febrero 27, 2020

El teléfono del empleado: control por la empresa

Filed under: Protección de Datos,RGPD — Etiquetas: — legisconsulting @ 12:20

El teléfono es una herramienta imprescindible para trabajar, pero la empresa a veces ―como se verá en algún caso concreto más adelante―  excede los límites y restricciones.

El desarrollo de mecanismos de legítimo control por parte de las empresas a través del teléfono ha provocado algunos conflictos en el ámbito laboral o de la protección de datos que trae como consecuencia un conflicto de derechos. De una parte, la intimidad y el secreto de las comunicaciones de los trabajadores; y de otra el derecho a la libertad de empresa y a la propiedad privada de la empresa.

Normativa básica

Artículo 20.3 ET.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

Y tratándose en este caso concreto del uso de teléfonos móviles:

Art 90 LOPDGDD. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.

2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

En un teléfono propiedad del empleado

En caso de que el empleado aporte su propio teléfono, con este se están aportando datos personales como el propio número de teléfono o, en algunos casos, el correo electrónico.

En este caso, antes de hacer uso de este mecanismo, es necesario realizar un Juicio de Proporcionalidad’ en que se estudie si los datos que se recaban son necesarios, adecuandos, pertinentes y no excesivos. Extremos detallados en la  Sentencia TC 123/2002 que establece que debe ser estudiada:

  • La idoneidad; para determinar si el uso que se le va al teléfono del empleado es susceptible de conseguir el objetivo propuesto por la empresa.
  • La necesidad; si no hay formas alternativas para cumplir la misma función.
  • De proporcionalidad en sentido estricto; si la medida es suficientemente  equilibrada al derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En este sentido resulta muy interesante la Sentencia de la AN 13/2019 en la que los sindicatos recurrieron la decisión de la empresa Telepizza de obligar a los empleados a instalar en sus teléfonos personales una APP que les tenía localizados en los repartos.

En este caso, la Audiencia Nacional anuló la decisión de la empresa al entender:

  1. Realizando el ‘Juicio de Proporcionalidad’ , que la medida adoptada por Telepizza atentaba contra la privacidad de los empleados y que eran posibles  medidas alternativas que supusiesen una menor lesión para los derechos de estos;
  2. Que establecer la obligación a los empleados de aportar su teléfono en los términos en que se hacía suponía un abuso de Derecho.
  3. Y, en el plano laboral, que no había respetado el derecho de información y consulta de los representantes sindicales

En todo caso, el uso del teléfono del empleado para funciones propias de la empresa, necesitará del deber de información previo de los Art 13 y 14 RGPD (además de los deberes de información propios de la normativa laboral) y el imprescindible consentimiento previo del empleado.

En un teléfono propiedad de la empresa que se le entrega al empleado

Más habitual es el hecho de que la empresa, igual que aporta un ordenador o una furgoneta de reparto, entregue al empleado un teléfono móvil como medio necesario para el desarrollo del trabajo y/o para cumplir con las facultades de control para las que está legitimada. Pero también es habitual que el empleado siga haciendo uso de ese teléfono una vez concluida su jornada laboral en un entorno estrictamente personal.

Obviamente en este caso el teléfono es propiedad de la empresa  y podrá disponer de él, pero no acceder a él de forma ilimitada. Y dado que el teléfono puede ser a día de hoy un más que importante ‘archivo‘ de datos personales del empleado que lo usa, conviene establecer unos límites generales a la legítima actuación de control de la empresa:

Control limitado estrictamente a la jornada laboral: Como señala en una Sentencia el TSJ de Asturias, «toda vez que ha finalizado la jornada laboral, el contrato de trabajo deja de constituir el vínculo entre las partes que ampara el poder del empresario para imponer las medidas implantadas de captación y tratamiento de datos«.

Geolocalización limitada a la jornada laboral: Caso de haberse instalado  en el teléfono algún mecanismo de geolocalización:

  • Se requiere la información (que no consentimiento) previa al trabajador de cualquier sistema de control instalado, su finalidad y la mención expresa de que este servirá para verificar el cumplimiento por parte de los trabajadores de las obligaciones y deberes laborales  .
  • Que el sistema cumpla con los requisitos de ‘proporcionalidad‘  al cumplir con el requisito imprescindible de que los datos recabados sean «necesarios, adecuandos, pertinentes y no excesivos«.
  • En ningún caso  el sistema de ‘control’ se puede extender más allá de los estrictamente laboral, dado que extenderlo supondría vulneración de derechos fundamentales del trabajador. Derechos que siempre prevalecerían caso de entrar en conflicto con los derechos de control y organización de la empresa del Art 20.3 ET .

Acceso limitado a correos electrónicos: No existe jurisprudencia específica en este sentido referida a teléfonos móviles, pero extrapolando la existente sobre ordenadores, sí podemos llegar a las siguientes conclusiones también a los móviles:

  • La empresa puede acceder al correo corporativo, pero el empleado tiene que ser conocedor de tal acceso (deber de información).
  • Al encuadrarse dentro de las facultades de control de la empresa, los controles deben ser idóneos, proporcionales, justificados y necesarios

Acceso al historial de navegación, llamadas:  El TEDH ha establecido que la recogida y almacenamiento de información personal relativa a las llamadas telefónicas, comercio electrónico y navegación por internet, sin conocimiento del interesado, constituye una injerencia en el derecho a su privacidad y al secreto de sus comunicaciones en el sentido del artículo 8 del Convenio de Derechos y Libertades Fundamentales de 1999.

Límite, en los Derechos del Trabajador

Las medidas de control por parte de la empresa, para ser legales,  tienen siempre el límite del respeto a los derechos del trabajador.

Resulta difícil dar unas reglas exactas para el ejercicio de  las facultades de control de la empresa, pero sí podemos fijarnos en las pautas establecidas por el Tribunal Constitucional para el establecimiento de medidas de control:

  • Idónea: La medida debe satisfacer el interés de la empresa de conocer la conducta laboral de sus empleados.
  • Necesaria: No existe ninguna otra medida menos gravosa agresiva o limitadora de los derechos del trabajador que pueda aplicarse con la misma eficacia.
  • Proporcionada: Deben derivarse de ella más beneficios para el interés general que perjuicios sobre otros derechos en conflicto.
  • Justificada: Debe responder a razones objetivas y no a razones de oportunidad o arbitrariedad.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 19, 2020

El teléfono del niño: lo que debería saber

Filed under: Actualidad,Protección de Datos — Etiquetas: — legisconsulting @ 10:44

«Los móviles son una droga, un instrumento muy peligroso para cometer hechos delictivos y el instrumento para convertirse en victima«

Emilio Calatayud – Magistrado de menores.

– – –

Es raro el niño que no tiene móvil. Y aunque los niños no tienen por qué conocer el derecho, los padres, como tutores -tanto para lo bueno como para lo malo-, sí deben conocerlo. Y de ahí este esquemático post.

Los datos de los menores.

Un menos de 14 años necesitará el consentimiento paterno para abrir cualquier tipo de cuenta en redes sociales, servicios de mensajería, juegos, etc.

Con 14 años cumplidos ya no necesitan esa autorización.

  1. Antes de los 14 años, solo con el consentimiento de los padres: El consentimiento (Art 7.2 LOPDGDG) para el tratamiento de Datos personales de menores antes de los 14 años puede ser prestado exclusivamente por los padres. Y  el ejercicio de los derechos sobre los datos personales del menor corresponderán a los padres hasta los 14 años (Art. 12. 6 LOPDGDG).
  2. Una vez cumplidos los 14, años los niños ya pueden dar su consentimiento y ejercer sus derechos.  Es cierto que el RGPD en su art 8.1 sugería una edad mínima de 16 años, pero el legislador español ha considerado que los niños españoles son más «maduros» (Art. 3 LO 1/82) y ha decidido rebajar esa edad a los 14.
  3. Está prohibido el tratamiento de datos de menores en base al Interés Legítimo (considerando 47 RGPD) del que ya se ha tratado anteriormente en este Blog.

Desde el número de teléfono, al correo electrónico, las fotos de perfil, el Nick que se use para los juegos online, aplicaciones de mensajería o redes sociales. Todo son datos personales.

Derechos del menor

El menor tiene derecho a su intimidad y a su propia imagen. Los padres no pueden, ni abrir de forma indiscriminada y sin límites el móvil de sus hijos ni registrarles su habitación.

 “Los menores tienen derecho al honor, a la intimidad personal y familiar y a la propia imagen. Este derecho comprende también la inviolabilidad del domicilio familiar y de la correspondencia, así como del secreto de las comunicaciones”

 “Los padres o tutores y los poderes públicos respetarán estos derechos y los protegerán frente a posibles ataques de terceros”.

Art 4 LO 1/1996 de Protección Jurídica del Menor)

Como se verá más adelante: control sí, Gran Hermano, no

Límites al control por los padres

La patria potestad, como responsabilidad parental, se ejercerá siempre en interés de los hijos, de acuerdo con su personalidad, y con respeto a sus derechos, su integridad física y mental.

Esta función comprende los siguientes deberes y facultades:

1.º Velar por ellos,

Artículo 154 Código Civil

Controlar sí, pero no espiar. Y para fijar el límite entre ambas se pueden tomar una serie de pautas, derivadas de la ya extensa jurisprudencia:

  • La inspección o el control de teléfonos o dispositivos se debe realizar por una causa justificada y concreta.
  • Siempre en beneficio del menor y con la finalidad superior de su protección física o mental.
  • En ejercicio de la obligación de educación y control que tienen los padres.
  • Acceso a los dispositivos, preferiblemente, en presencia del menor.

En cuanto a los programas espía’ instalados en los dispositivos, solo podrían ser legales -a pesar de los extendidos que están- si se instalan con el conocimiento del menor o por alguna razón justificada, concreta, puntual y de forma temporal.

Responsabilidad del menor

Por encima de los 14 años, el menor será responsable penal por delitos tanto por acción (cyberbullying, sextorsión y grooming) como por omisión, como por ejemplo sería la mera tenencia de la imagen de otro menor desnudo.

Los hijos deben: 1.º Obedecer a sus padres mientras permanezcan bajo su potestad, y respetarles siempre.

Artículo 155 Código Civil

Responsabilidad penal

LO 5/2000 de responsabilidad penal del menor

Artículo 3 Régimen de los menores de catorce año.

Cuando el autor de los hechos mencionados en los artículos anteriores sea menor de catorce años, no se le exigirá responsabilidad con arreglo a la presente Ley, sino que se le aplicará lo dispuesto en las normas sobre protección de menores previstas en el Código Civil y demás disposiciones vigentes.

LO 5/2000 de Responsabilidad Penal del Menor

Responsabilidad de los padres

Derivado de los deberes atribuidos a los padres, estos son responsables de los daños, perjuicios e indemnizaciones por los actos de sus hijos, sean o no estos penalmente responsables.

Así, los padres vendrían obligados al pago de las cantidades que correspondan, aunque el menor no sea penalmente responsable por edad, derivadas de esos delitos de nuevo cuño digital, lamentablemente tan extendidos.

En el colegio

A la vista de la normativa mostrada en este post, parece evidente que el teléfono que el niño lleva al colegio forma parte de su espacio de privacidad y que tiene derecho al secreto de las comunicaciones, por lo que se podría deducir que el acceso de un profesor al móvil de un menor de 14 años sin el consentimiento de los padres vulnera su derecho a la privacidad.

No obstante, existe una sentencia de la Audiencia Nacional que manifiesta que el colegio sí puede acceder al teléfono de un alumno por razones de interés general en casos excepcionales en los que esté en riesgo la protección de derechos fundamentales de un menor al tener el colegio encomendada la protección de otros menores cuya guarda, asimismo, se le confía.

Para ponerlo en contexto, la sentencia en concreto trataba del acceso a un móvil de un menor ante el conocimiento de que había enseñado a una compañera el contenido de un vídeo sexual.

Ahora bien, ese acceso no legitima al colegio a  hacer copia del los datos encontrados o tratar los mismos en modo alguno que no sea dar parte, llegado el caso, a la autoridad competente.

Sí que sería legítimo en algunos casos, sin acceder a los datos que contiene, retirar el teléfono a los niños porque así lo recoge alguna normativa autonómica  como la de Madrid (art 24.7), pero con límites estrictos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 12, 2019

Partidos políticos, uso de ficheros ideológicos y privacidad

Filed under: Actualidad,Protección de Datos,RGPD — Etiquetas: — legisconsulting @ 13:24

Cualquiera (¡sí, cualquiera!) podrá estudiar, almacenar, y usar como le parezca opiniones políticas. Incluso para cambiarlas como ya hizo Cambridge Analytica.

Evidentemente a los partidos (todos) están encantados de poder almacenar las preferencias y opiniones políticas de sus votantes y de los que no los son. Y si las opiniones son personalizadas y no meras tendencias de opinión, pues mejor que mejor. Para tratar esos datos persona por persona solo necesitan un programa de ordenador. Y si son datos de millones de personas, pues sólo un ordenador algo más potente.

A pesar de que el RGPD lo prohíbe expresamente (Art 9. 1.Quedan prohibidos el tratamiento de datos personales que revelen (…) las opiniones políticas), se ha venido a crear una estructura que permitirá a cualquiera tener un archivo con las opiniones políticas de sus vecinos.

Permiso para recabar opiniones políticas

Abre la puerta a ello el RGPD bajo el argumento de que sí que está prohibido pero poquito. Se permite recabar opiniones políticas de personas físicas, primero porque quienes las recaban son partidos políticos (apartado ‘d’), porque son datos que el interesado podría haber hecho públicos (apartado ‘e’) y, según un Dictamen Jurídico de la AGPD, por un supuesto ‘interés público esencial’ (apartado ‘g’). (Considerando nº 56 y Art 92.2, letras d), e) y g)).

Y en base a la normativa Europea se crea un Artículo a medida de la Ley Electoral General (Art. 58 bis):

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

De donde sacar esa información

Como andar preguntando puerta a puerta por opiniones políticas sería carísimo para los partidos, estaría mal visto y además está prohibido por la Constitución, se abre la puerta también a que esa información se pueda recoger simplemente de la Red  cambiando fuentes de acceso público.

Así cualquier comentario publicado en Facebook o Twitter, cualquier foto en Instagram o cualquier comentario que haya hecho en un blog será una fuente legítima para que por partidos políticos puedan recabar datos sobre pautas (o monitorizar la actividad de individuos concretos) y utilizarlos para enviar publicidad personalizada ..o directamente manipular las opiniones como ya hizo Cambridge Analytica.

Un Gran Hermano en toda regla, pero el del 1984 de Orwel, no el de la TV.

La postura de la AGPD

Los partidos, en periodo electoral, podrán bombardearnos con publicidad personalizada, adaptada a las necesidades, opiniones y comportamiento de cada persona. Y eso generó un escándalo que hizo a la AGPD emitir un Dictamen Jurídico justificando la legalidad del Art 58. Bis

Basa la AGPD su argumentación en:

  • –        El «Interés Púbico Esencial» que traduce como que el tratamiento de opiniones políticas se enmarca dentro las actividades legítimas de los partidos y con el límite de informar al electorado, pero en ningún caso de influir o condicionar su voto.
  • –        El Sujeto que puede recabar los datos: sólo partidos políticos o agrupaciones electorales.
  • –        El Marco del tratamiento: La circunscripción exclusiva a ‘actividades electorales’.
  • –        La Finalidad: siempre en relación (que no directa ni exclusivamente) con su actividad electoral
  • –        Los Datos Personales Objeto del tratamiento: “opiniones políticas de las personas” obtenidas “en páginas web y otras fuentes de acceso público
  • –        El Tipo de Tratamiento: En resumen, cualquier tipo de operación realizado con los datos o con ‘conjuntos de datos’, pero siempre ‘proporcional al objetivo perseguido’
  • –        Con Garantías Adecuadas: Estableciendo básicamente las exigencias propias de datos sujetos al máximo nivel de protección.

Fija como límite temporal para el tratamiento de los datos la presentación de candidaturas.

Excluye la Propaganda Electoral del requisito previo indispensable de pedir autorización para su envío de la LSSI al no considerarla como ‘comunicaciones comerciales‘.

E insiste reiteradamente en la prohibición de utilizar técnicas como el ‘micro-targeting’ y en dar la posibilidad a los damnificados de oponerse de forma fácil e inmediata al envío de propaganda.

Los Derechos de los Ciudadanos

Como se ha insistido en numerosas ocasiones en este Blog, los Datos Personales constituyen un Derecho Fundamental consagrado tanto por la Constitución, como por la Carta  De  Los  Derechos  Fundamentales de  La  Unión  Europea, y es por ello que cabe preguntase si están en este campo suficientemente protegidos.

En primer lugar cabe destacar el fundamento del «Interés Público» como justificación suficiente para este tratamiento.

Es sabido que el  interés público es un concepto jurídico indeterminado con una doble función según la doctrina legal: por una parte dar cobertura legitimadora por una parte a la actuación de la Administración; y por otra como una de las formas de limitar las potestades administrativas.

En este campo, la utilización del término «Interés Público» tal vez no haya sido el más adecuando atendiendo por un lado al bien general que parece perseguir que es el derecho de los ciudadanos a acceder a toda la información necesaria para poder emitir su voto de forma fundada; y por otro a que la otra parte afectada por la normativa son los partidos políticos, que evidentemente no son Administración Pública.

En segundo lugar se establece la exclusión del consentimiento previa. Los partidos no necesitarán del consentimiento de ningún ciudadano para catalogarle como de una determinada opinión política y utilizar esos datos con los fines electorales que estimen convenientes, pero parece dudoso que algo así encaje con el espíritu del RGPD o incluso con la doctrina del Tribunal Constitucional.

Así, el Tribunal Constitucional, en su Sentencia 94/1998, de 4 de mayo establece que el Art. 18.4 de la CEno sólo entraña un específico instrumento de protección de los derechos del ciudadano frente al uso torticero de la tecnología informática, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona«. Y la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

Un paraguas legal en que el ciudadano solo tiene conocimiento de que se están tratando sus datos cuando recibe propaganda electoral, sin que pueda conocer como se han obtenido dichos datos o con qué fines se están usando, no parece ser muy acorde con la doctrina del tribunal constitucional en esta materia.

Y en tercer lugar, parece más que cuestionable un sistema por el que cualquier persona física mayor de edad no incapacitada (Art 2 Ley Orgánica 6/2002, de 27 de junio, de Partidos Políticos.) pueda recabar y tratar datos sobre opiniones políticas de sus vecinos.

A nivel personal, a un ciudadano tal vez le pueda dar igual manifestar públicamente su apoyo al Partido Independentista de los Pueblos del Fuero de Baylio, pero ese ciudadano tiene el derecho fundamental a que nadie use esa información en su beneficio, porque es una información que vale millones… o si no que se lo pregunten a Facebook, Google, PSOE, PP, Ciudadanos, Podemos, Vox o los pacenses.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2.
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 27, 2018

Medidas de responsabilidad activa — RGPD XI

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 10:10

El nuevo RGPD, plenamente en vigor desde el 25 de mayo de 2018, entraña varias obligaciones que han sido tratadas con anterioridad en este blog, pero es la nueva obligación de adoptar «medidas de responsabilidad activa» la que parece en principio menos concreta.

Con Legisconsulting cumplirá esas obligaciones de forma fácil, segura y sin papeles.

En concreto, sobre el desarrollo que de esta obligación hace la propia Agencia Española de Protección de Datos, le aportamos los medios para que la pueda dar por satisfecha y -lo más importante- demostrar que las ha adoptado.

Ø Análisis de riesgos

Sus archivos con el máximo nivel de protección

Ø  Registro de actividades de tratamiento

Le proporcionamos el documento de Registro de Actividades personalizado y adaptado.

Además se lo adaptamos ante cualquier cambio o ampliación de su actividad

Ø Protección de Datos desde la Protección de Datos

Aportamos y asesoramos sobre las medidas organizativas y técnicas para integrar en los tratamientos garantías que permiten aplicar de forma efectiva los principios del RGPD.

Ø Medidas de seguridad

Con el máximo nivel de seguridad en el depósito de los archivos, aportamos a los responsables y encargados del tratamiento de los datos el asesoramiento continuo y medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos a que vienen obligados.

Ø Notificación de “violaciones de seguridad de los datos”

Si en su actividad diaria se llegara a producir una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

En estas caso, le ayudaremos a valorar la procedencia o no de la Notificación y en su caso le proporcionaremos la vía, debidamente adaptada al RGPD, para realizarla y la forma en que debe quedar documentada.

Ø Evaluación de impacto sobre la Protección de Datos

Le proporcionamos y mantenemos con el máximo nivel de protección la documentación acreditativa de haber realizado la preceptiva evaluación de impacto.

Ø Delegado de Protección de Datos

En su caso, si en base a la actividad que desarrolla o al tipo de datos tratados le fuera exigible un Delegado de Protección de datos, en Legisconsulting estamos en disposición atendiendo a la experiencia y conocimientos, de asumir tal figura.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »