En un nuevo mundo. La visión de la AEPD sobre el control de temperatura corporal como medida de acceso a los establecimientos

El martes, 28 de abril, el Consejo de Ministros publicó el Plan de Desescalada. Los operadores económicos no esenciales se preparan desde entonces para afrontar la nueva realidad, implementando procedimientos de prevención de riesgos laborales elaborados por el Ministerio de Sanidad y el INSST (Instituto  Nacional de Seguridad y Salud en el Trabajo), y las directrices de buenas prácticas sectoriales publicadas por este Instituto. Sin perjuicio de que las ordenes aplicables se acabaron publicando en el BOE del domingo día 3 de mayo, es decir, un día antes del inicio de la desescalada.

En este contexto, y ante la medida de toma de la temperatura corporal como criterio que puedan usar algunos operadores, la Agencia Española de Protección de Datos (AEPD) ha emitido un comunicado (accesible aquí) sobre la misma  como “supuesta” medida necesaria para el acceso del trabajador al lugar de trabajo, así como de clientes y usuarios  a establecimientos abiertos al público (comercios, restaurantes, centros educativos, bibliotecas o gimnasios, entre otros).

Si bien no es objeto de este artículo entrar a analizar las consideraciones de la AEPD, sí creemos interesante ponerlas de manifiesto por su relevancia:

La AEPD entiende – como punto de partida- que la temperatura es un dato de carácter personal especialmente sensible relacionado con la salud. Y sin muchas explicaciones al respecto, a partir de aquí considera:

√    Criterio de implantación: que la  toma de temperatura corporal requeriría determinar previamente por parte del Ministerio de Sanidad de que se trata de una medida necesaria y adecuada para prevenir la infección del Covid-19, así como la regulación de los límites y garantías del tratamiento de los datos personales de los afectados. En todo caso, la AEPD entiende que la temperatura de referencia para considerar que una persona es portadora de la Covid-19 debería establecerse bajo criterios científicos, y en ningún caso  dejarse en manos de cada uno de los operadores que implemente la medida para evitar tratos desiguales y, por ende, poco eficaces y  discriminatorios.

√   Principio de legalidad:  que en  el ámbito estrictamente laboral, la toma de temperatura a empleados para el acceso al lugar de trabajo podría estar justificada por la necesidad de dar cumplimiento a la Ley de Prevención de Riesgos Laborales, tal como ya había dicho la propia AEPD en comunicaciones anteriores. En efecto, según la AEPD, “la obligación de los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo operaría a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento”

En el caso de clientes o visitantes a establecimientos,  la AEPD ve difícil el criterio del consentimiento como base jurídica general para la toma de temperatura, en tanto que éste no es libre, pues se establece como condición sine qua non para el acceso al establecimiento.

La prevención a la seguridad y salud de los empleados podría ser tenida en cuenta como base jurídica con un alcance amplio para aplicar la medida de toma de temperatura a clientes y usuarios, ya que en los centros en los que acceden tales clientes y usuarios estarán asimismo presentes trabajadores del centro. Para ello será necesario ponderar el impacto que dicha medida ocasiona en los derechos de los clientes y usuarios, por un lado, y el impacto en la seguridad y salud de los trabajadores, por el otro (por ejemplo, valorando si los clientes están o no en contacto con los trabajadores).

En los casos en los que no sea posible acudir a esta base jurídica, se podrían  plantear la existencia de intereses generales en el terreno de la salud pública, si bien para ello –volviendo al inicio- se requerirá de un soporte normativo a través de leyes que establezcan la conveniencia de la medida  y que aporten las garantías adecuadas y específicas para proteger los derechos y libertades de los interesados.

√     Limitación de la finalidad y exactitud de los datos: la AEPD recuerda nuevamente la importancia de respetar los principios de limitación de la finalidad (la temperatura solo pueden obtenerse para detectar posibles portadores de la Covid-19 con la finalidad de evitar el acceso y el contacto con otras personas) y exactitud (la medición debe ser capaz de ofrecer datos fiables de la temperatura a partir de los cuales la persona se considera posiblemente infectada por la Covid-19)

 √    Derechos y garantías: finalmente,  la AEPD recuerda nuevamente que también en el escenario de la  Covid-19, los titulares de los datos personales mantienen, de conformidad con el RGPD, todos los derechos y garantías allí recogidas.

Iremos informando sobre la interpretación de nuestras autoridades de protección de datos en el contexto de esta nueva realidad que nos está tocando vivir, sin duda mucho más intromisiva en lo que a datos personales y derechos personalísimos se refiere.

Ana Soto & Mª Luisa Osuna

 

El Comité Europeo de Protección de Datos y el Coronavirus

Tristemente, parafraseando a la OMS, Europa es ahora el epicentro de la pandemia del coronavirus.

El Comité Europeo de Protección de Datos (European Data Protection Board -EDPB-) se ha alineado también con las acciones para contener el COVID-19, y ha declarado que en ningún caso la normativa de protección de los datos personales debe dificultar la ejecución de las medidas que sean necesarias en esta batalla contra la pandemia del coronavirus, priorizando la salvaguarda de la salud, y de la vida, frente a la privacidad de los datos personales (Acuerdo de 19 de marzo de 2020).

Para el EDPB, la lucha contra las enfermedades transmisibles es un objetivo valioso compartido por todas las naciones que debe ser apoyado en interés de la humanidad.

El EDPB también aclara en su declaración que si bien la emergencia es una condición legal que puede legitimar restringir libertades, dichas restricciones han de ser proporcionales y limitadas en el tiempo. A estos efectos, considera que el RGPD contiene reglas que también aplican al tratamiento de datos personales en un contexto como el actual del coronavirus,  que permite el tratamiento de datos personales sin necesidad de tener que contar con el consentimiento del interesado cuando es necesario por razones de interés público en el área de la salud pública.  Así:

El tratamiento de datos personales, incluso el tratamiento de los datos de salud por las autoridades sanitarias, estaría legitimado en base al artículo 6 y 8 del RGPD, por existir un interés público y un interés de proteger intereses vitales

– En cuanto a los datos personales de los trabajadores, se considera que tratamiento de datos por el empleador puede ser necesario para cumplir la obligación legal de preservar la salud y la seguridad en el lugar de trabajo, o en base a un interés público y un interés vital relacionado con el control de enfermedades y otras amenazas a la salud.

El empleador podrá solicitar datos sobre el estado de salud de los trabajadores o visitas, y realizar exámenes médicos, siempre que lo permita la legislación propia de cada estado miembro.

El empleador debe informar a los trabajadores sobre los casos de coronavirus, limitando la información suministrada a la estrictamente necesaria. En caso de tener que revelar el nombre de las personas que contrajeron la enfermedad (si la ley nacional lo permite), deberá informar previamente al interesado y proteger su dignidad e integridad

– En cuanto al uso por parte de algunos gobiernos del de datos de localización móvil para mitigar la propagación del coronavirus, la EDPB considera que las autoridades deberían priorizar el tratamiento anónimo de los datos, es decir, procesar datos agregados (por zonas, edades, etc.) de forma que no estarían sometidos a la normativa de protección de datos. Sin embargo, si ello no fuera posible, la EDPB considera también, que la Directiva Europea sobre privacidad y comunicaciones electrónicas permite también medidas legislativas excepcionales por motivos de seguridad pública, que debe ser apropiadas, proporcionales y respetuosas con los derechos fundamentales de las personas y garantizar al interesado el acceso al recurso judicial.

En todo caso, recuerda el EDPB que los datos personales que sean necesarios para alcanzar este objetivo mundial de vencer la batalla contra el coronavirus deben procesarse para fines explícitos, que los interesados deben recibir información transparente sobre las actividades de procesamiento, incluido el periodo de conservación de los datos recopilados y el propósito del tratamiento; que la información proporcionada ha de ser fácilmente accesible y clara; y que son necesarias medidas de seguridad adecuadas y políticas de confidencialidad que garanticen la preservación de los datos frente a terceros no autorizados.

En paralelo, la Agencia Española de Protección de Datos ha publicado en su sitio web una alerta en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus, advirtiendo a los ciudadanos del riesgo que implica facilitar categorías de datos sensibles, como son los relativos a la salud, a estas webs y apps. Añade la  Agencia que ha podido constatar que algunas páginas web y apps no aportan la detallada información exigible para identificar a los responsables, ni incluyen las finalidades para las que podrían tratarse los datos. A ello se suma que se han detectado casos en los que se suplanta al Ministerio de Sanidad.

Por favor, cuidaos mucho.

Ana SotoPino & Mª Luisa Osuna

EL EMPLEADOR, EL CORONAVIRUS Y LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

temperatura

Desde casa, seguimos de cerca algunas consecuencias del estado de alarma y de la crisis sanitaria derivada del coronavirus que obligan a las empresas a hacer las cosas de una manera diferente.

Ayer os avanzamos que la AEPD ha difundido un informe jurídico, así como un documento de preguntas y respuestas, que trata y resuelve sobre cuál debe ser la actuación de los responsables de tratamiento que recogen y tratan datos personales de salud de personas infectadas o que pueden estar en riesgo de contagio, así como otros temas relacionados.

La cuestión es de interés, porque, si hacemos memoria, el Reglamento General de Protección de Datos (RGPD) prohíbe como norma general el tratamiento de los datos personales de salud, salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. Lo que es de sentido común, es que la protección de datos no debe utilizarse para obstaculizar la efectividad de las medidas que adopten las autoridades en un estado de alarma como el actual. Dicho esto, esta excepción, como todas, no puede entenderse como patente de corso para el tratamiento de datos de salud, y en este sentido es necesario tener presente que los datos deben tratarse con licitud, lealtad y transparencia y según los principios de minimización, limitación de la finalidad y exactitud.

Recordemos que el Considerando 46 del RGPD se refiere a la posibilidad de un tratamiento lícito de datos de salud en casos excepcionales, como son el control de epidemias, sin que sea necesario el consentimiento de los afectados. Además, el RGPD establece bases jurídicas para tratamientos lícitos, como el cumplimiento de una obligación legal (art 6.1.c -por ejemplo, la prevención de riesgos laborales), la misión realizada en interés público (art 6.1.e) o los intereses vitales del interesado u otras personas (ar. 6.1.d). Más en concreto, y sin ánimos de ser exhaustivos, en sede de datos de salud, el artículo 9.2 del RGPD establece los supuestos en que se pueden tratar los datos de salud, y además del consentimiento expreso, cuando ello sea necesario para salvaguardar intereses vitales de los interesados o de otras personas, intereses públicos esenciales en el ámbito de la salud pública o el cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente.

Por tanto, y como no podía ser de otro modo, la respuesta de la AEPD, en coherencia con las conclusiones publicadas por otras autoridades europeas, prioriza la situación de alerta sanitaria y las decisiones que puedan adoptar las autoridades competentes, en especial las sanitarias, durante la pandemia. En este sentido, según la AEPD, los responsables de tratamiento deberán seguir las instrucciones de las autoridades sanitarias de las administraciones públicas, sin que sea necesario el consentimiento de los interesados cuando dichas instrucciones supongan un tratamiento de datos de salud.

En este marco, el documento de preguntas y respuestas difundido por la AEPD informa con un lenguaje especialmente claro y concreto. A continuación os facilitamos un resumen de las preguntas y respuestas:

¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?

Los empleadores podrán tratar de conformidad con lo establecido en la normativa sanitaria, laboral y de prevención de riesgos laborales, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes para proteger la salud de sus empleados y evitar los contagios. Lo que incluye conocer si una persona está infectada o en riesgo de estarlo, incluso a través de preguntas concretas y limitadas a esta cuestión.

¿Pueden transmitir esa información al personal de la empresa?

Sí, aunque sin identificar a la persona afectada para mantener la privacidad, salvo que lo requieran las autoridades competentes, en particular las sanitarias.

 ¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?

Se puede recabar este tipo de información sin necesidad de obtener el consentimiento previo de la persona afectada al amparo de la obligación legal del empleador de proteger la salud de los trabajadores y mantener el lugar de trabajo libre de riesgos sanitarios. Ello no obstante, la información debería limitarse a preguntas sobre las visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas dos semanas, o si se tiene alguno de los síntomas del coronavirus.

 ¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?

La respuesta es afirmativa, en tanto se trata de datos necesarios para salvaguardar los intereses vitales de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito el afectado. De hecho, la AEPD expresamente recuerda que no se puede hacer uso de la normativa de protección de datos personales para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades competentes, en especial las sanitarias, en la lucha contra la pandemia.

 En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?

Aquellos trabajadores que hayan tenido contacto con la enfermedad y que por aplicación de los protocolos establecidos por las autoridades sanitarias han de estar en régimen de aislamiento para evitar riesgos de contagio, aún sin tener aún el diagnóstico, deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención (Ley de Prevención de Riesgos Laborales).

¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?

 La AEPD considera dicha medida posible, en tanto medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador y debería ser realizada por personal sanitario.

Insistimos que –tal y como recuerda la AEPD al contestar a cada una de las anteriores preguntas, el tratamiento de los datos personales debe respetar los principios de limitación de la finalidad, de forma que el tratamiento deberá limitarse a los datos personales estrictamente necesarios para salvaguardar la salud y evitar la cadena de contagios, en armonía con las decisiones que vayan adoptando las autoridades competentes, en especial las sanitarias.

Hoy Barcelona ha amanecido soleada. Os deseamos un feliz día.

Ana Soto & Mª Luisa Osuna

YA TENEMOS LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y DE GARANTÍA DE DERECHOS DIGITALES

spam

El pleno del senado aprobó el pasado día 21 de noviembre de 2018 la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPD), sin modificar en nada el texto salido del Congreso poco antes.

Sabemos que la Ley tiene como finalidad adaptar el ordenamiento español al nuevo y más severo marco legal en materia de datos personales contenido en el nuevo Reglamento (UE) 2016/679, General de Protección de Datos -por cierto, de obligado cumplimiento desde hace seis meses-, a la par que garantizar los derechos de las personas en el entorno digital mediante la inclusión de una verdadera carta magna de derechos digitales que tendremos que aprender y respetar.

Por citar algunas novedades que urge conocer, la LOPD contiene una declaración sobre el derecho de toda persona al acceso a internet de forma universal, asequible y no discriminatoria, obligando al gobierno a desarrollar un bono social de acceso a internet. Con lo que  tímidamente  se acerca a la línea marcada  por la ONU años atrás, al declarar el derecho de acceso a internet como un derecho humano necesario para ejercer y disfrutar del derecho a la libertad de expresión.

La LOPD también reconoce el derecho a la neutralidad en internet; el derecho al olvido cuando los datos sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos; el derecho a la seguridad y educación digital, o el derecho a otorgar un testamento digital. Se fortalece la protección de los menores en el marco digital, y se establece en 14 años la edad mínima para poder acceder a redes sociales (también para otorgar el consentimiento para el uso de sus datos personales por parte de terceros)

Con incidencia en el ámbito laboral, destacamos el derecho a la desconexión digital en el puesto de trabajo para respetar el descanso de los empleados; y el derecho de los trabajadores a preservar su intimidad ante sistemas audiovisuales o de geolocalización en el trabajo, salvo cuando exista un riesgo relevante para la seguridad, y siempre previa información a los trabajadores, coincidiendo con el criterio jurisprudencial que os explicamos en nuestro post de 7 de mayo de 2018. Tampoco el empresario podrá entrar en los medios digitales facilitados a sus empleados, excepto que sea con la exclusiva finalidad de controlar el cumplimiento de las obligaciones laborales y garantizar la integridad de esos dispositivos, en la línea establecida por la Sentencia 594/2018, dictada por la Sala de lo Social del Tribunal Supremo de 8 de febrero de 2018, sobre la que también hablamos en este blog, concretamente, en nuestro post de 19 de marzo de 2018.

Por lo pronto, la aprobación de la Ley ha ido acompañada de una polémica adicional consecuencia de mantener la redacción del artículo 58 bis introducido en el proyecto por una enmienda del grupo socialista. Las críticas denuncian que con dicha disposición la LOPD estaría legalizando el llamada spam político, lo que ha motivado una reacción urgente de la Agencia Española de Protección de Datos (AEPD) para aclarar que en ningún caso la nueva LOPD “permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Si tenéis un rato, aquí os dejamos el texto del artículo 58 bis de la LOPD y os retamos a su interpretación.

lopd nueva.png

En unos días la LOPD se habrá publicado en el BOE.

Mientras tanto, disfrutar de un magnífico viernes.

Ana Soto & Mª Luisa Osuna

La Agencia Española de Protección de Datos (AEPD) educa a los cibernáutas.

romance-2004799_640

¿Sabéis qué es exactamente el sexting, el grooming o el ciberacoso?. ¿Y sabéis cómo prevenirlo?

Éstas son algunas de las conductas  de usuarios on line que la AEPD se ha encargado de definir, junto con las recomendaciones a las víctimas que las sufren,  en la Guía sobre Protecció de Datos y Protección de Delitos que recientemente ha publicado y presentado

En dicha guía, que recomendamos al cien por cien,  la AEPD va más allá. En efecto, consciente de la intensificación del uso de información personal,  propia o de terceros, en redes sociales y mensajería instantánea, incluye recomendaciones sobre aquellas conductas que incluso podríamos haber asumido como normales, pero que sin embargo pueden suponer un uso de información personal a través de Internet contrario a la normativa, o en ocasiones constitutivo de un delito.

Nos referimos a conductas cuya ilicitud puede no ser consciente y que  en ningún caso son excepcionales, como por ejemplo publicar una foto íntima de un conocido en una web sin su consentimiento; difundir a través de una red social información que pudiera tener el tratamiento de reservada, o datos personales de terceros;  o acceder sin permiso a una cuenta de correo ajena, que pudiera pertenecer incluso a un familiar. Y también aquéllas otras conductas que en la mayoría de los cosas presuponen una intencionalidad, como sucede con las calumnias o injurias, el acoso, la suplantación de identidad, delitos de odio, estafas, propagación de virus informático, etc.

Las recomendaciones de la AEPD se dirigen al “como evitar cometer la infracción”, y también al “como evitar ser víctima de la misma”.

Os recordamos que la AEPD ya había publicado otras guías dirigidas a los jóvenes y a sus familiares. Por si os pueden ser útiles, aquí os las dejamos también.

Os deseamos un feliz día

LA VÍDEO-VIGILANCIA Y EL DERECHO A LA PRIVACIDAD DE LOS TRABAJADORES, UN TEMA DE ACTUALIDAD

security-camera-3174223_640

Ahora que por razones que no vienen al caso se habla tanto de los sistemas de vídeo-vigilancia en establecimientos de venta al público, he recordado que, no hace mucho, el Tribunal Europeo de Derechos Humanos (TEDH) condenó a España por permitir la vulneración del derecho a la privacidad de cinco cajeras de una cadena de supermercados, que fueron despedidas tras verificar a través de grabaciones de una cámara oculta de vídeo-vigilancia que habían participado en actos de sustracción de productos del establecimiento (Sentencia de 9 de enero de 2018. Asuntos 1874/13 y 8567/13)*

La decisión de instalar un sistema de vídeo-vigilancia en el supermercado, con cámaras visibles, pero también con otras ocultas, fue justificado en un contexto de investigación, debido a que se habían detectado durante meses importantes irregularidades en el recuento de existencias y su conciliación con las ventas. Los trabajadores fueron advertidos de la instalación de las cámaras visibles, pero bajo dicha misma justificación averiguadora, no lo fueron de las cámaras ocultas posicionadas en las cajas registradoras. La medida dio, aparentemente, un buen resultado, porque las grabaciones de las cámaras ocultas pusieron al descubierto que las cinco trabajadoras sustraían productos del supermercado y facilitaban hurtos de terceros, lo que motivó que el Juzgado de lo Social primero, y el Tribunal Superior de justicia después, declararan los despidos como disciplinarios.

Así las cosas el tema llegó hasta el TEDH como consecuencia, en lo que ahora interesa, del examen sobre si el uso de  cámaras, sin informar expresamente sobre su instalación a los trabajadores ni definir el periodo temporal de grabación, vulneraba la Convención Europea de Derechos Humanos (CEDH), en lo relativo al derecho al respeto de la vida privada y familiar (artículo 8).  Y más allá de ello, el derecho a un proceso justo (artículo 6).

La Sentencia del TEDH, tras confirmar en primer lugar que la imagen de los trabajadores ha de considerarse un dato de carácter personal, reflexiona sobre la obligación de información previa, explícita, clara y precisa, de la recogida y el tratamiento de los datos personales -incluida la grabación-, en los términos que dispone el aún vigente artículo 5 LOPD (y la Instrucción de la AEPD 1/2006 sobre los carteles informativos de zona vídeo vigilancia), para resolver que en el caso analizado se incumplió la citada obligación. Al respecto, el TEDH parte de la base de que las grabaciones, tanto a través de las cámaras visibles como de las ocultas, eran indiscriminadas, por cuanto afectaba a todos los trabajadores, y no sólo a las sospechosas de las irregularidades, y además habían sido instaladas de forma permanente, debido a que no se había limitado el tiempo de la medida.

Con base en ello, la Sentencia dice que al permitir estas grabaciones, los tribunales españoles no alcanzaron un equilibrio justo entre los derechos en juego: por un lado, el de la privacidad de las demandantes (recogido en el artículo 8 del Convenio Europeo de Derechos Humanos) y por el otro, el  derecho a la propiedad del empleador. Motivación que recuerda muy mucho a la que ha venido manteniendo, con matices importantes, nuestro Tribunal Constitucional (TC) desde la Sentencia 98/2000, de 10 de abril (Casino de La Toja),  sobre la necesidad, en estos casos, de ponderar el  derecho fundamental a la intimidad personal de los trabajadores (artículo 18 de la Constitución Española) y  la libertad del empresario para organizar y supervisar el desarrollo de su actividad empresarial (artículo 38 Constitución Española y 20.3 del Estatuto de los Trabajadores).

Y decimos con matices porque hace algo más de dos años, la Sentencia 39/2016, del pleno del TC de 3 de marzo de 2016 (caso Bershka)* corregía su doctrina anterior, según la cual no bastaba el anuncio del uso de cámaras de vídeo-vigilancia a través de distintivos visibles, sino que se exigía que se informara previa, expresa y claramente a los trabajadores acerca de su finalidad. En el caso de la Sentencia 39/2016 (Bershka), la grabación que recogía las irregularidades de la trabajadora que justificaron su despido procedente fue considerada lícita, atendiendo a que el deber de  recabar el consentimiento y de información para con la trabajadora se consideraba implícito debido a que la grabación iba dirigida a verificar el cumplimiento de sus obligaciones laborales (o las sospechas de su participación en las  sustracciones de la caja registradora del establecimiento de Bershka), y porque se había colocado el correspondiente distintivo visible informando de la existencia de la “zona de vídeo-vigilancia”. Por lo demás, el TC aplica su doctrina valorativa de lo que llamamos desde hace más de una década el triple juicio de proporcionalidad, y declara la medida necesaria, idónea y proporcionada, porque se implantó de forma temporal, exclusivamente en la zona de la caja registradora en la que se detectaron las irregularidades, y con la finalidad de confirmar y soportar las mismas.

Nos parece, al fin y al cabo, que la Sentencia del TEDH con la que hemos abierto este pos sigue el mismo trazado que la doctrina del TC recogida en su Sentencia 39/2016 (Bershka), hasta el punto que lo que ha determinado para aquélla la vulneración del derecho a la privacidad es la circunstancia de que la grabación se dirigía indiscriminadamente a todos los trabajadores y era permanente.

Es decir, a modo de nuestra conclusión, según ambos tribunales debería bastar para evitar la intromisión ilegítima del derecho a la privacidad de los trabajadores la existencia de irregularidades en el desempeño de las obligaciones laborales por parte de aquéllos a los que se dirige la grabación, así como una señalización visible de la existencia de una zona de vídeo-vigilancia, siempre y cuando la grabación se limite en espacio y en tiempo justificadamente.

O dicho de otro modo, según la citada doctrina compartida por el TC y el TEDH:

(i) El consentimiento no será exigible en el caso de que el tratamiento de datos personales (la grabación) tenga como finalidad el control del cumplimiento de las obligaciones del trabajador,  en tanto que se considera implícito.

 (ii) Para cumplir con el deber de información es suficiente la colocación visible de un distintivo informativo sobre la existencia y finalidad de las cámaras.

(iii) En todo caso, siempre y cuando la medida supere el triple juicio de proporcionalidad, en el bien entendido de que se trata de la medida más idónea (para la finalidad perseguida),  necesaria (en tanto es la más eficaz y menos lesiva) y proporcional (porque genera más beneficios que pérdidas).

Si el tema es, por lo dicho, complejo, y exige de un preciso juicio objetivo de valor, resulta que el nuevo Reglamento Europeo de Protección de Datos (RGPD)* es más estricto y exigente respecto a la información que debe ser suministrada a los titulares de los datos personales antes de su tratamiento, incluida su imagen. Y además resulta  que el Proyecto de la nueva Ley Orgánica de Protección de Datos de Carácter Personal* recoge la posibilidad de los empleadores de tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de las obligaciones laborales de los trabajadores, siempre que les hubieran informado acerca de esta medida. Y al calco de la doctrina jurisprudencial de la que hemos venido hablando, pero algo novedoso respecto al nuevo RGPD, el Proyecto de Ley Organica de Protección de Datos de Carácter Personal* incluye que, en aquellos casos de comisión flagrante de un acto ilícito por el trabajador, la ausencia de la información no privará de valor probatorio a las imágenes, sin perjuicio de las responsabilidades que pudieran derivarse de dicha ausencia (artículo 22)

A pocos días de que el nuevo RGPD sea inexorablemente exigible no hace falta decir que vamos a seguir el curso del proyecto, en este y en todos los demás temas. Entre tanto, aconsejamos acompañar un rato de café con la lectura de la Sentencia del TEDH de 9 de enero de 2018, porque recoge una buena y clarividente reflexión sobre la normativa internacional y nacional y la doctrina jurisprudencial del propio TEDH y del TC que puede ser útil para interpretar, sea cuales fueran, las exigencias de la nueva Ley de Protección de Datos, aún en fase de  proyecto.

Aquí os dejamos la Sentencia del TEDH de 9 de enero de 2018 (asunto López Ribalda y otros). Y por si se alarga el café, también os dejamos la Sentencia 39/2016 del pleno del TC de 3 de marzo de 2016 (caso Bershka)

Feliz semana

Ana Soto & Mª Luisa O.

(*) Asuntos 1874/13 y 8567/13, López Ribalda y otros, contra España.
(*) Publicada en el BOE de fecha 8 de abril de 2016 (BOE-A-2016-3405)
(*) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
(*) Aprobado por el Gobierno el pasado 10 de noviembre, y remitido al Congreso de los Diputados.

Más sobre Protección de Datos: la comunicación del DPO ya es posible a través de la sede electrónica de la AEPD

europa

No queremos ser alarmistas, pero en menos de mes se producirá de forma inexorable la aplicación del nuevo Reglamento Europeo de Protección de Datos  y se exigirá su cumplimiento. Y si bien hemos dicho de no ser alarmista, si queremos alertar que el régimen de sanciones será a partir de entonces mucho más dramático para aquéllos que no cumplan con las exigencias de la nueva normativa de protección de datos, pudiendo llegar a alcanzar cifras -en lo que las faltas más graves se refiere- de hasta 20.000.000 euros o, en el caso de empresas,  la equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Después de la alarma, una buena noticia: la sede electrónica de la Agencia Española de Protección de Datos (AEPD) ha habilitado un proceso de comunicación telemática para comunicar el Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés) designado, en coherencia con la previsión del aún Proyecto de Ley Orgánica de Protección de Datos.

Recordemos que el Reglamento establece que los responsables o encargados del tratamiento deben publicar los datos de contacto de los delegados y comunicar su designación a la autoridad de control (en nuestro caso, la AEPD) antes del próximo 25 de mayo.

Y recordemos también que si bien todas las empresas pueden voluntariamente nombrar (y comunicar) un DPD, no todas tienen obligación de hacerlo, sino sólo aquéllas que se encuentren en uno de los tres siguientes supuestos:

(i) En los casos en los que el tratamiento lo realiza una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

(ii) En los casos en los que las actividades principales del responsable o del encargado traten sobre operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, como sucede, por ejemplo, con actividades dirigidas a crear perfiles de consumidores.

(iii) En los casos en los que las actividades principales consisten en el tratamiento a gran escala de categorías “sensibles” de datos personales (de salud, biométricos, relativos al origen étnico, a creencias religiosas, preferencias sexuales, sobre condenas penales), como podría ser el caso de un centro médico.

Al respecto, se entiende como tratamiento “a gran escala”, aquél que persigue tratar una gran cantidad de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos. Mientras que “tratamiento habitual y sistemático” se refiere a aquel que se realiza haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos (Grupo de expertos en protección de datos dependiente de la Comisión Europea. GT29).

Dicen que el fin de semana será lluvioso. Perfecto para reflexionar sobre pendientes.

 

 

Las autoridades españolas de protección de datos sancionan a Facebook y Whatsapp

whats

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Whatsapp y a Facebook por entender que el consentimiento prestado por los usuarios de Whatsapp, a la cesión de sus datos personales a favor de Facebook,  y al tratamiento de dichos datos por parte de ésta, ni es libre, ni es específico, ni es informado. Se trata de una noticia importante en un marco de la cuenta atrás hacia el 25 de mayo de 2018, día marcado en rojo por ser la fecha en que el nuevo Reglamento Europeo de Protección de Datos de 2016 comenzará a aplicarse.

La Resolución (R/00259/2018), dictada por las autoridades españolas de protección de datos en el procedimiento sancionador incoado contra  ambas empresas (PS/00219/2017) parte de la modificación que Whatsapp implantó en sus términos de servicio y  política de privacidad tiempo después de que la empresa de mensajería fuera adquirida por Facebook, en la que se introducía la posibilidad de ceder los datos personales de sus usuarios a esta compañía.

Es un dato importante para la resolución que la aceptación de las nuevas condiciones se impuso a los usuarios de Whatsapp como obligatoria para poder acceder y/o mantener la aplicación de mensajería Whatsapp.

Por lo demás, la AEPD considera que la información suministrada por Whatsapp  a sus usuarios, en relación con la cesión de sus datos a Facebook, es incompleta y  poco clara, lo que –junto con lo anterior- determina, a criterio de esta Agencia, que el consentimiento de los usuarios no sea válido.

Una cosa lleva a la otra, y en coherencia, la resolución entiende que el uso por Facebook  de la información de los usuarios cedida por Whatsapp, con finalidades específicas de los servicios de aquélla y, por ende, a su beneficio, no está respaldado por el consentimiento libre, específico e informado de dichos usuarios

El importe total de la sanción que recoge la resolución es de 600.000 euros, a razón de 300.000 euros por sociedad.

Aquí os dejamos la Resolución (R/00259/2018), dictada en el procedimiento sancionador PS/00219/2017, instruido por la Agencia Española de Protección de Datos a las entidades Facebook Inc. y Whatsapp Ic., a resultas de las denuncias presentadas por la Organización de Consumidores y Usuarios (OCU), la Asociación de Consumidores y Usuarios en Acción (FACUA), y por dos particulares.

Ana Soto & Mª Luisa Osuna

De paseo por el MWC

mwc

La semana pasada paseábamos por el MWC mientras nevó en Barcelona. Y ambas experiencias merecen ser citadas en nuestro blog con el calificativo de extraordinarias.

¿Cuál es nuestra reflexión tras la visita al MWC?

Pues que ya no hay excusas. Los abogados debemos conocer y dominar la complejidad jurídica derivada de aplicar a los negocios tradicionales las nuevas tecnologías digitales, y no me refiero solamente a los que somos especialistas en estas áreas de negocio.  La contratación mediante medios digitales, los aplicativos de pago para smartphone y tablet, los sistemas de reconocimiento, forman parte de nuestra vida cotidiana, tanto desde el punto de vista de la empresa como del consumo. El MWC nos muestra que en unos días todo girará en torno a la nueva red 5G, la industria 4.0, el big data, la inteligencia artificial y el internet de las cosas.

En resumen, todo está conectado y estará aún más conectado en el futuro. Y de ahí que a nadie sorprenda que las principales marcas de coches, por ejemplo, tengan un espacio para presentar sus novedades de conectividad como expositores en el principal congreso de comunicación móvil. Y como aviso a lectores, por ello también, ahora y en el futuro, los grandes protagonistas serán los datos.

La nieve en Barcelona merece más de observación que de reflexión.

Gracias Conecta Wireless por la invitación a MWC.

Ana Soto & Mª Luisa Osuna

 

 

 

Se publica el anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

datos 3.png

 

A menos de un año para que sea de obligado cumplimiento la nueva regulación contenida en el nuevo Reglamento General de Protección de Datos (Reglamento europeo), el Gobierno, a propuesta del Ministerio de Justicia, ha impulsado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con el objeto de adaptar la legislación española a las exigencias del Reglamento europeo, la cual sustituirá, en la versión que finalmente sea aprobada,  la actual LOPD.

El anteproyecto de Ley Orgánica consta de un total de  setenta y ocho artículos, contenidos en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y cuatro disposiciones finales, e integra  el nuevo régimen establecido por el Reglamento europeo en relación con el tratamiento de datos personal y la circulación de los mismos, con los antecedentes administrativos y judiciales, nacionales y europeos, que se han ido estableciendo a lo largo de la historia de la protección de los datos de carácter personal.

Aquí os dejamos el anteproyecto de Ley Orgánica de Protección de Datos, que ya ha sido publicada.

Seguiremos su desarrollo en otros post.  Entretanto, continúa la cuenta atrás hacia el 25 de mayo de 2018, fecha de entrada en vigor del nuevo Reglamento europeo

Feliz día