En un mundo como el actual, en constante cambio, es innegable el impacto que la tecnología tiene en el ámbito laboral. El papel que juegan las tecnologías no sólo afecta a la manera en que desarrollamos nuestro trabajo, sino también en el modo en que este es supervisado y, consecuentemente, controlado por el empleador. Así, no es la primera vez que analizamos, en el presente blog, el control laboral, su marco jurídico y la repercusión del mismo en el ámbito de protección de datos de los trabajadores (aquí, aquí y aquí).

En cuanto a métodos de control laboral se refiere, existe una amplia variedad a elección de la empresa o responsable del tratamiento atendiendo a qué es lo que se pretende controlar. Entre ellos: sistemas de videovigilancia, microchips de geolocalización en vehículos y dispositivos de empresa….etc. No obstante, si algo es claro es que no todos los métodos tienen el mismo impacto en nuestra privacidad; porque, admitámoslo, contar con un sistema de videovigilancia en determinados espacios de nuestro trabajo puede aportarnos hasta un cierto grado de seguridad y protección frente a la comisión de hechos ilícitos frente a nuestra persona pero ¿y si lo que controlasen fuesen nuestras palabras? ¿qué ocurriría entonces?.

Bien, esta es la casuística ante la que nos encontramos en el pronunciamiento que analizamos en nuestra publicación de hoy y que fue objeto de denuncia ante la Agencia Española de Protección de Datos (en adelante, AEPD) por parte de la Confederación sindical de la unión general de trabajadores.

El sindicato reclamante denunciaba:

- Por un lado, que se producían grabaciones de conversaciones personales de los trabajadores en su entorno laboral sin que éstos hubiesen prestado su consentimiento ni autorización.
- Por otro, la desinformación, por parte de la empresa, al comité de empresa, sobre el objeto y tratamiento de estas grabaciones.

A la vista de los hechos denunciados, y los documentos aportados por el reclamante, se admite a trámite la denuncia y se inician las investigaciones oportunas, por parte de la autoridad de control, de los argumentos alegados por el reclamante; dando, consecuentemente, traslado de la denuncia a la entidad reclamada.

La entidad reclamada alega que la decisión de incorporar este mecanismo de control responde a los siguientes hechos:

- Una serie de denuncias de las encargadas de turno en relación con agravios recibidos por parte de sus trabajadoras.
- Intento de agresión física que sufre una de las encargadas por parte de una trabajadora.
- Quejas del Comité de Empresa acerca de la forma de dirigirse las Encargadas de turno a las trabajadoras.

Alega, asimismo que todas las conversaciones son en el ámbito de trabajo y que, en ningún caso, se captan conversaciones personales así como que las mismas son conservadas siempre que se detecte alguna conducta vejatoria objeto de denuncia pero que, en ningún caso, se conservan conversaciones que no supongan conductas ilícitas por parte de las trabajadoras.

Analizados los fundamentos de la entidad reclamada, la AEPD acuerda iniciar procedimiento sancionador (PS-00067-2020) a la misma, por un posible incumplimiento del principio de información recogido en el artículo 13 del Reglamento General de Protección de Datos (en adelante, RGPD).

Fundamentos esgrimidos por la AEPD en su procedimiento sancionador.

Publicado en Blog

Cuando parece que la pandemia COVID-19 empieza a dar un respiro en determinados países, estos van volviendo, según las pautas marcadas por sus autoridades competentes al respecto, a la “normalidad”. Una normalidad que lejos de ser lo que hasta ahora entendíamos por tal, implica interactuar con medidas de contención tales cómo distancias de seguridad, tomas de temperatura en algunos comercios y centros de trabajo…etc. Nos encontramos en la era post COVID-19.

No es la primera vez que hablamos de la “nueva normalidad” en el presente blog (aquí y aquí). No obstante, a lo largo de la publicación de hoy, centraremos nuestra atención en cómo está, esta, afectando al ámbito laboral. ¿Qué repercusiones ha traído consigo esta pandemia para empresas y trabajadores?

Cuando hace ya algunos meses fue decretado en España el estado de alarma mediante Real Decreto 463/2020, de 14 de marzo, nuestra realidad social y laboral dio un giro de 180 grados. Como sociedad, nos enfrentamos a cambio de hábitos diarios, de costumbres sociales y de pautas laborales que obligó a muchas empresas a moldear, de manera repentina, sus modos de trabajo; instaurándose, el teletrabajo como el modelo por excelencia. A instancia de los diferentes Reales Decretos de medidas urgentes, publicados a lo largo de los pasados meses para hacer frente al impacto económico y social provocado por la pandemia, el teletrabajo debía ser el método de trabajo preferente por el que se debía optar, si ello era técnica y razonablemente posible y si el esfuerzo de adaptación necesario resultaba proporcionado para las empresas.

El incuestionable avance de las nuevas tecnologías facilitó el proceso de adaptación a la nueva realidad laboral convirtiéndose estas en un elemento esencial en esta situación de excepcionalidad sanitaria.  No obstante, el uso de las nuevas tecnologías es muy amplio y, a la vez que estas servían de herramienta para facilitar el aislamiento social, también fueron vistas por muchas empresas como una oportunidad para controlar lo que sus trabajadores hacían en casa.

Ello mediante el uso de software de vigilancia que permiten registrar el uso del teclado, los movimientos del ratón, los sitios web que se visitan, o a través de sistemas que captan fotografías o vídeos para comprobar que el trabajador se encuentra en su puesto de trabajo. Sin embargo, hay empresas que buscan dar un paso más en este control laboral haciendo uso de herramientas que monitorean la rapidez con la que los empleados completan diferentes tareas o las interacciones entre los empleados para identificar quién colabora más dentro de una empresa, que los directivos pueden usar para identificar a los empleados que les convendría mantener, y a aquellos que no.

¿Realmente son proporcionales estas medidas, enfocadas en la productividad del trabajador?, ¿cumplen, estas, con la normativa actualmente vigente en materia de protección de datos?

Publicado en Blog

La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.

En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.

Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.

Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.

Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.

Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.

En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.

TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.

1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:

a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de 'pintar' una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.

La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.

Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).

Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.

No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.

No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.

2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:

a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.

En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).

Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:

Publicado en Blog

Cada día son más las normas sectoriales afectadas por la protección de datos de carácter personal, llegando a alcanzar desde el sector sanitario, protección de menores, publicidad, videovigilancia hasta la prevención del fraude, entre otros. En ocasiones han sido tratadas en nuestro Blog algunas de estas materias (como aquí, aquí o aquí), pero queremos centrar esta publicación en el análisis de la relación que guardan la normativa en materia de Prevención de Blanqueo de Capitales y las normas de Protección de Datos Personales.

Para ello, enfocaremos nuestra atención exclusivamente en la normativa que se encontraba vigente a fecha de 25 de mayo de 2018, resultando ya exigible el Reglamento Europeo de Protección de Datos (RGPD) y aquella que resulta aplicable a día de hoy:

Por lo tanto, analizamos a continuación los principios y derechos en materia de protección de datos que se encuentran regulados en esta normativa específica, así como los cambios que ha introducido la quinta Directiva en materia de prevención de blanqueo de capitales a este respecto.  

 Principios y Derechos  Ley 10/2010  Directiva 2018/843
 Principio de información El artículo 32.3 contempla la exención al deber de informar al interesado, haciendo referencia en este caso a la ya derogada Ley Orgánica 15/1999.

No realiza ningún pronunciamiento respecto a la exención a informar al interesado.

Habrá que atender a la transposición de la Directiva al ordenamiento jurídico español, para conocer si el legislador mantiene la exención prevista en la Ley 10/2010, haciendo en este caso remisión al RGPD, en lugar de la LOPD 15/1999. 

 Legitimación El artículo 32 determina que no es preciso el consentimiento del afectado para el tratamiento de los datos de carácter personal contenidos en los mencionados ficheros.  La modificación del artículo 43 introduce que el tratamiento de datos personales en virtud de la presente Directiva a fines de prevención del blanqueo de capitales y la financiación del terrorismo se considerará de interés público. Entendemos por tanto que este tratamiento estará legitimado conforme al artículo 6.1 e) RGPD.
 Plazo de conservación El artículo 25 indica que los sujetos obligados conservarán durante un período de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la presente ley.  No introduce cambios al respecto, al mantener en el artículo 40 que la prórroga máxima del período de conservación de cinco años no excederá de un período de cinco años adicionales. Así, el plazo actual de diez años establecido en la normativa española, se mantiene dentro de los límites mínimo y máximo ahora fijados por la Directiva.
 Derechos de los interesados El artículo 32.3. contempla que no serán de aplicación a los ficheros y tratamientos a los que se refiere este precepto las normas contenidas en la citada Ley Orgánica referidas al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En caso de ejercicio de los citados derechos por el interesado, los sujetos obligados se limitarán a ponerle de manifiesto lo dispuesto en este artículo.

No realiza modificaciones al respecto, por lo que podemos interpretar que el contenido del Considerando 46 de la cuarta Directiva a este respecto, continuará siendo aplicable, entendiendo la remisión realizada a la Directiva 95/46/CE al RGPD.

Sin perjuicio de todo lo anterior, consideramos merecedor de un estudio más específico, el ámbito de aplicación subjetivo de la Ley 10/2010 y los cambios introducidos por la Directiva 2018/843 a este respecto. ¿Por qué nos interesa esta cuestión en especial?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

Sanción histórica a LaLiga: 250.000€ por 'espiar' con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).

Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.

Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.

De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:

“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”

Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:

¿Trata la AppLiga datos personales?

Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:

Publicado en Blog

Estas últimas semanas, los medios de comunicación se han hecho eco de la obligación aplicable a empresarios o autónomos que cuenten con trabajadores a su cargo, de cumplir con un registro de la jornada laboral de los trabajadores, obligación que deriva del  Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante Estatuto de los Trabajadores), y que será aplicable a partir del día 12 de mayo.

Pero, ¿qué supone la llevanza de este registro en la práctica?

  • Este registro deberá incluir como mínimo el horario concreto de inicio y finalización de la jornada de cada trabajador, sin perjuicio de la flexibilidad horaria establecida. Además, se ha manifestado, que no será suficiente la realización de un cuadrante, pues no se consideran un registro de jornada a efectos de cumplir lo establecido en el Estatuto de los Trabajadores.
  • También resulta de aplicación a trabajadores que realicen teletrabajo, o con movilidad geográfica.
  • La organización y la documentación del registro debe abordarse vía negociación colectiva o acuerdo de empresa. En su defecto, se establecerá por decisión unilateral del empresario previa consulta con la representación legal de los trabajadores.
  • El legislador no ha establecido una fórmula legal subsidiaria ante la falta de acuerdo.
  • En el supuesto de que no exista representación legal de los trabajadores, la ley no prevé la creación de una comisión ad hoc, por lo que debe quedar claro que la obligación de garantizar un registro horario corresponde al empleador.

¿Qué impacto tiene este registro en materia de protección de datos?

Publicado en Blog

¿Alguna vez te has preguntado cuántas cámaras de vigilancia pueden captar tu imagen de camino a casa? Lo cierto es que, en nuestra sociedad de hoy día, vivimos rodeados de grandes hermanos que “vigilan” cada una de nuestras áreas de actividad personal y laboral: el supermercado, el banco, la farmacia, la calle, el Centro Comercial … etc.

Acostumbrados a ello, o no, las cámaras de videovigilancia son una realidad constatada en nuestra vida. Y no sólo eso, sino que el número de las mismas se ha visto aumentado exponencialmente a lo largo de los últimos años.

En lo que se refiere a la finalidad última perseguida con la instalación de estos dispositivos, esta puede ser muy variada: por seguridad, como medio de obtención de pruebas, para vigilancia o control laboral, como apoyo para la información meteorológica, para la promoción turística o, incluso, para el control y vigilancia del tráfico en nuestras ciudades y carreteras.

Es precisamente respecto a esta última finalidad mencionada, sobre la que centraremos el desarrollo del post de hoy. Para ello, tomaremos como punto de partida un reciente Informe publicado por la Agencia Española de Protección de Datos (en adelante, AEPD) y en el cual, se aborda la legalidad sobre la instalación de cámaras fijas con fines de control del tráfico ubicadas, concretamente, en semáforos.

Ya lo comentábamos en nuestro post de la semana pasada (ver aquí); los dispositivos de videovigilancia pueden tener un carácter fijo o móvil. Y si bien, en el mencionado post, centrábamos nuestra atención en las cámaras móviles, en esta ocasión nos focalizaremos en las cámaras de videovigilancia fijas. ¿Son estás cámaras acordes a la legislación vigente?, ¿Qué requisitos han de cumplir para ello?

Recordemos que las cámaras que vigilan la vía y espacios públicos sólo pueden ser operadas, con carácter general, por las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dispone la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos (en adelante, LO 4/1997) y el Real Decreto 596/1999, de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de la Ley Orgánica 4/1997 (en adelante, RD 596/1999).

Atendiendo a lo establecido en el marco normativo regulatorio descrito, así como en el Informe jurídico de la AEPD objeto de este artículo, las cámaras fijas instaladas deberán cumplir con el principio de proporcionalidad, de modo que el sistema escogido sea tal y como indica el artículo 6 de la LO 4/1997:

- Idóneo para el mantenimiento de la seguridad ciudadana.
- Ponderado o equilibrado por derivarse de su instalación más beneficios o ventajas para el interés general que perjuicios sobre los derechos de honor, propia imagen e intimidad de los ciudadanos afectados.
- Necesario como consecuencia de la existencia de un razonable riesgo para la seguridad ciudadana.

¿Quién será el órgano competente y encargado para instalar dichas cámaras de videovigilancia fijas?

Lo primero que hemos de indicar es que, tal y como recoge el artículo 3 de la LO 4/1997, la instalación de videocámaras de carácter fijo está sujeta al régimen de autorización. Serán las Administraciones públicas con competencia para la regulación del tráfico las que, a través de una resolución, previo informe preceptivo y vinculante de la Comisión de Garantías de la Videovigilancia de la Comunidad Autónoma correspondiente, autorizarán la instalación y el uso de las cámaras de videovigilancia. Así lo establece el artículo 2 de la disposición adicional única del RD 596/1999.  

En lo que se refiere al contenido de dicha resolución, es el propio artículo 3 de la LO 4/1997, el que recoge los requisitos que deberán tener las resoluciones que autoricen las instalaciones fijas:

Publicado en Blog

"España, cada vez más cerca de aprobar su nueva LOPD". Esta noticia, ha sido, a lo largo de estas últimas semanas, una de las cuestiones más comentadas, a nivel nacional, en el ámbito de la protección de datos.

Cómo ya mencionamos en nuestro post de la semana anterior, el pasado 9 de octubre, se alcanzó, por parte de los distintos grupos parlamentarios, un consenso político para la aprobación de la nueva versión de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, Proyecto) que, actualmente, y siguiendo el orden de las etapas que integran el procedimiento legislativo, se encuentra en fase de tramitación en el Senado, desde que el pasado 18 de octubre el Pleno del Congreso de los Diputados aprobase, por unanimidad, la nueva versión de este Proyecto de Ley.

Por todos es sabido que el Proyecto tiene como finalidad principal la adaptación de la normativa española de protección de datos personales al marco desarrollado por el Reglamento Europeo de Protección de Datos, clarificando algunos de los puntos más relevantes desarrollados en el mismo. Sin embargo, no hemos de perder de vista, que la protección de datos y el tratamiento de la información personal va evolucionando y modificándose conforme las nuevas tecnologías avanzan. En aras de poder ajustarnos a esa evolución y garantizar la máxima protección a los interesados, este Proyecto busca ampliar a Internet, la exigencia y aplicación de los derechos y libertades reconocidos en la Constitución Española y en los Tratados Internacionales tal y como el propio Proyecto recoge en su artículo 79.

¿Cómo lleva a efecto la nueva versión del Proyecto este propósito?

A través de la creación del Título X, denominado “Garantías de los derechos digitales”. Un título, conformado por un total de 19 artículos, que se ha convertido en uno de los grandes protagonistas de este texto normativo, y cuyo objeto principal es reconocer y garantizar un elenco de derechos digitales de los ciudadanos.

Parte, este articulado, de la búsqueda de una garantía de acceso universal a Internet para todos los ciudadanos, con independencia de la condición personal, social, económica o geográfica de los mismos y con el fin último de luchar contra las brechas de género, residenciales, generacionales o por razón de la discapacidad (artículo 81).

Asimismo, se establecen obligaciones para los proveedores de servicios que deberán proporcionar una oferta transparente de servicios sin discriminación por motivos técnicos o económicos, así como informar a los usuarios de sus derechos en materia de seguridad de las comunicaciones (artículo 80).

¿En qué otros ámbitos centra su desarrollo este nuevo título?

Publicado en Blog

 

Para finalizar el estudio y análisis de la guía publicada por la Agencia Española de Protección de Datos (en adelante AEPD) el pasado mes de junio sobre el uso de videocámaras para seguridad y otras finalidades, en el presente artículo vamos a proceder a comentar las dos últimas cuestiones que aborda la AEPD en relación al tratamiento de imágenes a través de las tecnologías emergentes, mediante las denominadas cámaras “on board” y mediante el uso de drones; así como aquellos supuestos donde, a pesar de producirse un tratamiento de imágenes, la normativa de protección de datos no sería de aplicación.

Respecto del tratamiento de imágenes a través de las tecnologías emergentes, se procede a un breve análisis de los tratamientos de las cámaras “On board” y del uso de drones, remitiendo la Guía a una serie de informes jurídicos que permiten ampliar la información de ambos supuestos.

  • Las llamadas cámaras on “board”, son aquellas que se encuentran instaladas en el interior de los vehículos, o bien en el casco del conductor, y cuya finalidad reside en ir grabando el recorrido realizado. Señala la guía una serie de supuestos a los que debemos atender:

    - Cuando éstas se utilizan con finalidades domésticas, se encontrarían excluidas del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante RGPD), salvo que tales grabaciones fueran difundidas en las redes sociales, supuesto donde el Reglamento pasaría a ser de plena aplicación.

    - La Guía hace una especial mención a las grabaciones y captaciones de imágenes en el exterior de los vehículos cuando la finalidad sea la obtención de algún tipo de prueba, a fin de denunciar alguna posible infracción de tráfico. El informe jurídico que se recoge en la Guía da respuesta a esta cuestión, planteando asimismo si tales tratamientos serían o no conformes al RGPD.
    Los sistemas de videovigilancia, al considerarse un tratamiento de datos personales en virtud de los artículos 1.1 y 1.2 del RGPD, han de contar con una fuente de legitimación que ampare dicho tratamiento, previa realización de un juicio de ponderación en aras de determinar qué derecho ha de prevalecer sobre el otro. El interés legítimo, recogido en el art. 6 apartado f) RGPD podría operar siempre y cuando traiga cobertura del derecho de la tutela judicial efectiva.
    Si bien es cierto que la LO 4/1994, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de seguridad en lugares públicos les atribuye competencia exclusiva para la instalación de videocámaras en lugares públicos, podría legitimarse dicho tratamiento de captación de imágenes siempre y cuando se garanticen los principios de limitación y minimización de datos, recogidos en el RGPD. en virtud del art. 5 RGPD .

A pesar de encontrarse dicho tratamiento amparado por el principio de la tutela judicial efectiva, debemos puntualizar que este derecho ha de concretarse de algún modo. El informe de la AEPD de 13 de abril de 2015 expone algunos supuestos :

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal