Retomamos el análisis realizado en anteriores publicaciones sobre las situaciones específicas del tratamiento de datos personales en el ámbito laboral, recogido en el artículo 88 del Reglamento General de Protección de Datos (RGPD).

Como ya hemos indicado, el artículo 88, habilita a los Estados miembros a crear normas más concretas, que incluyan las medidas adecuadas y específicas al respecto, prestando especial atención a:

1. la transparencia del tratamiento,
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta,
3. los sistemas de supervisión en el lugar de trabajo.

Los dos primeros puntos ya han sido objeto de nuestro análisis, por lo que nos centraremos hoy en el punto tres.

En nuestro ordenamiento jurídico, encontramos normativa específica relativa a los sistemas de supervisión en el lugar de trabajo. Nuestro Estatuto de los Trabajadores (ET), contempla esta cuestión en su artículo 20 al atribuir facultades concretas a los empresarios para controlar el desarrollo de la prestación laboral por parte de sus empleados.

En este sentido, las empresas podrán:

-Adoptar medidas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, respetando debidamente su dignidad humana. Pensemos en los sistemas de videovigilancia.

Publicado en Blog

En enero 2017 la Comisión Europea publicaba su Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, que será de directa aplicación en todos los estados miembros de la UE a partir del 25 de mayo de 2018, al unísono del RGPD, pretendiéndose así que no queden lagunas respecto a la protección de los datos, precisándolo y completándolo.
Además, aquellas cuestiones relacionadas con el tratamiento de datos personales que no se contemplan específicamente en esta propuesta, quedan amparadas por el RGPD.

Este Reglamento va a sustituir a la actual Directiva 2002/58/CE y por tanto derogarla. En este artículo del blog vamos a analizar qué principales novedades trae consigo la Propuesta en comparación con lo que se recoge en la Directiva mencionada, cuyo cumplimiento es obligatorio dentro del sector publicitario.             

Publicado en Blog

El pasado 20 de diciembre de 2017, la Sala Segunda del TJUE, se pronunciaba mediante sentencia sobre el asunto C-434/2016 con relación a una cuestión que ha tenido gran trascendencia mediática dado el carácter novedoso que ha supuesto en materia de protección de datos personales. Los hechos a los que nos estamos refiriendo son los siguientes:

El irlandés Peter Nowak, se presentó a los exámenes oficiales de contabilidad que organizaba el Institute of Chartered Accountants of Ireland (Instituto de Auditores Públicos de Irlanda), los cuales se componían de varias pruebas. Nowak suspendió la última de ellas a finales de 2009 y, decidió reclamar al Instituto la calificación que obtuvo en la misma.

Para su sorpresa, el Instituto desestimó su reclamación, y decidió presentar la correspondiente solicitud para acceder a todos los datos personales que constaban en la citada prueba escrita.

En 2010, recibió por parte del Instituto algunos documentos, pero se negó a enviarle el ejemplar de ese examen en cuestión, por considerar que no contenía datos personales, momento en el cual, decidió dirigirse al Comisario de Protección de Datos (equivalente a la AEPD en nuestro país), para impugnar los fundamentos legales de la negativa del envío por parte del Instituto, pero la respuesta que obtuvo por el mismo fue similar: “los exámenes escritos no son datos de carácter personal”.

Ante esta situación, recurrió ante los distintos órganos jurisdiccionales irlandeses, hasta que finalmente el asunto llegó a la Supreme Court (Tribunal Supremo de Irlanda), y fue éste quien finalmente, declaró la admisibilidad del recurso interpuesto por Nowak contra la resolución del Comisario de protección de datos, y además ante las dudas que se habían suscitado al respecto, a la vez que suspendía el procedimiento, formuló al TJUE las siguientes cuestiones:

- ¿La información contenida en las respuestas dadas por un candidato durante un examen profesional constituye un dato personal en el sentido de la Directiva 95/46?
- ¿Qué factores han de tenerse en cuenta para determinar que un examen escrito constituye un dato personal y qué importancia debe atribuirse a tales factores?

Publicado en Blog

Una semana más seguimos con nuestro análisis de las disposiciones relativas a situaciones específicas del tratamiento recogidas en el capítulo IX del Reglamento General de Protección de Datos (RGPD), en concreto respecto a los datos personales en el ámbito laboral.

Como ya indicamos en nuestro anterior post, el artículo 88 indica que los estados miembros pueden establecer normas más concretas en el ámbito laboral, que deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y derechos fundamentales, señalando que hay que prestar especial atención a:

1. la transparencia del tratamiento.
2. la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
3. los sistemas de supervisión en el lugar de trabajo.

Al análisis de la transparencia del tratamiento le dedicamos nuestro último artículo, por lo que nos centraremos hoy en el punto dos:

TRANSFERENCIA DE DATOS PERSONALES DENTRO DE UN GRUPO EMPRESARIAL O UNA UNIÓN DE EMPRESAS DEDICADAS A UNA ACTIVIDAD ECONÓMICA CONJUNTA

Podemos decir, en primer lugar, que el actual Proyecto de Ley Orgánica de Protección de Datos (PLOPD) no hace referencia, o al menos de forma expresa a este tipo de transferencias dentro de un grupo empresarial. Sin embargo, si sería posible aplicar lo establecido en su artículo 21 en relación con la unión de empresas que se dedican a una misma actividad, donde sería presumible entender la licitud de los tratamientos de datos de los trabajadores que se puedan derivar como consecuencia de alguna operación de restructuración empresarial o de aportación o transmisión de negocio o de rama de actividad.

Si bien es cierto que en la actualidad todo parecer indicar que no existe ninguna norma concreta que contemple expresamente esta cuestión, la Agencia Española de Protección de Datos (AEPD)en su labor doctrinal ha emitido diferentes informes, como por ejemplo el Informe jurídico 0494/2008, cuyo criterio uniforme es el aplicable en la actualidad, y que consiste en que la existencia de un grupo de empresas no afecta al hecho de que aquellas que integran el mismo sean distintas personas jurídicas, de modo que la transferencia de datos personales de los trabajadores se produce entre dos personas jurídicas distintas e independientes, dejando constancia eso sí, de que no existe previsión legal que flexibilice los requisitos para la legitimidad de esta cesión, es decir, ésta sólo podrá realizarse atendiendo a las limitaciones y garantías que las leyes han establecido con carácter general.

Publicado en Blog

Continuando con el recorrido que venimos realizando a lo largo del RGPD, vamos a referirnos en este nuevo post a otra situación específica recogida en el Capítulo IX: el tratamiento de datos personales en el ámbito laboral recogido en el artículo 88:

1. Los Estados miembros pueden a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Estas normas, deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y derechos fundamentales, prestando especial atención a:

• la transparencia del tratamiento,
• la transferencia de los datos personales dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y,
• los sistemas de supervisión en el lugar de trabajo.

2. Cada Estado miembro debe notificar a la Comisión las disposiciones legales que adopte a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier modificación posterior de las mismas.

A su vez, el Considerando 155 hace referencia a esta cuestión y, añade que: “pueden establecer normas en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación y la ejecución del contrato laboral.”

Como podemos observar, la norma europea otorga especial protección al tratamiento de estos datos.

A nivel estatal, nuestra Constitución Española, reconoce el derecho a la libertad sindical, y la ley que lo desarrolla (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical), establece una serie de derechos, competencias y funciones para los representantes de los trabajadores que requiere del tratamiento de datos personales.

Además, disponemos de diferentes recursos en materia de protección de datos para abordar lo relativo a este ámbito, como por ejemplo la Guía sobre protección de datos en las relaciones laborales publicada por la AEPD en el año 2009 con el objetivo de examinar aquellos aspectos acerca de la protección de datos que, o bien resultan fundamentales desde el punto de vista de la propia aplicación y cumplimiento normativo, o bien plantean dificultades de interpretación o aplicación práctica.

Si bien el contenido de esta Guía hace referencia a la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y al Real Decreto 1720/2007, de 21 de diciembre (RDLOPD), sigue siendo una guía útil, y por ello nosotros vamos a utilizarla en este análisis para aquellas cuestiones que no se han visto modificadas con la llegada del RGPD y con el reciente Proyecto de LOPD (en adelante, PLOPD), adaptando su contenido a la normativa más actual.

Sin duda, la gestión de personal en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, y las relaciones con los sindicatos, que señala la Guía como puntos clave para su análisis, son cuestiones en las que tiene especial relevancia la protección de datos de carácter personal a la que el artículo 88 se refiere.

Publicado en Blog

Como ya hemos dicho en artículos anteriores de este blog, estamos llegando al final de nuestro análisis del Reglamento General de Protección de Datos (RGPD) y, en concreto, nos encontramos abordando el Capítulo IX, relativo a las disposiciones específicas de tratamiento.

En este artículo, vamos a tratar lo relativo al tratamiento del número nacional de identificación (DNI), que recoge el artículo 87 del RGPD y que viene a señalar que:

"Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizarán únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.” En relación a esta cuestión, no añade más el propio RGPD.

En lo que respecta a la regulación de esta materia en nuestro país, si bien el reciente Proyecto de LOPD no regula individualmente el tratamiento del DNI en cuanto a dato de carácter personal, sí que es cierto que el artículo 1.2 recoge en su generalidad que “El derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la CE, se ejercerá con arreglo a lo establecido en el RGPD y en esta ley orgánica.” Y, a su vez el artículo 2 señala que “La presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.  

Publicado en Blog

El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).

Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:

Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.

En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.

En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.

Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.

Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.

Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.

Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.

Publicado en Blog

Tal y como os comentamos la semana pasada, vamos a dedicar varios artículos de nuestro blog al análisis del Capítulo IX del Reglamento General de Protección de Datos (RGPD) relativo a situaciones específicas de tratamiento, aprovecharemos nuestro análisis para, en caso de que existan, incluir también las consideraciones que al respecto el ya Proyecto de Ley Orgánica de Protección de Datos (Proyecto LOPD) en España pueda recoger.

El artículo 89 del RGPD regula el “tratamiento y acceso del público a documentos oficiales” donde indica que “los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.

Por su parte en el considerando 154 del mismo RGPD, añade a este respecto que, la Directiva 2003/98/CE del Parlamento Europeo y del Consejo relativa a la reutilización de la información del sector público no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales (…) en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento.

Publicado en Blog

Estamos llegando al final de nuestro análisis <paso a paso del Reglamento General de Protección de Datos (RGPD)>

En el artículo de hoy abordaremos el análisis de aquellas situaciones específicas de tratamiento que el propio RGPD recoge en sus artículos 85 a 91:

1. Tratamiento y libertad de expresión y de información.

El RGPD recoge expresamente la necesidad de que los Estados miembros deberán conciliar por ley el derecho a la protección de datos personales con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.
Añade en su artículo 85.2 que para el tratamiento realizado con fines mencionados, los Estados Miembros deben establecer exenciones o excepciones respeto, entre otros, de los dispuesto en diferentes capítulos del Reglamento donde se regulan los principios, derechos del interesado, responsable y encargado de tratamiento, transferencia de datos personales etcétera, siempre que sean necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

Asimismo, el RGPD establece la obligación a los Estados miembros de notificar a la futura Comisión las disposiciones legislativas que de conformidad con lo antedicho se adopten junto con las posteriores modificaciones

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog
Página 10 de 16

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal