La Agencia Española de Protección de Datos (AEPD) educa a los cibernáutas.

romance-2004799_640

¿Sabéis qué es exactamente el sexting, el grooming o el ciberacoso?. ¿Y sabéis cómo prevenirlo?

Éstas son algunas de las conductas  de usuarios on line que la AEPD se ha encargado de definir, junto con las recomendaciones a las víctimas que las sufren,  en la Guía sobre Protecció de Datos y Protección de Delitos que recientemente ha publicado y presentado

En dicha guía, que recomendamos al cien por cien,  la AEPD va más allá. En efecto, consciente de la intensificación del uso de información personal,  propia o de terceros, en redes sociales y mensajería instantánea, incluye recomendaciones sobre aquellas conductas que incluso podríamos haber asumido como normales, pero que sin embargo pueden suponer un uso de información personal a través de Internet contrario a la normativa, o en ocasiones constitutivo de un delito.

Nos referimos a conductas cuya ilicitud puede no ser consciente y que  en ningún caso son excepcionales, como por ejemplo publicar una foto íntima de un conocido en una web sin su consentimiento; difundir a través de una red social información que pudiera tener el tratamiento de reservada, o datos personales de terceros;  o acceder sin permiso a una cuenta de correo ajena, que pudiera pertenecer incluso a un familiar. Y también aquéllas otras conductas que en la mayoría de los cosas presuponen una intencionalidad, como sucede con las calumnias o injurias, el acoso, la suplantación de identidad, delitos de odio, estafas, propagación de virus informático, etc.

Las recomendaciones de la AEPD se dirigen al “como evitar cometer la infracción”, y también al “como evitar ser víctima de la misma”.

Os recordamos que la AEPD ya había publicado otras guías dirigidas a los jóvenes y a sus familiares. Por si os pueden ser útiles, aquí os las dejamos también.

Os deseamos un feliz día

LA VÍDEO-VIGILANCIA Y EL DERECHO A LA PRIVACIDAD DE LOS TRABAJADORES, UN TEMA DE ACTUALIDAD

security-camera-3174223_640

Ahora que por razones que no vienen al caso se habla tanto de los sistemas de vídeo-vigilancia en establecimientos de venta al público, he recordado que, no hace mucho, el Tribunal Europeo de Derechos Humanos (TEDH) condenó a España por permitir la vulneración del derecho a la privacidad de cinco cajeras de una cadena de supermercados, que fueron despedidas tras verificar a través de grabaciones de una cámara oculta de vídeo-vigilancia que habían participado en actos de sustracción de productos del establecimiento (Sentencia de 9 de enero de 2018. Asuntos 1874/13 y 8567/13)*

La decisión de instalar un sistema de vídeo-vigilancia en el supermercado, con cámaras visibles, pero también con otras ocultas, fue justificado en un contexto de investigación, debido a que se habían detectado durante meses importantes irregularidades en el recuento de existencias y su conciliación con las ventas. Los trabajadores fueron advertidos de la instalación de las cámaras visibles, pero bajo dicha misma justificación averiguadora, no lo fueron de las cámaras ocultas posicionadas en las cajas registradoras. La medida dio, aparentemente, un buen resultado, porque las grabaciones de las cámaras ocultas pusieron al descubierto que las cinco trabajadoras sustraían productos del supermercado y facilitaban hurtos de terceros, lo que motivó que el Juzgado de lo Social primero, y el Tribunal Superior de justicia después, declararan los despidos como disciplinarios.

Así las cosas el tema llegó hasta el TEDH como consecuencia, en lo que ahora interesa, del examen sobre si el uso de  cámaras, sin informar expresamente sobre su instalación a los trabajadores ni definir el periodo temporal de grabación, vulneraba la Convención Europea de Derechos Humanos (CEDH), en lo relativo al derecho al respeto de la vida privada y familiar (artículo 8).  Y más allá de ello, el derecho a un proceso justo (artículo 6).

La Sentencia del TEDH, tras confirmar en primer lugar que la imagen de los trabajadores ha de considerarse un dato de carácter personal, reflexiona sobre la obligación de información previa, explícita, clara y precisa, de la recogida y el tratamiento de los datos personales -incluida la grabación-, en los términos que dispone el aún vigente artículo 5 LOPD (y la Instrucción de la AEPD 1/2006 sobre los carteles informativos de zona vídeo vigilancia), para resolver que en el caso analizado se incumplió la citada obligación. Al respecto, el TEDH parte de la base de que las grabaciones, tanto a través de las cámaras visibles como de las ocultas, eran indiscriminadas, por cuanto afectaba a todos los trabajadores, y no sólo a las sospechosas de las irregularidades, y además habían sido instaladas de forma permanente, debido a que no se había limitado el tiempo de la medida.

Con base en ello, la Sentencia dice que al permitir estas grabaciones, los tribunales españoles no alcanzaron un equilibrio justo entre los derechos en juego: por un lado, el de la privacidad de las demandantes (recogido en el artículo 8 del Convenio Europeo de Derechos Humanos) y por el otro, el  derecho a la propiedad del empleador. Motivación que recuerda muy mucho a la que ha venido manteniendo, con matices importantes, nuestro Tribunal Constitucional (TC) desde la Sentencia 98/2000, de 10 de abril (Casino de La Toja),  sobre la necesidad, en estos casos, de ponderar el  derecho fundamental a la intimidad personal de los trabajadores (artículo 18 de la Constitución Española) y  la libertad del empresario para organizar y supervisar el desarrollo de su actividad empresarial (artículo 38 Constitución Española y 20.3 del Estatuto de los Trabajadores).

Y decimos con matices porque hace algo más de dos años, la Sentencia 39/2016, del pleno del TC de 3 de marzo de 2016 (caso Bershka)* corregía su doctrina anterior, según la cual no bastaba el anuncio del uso de cámaras de vídeo-vigilancia a través de distintivos visibles, sino que se exigía que se informara previa, expresa y claramente a los trabajadores acerca de su finalidad. En el caso de la Sentencia 39/2016 (Bershka), la grabación que recogía las irregularidades de la trabajadora que justificaron su despido procedente fue considerada lícita, atendiendo a que el deber de  recabar el consentimiento y de información para con la trabajadora se consideraba implícito debido a que la grabación iba dirigida a verificar el cumplimiento de sus obligaciones laborales (o las sospechas de su participación en las  sustracciones de la caja registradora del establecimiento de Bershka), y porque se había colocado el correspondiente distintivo visible informando de la existencia de la “zona de vídeo-vigilancia”. Por lo demás, el TC aplica su doctrina valorativa de lo que llamamos desde hace más de una década el triple juicio de proporcionalidad, y declara la medida necesaria, idónea y proporcionada, porque se implantó de forma temporal, exclusivamente en la zona de la caja registradora en la que se detectaron las irregularidades, y con la finalidad de confirmar y soportar las mismas.

Nos parece, al fin y al cabo, que la Sentencia del TEDH con la que hemos abierto este pos sigue el mismo trazado que la doctrina del TC recogida en su Sentencia 39/2016 (Bershka), hasta el punto que lo que ha determinado para aquélla la vulneración del derecho a la privacidad es la circunstancia de que la grabación se dirigía indiscriminadamente a todos los trabajadores y era permanente.

Es decir, a modo de nuestra conclusión, según ambos tribunales debería bastar para evitar la intromisión ilegítima del derecho a la privacidad de los trabajadores la existencia de irregularidades en el desempeño de las obligaciones laborales por parte de aquéllos a los que se dirige la grabación, así como una señalización visible de la existencia de una zona de vídeo-vigilancia, siempre y cuando la grabación se limite en espacio y en tiempo justificadamente.

O dicho de otro modo, según la citada doctrina compartida por el TC y el TEDH:

(i) El consentimiento no será exigible en el caso de que el tratamiento de datos personales (la grabación) tenga como finalidad el control del cumplimiento de las obligaciones del trabajador,  en tanto que se considera implícito.

 (ii) Para cumplir con el deber de información es suficiente la colocación visible de un distintivo informativo sobre la existencia y finalidad de las cámaras.

(iii) En todo caso, siempre y cuando la medida supere el triple juicio de proporcionalidad, en el bien entendido de que se trata de la medida más idónea (para la finalidad perseguida),  necesaria (en tanto es la más eficaz y menos lesiva) y proporcional (porque genera más beneficios que pérdidas).

Si el tema es, por lo dicho, complejo, y exige de un preciso juicio objetivo de valor, resulta que el nuevo Reglamento Europeo de Protección de Datos (RGPD)* es más estricto y exigente respecto a la información que debe ser suministrada a los titulares de los datos personales antes de su tratamiento, incluida su imagen. Y además resulta  que el Proyecto de la nueva Ley Orgánica de Protección de Datos de Carácter Personal* recoge la posibilidad de los empleadores de tratar los datos obtenidos a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de las obligaciones laborales de los trabajadores, siempre que les hubieran informado acerca de esta medida. Y al calco de la doctrina jurisprudencial de la que hemos venido hablando, pero algo novedoso respecto al nuevo RGPD, el Proyecto de Ley Organica de Protección de Datos de Carácter Personal* incluye que, en aquellos casos de comisión flagrante de un acto ilícito por el trabajador, la ausencia de la información no privará de valor probatorio a las imágenes, sin perjuicio de las responsabilidades que pudieran derivarse de dicha ausencia (artículo 22)

A pocos días de que el nuevo RGPD sea inexorablemente exigible no hace falta decir que vamos a seguir el curso del proyecto, en este y en todos los demás temas. Entre tanto, aconsejamos acompañar un rato de café con la lectura de la Sentencia del TEDH de 9 de enero de 2018, porque recoge una buena y clarividente reflexión sobre la normativa internacional y nacional y la doctrina jurisprudencial del propio TEDH y del TC que puede ser útil para interpretar, sea cuales fueran, las exigencias de la nueva Ley de Protección de Datos, aún en fase de  proyecto.

Aquí os dejamos la Sentencia del TEDH de 9 de enero de 2018 (asunto López Ribalda y otros). Y por si se alarga el café, también os dejamos la Sentencia 39/2016 del pleno del TC de 3 de marzo de 2016 (caso Bershka)

Feliz semana

Ana Soto & Mª Luisa O.

(*) Asuntos 1874/13 y 8567/13, López Ribalda y otros, contra España.
(*) Publicada en el BOE de fecha 8 de abril de 2016 (BOE-A-2016-3405)
(*) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
(*) Aprobado por el Gobierno el pasado 10 de noviembre, y remitido al Congreso de los Diputados.

Se publica el anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal

datos 3.png

 

A menos de un año para que sea de obligado cumplimiento la nueva regulación contenida en el nuevo Reglamento General de Protección de Datos (Reglamento europeo), el Gobierno, a propuesta del Ministerio de Justicia, ha impulsado el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, con el objeto de adaptar la legislación española a las exigencias del Reglamento europeo, la cual sustituirá, en la versión que finalmente sea aprobada,  la actual LOPD.

El anteproyecto de Ley Orgánica consta de un total de  setenta y ocho artículos, contenidos en ocho títulos, trece disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y cuatro disposiciones finales, e integra  el nuevo régimen establecido por el Reglamento europeo en relación con el tratamiento de datos personal y la circulación de los mismos, con los antecedentes administrativos y judiciales, nacionales y europeos, que se han ido estableciendo a lo largo de la historia de la protección de los datos de carácter personal.

Aquí os dejamos el anteproyecto de Ley Orgánica de Protección de Datos, que ya ha sido publicada.

Seguiremos su desarrollo en otros post.  Entretanto, continúa la cuenta atrás hacia el 25 de mayo de 2018, fecha de entrada en vigor del nuevo Reglamento europeo

Feliz día

Privacy Shield EEUU-UE: acuerdo político entre Estados Unidos y la Unión Europea sobre los flujos transatlánticos de datos.

europe-151588_640

El pasado 2 de febrero el Colegio de Comisarios aprobó el acuerdo político alcanzado entre la UE y los Estados Unidos que, según ha informado la Comisión Europea refleja los requisitos establecidos por el Tribunal de Justicia en su sentencia de 6 de octubre de 2015. En dicha sentencia, el Tribunal de Justicia declaró inválido el marco legal conocido como “puerto seguro” o “safe harbour”.

A partir de ese momento se ha generado una situación de incertidumbre para las empresas que habían transferido los datos de carácter personal de ciudadanos europeos a Estados Unidos bajo el marco del “puerto seguro”, especialmente en el marco de prestación de servicios, pues los datos transferidos de esa forma se quedaban sin cobertura legal. Este acuerdo político es un paso importante, pero a partir de aquí se ha de desarrollar el nuevo mecanismo para la transferencia de los datos, y esto puede tardar un tiempo. Es decir, seguimos sin tener un marco legal similar al anterior de “puerto seguro”. Así, por ahora, para transferir datos de carácter personal a Estados Unidos habrá que utilizar otras vías previstas por la Ley Orgánica de Protección de Datos.

Según se desprende de lo comunicado por la Comisión Europea, el nuevo mecanismo será más protector de los datos personales de los ciudadanos europeos que se transfieran a Estados Unidos. Así el nuevo mecanismo prevé:

  1. Obligaciones más rigurosas para las empresas de Estados Unidos que traten datos de carácter personal de ciudadanos europeos que hayan sido transferidos.
  2. Medidas que limiten el acceso de la administración estadounidense a los datos de carácter personal de los ciudadanos europeos. Según la Comisión, uno de los acuerdos alcanzados es que no habrá por parte de la administración de EE.UU. una vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en el marco del nuevo mecanismo.
  3. Mayor protección de los derechos de los ciudadanos de la UE, entre otras medidas, a través de la creación de un nuevo Defensor del Pueblo para tratar las reclamaciones relativas al acceso por parte de las autoridades.

Os dejamos la noticia publicada por la Comisión Europea

Sin duda, la transferencia de datos de carácter personal de ciudadanos europeos a Estados Unidos necesita un marco ágil, seguro y más protector de los derechos de los ciudadanos europeos que el marco anterior. Sólo esperamos que no se demore demasiado.

Os iremos informando.