las empresas y/o profesionales realicemos envíos de felicitaciones navideñas, las cuales nos ayudan a dar una imagen mucho más humana y cercana para con clientes.
Sin embargo, no debemos olvidar que la dirección de correo electrónico es un dato de carácter personal, que se encuentra protegido por la siguiente normativa:

-Reglamento Europeo de Protección de Datos (RGPD).

-La reciente Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LO 3/2018 (LOPD).

-Así como la Ley 34/2002, de Servicios de la Sociedad de la Información y comercio electrónico (LSSI), la cual tiene por objeto la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, objeto que podemos encontrar reflejado en su propio artículo 1, a lo que debemos dejar claro que las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información.

La LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, par-tiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:
1. f) "Comunicación comercial: toda forma de comunicación dirigida a la promoción, direc-ta o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional."


De aquí podemos deducir que el envío por parte de una empresa o profesional de una felicitación navideña no podría escapar de esta definición, puesto que se considera como un evidente acto de promoción de la imagen. Pero pasemos a desarrollarlo:
En primer lugar, aclararemos por qué el correo electrónico se considera como un dato de carácter personal, esto es así dado que en la mayoría de los casos el correo electrónico tiene información acerca de su titular, o permite proceder a la identificación de este.


Por lo tanto, una vez que tenemos conocimiento de esto, deberemos estar muy atentos y contar con la solicitud previa o el consentimiento expreso del destinatario (artículo 21.1 LSSI):
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo elec-trónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”
Debemos de aplicar esto, a pesar de que resulte algo muy tentador y a la vez muy cómodo a la hora de enviar, ya que su coste es muy bajo y además con solo un “clic” estaremos enviando a toda nuestra lista de contactos.


Debemos de tener siempre en mente que sólo podremos utilizar el correo electrónico como medio para el envío de felicitaciones de Navidad a aquellos usuarios de los que dispon-gamos de un previo consentimiento para la recepción de comunicaciones comerciales.

Un punto para destacar de la LSSI en este ámbito es el siguiente:

Publicado en Blog

Retomamos el análisis realizado en anteriores publicaciones sobre las situaciones específicas del tratamiento de datos personales en el ámbito laboral, recogido en el artículo 88 del Reglamento General de Protección de Datos (RGPD).

Como ya hemos indicado, el artículo 88, habilita a los Estados miembros a crear normas más concretas, que incluyan las medidas adecuadas y específicas al respecto, prestando especial atención a:

1. la transparencia del tratamiento,
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta,
3. los sistemas de supervisión en el lugar de trabajo.

Los dos primeros puntos ya han sido objeto de nuestro análisis, por lo que nos centraremos hoy en el punto tres.

En nuestro ordenamiento jurídico, encontramos normativa específica relativa a los sistemas de supervisión en el lugar de trabajo. Nuestro Estatuto de los Trabajadores (ET), contempla esta cuestión en su artículo 20 al atribuir facultades concretas a los empresarios para controlar el desarrollo de la prestación laboral por parte de sus empleados.

En este sentido, las empresas podrán:

-Adoptar medidas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, respetando debidamente su dignidad humana. Pensemos en los sistemas de videovigilancia.

Publicado en Blog

Una semana más seguimos con nuestro análisis de las disposiciones relativas a situaciones específicas del tratamiento recogidas en el capítulo IX del Reglamento General de Protección de Datos (RGPD), en concreto respecto a los datos personales en el ámbito laboral.

Como ya indicamos en nuestro anterior post, el artículo 88 indica que los estados miembros pueden establecer normas más concretas en el ámbito laboral, que deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y derechos fundamentales, señalando que hay que prestar especial atención a:

1. la transparencia del tratamiento.
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
3. los sistemas de supervisión en el lugar de trabajo.

Al análisis de la transparencia del tratamiento le dedicamos nuestro último artículo, por lo que nos centraremos hoy en el punto dos:

TRANSFERENCIA DE DATOS PERSONALES DENTRO DE UN GRUPO EMPRESARIAL O UNA UNIÓN DE EMPRESAS DEDICADAS A UNA ACTIVIDAD ECONÓMICA CONJUNTA

Podemos decir, en primer lugar, que el actual Proyecto de Ley Orgánica de Protección de Datos (PLOPD) no hace referencia, o al menos de forma expresa a este tipo de transferencias dentro de un grupo empresarial. Sin embargo, si sería posible aplicar lo establecido en su artículo 21 en relación con la unión de empresas que se dedican a una misma actividad, donde sería presumible entender la licitud de los tratamientos de datos de los trabajadores que se puedan derivar como consecuencia de alguna operación de restructuración empresarial o de aportación o transmisión de negocio o de rama de actividad.

Si bien es cierto que en la actualidad todo parecer indicar que no existe ninguna norma concreta que contemple expresamente esta cuestión, la Agencia Española de Protección de Datos (AEPD)en su labor doctrinal ha emitido diferentes informes, como por ejemplo el Informe jurídico 0494/2008, cuyo criterio uniforme es el aplicable en la actualidad, y que consiste en que la existencia de un grupo de empresas no afecta al hecho de que aquellas que integran el mismo sean distintas personas jurídicas, de modo que la transferencia de datos personales de los trabajadores se produce entre dos personas jurídicas distintas e independientes, dejando constancia eso sí, de que no existe previsión legal que flexibilice los requisitos para la legitimidad de esta cesión, es decir, ésta sólo podrá realizarse atendiendo a las limitaciones y garantías que las leyes han establecido con carácter general.

Publicado en Blog

Continuando con el recorrido que venimos realizando a lo largo del RGPD, vamos a referirnos en este nuevo post a otra situación específica recogida en el Capítulo IX: el tratamiento de datos personales en el ámbito laboral recogido en el artículo 88:

1. Los Estados miembros pueden a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Estas normas, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y derechos fundamentales, prestando especial atención a:

• la transparencia del tratamiento,
• la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y,
• los sistemas de supervisión en el lugar de trabajo.

2. Cada Estado miembro debe notificar a la Comisión las disposiciones legales que adopte a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier modificación posterior de las mismas.

A su vez, el Considerando 155 hace referencia a esta cuestión y, añade que: “pueden establecer normas en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación y la ejecución del contrato laboral.”

Como podemos observar, la norma europea otorga especial protección al tratamiento de estos datos.

A nivel estatal, nuestra Constitución Española, reconoce el derecho a la libertad sindical, y la ley que lo desarrolla (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical), establece una serie de derechos, competencias y funciones para los representantes de los trabajadores que requiere del tratamiento de datos personales.

Además, disponemos de diferentes recursos en materia de protección de datos para abordar lo relativo a este ámbito, como por ejemplo la Guía sobre protección de datos en las relaciones laborales publicada por la AEPD en el año 2009 con el objetivo de examinar aquellos aspectos acerca de la protección de datos que, o bien resultan fundamentales desde el punto de vista de la propia aplicación y cumplimiento normativo, o bien plantean dificultades de interpretación o aplicación práctica.

Si bien el contenido de esta Guía hace referencia a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y al Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), sigue siendo una guía útil, y por ello nosotros vamos a utilizarla en este análisis para aquellas cuestiones que no se han visto modificadas con la llegada del RGPD y con el reciente Proyecto de LOPD (en adelante, PLOPD), adaptando su contenido a la normativa más actual.

Sin duda, la gestión de personal en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, y las relaciones con los sindicatos, que señala la Guía como puntos clave para su análisis, son cuestiones en las que tiene especial relevancia la protección de datos de carácter personal a la que el artículo 88 se refiere.

Publicado en Blog

Como ya hemos dicho en artículos anteriores de este blog, estamos llegando al final de nuestro análisis del Reglamento General de Protección de Datos (RGPD) y, en concreto, nos encontramos abordando el Capítulo IX, relativo a las disposiciones específicas de tratamiento.

En este artículo, vamos a tratar lo relativo al tratamiento del número nacional de identificación (DNI), que recoge el artículo 87 del RGPD y que viene a señalar que:

"Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizarán únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.” En relación a esta cuestión, no añade más el propio RGPD.

En lo que respecta a la regulación de esta materia en nuestro país, si bien el reciente Proyecto de LOPD no regula individualmente el tratamiento del DNI en cuanto a dato de carácter personal, sí que es cierto que el artículo 1.2 recoge en su generalidad que “El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la CE, se ejercerá con arreglo a lo establecido en el RGPD y en esta ley orgánica.” Y, a su vez el artículo 2 señala que “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.  

Publicado en Blog

La semana pasada el Tribunal de Justicia de la Unión Europea dictaba sentencia resolviendo las Cuestiones Prejudiciales planteadas por el Tribunal Supremo Civil y Penal Alemán, a raíz de la denuncia de un ciudadano alemán que se oponía, ante los órganos jurisdiccionales alemanes, a que los sitios de Internet de los organismos federales de su país registren y conserven sus direcciones de protocolo de Internet.

La primera cuestión prejudicial planteada por el tribunal alemán versa sobre si los datos que consisten en una dirección IP dinámica y en la fecha y hora de la sesión de consulta de un sitio de Internet, registrados por un proveedor de servicios de medios en línea no permiten, por sí solos, identificar al usuario que ha consultado ese sitio de Internet durante dicha sesión. En principio es el proveedor de acceso a Internet quien dispone de la información adicional que, combinada con esa dirección IP, permitiría identificar a dicho usuario

Sin embargo, el Tribunal Europeo expone que del tenor del artículo 2, letra a), de la Directiva 95/46 se desprende que se considera identificable a la persona que puede ser identificada no sólo directamente sino también indirectamente, y no es necesario que dicha información permita, por sí sola, identificar al interesado.

Continúa TJUE indicando, que para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados. Esto sugiere que para que un dato pueda ser calificado de dato personal no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona. Es decir, que la información adicional no esté en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso, no parece que pueda excluir que las direcciones IP dinámicas sigan constituyendo un dato de carácter personal.

Ahora toca preguntarse:

¿combinar los datos de una IP dinámica con la información del proveedor de acceso es un medio razonable?

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal