El creciente volumen de información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, favorece su reutilización para la provisión de nuevos productos y servicios.

La Agencia Española de Protección de Datos (en adelante AEPD), elaboró en su día unas orientaciones sobre la reutilización de la información del sector público con la finalidad de facilitar criterios que contribuyan de una manera equilibrada a favorecer la reutilización de la información pública minimizando los riesgos que sobre el derecho a la protección de datos personales pueda implicar para los ciudadanos.

Ahora bien, en la misma línea y al hilo de lo anteriormente expuesto, la AEPD publicó recientemente un informe en respuesta a la consulta planteada como consecuencia de la puesta en marcha del programa de ACCESO A FONDOS DOCUMENTALES Y OBRAS (ATOPO), por la Diputación de Pontevedra.

¿En qué consiste el Programa ATOPO?

La ejecución del programa ATOPO, supone la publicación y por tanto el acceso de los ciudadanos- a información proveniente de diversas fuentes, tales como repositorio de colecciones y fondos documentales, bibliográficos, cartográficos y audiovisuales, depositados en el Museo de Pontevedra, en el Servicio de Patrimonio Documental y Bibliográfico, e incluso procedentes (a través de los correspondientes convenios), de los archivos municipales y de otras instituciones, públicas o privadas, de la provincia.

A través de este programa se pretende facilitar el acceso de modo universal, directo, sin identificación ni autorización, previa definición de los límites y condiciones de otras normativas aplicables entre las que se encuentra la de protección de datos personales.

Como punto de partida, acudiendo a la definición de tratamiento de datos personales del art. 4.2 del RGPD podemos considerar la existencia de tratamiento de datos personales en la ejecución del programa ATOPO.

Por tanto, una vez determinada la existencia del tratamiento debemos hacernos la siguiente pregunta:

¿Cuáles podrían ser las bases de legitimación del tratamiento del programa ATOPO? 

Publicado en Blog

Cuando parece que la pandemia COVID-19 empieza a dar un respiro en determinados países, estos van volviendo, según las pautas marcadas por sus autoridades competentes al respecto, a la “normalidad”. Una normalidad que lejos de ser lo que hasta ahora entendíamos por tal, implica interactuar con medidas de contención tales cómo distancias de seguridad, tomas de temperatura en algunos comercios y centros de trabajo…etc. Nos encontramos en la era post COVID-19.

No es la primera vez que hablamos de la “nueva normalidad” en el presente blog (aquí y aquí). No obstante, a lo largo de la publicación de hoy, centraremos nuestra atención en cómo está, esta, afectando al ámbito laboral. ¿Qué repercusiones ha traído consigo esta pandemia para empresas y trabajadores?

Cuando hace ya algunos meses fue decretado en España el estado de alarma mediante Real Decreto 463/2020, de 14 de marzo, nuestra realidad social y laboral dio un giro de 180 grados. Como sociedad, nos enfrentamos a cambio de hábitos diarios, de costumbres sociales y de pautas laborales que obligó a muchas empresas a moldear, de manera repentina, sus modos de trabajo; instaurándose, el teletrabajo como el modelo por excelencia. A instancia de los diferentes Reales Decretos de medidas urgentes, publicados a lo largo de los pasados meses para hacer frente al impacto económico y social provocado por la pandemia, el teletrabajo debía ser el método de trabajo preferente por el que se debía optar, si ello era técnica y razonablemente posible y si el esfuerzo de adaptación necesario resultaba proporcionado para las empresas.

El incuestionable avance de las nuevas tecnologías facilitó el proceso de adaptación a la nueva realidad laboral convirtiéndose estas en un elemento esencial en esta situación de excepcionalidad sanitaria.  No obstante, el uso de las nuevas tecnologías es muy amplio y, a la vez que estas servían de herramienta para facilitar el aislamiento social, también fueron vistas por muchas empresas como una oportunidad para controlar lo que sus trabajadores hacían en casa.

Ello mediante el uso de software de vigilancia que permiten registrar el uso del teclado, los movimientos del ratón, los sitios web que se visitan, o a través de sistemas que captan fotografías o vídeos para comprobar que el trabajador se encuentra en su puesto de trabajo. Sin embargo, hay empresas que buscan dar un paso más en este control laboral haciendo uso de herramientas que monitorean la rapidez con la que los empleados completan diferentes tareas o las interacciones entre los empleados para identificar quién colabora más dentro de una empresa, que los directivos pueden usar para identificar a los empleados que les convendría mantener, y a aquellos que no.

¿Realmente son proporcionales estas medidas, enfocadas en la productividad del trabajador?, ¿cumplen, estas, con la normativa actualmente vigente en materia de protección de datos?

Publicado en Blog

Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

Publicado en Blog

La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.

En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.

Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.

Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.

Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.

Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.

En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.

TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.

1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:

a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de 'pintar' una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.

La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.

Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).

Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.

No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.

No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.

2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:

a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.

En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).

Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:

Publicado en Blog

El pasado 20 de junio, se publicaba la Directiva UE 2019/1024 del Parlamento Europeo del Consejo relativa a los datos abiertos y la reutilización de la información del sector público (en adelante Directiva UE 2019/1024 o la Directiva), con el fin de explotar plenamente el potencial de la información del sector público para la economía y la sociedad europea, para así afrontar los obstáculos de una amplia reutilización de datos abiertos, y actualizar el marco legislativo acorde con los avances en las tecnologías digitales. Así, modifica de forma sustancial, las anteriores normas que regulaban esta materia, la Directiva 2003/98/CE del Parlamento Europeo  y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público y la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica (en adelante Directiva 2013/37/UE).

Los cambios de fondo de esta Directiva se centran en la prestación de acceso en tiempo real a los datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos valiosos para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación, haciendo frente a la aparición de nuevas formas de acuerdos exclusivos, el uso de excepciones al principio de tarificación del coste marginal, así como la relación entre la presente Directiva y determinados instrumentos jurídicos conexos, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante RGPD) y las Directivas 96/9/CE, 2003/4/CE, y 2007/2/CE, del Parlamento Europeo y del Consejo.

Ahora bien, ¿en qué consisten realmente la reutilización de la información del sector público y los datos abiertos?

En lo que respecta a la reutilización de la información en el sector público, se entiende como tal, el uso de documentos que obran en poder de organismos del sector público y empresas públicas, por parte de personas físicas o jurídicas.

Por otra parte, la propia Directiva, en su considerando 16, entiende por datos abiertos, los datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin. A este respecto, las políticas de apertura de información que propician la disponibilidad y la reutilización generalizadas de la información del sector público con fines privados o comerciales, pueden desempeñar una función importante a la hora de fomentar el compromiso social e impulsar y promover el desarrollo de nuevos servicios basados en formas novedosas de combinar y utilizar esa información.

Partiendo de la consideración del acceso a la información como un derecho fundamental, así regulado en el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante la Carta), que comprende la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras, la información del sector público se considera una fuente extraordinaria de datos que pueden contribuir a mejorar el mercado único y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

En concreto, el artículo 1.1 de la Directiva, determina su ámbito de aplicación, y, atendiendo a ello, tendrán la consideración de datos abiertos:

a. Los documentos existentes conservados por organismos del sector público de los Estados miembros.

b. Los documentos existentes conservados por empresas públicas que:

c. Los datos de investigación, debiendo tener en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos.

Asimismo, en el apartado 2 del mismo artículo, se incluye un listado exhaustivo de supuestos de no aplicación, entre los que destacamos la letra h), ya contemplada en las modificaciones introducidas por la Directiva 2013/37/UE: aquellos documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas.

¿Tiene esta Directiva injerencia en materia de protección de datos personales?

Publicado en Blog

Es muy probable que hayas oído hablar del derecho al olvido y te preguntarás, ¿Qué es exactamente? Pues bien, en este artículo nos vamos a centrar en explicar este derecho que todos los ciudadanos tenemos reconocido, como ya hemos hecho en otros artículos de nuestro blog pinchando aquí.

Para comenzar, nos gustaría recordar que el derecho al olvido es un concepto relacionado con el Habeas Data (derecho de control del individuo sobre sus datos o información personal, además de la exclusión de toda injerencia en su vida privada) y la protección de datos personales, el derecho al honor, intimidad e imagen, todos ellos Derechos Fundamentales reconocidos en nuestra Constitución (C.E).

Según la Agencia Española de Protección de Datos (AEPD):

El “derecho al olvido hace referencia al derecho que tiene un ciudadano a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa”.

Además, indica la AEPD que este derecho incluye la posibilidad de limitar la difusión de datos personales, incluso cuando la publicación original sea legítima, cuando refiere que:

“La difusión universal e ilimitada de información que ya no tiene relevancia ni interés público a través de los buscadores causa una lesión a los derechos de las personas”.

Determinado el concepto del derecho al olvido, y si bien esta cuestión ya ha sido analizada en profundidad en nuestro blog (si te interesa este análisis pincha aquí), consideramos necesario mencionar que este derecho, se encuentra regulado por una parte en el artículo 17 del Reglamento General de Protección de datos (RGPD), y por otra parte, exclusivamente en el ámbito de Internet, en el artículo 93 de la Ley Orgánica de Proteccion de Datos y de Garantías de los Derechos Digitales.

Una vez hemos recordado los conceptos y aspectos que rigen en el derecho al olvido, cabe destacar que la importancia de la reivindicación de este derecho viene ligado a grandes buscadores como puede ser Google, ya que basta con teclear el nombre de una persona, algo tan simple como un “click” para que podamos acceder a información relativa a la misma. Información que, aunque a simple vista parezca inofensiva, en muchos casos puede estar atentando contra los Derechos Fundamentales inherentes a esa persona y a su vez vulnerando los principios que rigen en el Derecho a la Protección de Datos.

A este respecto, consideramos necesario hacer referencia a la reciente Sentencia 12/2019 de 11 Enero, Rec. 5579/2017, del Tribunal Supremo, en la cual se viene a tratar lo siguiente:

La persona afectada por una supuesta lesión del derecho al honor, a la intimidad personal y familiar y a la propia imagen, está legitimada para fundamentar válidamente una acción de reclamación ante la entidad proveedora de los servicios del motor de búsqueda en internet, o ante la AEPD, cuando los resultados del motor de búsqueda ofrezcan datos sustancialmente erróneos o inexactos que supongan una desvalorización de la imagen reputacional que se revele injustificada por contradecir pronunciamientos formulados en una resolución firme.

En el caso que nos atañe, la persona afectada interpone su acción de reclamación ante Google, reconocida por la Audiencia Nacional mediante Sentencia, pero Google decide recurrir esta Sentencia ante el Tribunal Supremo. ¿Por qué? El gigante tecnológico considera que no está lesionando los derechos del interesado.

Sin embargo, en el fallo de la Sentencia, el Tribunal Supremo estima no haber lugar al recurso de casación interpuesto por Google, reconociéndole a la persona afectada su Derecho al Olvido.

Este derecho al olvido de la persona afectada se fundamenta del siguiente modo:

Publicado en Blog

El equivalente en Francia a la autoridad de control española en materia de protección de datos (AEPD) es la “Commission nationale de l'informatique et des libertés” (CNIL), una autoridad pública e independiente cuya misión igualmente es garantizar el cumplimiento y la correcta aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.

Este organismo sancionó el pasado 21 de enero a la sociedad GOOGLE LLC (en adelante, GOOGLE) con una de las máximas sanciones previstas en el RGPD, en concreto, con 50 millones de euros, en aplicación de lo dispuesto en el artículo 83 del RGPD “se sancionará con una multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. (ver aquí Resolución en francés)
La CNIL recibió en el mes de mayo dos denuncias colectivas por parte de la asociación “None Of Your Business (NOYB)” y “La Quadrature du Net (LQDN)” en las que se ponía de manifiesto que GOOGLE no tenía una base jurídica válida para tratar los datos personales de sus usuarios para poder personalizar los anuncios publicitarios que aparecían en sus cuentas.

Esto en la práctica suponía que los usuarios a la hora de configurar su cuenta de Google podían permitir que su perfil pudiera ser analizado con el fin de que la publicidad que les llegue sea lo más personalizada posible.

En primer lugar, hemos de indicar que la CNIL en esta misma Resolución trata una de las novedades introducidas por el RGPD: el mecanismo de ventanilla única

El Considerando 127 del RGPD prevé la posibilidad de que cada autoridad de control que no actúe como autoridad principal, pueda ser competente para tratar asuntos en los que, si bien el responsable o el encargado del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento se refiera y afecte en exclusiva en un único Estado y únicamente a interesados de ese Estado.

En tales casos, la autoridad de control debe informar sin dilación a la autoridad de control principal, que es la del país en que se encuentra su establecimiento principal, y una vez informada, ésta debe decidir si:

- Tratará el asunto atendiendo a la cooperación con las otras autoridades de control interesadas. Esta forma de proceder es denominada como “mecanismo de ventanilla única”),
- Tratará el asunto la autoridad de control que le haya informado.

En el presente caso, la CNIL antes de tomar una decisión al respecto y en aras de coordinarse con las otras autoridades, comunicó estas denuncias colectivas que había recibido a la autoridad de control irlandesa por considerarla como la autoridad de control principal al encontrarse las oficinas centrales de GOOGLE.

Publicado en Blog

Continuando con el recorrido que venimos realizando a lo largo del RGPD, vamos a referirnos en este nuevo post a otra situación específica recogida en el Capítulo IX: el tratamiento de datos personales en el ámbito laboral recogido en el artículo 88:

1. Los Estados miembros pueden a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Estas normas, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y derechos fundamentales, prestando especial atención a:

• la transparencia del tratamiento,
• la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y,
• los sistemas de supervisión en el lugar de trabajo.

2. Cada Estado miembro debe notificar a la Comisión las disposiciones legales que adopte a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier modificación posterior de las mismas.

A su vez, el Considerando 155 hace referencia a esta cuestión y, añade que: “pueden establecer normas en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación y la ejecución del contrato laboral.”

Como podemos observar, la norma europea otorga especial protección al tratamiento de estos datos.

A nivel estatal, nuestra Constitución Española, reconoce el derecho a la libertad sindical, y la ley que lo desarrolla (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical), establece una serie de derechos, competencias y funciones para los representantes de los trabajadores que requiere del tratamiento de datos personales.

Además, disponemos de diferentes recursos en materia de protección de datos para abordar lo relativo a este ámbito, como por ejemplo la Guía sobre protección de datos en las relaciones laborales publicada por la AEPD en el año 2009 con el objetivo de examinar aquellos aspectos acerca de la protección de datos que, o bien resultan fundamentales desde el punto de vista de la propia aplicación y cumplimiento normativo, o bien plantean dificultades de interpretación o aplicación práctica.

Si bien el contenido de esta Guía hace referencia a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y al Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), sigue siendo una guía útil, y por ello nosotros vamos a utilizarla en este análisis para aquellas cuestiones que no se han visto modificadas con la llegada del RGPD y con el reciente Proyecto de LOPD (en adelante, PLOPD), adaptando su contenido a la normativa más actual.

Sin duda, la gestión de personal en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, y las relaciones con los sindicatos, que señala la Guía como puntos clave para su análisis, son cuestiones en las que tiene especial relevancia la protección de datos de carácter personal a la que el artículo 88 se refiere.

Publicado en Blog

Ya habéis podido observar, a través de los diferentes artículos que semanalmente vamos publicando con el análisis pormenorizado del Reglamento General de Protección de Datos, que la norma europea está llena de novedades bien en forma de principios, derechos u obligaciones que debemos empezar ya a tomar conciencia de las mismas, para que nuestra adaptación al RGPD se realice de forma adecuada.

En el presente artículo hablaremos de los <corresponsables> nueva figura que encontramos en el artículo 26 del RGPD.

A pesar de que el RGPD no define a los corresponsables como tal en su artículo 4, el mencionado artículo 26 nos da las pautas para entender cuándo estaremos ante un corresponsable, es decir: “cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”. Realmente lo que hace el RGPD es dar un nombre a algo que ya veníamos aplicando.

Pero además la norma europea nos indica qué obligaciones deberán cumplir los corresponsables, esto es, deberán:

Publicado en Blog
Miércoles, 14 Septiembre 2016 15:41

Derechos del interesado. RGPD. Parte I.

Seguimos con nuestra serie de artículos dedicados al análisis del Reglamento General de Protección de Datos.

Empezamos hoy con una serie de post dedicados a los derechos del interesado, es decir ¿cuáles son los derechos que tenemos todos los que somos titulares de datos de carácter personal según el RGPD?: 

La transparencia como derecho.

En este mismo blog hablamos de transparencia pero como principio, pues el RGPD lo define de ambas formas. El derecho de transparencia supone, tal y como se indica en el artículo 12.1 del RGPD, la obligación del responsable de facilitar al interesado toda la información relativa al tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso, en particular cuando esta información se dirija a un niño. Tal información será facilitada por escrito, por medios electrónicos e incluso verbalmente si así lo solicita el interesado y éste demuestra su identidad por un medio distinto

.El derecho de transparencia se posiciona como base que sustenta al resto de derechos recogidos en el RGPD. El mismo artículo 12.2 establece que: el responsable deberá facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y obtener de forma gratuita el acceso a sus datos personales, su rectificación, supresión y oposición.

Asimismo, el artículo 12.3 de RGPD marca un mes como plazo para que el responsable pueda facilitar al interesado la información relativa a sus actuaciones, tratamientos realizados, tras la recepción de una solicitud por parte del mismo. Es decir, la norma europea establece un mismo y único plazo para todos los derechos (artículos 15 al 22 del RGPD).

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal