Cuando parece que la pandemia COVID-19 empieza a dar un respiro en determinados países, estos van volviendo, según las pautas marcadas por sus autoridades competentes al respecto, a la “normalidad”. Una normalidad que lejos de ser lo que hasta ahora entendíamos por tal, implica interactuar con medidas de contención tales cómo distancias de seguridad, tomas de temperatura en algunos comercios y centros de trabajo…etc. Nos encontramos en la era post COVID-19.

No es la primera vez que hablamos de la “nueva normalidad” en el presente blog (aquí y aquí). No obstante, a lo largo de la publicación de hoy, centraremos nuestra atención en cómo está, esta, afectando al ámbito laboral. ¿Qué repercusiones ha traído consigo esta pandemia para empresas y trabajadores?

Cuando hace ya algunos meses fue decretado en España el estado de alarma mediante Real Decreto 463/2020, de 14 de marzo, nuestra realidad social y laboral dio un giro de 180 grados. Como sociedad, nos enfrentamos a cambio de hábitos diarios, de costumbres sociales y de pautas laborales que obligó a muchas empresas a moldear, de manera repentina, sus modos de trabajo; instaurándose, el teletrabajo como el modelo por excelencia. A instancia de los diferentes Reales Decretos de medidas urgentes, publicados a lo largo de los pasados meses para hacer frente al impacto económico y social provocado por la pandemia, el teletrabajo debía ser el método de trabajo preferente por el que se debía optar, si ello era técnica y razonablemente posible y si el esfuerzo de adaptación necesario resultaba proporcionado para las empresas.

El incuestionable avance de las nuevas tecnologías facilitó el proceso de adaptación a la nueva realidad laboral convirtiéndose estas en un elemento esencial en esta situación de excepcionalidad sanitaria.  No obstante, el uso de las nuevas tecnologías es muy amplio y, a la vez que estas servían de herramienta para facilitar el aislamiento social, también fueron vistas por muchas empresas como una oportunidad para controlar lo que sus trabajadores hacían en casa.

Ello mediante el uso de software de vigilancia que permiten registrar el uso del teclado, los movimientos del ratón, los sitios web que se visitan, o a través de sistemas que captan fotografías o vídeos para comprobar que el trabajador se encuentra en su puesto de trabajo. Sin embargo, hay empresas que buscan dar un paso más en este control laboral haciendo uso de herramientas que monitorean la rapidez con la que los empleados completan diferentes tareas o las interacciones entre los empleados para identificar quién colabora más dentro de una empresa, que los directivos pueden usar para identificar a los empleados que les convendría mantener, y a aquellos que no.

¿Realmente son proporcionales estas medidas, enfocadas en la productividad del trabajador?, ¿cumplen, estas, con la normativa actualmente vigente en materia de protección de datos?

Publicado en Blog

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en su artículo 18, regula el derecho de acceso a la historia clínica del paciente, derecho que está conectado con el propio derecho de acceso del artículo 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (a partir de ahora, RGPD).

Por lo tanto, además de la información que debe proporcionarse a los pacientes por el hecho de ejercitar su derecho de acceso conforme al RGPD (fines del tratamiento, categoría de datos, destinatarios o categoría de destinatarios a los que se comunican o comunicarán sus datos…), los pacientes tienen derecho a acceder a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella, pero el ejercicio de este derecho por parte de un paciente no implica que se le deba proporcionar íntegramente los documentos de la historia clínica ya que existe determinada información que deberá excluirse.
También sucede que, en determinados casos y para finalidades concretas, otras personas diferentes al paciente o los sanitarios que le asisten pueden tener acceso a la información que contiene la historia clínica.

¿QUÉ PUEDE O NO APARECER EN LA COPIA DE LA HISTORIA CLÍNICA QUE SE PROPORCIONA AL PACIENTE?

Publicado en Blog
Lunes, 22 Junio 2020 16:57

Wifi-tracking y protección de datos.

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Publicado en Blog

A lo largo de estas últimas semanas estamos viendo cómo muchas empresas van volviendo poco a poco a su rutina, y adaptando sus espacios a esta “nueva normalidad”, que está provocando importantes cambios en nuestra manera de comunicarnos y relacionarnos en nuestro día a día. Es en esta nueva realidad donde estamos asistiendo a una importante aceleración en la implantación de nuevas tecnologías en la lucha contra la Covid-19: cámaras termográficas, uso de drones, tecnologías que permiten el conteo de personas para controlar el distanciamiento social y de aforo, sistemas de certificación de salud mediante códigos QR, controles de acceso para detección de equipos de protección y mascarillas entre otras constituyen el nuevo escenario en la transición a esta “nueva normalidad”.

Pues bien, entre todas estas soluciones tecnológicas están irrumpiendo con mucha fuerza las técnicas de reconocimiento facial que multitud de empresas de seguridad privada están ofertando en sus catálogos de productos y servicios. Estos sistemas cuentan con la ventaja de que se pueden integrar en los terminales de control horario y de accesos de las empresas e incluso en los propios sistemas de videovigilancia, y es precisamente en estos últimos donde se han suscitado muchas dudas en cuanto su uso y licitud en lo que a protección de datos se refiere.

Recientemente, el Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) ha venido a publicar un informe en el que resuelve algunas cuestiones en relación con los sistemas de reconocimiento facial integrados en sistemas de videovigilancia, empleados en la seguridad privada al amparo del art. 42 de la Ley de Seguridad Privada (en adelante LSP), que a juicio de la consultante estaría permitido por el artículo 9.2.g) del Reglamento Europeo de Protección de Datos, (en adelante RGPD) siendo suficiente a estos efectos que el usuario del servicio de seguridad sea titular del espacio a protegerse por la empresa de seguridad y que se trate de un dispositivo homologado por el Ministerio del interior.

Pues bien, para poder entender las conclusiones a las que llega la AEPD y que difieren radicalmente de las alegadas por la consultante debemos hacernos una serie de preguntas:

Publicado en Blog

El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el Plan de inspección de oficio en la atención sociosanitaria. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.

Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:

  • Resumen ejecutivo
  • Introducción
  • Objetivos
  • Concepto de atención sociosanitaria
  • Situación del espacio sociosanitario en España
  • Metodología y actuaciones realizadas en el plan
  • Conclusiones y recomendaciones
  • Preguntas frecuentes
  • Retos futuros
  • Anexos

En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.

¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?

  1. Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
  2. Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
  3. Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
  4. Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.

De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:

  • Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
  • Datos sanitarios (Historia clínica, tratamientos, etc.)
  • Historia social (Informes sociales, sociofamiliares, etc.)
  • Informes psicopedagógicos
  • Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
  • Registro de incidencias ocurridas durante la estancia en el centro.
  • Contrato de convivencia firmado con el centro.
  • Plan de atención personalizada del usuario.
  • Datos de contacto de familiares o responsables del usuario.

Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

¿Cuáles son las conclusiones más relevantes del plan?

Publicado en Blog

Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

Publicado en Blog

Muchos son los centros escolares que se encuentran actualmente en pleno periodo de matriculación.

Ello trae consigo que, desde el propio entorno familiar, sean numerosas las cuestiones a dirimir entre aquellos quienes ostentan la patria potestad de sus hijos o tutelados, siempre y cuando éstos no se encuentren emancipados ni sean mayores de edad económicamente dependientes, puesto que, en tales supuestos, serán ellos quienes ostenten la capacidad de poder consentir con relación al tratamiento que el centro haga de sus datos de carácter personal.

Además, desde el propio centro, es una temática que puede llegar a generar conflicto, por el desconocimiento, muchas veces, acerca de cómo proceder a la recopilación de los consentimientos por parte de los alumnos o padres de alumnos, así como en aquellos supuestos en los que no se comparta la patria potestad entre los propios progenitores. 

En el presente artículo vamos a tratar de dar respuesta a algunas de las cuestiones que creemos que pueden llegar a causar más confusión, tanto por parte de las familias, como por parte de los propios centros escolares:

  1. ¿Qué requisitos deberán cumplir los consentimientos para ser considerados válidos?

En primer lugar, debemos indicar que el Reglamento Europeo de Protección de Datos (RGPD), entiende el término “consentimiento” como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Con la entrada en vigor del RGPD, el consentimiento tácito no se entiende, por tanto, como un consentimiento válido, debiendo atender en todo momento a los requisitos de validez que se indican en el propio precepto mencionado.

  1. ¿Quiénes deben otorgar los consentimientos para la realización del tratamiento de datos personales de los alumnos en los centros escolares?

En primer lugar, debemos indicar que el artículo 162 del Código Civil (CC) exceptúa de la obligación de quienes ostentan la patria potestad, la realización de todos aquellos actos relativos a los derechos de la personalidad del hijo, siempre de acuerdo con su madurez. Cabe recordar que el derecho a la protección de datos se trata de un derecho personalísimo, que podrá ser ejercido por el menor, siempre y cuando tenga más de 14 años, como ahora veremos.

A tenor de lo dispuesto, y en lo relativo al tratamiento de los datos personales de los alumnos mayores de 14 años, debemos recordar que la mayoría de edad en materia de protección de datos, opera a partir de los 14 años, tal y como señala el artículo 7 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), por lo que, siempre y cuando el menor sea mayor de dicha edad, exceptuando aquellos supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la realización de determinados actos o negocios jurídicos, tendrá potestad para decidir el tratamiento de sus datos de carácter personal por parte del centro.

Ahora bien, ¿puede el alumno mayor de 14 años otorgar consentimiento en lo relativo a los datos de sus familiares?

Publicado en Blog

A lo largo de esta última década, es cada vez más común, la proliferación de aplicaciones y plataformas de mensajería rápida, que ha terminado derivándose en la utilización de las mismas para realizar videollamadas debido sobre todo a su comodidad y rapidez, más aún acentuada debido a la situación que vivimos en estos momentos, tanto a nivel profesional como su uso particular. Todas las compañías punteras dentro de las redes sociales tales como Facebook, Instagram, o nuevas startups creadas como partytime, jitsimeet entre otras. Las cuales compiten por ser cada vez más atractivas y por lo tanto más populares con estos fines. Para no perder esa carrera y competitividad, deben ser cada vez más fáciles en su uso, más prácticas, más atractivas y sobre todo y lo más importante más seguras. Y por ello, entre sus funciones principales se debe encontrar la garantizar al usuario que la aplicación o plataforma es inexpugnable.

Objetivos como eliminar las brechas de seguridad, evitar la pérdida de datos, la cesión de datos sin consentimiento entre otros, evitar el acceso a datos de carácter personal no autorizados por el usuario, es el santo grial de las empresas, actualmente no hay ninguna mensajería rápida en este caso que estamos hablando las dedicadas a videollamadas que garantice el 100% de seguridad, con lo cual estamos a expensas de que se realice un seguimiento a las mismas y una rápida respuesta en caso de fallos de seguridad algo de lo que por ejemplo Facebook no puede presumir, pero como todo, a medida que van surgiendo los problemas se van encontrando soluciones, que puede que sea la segunda premisa que valoramos los usuarios en estas empresas, ya que muchas veces no es posible ser proactivo porque en muchos casos es imposible atender a todas las fisuras que pueden darse, pues ser reactivo y dar soluciones rápidas. Para lo cual las aplicaciones para empezar en sus políticas ya van avisando de los datos a los que acceden y a los que no, pues es obligatorio darlo a conocer.

En cuanto a las plataformas más utilizadas, en el ámbito empresarial, aparte de Teams de Windows, se están utilizando otras recientes como Zoom, relativamente nueva y Skype que es la pionera de las plataformas en realización de videollamadas, Slack también considerada una plataforma segura para uso empresarial, muchas de ellas, incluyen opciones para configurar la seguridad, prevenir accesos fraudulentos, bloquear reuniones una vez sus participantes ya estén en ella y así evitar el acceso de intrusos, la configuración de seguridad predeterminada, herramientas para identificar dispositivos de los participantes entre otros.

Publicado en Blog

La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.

En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.

Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.

Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.

Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.

Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.

En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.

TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.

1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:

a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de 'pintar' una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.

La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.

Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).

Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.

No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.

No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.

2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:

a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.

En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).

Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:

Publicado en Blog

No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).

Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:

"Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)."

A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:

Publicado en Blog
Página 1 de 17

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal