Entradas

DATA PROTECTION

GUÍA PRÁCTICA DE PROTECCIÓN DE DATOS 2017

Share Button

La Agencia Española de Protección de Datos (AEPD), ha publicado una guía práctica para difundir el derecho a la protección de datos, que recoge numerosas referencias a los cambios que incorpora el nuevo Reglamento General, que será aplicable el 25 de mayo de 2018, e incluye las principales novedades respecto al ejercicio de derechos, como el derecho al olvido, el nuevo derecho a la portabilidad, o la forma de solicitar la eliminación de fotos y vídeos en internet y qué hacer en caso de no recibir respuesta, además de ejemplos de los tratamientos de datos en el caso de las comunidades de vecinos, los llamados ficheros de morosos, la videovigilancia o la publicidad, entre otros.

 

La Agencia Española de Protección de Datos (AEPD), ha publicado una guía práctica para difundir el derecho a la protección de datos, que recoge numerosas referencias a los cambios que incorpora el nuevo Reglamento General, que será aplicable el 25 de mayo de 2018, e incluye las principales novedades respecto al ejercicio de derechos, como el derecho al olvido, el nuevo derecho a la portabilidad, o la forma de solicitar la eliminación de fotos y vídeos en internet y qué hacer en caso de no recibir respuesta, además de ejemplos de los tratamientos de datos en el caso de las comunidades de vecinos, los llamados ficheros de morosos, la videovigilancia o la publicidad, entre otros.

La Guía frece ejemplos de casos concretos y enlaces con información adicional disponible en la web de la Agencia para que el ciudadano pueda profundizar sobre las garantías de su derecho a la protección de datos. Además, contempla un glosario con los términos y definiciones utilizadas, así como un listado de recursos online para facilitar el ejercicio de derechos, incluyendo la posibilidad de interponer una denuncia o solicitar una tutela de derechos. Ver Guía:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_CIUDADANO.pdf

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.

¿SE PUEDE INSTALAR GPS EN LOS COCHES DE EMPRESA QUE UTILIZAN LOS TRABAJADORES?

Share Button

Sí. El Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso. No obstante, la existencia de esta legitimación, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del deber de informar conforme a la Ley de Protección de Datos, además de la inscripción del correspondiente fichero, y cumplimiento del resto de la normativa de protección de datos.

 

Hoy en día es habitual que las empresas dispongan de sistemas para ubicar en cada momento, a sus trabajadores, ver la ruta que han seguido, cuanto tiempo han dedicado a cada parada….Y para ello basta con que disponga de un simple teléfono móvil con GPS.

Pues bien, si una empresa quiere instalar un sistema de GPS en los los coches de empresa que utilizan sus trabajadores para controlar que cumplan con sus obligaciones, será válido siempre que se limite a controlar el desempeño de sus trabajadores durante su jornada y les haya informado previamente.

Hay que recordar que el Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

 

La empresa debe tener en cuenta lo siguiente:

  • Deberá informar a sus trabajadores con carácter previo sobre la instalación del GPS. Con ello evitará que el despido posterior se declare improcedente (o que se revoque la sanción).
  • Deberá comunicar cuál es la finalidad que persigue con la instalación de este sistema y cuál será el tratamiento de los datos que obtenga (en este caso, controlar las obligaciones laborales de los trabajadores y velar por la seguridad del vehículo). Asimismo deberá indicar también que la información obtenida con el sistema GPS se podrá utilizar para la imposición de medidas disciplinarias.
  • Si los vehículos permanecen a disposición de sus empleados fuera de la jornada laboral, los sistemas de GPS se deberán desactivar. Ello para evitar intromisiones ilegítimas en su vida personal.

 

Protección de Datos 

Hay que tener muy presente también el cumplimiento de la normativa sobre protección de datos. El acceso a los datos de geolocalización se considera un tratamiento de datos de carácter personal, por lo que es necesario cumplir la normativa de Protección de Datos. Se considera dato de geolocalización  “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”.

La existencia de esta legitimación de instalación de GPS en los coches de empresa, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del deber de informar conforme a la Ley de Protección de Datos, además de la inscripción del correspondiente fichero, y cumplimiento del resto de la normativa de protección de datos. Puesto que esta información contiene datos personales, el fichero debe estar declarado en el Registro General de Protección de Datos de la Agencia Estatal de Protección de datos (AEPD).

Según el artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD) el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. No obstante, el apartado 2 del mencionado artículo 6 precisa que no será necesario el consentimiento cuando el tratamiento de datos se refiera a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

CUENTA ATRÁS PARA LA APLICACIÓN DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS: 25 DE MAYO DE 2018

Share Button

El nuevo Reglamento General de Protección de Datos entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. Los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del nuevo Reglamento en el momento en que sea de aplicación.

 

El nuevo Reglamento General de Protección de Datos 2016/679, del Parlamento Europeo, entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del nuevo Reglamento en el momento en que sea de aplicación.

No obstante, es importante que las empresas se vayan adaptando a la nueva normativa, revisen sus avisos de privacidad y que no esperen hasta última hora. Aunque hasta mayo de 2018, estrictamente, no será de obligado cumplimiento, sin embargo, es muy útil para las empresas obligadas a cumplir con la normativa de Ley Orgánica de Protección de Datos (LOPD) empezar a implantar las medidas de seguridad previstas en el Reglamento, ya que la mayor parte de las disposiciones no son contrarias a la LOPD, sino que, muy al contrario, se complementan, pero se requiere la revisión completa de cláusulas en contratos, privacidad en páginas web, formularios de recogida de datos personales, hojas de encargo o pedido, etc.

 

Novedades

El Reglamento introduce nuevos elementos, como el derecho al olvido (solicitar la supresión de datos antiguos cuando ya no responden a una finalidad lícita o se retira el consentimiento) y el derecho a la portabilidad (recuperar los datos que fueron entregados a un responsable, en su momento, en un formato que le permita su traslado a otro responsable), que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Uno de los aspectos esenciales del Reglamento, es que basa la aplicación de las políticas de protección de datos en el principio de prevención por parte de las empresas u organizaciones que tratan datos. Esto es así porque se entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente, dado que esas infracciones han podido causar daños a los interesados que pueden ser muy difíciles o imposibles de compensar o reparar.

Otra novedad es la figura del «Data Protection Officer (DPO)»  o Delegado de Protección de Datos en el nuevo Reglamento, cuya principal responsabilidad consiste en garantizar el cumplimiento de la normativa de privacidad y protección de datos de las organizaciones, instituciones, empresas o corporaciones.

La figura del DPO queda definida así para las entidades e instituciones:

1) Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.

2) Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.

3) El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.

4) El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.

Las entidades que traten datos sensibles (salud, origen racial, religión, vida sexual, creencias, ideología política, afiliación sindical, etc.) están especialmente afectadas por las normas del Reglamento y obligatoriamente deberán designar un delegado de protección de datos (DPO).

Por último, el Reglamento General contempla otro instrumento para garantizar el cumplimiento, que es la necesidad de realizar la “Evaluación de impacto en la privacidad”, cuando sea probable que un tipo de tratamiento, en particular si utilizan nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas.

 

Sanciones

Se prevé en el reglamento la imposición de sanciones que pueden consistir, dependiendo del tipo de infracción, en multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, o bien, multas administrativas de 20.000.000 € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.

 

Información de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado en su WEB materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos (RGPD). Los materiales incluyen una “Guía del Reglamento para responsables de tratamiento”, “Directrices para elaborar contratos entre responsables y encargados”, una “Guía para el cumplimiento del deber de informar”, y “Orientaciones y garantías en los procedimientos de anonimización de datos personales”.

Para más información puede ver:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

 

En este despacho ofrecemos a nuestros clientes el servicio de DPO, por personal especializado. Pueden ponerse en contacto con nosotros para cualquier duda o aclaración que puedan tener al respecto, y solicitar cita informativa gratuita.

NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA U.E.: ES EL MOMENTO DE TOMAR MEDIDAS.

Share Button

El Reglamento General de Protección de Datos de la Unión Europea ha entrado en vigor el 25 de mayo de 2016, pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Entre las novedades destaca el derecho al olvido y el derecho a la portabilidad o el derecho a trasladar los datos a otro proveedor de servicios. Además, se pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Es importante que su empresa empiece a revisar sus avisos de privacidad y otras modificaciones que introduce la norma.

 

Se ha publicado en el Diario Oficial de la Unión Europea DOUE de 4 de mayo de 2016 el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE , y donde se establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española (LOPD), siguen siendo plenamente válidas y aplicables.

No obstante, es importante que las empresas se vayan adaptando a la nueva normativa, revisen sus avisos de privacidad y que no esperen hasta última hora.

 

¿Qué principales novedades recoge el nuevo Reglamento de Protección de Datos?

a) El llamado “derecho al olvido”, que permitirá la rectificación o la supresión de datos personales e información.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

b) El tratamiento de datos personales deberá contar con un deber de información y consentimiento reforzado, claro y afirmativo.

 c) Se fijan restricciones a los menores de 13 años en el acceso a las redes sociales, si bien cada Estado podrá aumentarlo hasta los 16, necesitando autorización de sus padres para el tratamiento de sus datos.

En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

Atención. En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

d) El reconocimiento de nuevos derechos como el de la “portabilidad”, que implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 e) Informaciones respecto a las brechas de seguridad y el derecho a ser informado en dichos casos cuando se ponga en peligro la privacidad.

f) La figura del delegado de protección de datos obligatoria para algunas empresas, la rendición de cuentas “accountability”.

g) Se impone la utilización de un lenguaje claro y comprensible en las cláusulas de privacidad.

Atención. Las empresas deben revisar sus avisos de privacidad. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

h) Será de aplicación a todas las empresas que procesen datos de ciudadanos de la UE, con independencia de si su sede está fuera de la UE.

i) Cambios en el régimen sancionador con multas que pueden alcanzar hasta el 4% de la facturación global de la empresa infractora.

Atención. Las infracciones más graves pueden ser sancionadas con multas de hasta 20.000.000 de euros y, si el infractor es una empresa, la multa puede alcanzar una cuantía equivalente al 4% de su cifra de negocios.

 

 ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

 

¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

Aunque el Reglamento está en vigor no será aplicable hasta 2018, puede ser útil para las empresas que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

En general, las empresas que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.