Las cookies, a las que ya dedicamos un artículo, en su momento, son muy habituales en cualquier página web, e igual de habitual es que estén en el punto de mira de la AEPD y otras autoridades de control.

A finales de 2020, entró en vigor la versión más reciente de la Guía de cookies de la AEPD y, desde entonces, hemos apreciado un notable cambio de criterio en las resoluciones y en las sanciones de la Agencia. En este post, hacemos un repaso cronológico de esa evolución, y destacamos algunas multas importantes.

Cómo ha evolucionado el criterio y las multas de la AEPD

Desde la entrada en vigor del RGPD en 2018, empezamos a ver que las resoluciones sobre incumplimientos en las cookies eran cada vez más frecuentes, la mayoría relacionadas con:

  • Falta de información
  • Imposibilidad de identificar al titular de la web
  • Falta de aviso o banner de cookies
  • Falta o insuficiencia de política de cookies
  • No ofrecer al usuario la opción de configurar o rechazar las cookies
  • Instalación de cookies sin consentimiento previo

¿En qué punto estaban las cookies antes de la guía de la AEPD?

Antes de la entrada en vigor de la guía, la mayoría de las sanciones de la AEPD sobre cookies se resolvían con un apercibimiento, es decir, con un simple aviso, sin multa económica.

¿Y qué pasa con la entrada en vigor de la guía en 2020?

Con la llegada de la guía de cookies y hasta el momento actual, el criterio de la AEPD se ha hecho cada vez más estricto, y las sanciones económicas cada vez más frecuentes (y dolorosas). Aquí va una muestra de algunas de los últimos años:

1. Noviembre de 2022

  • Reclamante: procedimiento iniciado de oficio por la AEPD
  • Reclamada: Techpump Solutions
  • Objeto: incumplimientos en la política de cookies, entre otros
  • Sanción: 500.000 euros
  • Infracción: muchísimas, hasta 10 infracciones de la normativa. Por ejemplo: cookies que se instalan sin consentimiento, falta de aviso sobre cookies, política de cookies que solo consta en inglés… La resolución completa la tienes aquí.

2. Junio de 2022

  • Reclamante: usuario web
  • Reclamada: Vueling Airlines
  • Objeto: falta de consentimiento
  • Sanción: 30.000 euros, reducidos a 18.000 por pago voluntario
  • Infracción: instalación de cookies en la web de Vueling sin consentimiento previo del usuario. Vueling reconoció los hechos y procedió al pago de la multa, por lo que el procedimiento se resolvió de esta manera.

3. Junio de 2021

  • Reclamante: usuario web
  • Reclamada: RIUSA II.
  • Objeto: falta de información y consentimiento
  • Sanción: 3.000 euros
  • Infracción: instalación de cookies no técnicas sin consentimiento, inexistencia de información sobre cookies, sus funciones y plazos de aplicación y dificultar al usuario que pueda modificar sus preferencias sobre cookies. Resolución, aquí.

4. Marzo de 2021

  • Reclamante: usuario web
  • Reclamada: ABANCA CORPORACIÓN BANCARIA, S.A
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: 5.000 euros, reducidos a 3.000, por reconocimiento de responsabilidad y pago en periodo voluntario.
  • Infracción: instalación sin consentimiento y uso de cookies analíticas de terceros.

5. Febrero de 2021

  • Reclamante: usuario web
  • Reclamada: IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA UNIPERSONAL.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 30.000 euros. Aunque se presentó recurso de reposición, resultó desestimado.
  • Infracción: la AEPD sancionó a IBERIA por no ofrecer, en su página web, opciones de rechazo a la instalación de cookies y por, además obligar al usuario a aceptar las cookies para poder navegar por la misma.

6. Noviembre de 2019

  • Reclamante: usuario web
  • Reclamada: IKEA IBÉRICA, S.A.U.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 10.000 euros.
  • Infracción: instalación de cookies sin consentimiento previo, incluso habiéndolas rechazado. Eso sí: a día de hoy, basta con echar un vistazo a la web de Ikea España, para observar que han corregido este incumplimiento.

Qué dicen otras autoridades de control sobre las cookies

La AEPD no es la única autoridad de protección de datos que se ha pronunciado sobre cumplimiento y recomendaciones asociadas a las cookies. De hecho, son muchas las agencias que lo han hecho. Aquí, te dejamos algunos ejemplos y enlaces a sus correspondientes guías:

Francia

La CNIL, su autoridad de control, es una de las más activas en Europa y cuenta con unas recomendaciones para el uso de cookies y otras tecnologías de rastreo.

Reino Unido

Es otro de los países que, pese a que ya no forma parte de la Unión Europea, continúa preocupándose por el cumplimiento normativo. Muestra de ello es su guía para el uso de cookies y otras tecnologías similares.

Andorra

Nuestro vecino también tiene una guía sobre cookies, política de privacidad y aviso legal, actualizada por última vez en febrero de este mismo año.

Italia

Otro Estado que también cuenta con un instrumento regulador en este sentido: su guía sobre cookies y otras tecnologías de rastreo.

Alemania

Un poco más al norte, en Alemania cuentan con una guía para proveedores de telecomunicaciones que incluye recomendaciones específicas sobre cookies.

Para no olvidar…

Las sanciones en protección de datos no llegan de forma indiscriminada, intervienen muchos factores. No cualquier incumplimiento implica un golpe económico, pero sí es importante que seamos conscientes de que exige la norma y qué puede pasar si no nos adaptamos a ella.

Sobre cookies, hay muchísimo escrito y muchísima información desde las más variadas perspectivas, pero no hay que perder el norte, pues todo lo que te hemos contado tiene un objetivo claro: protegernos como usuarios y garantizar nuestra privacidad y derechos.

El post de hoy se centra en un tema con muchísimas implicaciones y que requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth.

¿Qué tienen en común todas estas cosas entre sí? ¿Por qué importa la protección de datos? Recordemos que un dato personal es cualquier información que identifica -o hace identificable- a una persona. Y que, entre esa información, nos encontramos, por supuesto, con los datos de salud, que muchas veces hacen parte de trabajos de investigación, ensayos y desarrollos relacionados con eHealth.

Por todo ello, es fundamental entender cuándo estamos ante un tratamiento de datos, qué hay que cumplir y cómo hacerlo

¿Cuándo aplica la normativa de protección de datos a un proyecto de investigación?

En España, en cuanto a protección de datos, tenemos dos normas de referencia:

  • El Reglamento Europeo de Protección de Datos (RGPD)
  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDgdd)

Estas dos normas son de obligado cumplimiento siempre que tratemos información personal que pueda llegar a identificar a su titular.

En el ámbito de investigaciones y trabajos biomédicos principalmente deberemos tener en cuenta la Ley 41/2002 básica eguladora de la autonomía del paciente y la Ley 14/2007 de Investigación biomédica.

Si estamos desarrollando una solución de ehealth, o llevando a cabo un trabajo de investigación y manejamos datos personales, estamos sujetos a la normativa y toca cumplirla.

Un recordatorio a tener en cuenta: los datos, aun seudonimizados, continúan siendo datos personales. Por ejemplo, un número o código de empleado se puede contrastar con una base de datos y nos permite saber qué persona hay detrás del mismo. La seudonimización actúa, meramente, como una medida de seguridad, pero no evita la sujeción a la normativa. Nota: la sentencia reciente en el caso EU General Court in Case T-557/20, SRB v EDPS podemos apreciar una ligera variación que en algunos casos considera esta acción anonimización.

Datos de categoría especial: cuáles son y qué exige la normativa

El tema de la protección de datos en los ámbitos descritos tiene mucha importancia porque, por lo general, las investigaciones y trabajos de este tipo implican el tratamiento de datos de salud.

¿Y por qué es relevante esto? Porque ese tipo de datos se incluyen dentro de los que la norma llama sensibles o de categoría especial que, entre otros, son:

  • Datos genéticos
  • Datos biométricos dirigidos a identificar a una persona
  • Datos sobre salud

Si tu trabajo o investigación recae sobre alguna de las informaciones dadas, es indispensable que, antes de iniciarlo (o, si ya lo has hecho, de seguir avanzando), veas cómo cumplir la normativa.

Y es fundamental hacer esto porque, con carácter general, el tratamiento de datos sensibles está prohibido por norma, si bien hay excepciones que levantan esa prohibición. No entraremos en cada una de ellas, pero sí en algunas que pueden ser interesantes para el tema que aquí tratamos:

  • Que la persona haya dado su consentimiento
  • Que el tratamiento de esos datos sea necesario con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • Por fines de medicina preventiva o laboral o interés público en el ámbito de la salud pública

Derecho de información de los participantes en el estudio

Como siempre decimos, la protección de datos no busca salvaguardar el “dato” como tal. La información, por sí misma, no tiene valor: lo que lo tiene es la persona que hay detrás de ella.

Uno de los derechos más elementales en protección de datos -y que es, a su vez, un deber- es el de información: el derecho que tiene la persona a saber, de forma transparente, sencilla y clara, qué se hace con sus datos personales.

En una investigación o trabajo de este tipo, es primordial:

  • Proporcionar al interesado la información sobre el tratamiento de datos
  • Con carácter general, esta obligación la tiene que cumplir la Universidad o centro docente de que se trate, a través de sus investigadores, docentes o similares.
  • En un estudio en que participen menores de 14 años, se informará a sus representantes. Con menores de edad mayores de 14 años, la información se adaptará para que sea accesible a estos.

El consentimiento y otras bases jurídicas aplicables

Siempre que sea posible, en un trabajo o investigación, lo preferible será evitar tratar datos personales. Pero, si es necesario tratarlos, es indispensable que se haga bien, y una parte fundamental de esto es buscar una base legal adecuada.

La base jurídica más conocida para el tratamiento de datos personales es el consentimiento, pero no es la única que existe. Sin embargo, para los trabajos de investigación, especialmente si implican datos sensibles, con carácter general será la más adecuada, lo que supone que tendrá que ser obtenido de los participantes (En la Ley 14/2007 es la que recoge la Ley como base legitimadora).

¿Qué características tiene que tener el consentimiento?

  • Inequívoco, en el sentido de ser una clara acción afirmativa
  • Libre, prestado sin coacción o condiciones, voluntariamente
  • Recogido de forma clara, sencilla
  • Capaz de ser probado
  • Revocable, pudiendo ser retirado en cualquier momento

En cualquier caso, como hemos dicho, no es el consentimiento lo único que nos habilita para tratar datos personales, pues el RGPD contempla (art. 6) otras opciones. Así, en un trabajo o investigación, podríamos llegar entender que existe un interés público o incluso una relación contractual. Pero todo esto hay que analizarlo caso por caso, con un equipo especializado, y antes de empezar a trabajar.

Antes, durante y después del proyecto: cómo cumplir la normativa

Como pautas generales de cumplimiento para cada fase del proyecto, desde su comienzo a su fin, te damos algunos tips clave:

Antes del proyecto

En protección de datos, hay un concepto de vital importancia, que es el de “privacidad desde el diseño”, según el cual los tratamientos de datos hay que diseñarlos y preverlos antes de empezar a llevarlos a cabo, y no al revés.

En un proyecto o investigación, debes plantearte qué quieres hacer, si lo que vas a hacer implica tratamiento de datos personales o no y cómo vas a asegurar que ese tratamiento se desarrolle de forma cumplidora. Una forma de hacer esto es valorando el riesgo y potencial impacto que el proyecto puede suponer para los derechos de los participantes.

Durante el proyecto

Es fundamental que, mientras el proyecto se desarrolla, te asegures de cumplir todas las obligaciones y recomendaciones que hemos venido dando. Por ejemplo, y con especial importancia, brindando información a los participantes y recogiendo -puede ser mediante formulario- los consentimientos necesarios.

Monitorizar continuamente el entorno interno y externo de la organización es otro paso a aplicar, así como ser consciente de los cambios en la normativa. También, aplicar medidas de prevención, de formación y de recuperación ante ataques e involucrar a todos los intervinientes, a fin de que cada uno de ellos esté haciendo lo correcto para proteger la privacidad de los usuarios mientras se desarrolla el proyecto.

Si surge cualquier incidente o cambio, es necesario estar preparado para darle una respuesta. Y estas obligaciones deben perdurar y mantenerse estables mientras se desarrolla el mismo.

Después del proyecto

Las obligaciones de privacidad y confidencialidad contraídas no terminan una vez el proyecto o investigación ha concluido, pues permanecen vigentes. Debes asegurarte de que todo aquello que se ha hecho para cumplir no caiga en saco roto una vez que la investigación finaliza.

También es el momento idóneo para ver qué ocurre con los datos que ya no necesitas: si debes o no debes conservar algo, si has de devolver información, si tienes que destruirla (y, en su caso, de qué manera).

Todo proyecto y todo tratamiento de datos es un mundo, por lo que, caso por caso, tocará analizar y definir lo que sea necesario.

Medidas de seguridad sobre los datos personales

Es preciso disponer de medidas y sistemas de seguridad que aseguren, sobre todo, medios robustos de comunicación y transmisión de los datos personales. Es fundamental analizar qué herramientas o requisitos necesitamos para asegurar que la información personal que cae en nuestras manos está segura.

Esto pasa por exigir la firma de acuerdos de confidencialidad, evaluar la seguridad de los sistemas informáticos, controlar los accesos y privilegios o a quién se le envía información. Y, a nivel privacidad, hay dos instrumentos básicos que la norma regula:

  • El análisis de riesgos: implica evaluar el riesgo que la acción llevada a cabo supone en cuanto a privacidad. Pasa por describir el propio tratamiento, identificar cuáles son los factores de riesgo y el nivel del mismo, determinar la forma de tratarlo y las concretas medidas de control a aplicar.
  • La evaluación de impacto: esta acción no es obligatoria en todos los tratamientos de datos, pero sí en algunos de ellos, por lo que es necesario identificar si tu trabajo requiere de la misma o no. Te adelantamos que, si tu proyecto o investigación implica datos de salud o biomédicos, esta evaluación es obligatoria.

¿Lo anterior te deja con más dudas que antes de empezar a leer? Es normal, dado que este ámbito es muy complejo, y hay muchas preguntas que tener en cuenta. Podríamos dedicarle muchos artículos al tema, pero también puedes preguntarnos lo que necesites.

Datos de salud y tecnología: eHealth y la vigilancia sobre los usuarios

Entendemos por “eHealth” o “eSalud” cualquier atención o vigilancia de la salud enfocada desde la aplicación de tecnologías de la comunicación o la información.

Un teléfono móvil, por ejemplo, permite acceder prácticamente a cualquier información sobre la vida de su portador. Y, evidentemente, no nos comportamos igual cuando sabemos que nos vigilan, vigilancia que, además, nos hace vulnerables.

No entraremos en exceso en este tema, pues también tiene lo suyo. Pero sí es fundamental saber que un proyecto de estas características, sí o sí, debe cumplir con las acciones y mínimos recogidos en este artículo. Y, más allá de ello, no hay que olvidar que al mismo tiempo que se resuelve un problema o desafío médico, se hace frente a un desafío desde el punto de vista de la privacidad: son conceptos que, inevitablemente, van de la mano.

Hay mucha tecnología que permite hacer que ambas ideas coexistan y funcionen; lo que hemos de lograr es buscar soluciones que ofrezcan respuestas transparentes y proporcionales e ir construyendo, progresivamente, una cultura de protección de la privacidad.

Mantener la información de la persona protegida y asegurar su confidencialidad es fundamental, especialmente si hay riesgo de que esa información sea usada para estigmatizarla o discriminarla.

Antes de irnos, te dejamos este enlace, en el que puedes consultar todo lo que la AEPD ha publicado sobre investigación sanitaria y ensayos clínicos.

La recién llegada ley “whistleblowing” ha generado mucho revuelo en las empresas, pero no hay que olvidar que también afecta a la Administración Pública. Esta nueva norma está dando mucho que hablar, tanto que en Dataseg ya hemos publicado dos artículos al respecto: un resumen de puntos clave y un post con sus implicaciones en protección de datos.

En esta nueva entrega, analizamos la ley desde el punto de vista de su impacto en el sector público, centrándonos en algunos aspectos que nos parecen fundamentales.

Entidades del sector público obligadas a tener un sistema de denuncias

Como ya te hemos contado en anteriores artículos, esta ley nace con el objetivo de obligar a determinadas entidades a contar con un sistema interno de denuncias, así como con el fin de proteger a quienes hagan uso del mismo.

¿A quiénes aplica esta obligación dentro del sector público? La norma es muy clara en este sentido, pues en su art. 13 señala que afecta a “todas las entidades que integran el sector público”. Por si acaso, la ley especifica:

• Administración General del Estado
• Administración de las Comunidades Autónomas
• Ciudades con estatuto de autonomía
• Administración Local
• Organismos y entidades públicas vinculadas o dependientes de la Administración
• Asociaciones y corporaciones en las que participen Administraciones y organismos públicos
• Autoridades administrativas independientes
• El Banco de España
• Entidades gestoras y servicios comunes de la Seguridad Social
Universidades públicas
Corporaciones de Derecho público
Fundaciones del sector público
Sociedades mercantiles con participación de capital público superior al 50%
• Órganos constitucionales o de relevancia constitucional

Es importante tener en cuenta este listado, dado que, desde la llegada de la ley -te recordamos que está en vigor desde el pasado 13 de marzo– se ha extendido mucho la idea de que solo aplica a empresas con más de 50 trabajadores.

Pero su alcance no queda ahí, por lo que si tu entidad encaja en lo indicado, es importante que tengas en cuenta que debes disponer del canal de denuncias.

¿Hay particularidades para alguna entidad pública?

La ley prevé una serie de particularidades, por ejemplo, para los municipios con menos de 10.000 habitantes, que pueden compartir el sistema de denuncias con otros municipios o administraciones de la Comunidad Autónoma.

También pueden hacer lo propio las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales y que tengan menos de cincuenta empleados, que podrían compartir su sistema con la Administración de que dependen.

Lo anterior, en todo caso, debe hacerse asegurando la independencia entre sistemas y la facilidad y transparencia para el ciudadano.

El DPO en el sistema de denuncias

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Te recordamos que el DPO es una figura que existe en el marco de la protección de datos, fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:

• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

Este es uno de los servicios que prestamos desde Dataseg, así que puedes contactar con nosotros en caso de necesitar más información.

Cumplir con el Esquema Nacional de Seguridad

Por último, no queremos perder la oportunidad de recordarte la importancia del Esquema Nacional de Seguridad (ENS) para las entidades de la Administración Pública.

El ENS es una normativa que establece la política de seguridad el uso de medios electrónicos relacionados con la Administración Pública, con el fin de que la información, las comunicaciones, los servicios y los sistemas estén correctamente protegidos. Así, el ENS busca crear unas condiciones de confianza entre Administración y ciudadano, mediante el establecimiento de medidas de seguridad adecuadas.

Y es fundamental tener cumplir con el ENS en cualquier actuación que lleve a cabo la Administración en el ámbito electrónico, y ello incluye la creación y posterior gestión de los canales de denuncias, que deberán ajustarse a los criterios y requisitos mínimos de esta normativa.

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo.

Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales:
• Por una parte, del propio denunciante
• Por otra, del denunciado
• Eventualmente, de terceros implicados

Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare.

El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos.

En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones:
• Garantizar la seguridad del denunciante y su confidencialidad
• Ser utilizado solo por las personas que la ley dispone
• Impedir el acceso a personal no autorizado
• Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo
• Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida.
• Informar al denunciante de que su identidad será reservada y no difundida
• Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento.

Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:
• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe:
• Ser informado a los trabajadores
• Cumplir con los principios de proporcionalidad y limitación
Proteger los datos personales del denunciante
• Tener un acceso limitado
• Garantizar los derechos de los interesados
• Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto:

• No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato.
• Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación.
• Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal.
• En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado.

Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas.

Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.

Hoy 13 de marzo de 2023, entra en vigor la Ley de protección al denunciante o de whistleblowing, que puedes encontrar en el BOE como Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Esta norma tiene como objetivo establecer un marco de protección para aquellas personas que denuncien alguna infracción que se produzca en su entorno laboral, o en el seno de la organización en la que trabajan.

Evidentemente su mayor impacto está en el ámbito laboral pero ya que se tratarán datos tanto de denunciantes como de denunciados, es crítico conocer sus implicaciones a nivel privacidad y protección de datos tema que abordaremos en una próxima entrega.

La Ley Whistleblowing

Aunque se trata de una novedad desde la perspectiva de la Ley nacional, lo cierto es que dentro del Derecho de la Unión ya tiene varios años pues no deja de ser una trasposición al Derecho Español de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión; puede usarse como apoyo para su cumplimiento la Norma UNE-ISO 37002 Whistleblowing Management Systems.

Entrada en vigor

Para que no te pille el toro, aquí tienes todas las fechas a tener en cuenta:

  • Fecha de publicación en el BOE: 20 de febrero de 2023
  • Fecha de entrada en vigor: 13 de marzo de 2023
  • Periodo de adaptación e implementación: hasta el 13 de junio de 2023
  • Para empresas con menos de 250 empleados: 1 de diciembre de 2023

¿A qué y a quién obliga la nueva norma?

Deben (están obligados) disponer de este sistema:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Es posible tener el canal de forma voluntaria, pero en todo caso debe cumplir con las exigencias de la Ley.

¿Y qué sujetos quedan protegidos por la Ley de whistleblowing?

  • Empleados públicos
  • Trabajadores por cuenta ajena
  • Autónomos
  • Cualquier trabajador supervisado por contratistas, subcontratistas o proveedores
  • Accionistas, partícipes y miembros del órgano de dirección, supervisión o administración
  • Voluntarios, becarios o personas que aún no hayan empezado la relación laboral pero mantengan un nexo con la organización.
  • Representantes legales de los trabajadores

¿Cómo debe estructurarse el sistema de denuncias?

En estos días los software sobre denuncias internas aparecen como champiñones por todas partes, todos tienen uno o todos ofrecen uno. Y que quede claro, la norma no exige que se use un software, exige un sistema interno. Por tanto, puede ser un procedimiento, pero que debe cumplir con todo lo que pide la norma, eso sí.

El sistema interno de denuncias debe permitir que el denunciante pueda presentar la información que estime oportuna tanto verbalmente como por escrito. En todo momento, debe asegurarse la seguridad y confidencialidad del denunciante y de todas las actuaciones llevadas a cabo.

Al frente del mismo, ha de designarse a un Responsable del Sistema interno, que desarrollará sus funciones de forma independiente o autónoma, sin recibir instrucciones y disponiendo de los medios necesarios para ello.

¿La persona que denuncia puede sufrir alguna consecuencia por ello?

No. Además de proteger su confidencialidad, la ley también prohíbe que se tomen represalias contra aquellos trabajadores que presenten denuncias, considerando como tales:

  • Suspensión del contrato, despido o extinción de la relación laboral
  • Daños reputacionales o económicos
  • Coacciones, intimidaciones, acoso u ostracismo
  • Evaluaciones laborales o referencias negativas
  • Inclusión en listas negras
  • Denegación o anulación de licencias o permisos
  • Denegación de formación
  • Discriminación o trato desfavorable o injusto

Además, el denunciante tiene derecho a recibir apoyo, información, asesoramiento y asistencia (psicológica, financiera o jurídica) durante todo el proceso.

¿Quién puede ver qué información hay en el sistema de denuncias?

Siguiendo esa línea de protección de la confidencialidad del denunciante y de los datos asociados a la denuncia, la ley establece una lista limitada de sujetos que pueden acceder al sistema:

  • El responsable del mismo
  • El responsable de RRHH, en algunos casos
  • El responsable de servicios jurídicos de la entidad
  • Los encargados de tratamiento que pudieran designarse
  • El delegado de protección de datos

El delegado de protección de datos

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Esta figura -también llamada DPO o DPD– fue creada por el RGPD, y es aquella persona o empresa que se asegura de que en una organización se cumple con la normativa de protección de datos. Desarrolla su tarea de forma confidencial e independiente y tiene funciones de:

  • Información y asesoramiento
  • Supervisión de cumplimiento normativo
  • Asignación de responsabilidades
  • Formación del personal
  • Realización de auditorías
  • Cooperación con la autoridad de control

Hasta ahora, solo era obligatorio disponer de DPO en algunos casos específicos, pero si tienes más de 50 trabajadores -o cualquiera de los otros supuestos mencionados- debes designarlo.

El de delegado de protección de datos es uno de los servicios que prestamos en Dataseg, así que puedes contactarnos o solicitar un presupuesto si te interesa obtener más información

Régimen sancionador de la Ley whistleblowing

Cerramos artículo haciendo un resumen de las sanciones que prevé esta nueva ley, pues si bien su fin es proteger los derechos y libertades de los denunciantes, también regula una serie de consecuencias para aquellas entidades que incumplan. Así pues tenemos infracciones:

  • Muy graves: Acciones como no disponer del sistema descrito, no proteger la confidencialidad de los denunciantes o adoptar represalias pueden suponer multas de hasta 1.000.000 de euros.
  • Graves: Cuando la infracción cometida no tenga el carácter de muy grave, la sanción aparejada puede llegar a los 600.000 euros.
  • Leves: Otras conductas, como la falta de colaboración en caso de investigación, pueden acarrear una multa de hasta 100.000 euros.

Además, se prevén otras sanciones no económicas, como amonestaciones, prohibiciones de contratación o de obtención de subvenciones.

A tener en cuenta y cierre

La Ley Whistleblowing ha venido para quedarse y tiene muy buenas intenciones… esperemos que las consigamos y cada día tengamos un entorno más cumplidor y ético.

Hoy en este artículo os hemos presentado la norma y sus claves, el miércoles vía radio y por aquí os hablaremos de los puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Si e surge alguna pregunta, no dudes en contactar con nosotros sobre la aplicación de la normativa de protección de datos al canal de denuncias.

Como avanzábamos en nuestro último post sobre la nueva Guía para profesionales del sector sanitario. En este artículo, de carácter más práctico, resolvemos algunas de las dudas que pueden surgir a los profesionales sanitarios sobre el tratamiento de datos personales en su actividad.

¿Qué obligaciones hay en el ámbito sanitario en cuanto a la normativa de protección de datos?

1. Nombrar a un Delegado de Protección de Datos (DPO). La designación de un DPO es obligatoria cuando el tratamiento de datos sea por un organismo público y cuando se trate de centros obligados al mantenimiento de historias clínicas.

Aquellos que ejerzan su actividad de forma privada a título individual no están obligados. Pero, que no sea obligatorio no quiere decir que no pueda ser recomendable, en cualquier caso.

2. Evaluaciones de Impacto. Realizar una EIPD es obligatorio siempre que el tratamiento de datos personales suponga un alto riesgo para los derechos y libertades de los interesados. Si tienes dudas, la herramienta Evalúa Riesgo, puede ayudar a determinar si estás obligado a hacerla.

3. Registro de actividades del tratamiento. Cualquier tratamiento de datos hecho correctamente pasa por efectuar el correspondiente RAT.

Si el servicio sanitario lo presta una entidad pública, el inventario de los tratamientos de datos deberá hacerse público y accesible por medios electrónicos. Por ejemplo, a través de una página web.

4. Gestión de brechas de seguridad de los datos personales. El responsable, asesorado por su DPO, ha de saber qué brechas, vulneraciones o similares de datos personales tienen lugar y aplicar las medidas y garantías necesarias, minimizando el riesgo para los derechos y libertades de los interesados.

Para esto es siempre positivo disponer de un protocolo para la gestión de brechas, que permita anticiparse y prever cómo actuar antes el caso de que las mismas tengan lugar.

Historial clínico, ¿quién y cuándo se puede acceder a él?

El acceso a la historia clínica de los pacientes no puede hacerse de forma indiscriminada, sino que está limitado. Es decir, no cualquier profesional y ante cualquier circunstancia puede acceder, pues hay condiciones para ello.

Tanto los profesionales sanitarios, como los residentes o los centros sociosanitarios podrán acceder al historial siempre y cuando sea necesario para la atención sanitaria que se esté prestando y únicamente para el desempeño de sus funciones.

Hay ciertos supuestos en que este acceso debe hacerse de forma disociada, es decir, separando los datos identificativos de los datos clínicos, como ocurre en los estudios epidemiológicos, en investigaciones o con fines docentes.

Es fundamental que todo el personal de inspección, evaluación, sanitarios o autoridades, que accedan a historias clínicas guarde el deber de secreto. El solo hecho de ser un profesional sanitario no justifica que se pueda acceder a la información clínica de un paciente de forma indiscriminada; sólo en aquellos casos en que sea indispensable hacerlo

Responsabilidades por accesos indebidos a historias clínicas

Siguiendo con lo anterior, el acceso a historiales clínicos de forma injustificada puede acarrear responsabilidades penales, disciplinarias o administrativas, además de conllevar indemnizaciones. Recuerda: todo acceso a datos debe estar justificado.

Derechos de los pacientes, ¿pueden acceder a su historial clínico?

Los interesados tienen reconocidos en el ámbito sanitario sus derechos de protección de datos, aunque con algunas limitaciones concretas.

Por ejemplo, el derecho de supresión puede verse afectado porque la conservación de los datos es necesaria para la correcta atención sanitaria y por obligaciones legales y de interés público que hay que respetar.

Podrán suprimirse aquellos datos que carezcan de relevancia, pero no otros que sean fundamentales para el paciente y sus tratamientos, presentes o futuros.

En el caso de las historias clínicas, no está reconocido expresamente el acceso de los pacientes a estos documentos como tal, pero sí a recibir confirmación de si se están tratando o no sus datos personales y a determinada información asociada s su historia.

Ojo: este derecho no puede implicar acceso a datos de terceras personas o a anotaciones subjetivas de los sanitarios que pudieran constar en la historia.

Menores de edad, ¿quién ejercita sus derechos?

Los padres, madres, tutores o representantes tienen derecho a acceder a los datos relacionados con la historia clínica de los menores, en la medida en que son los responsables de su cuidado.

No obstante, a partir de los 14 años, se reconoce mayor autonomía a los menores. Si bien no desaparece ese derecho de los padres, nos encontramos con que el menor tiene derecho a ser informado de los asuntos que le conciernen en lo respectivo a su salud.

Esto posibilita que su opinión sea tenida en cuenta en todo a lo que respecta a diagnósticos, tratamientos y cualesquiera otros asuntos pudieran afectarle.

¿Cómo comunicarse adecuadamente con los pacientes?

Una de las dudas que pueden surgir a los profesionales sanitarios es la referida a cómo gestionar la comunicación con los pacientes, tanto cuando se encuentran físicamente en el centro, como cuando se realiza por teléfono, mensaje, correo electrónico u otros medios de forma que se respete su intimidad y la confidencialidad de sus datos.

Por ejemplo, a la hora de llamar a los pacientes a consulta es preferible evitar utilizar datos identificativos, como el nombre y apellidos, o el nombre completo de la persona, y optar en su lugar por métodos alternativos, como códigos numéricos o alfanuméricos que se reflejen en una pantalla, uso de iniciales del paciente o similares.

Si se va a llamar al paciente por su nombre, utilizaremos el nombre de pila y si es posible, en una sala donde los únicos que lo escuchen sean los pacientes de la misma consulta.

Evidentemente, son medidas que variarán mucho dependiendo de las posibilidades tecnológicas, de espacio y de recursos humanos de cada centro.

Por otra parte, cuando hablamos con un paciente por teléfono, por ejemplo para cancelar una cita, confirmarla o posponerla; son ellos los que preferentemente deben dar la información de la misma, y no a la inversa.

Es decir, que sea el propio paciente el que comunique los detalles; como son la fecha, hora y características de la cita, a fin de que el interlocutor los confirme, y no al revés.

Existen otros métodos de comunicación con los pacientes, como es el correo electrónico o los SMS. Son válidos, pero te recomendamos que priorices la atención presencial y telefónica en la medida de lo posible, y que reserves estos para aquellos casos en que sea indispensable, y siempre evaluando antes su uso y los riesgos asociados.

La comunicación a través de redes sociales y de aplicaciones de mensajería instantánea – WhatsApp, Telegram, etc. – Está altamente desaconsejada.

¿Podemos dar información a otra persona sobre el ingreso de un paciente?

Con carácter general, si no se ha obtenido consentimiento del paciente para facilitar esta información, no se debe proporcionar. En caso de que el paciente no esté capacitado para prestar este consentimiento, podrán hacerlo sus familiares. Como veremos a continuación, en el ámbito sanitario no siempre es sencillo que se pueda conceder un consentimiento.

En casos excepcionales, como urgencias, pacientes que se correspondan con personas desaparecidas o pacientes inconscientes, se podrá dar información a los familiares o allegados; tratando de verificar previamente que la persona es quien dice ser.

Se darán los detalles indispensables, y el número de habitación en su caso, sin indicar datos de salud mientras no sea necesario.

¿Se pueden colocar cámaras de videovigilancia en los centros sanitarios?

La colocación de cámaras en centros sanitarios está permitida, igual que lo está en otros espacios, tanto con fines de seguridad de las instalaciones como con otros; como puede ser el control laboral de los trabajadores.

No obstante, es cierto que hay que controlar el enfoque, ubicación y demás parámetros que afecten a las cámaras, a fin de evitar que capten zonas que, en el caso de los centros sanitarios, son especialmente sensibles, como consultas, quirófanos y demás. Con carácter general, deberán captar sólo zonas comunes.

Y, por supuesto, hay que tener en cuenta varios factores si existe videovigilancia, como la colocación de carteles que informen sobre su uso y, entre otros, la elaboración de los correspondientes registros de actividades.

Para terminar…

Y, hasta aquí, nuestros consejos y recomendaciones para el tratamiento de datos en el ámbito sanitario.

Esperamos que este artículo te haya ayudado a saber un poco más sobre el tema y que haya servido para contestar preguntas clave, si bien siempre puedes ponerte en contacto con nosotros para saber más. También te dejamos la Guía para profesionales sanitarios por si quieres ampliar la información.

Este mes de junio, la AEPD ha publicado la nueva Guía para profesionales del sector sanitario, en la que trata de responder algunas de las dudas más relevantes que les pueden surgir a estos profesionales en su actividad

Esta guía viene motivada porque en 2021 se registraron más de 600 reclamaciones por el mal uso de los datos personales relativos a la salud.

En este post te resumimos el contenido de la guía y algunos de los puntos más relevantes que se tratan en ella.

Introducción a la Guía

Los profesionales del sector sanitario, además de tratar datos identificativos, tienen acceso a datos de salud, necesarios para cumplir con la finalidad de prestación de asistencia sanitaria. Estos datos que se encuentran dentro de la categoría de datos especiales o datos sensibles, tienen una especial protección y sólo pueden ser tratados bajo ciertas condiciones y garantías necesarias para el correcto uso de ellos.

Puntos en los que se estructura la Guía

En este apartado, hacemos un resumen de la estructura y contenido que de la guía, ¡Recuerda! Esto es solo un resumen, por lo que no entramos a valorar todos los puntos de la guía en su conjunto

1. Conceptos básicos: los datos de salud son necesarios para cumplir con la finalidad de atención sanitaria y, como datos de categoría especial, requieren una protección.

Los encargados de proporcionar dicha protección son los responsables del tratamiento de los datos (entidad pública, privada o profesionales individuales) y para ello, dispondrán las medidas de seguridad y decidirán sobre los datos, su recogida y finalidad, además de seleccionar encargados –es decir, terceros que presten algún servicio al responsable- que ofrezcan las garantías de cumplimiento necesarias

2. Legitimación para el tratamiento: La guía hace una diferenciación entre dos conceptos que pueden confundiré: el consentimiento informado, una acción que se realiza muchas veces en el ámbito sanitario, en la relación con los pacientes; y el consentimiento como base legitimadora para el tratamiento de los datos.

Para el último caso, la guía recuerda que, en el ámbito sanitario, normalmente los datos podrán tratarse sin consentimiento del interesado, ya que se pueden aplicar otras bases jurídicas, como es el caso del interés vital. Esto no exime, sin embargo, de la obligación de informar al paciente de que sus datos están siendo tratados y con qué fin.

En el caso de los menores de edad. A partir de los 14 años, tienen derecho a consentir el tratamiento de sus datos y a ser informados sobre ello.

3. Historias clínicas: la guía facilita información sobre quiénes pueden acceder a las historias, entre ellos: profesionales sanitarios, residentes, estudiantes, centros sociosanitarios, centros privados, etc. Así como de en qué casos pueden tener acceso.

Lo más fundamental de este punto es recordar que la protección de datos no pretende obstaculizar la correcta atención sanitaria. Eso sí: todo acceso debe estar correctamente justificado y limitado a lo estrictamente necesario.

4. Responsabilidad del profesional sanitario: debemos tener claro que cualquier actuación no justificada por los sanitarios puede dar lugar a responsabilidades en el ámbito penal -llegando algunas actuaciones a ser constitutivas de delito-, sanciones disciplinarias y también de carácter administrativo. La guía recuerda la importancia de una buena gestión de las brechas de seguridad y recalca el crecimiento reciente de los ciberataques.

5. Obligaciones en el tratamiento de los datos: los profesionales deben asegurarse de que el tratamiento de los datos sea lícito, que se informe al paciente de los derechos que le corresponden, que se van a tratar sus datos, y se respete el deber de confidencialidad. Se debe garantizar el principio de responsabilidad proactiva: cumplir y ser capaz de demostrarlo.

6. Derechos de los pacientes: la guía nos recuerda que el RGPD regula los derechos que existen en materia de protección de datos, si bien en el ámbito sanitario hay ciertas limitaciones sobre esos derechos, por razones de interés público, cumplimiento de obligaciones o prestación de una correcta atención.

Como puntos clave:

  • Cuando se de información del paciente acerca de su historia clínica, no se debe incluir información de terceros.
  • Los menores de edad, mayores de 14 años, tienen derecho a ser informados del tratamiento de sus datos. (sin que ello implique que se deje de informar a sus padres o tutores).
  • Cualquier brecha de seguridad, como el borrado accidental de documentación, deberá ser comunicada a la AEPD, si existe un riesgo para los derechos del paciente.

7. Comunicaciones de datos a terceros: cómo llamar a los pacientes en las consultas, cómo gestionar la información para que no sea accesible para el resto de pacientes, cómo dar la información para cancelar o posponer una cita, la información que se puede dar sobre el ingreso de una persona o la gestión de los justificantes de asistencia de los acompañantes son algunos puntos que se intentan resolver en la guía. En el próximo artículo que publicaremos te daremos una serie de recomendaciones sobre estos aspectos tan cotidianos.

8. Seguridad en los centros: en cuanto a la videovigilancia, siempre que se informe de la existencia de cámaras, que se elaboren los correspondientes registros del tratamiento y que aquellas no estén orientadas hacia zonas donde se vea comprometida la intimidad de los pacientes, es lícito el uso de este sistema.

La instalación de cámaras con fines distintos a los de seguridad. (como el control laboral de los trabajadores) es otro tratamiento igualmente válido, si se siguen las mismas pautas descritas

9. Posición jurídica de los profesionales sanitarios: por último, se recalca la importancia de identificar quién es el responsable del tratamiento de los datos. En cada caso, dado que es quien asume la elaboración de los registros de actividades y evaluaciones de impacto, la implantación de medidas de seguridad, la guarda y conservación de historias clínicas o la salvaguarda de los derechos de los pacientes.

Esto es fundamental en el ámbito sanitario, ya que dependiendo de cómo ejerza su actividad el profesional -a título individual, como empleado, arrendando un espacio, etc.- ostentará responsabilidad o no. Puedes consultar la guía para ampliar este punto.

Continuará…

Hasta aquí nuestro resumen de la nueva guía de la AEPD. En los próximos días, seguiremos profundizando en este tema, con un post con recomendaciones de cumplimiento de esta Guía para profesionales sanitarios ¡Mantente atento!

¡Por cierto! No es la primera vez que resumimos alguno de los recursos de la AEPD. Sin ir más lejos, hace un tiempo dedicamos un artículo a su Guía sobre gestión de riesgos y EIPD, que te animamos a consultar.

LSSI o a veces LSSICE, LSSI/CE, son las siglas de la Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico, es una Ley de aplicación a la mayoría de los titulares de páginas web, bien sean corporativas o bien porque realicen algún tipo de comercio electrónico.

Esta ley nace por la necesidad de trasponer a nuestro marco jurídico nacional, la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico. En esta directiva se especifica la necesidad de dotar de seguridad jurídica a los intervinientes en las transacciones, gratuitas u onerosas (de pago) que se realizan cada día en internet. Hablamos de garantizar derechos y reconocer obligaciones de las partes, especialmente poniendo el énfasis en los derechos de los consumidores y usuarios.

La última actualización de la LSSI fue el 11 de mayo del 2014, incluida en la disposición final segunda de la reforma de la Ley General de Telecomunicaciones. Si su web está adecuada de antes, revísela, puede que se deba actualizar protocolos, pero también que se lleve alguna alegría.

Tenemos que aclarar que la LSSI no es la única norma a la que los titulares de páginas web deben cumplir. Por lo anterior iniciaremos una serie de artículos con los que pretendemos ayudar a los titulares de las web a conocer aquellas obligaciones que nacen con la tenencia y explotación de una web. El primero de los artículos es este, referido al cumplimiento de la LSSI.

Y ahora sí, a por los conceptos básicos de la LSSI

Con la base de nuestra legislación de la prestación de servicios en internet está regulada a través de la LSSICE 34/2002, es conveniente conocer los conceptos más
importantes, que permiten identificar qué tipo de obligaciones tiene el titular de una web en cada momento. Anexo LSSI, en definiciones:

a)“Servicios de la sociedad de la información”: todo servicio……normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario……comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

b) “Prestador de servicios» o «prestador»: persona física o jurídica que proporciona un servicio de la sociedad de la información

c)»Destinatario del servicio» o «destinatario»: persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la
información.

d) «Consumidor» : persona física o jurídica en los términos establecidos en el artículo 1 de la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios.

e) «Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Aclaración importante enlace “En principio, la LSSI no se aplica a las actividades realizadas sin ánimo de lucro (como las de los partidos políticos, sindicatos, asociaciones, ONGs, etc.) mientras no constituyan una actividad económica)

¿Qué obligaciones me impone la LSSI?

Bueno, aquí para no matar de un disgusto a nadie, hablaremos de las obligaciones de información generales que impone la LSSI. Si usted es un operador o intermediario en prestación de servicios de telecomunicaciones, internet o
similares, entre otros, además de esto, le queda una larga lista de tareas que
realizar.

Pero, para la mayoría de las páginas web, la obligación más clara es la de informar. Requisito necesario para mantener la seguridad jurídica de los consumidores y
destinatarios de los servicios. Es parecido a cuando vas a la frutería a comprar, y tienes cualquier duda respecto al precio u otra cosa, y puedes hablar con el dueño
de ello, pues aquí la idea es la misma, pero a través de internet.

Para facilitar la comprensión, y posible búsqueda en la Ley, hablaremos de los artículos más relevantes, en orden numérico:

Información General

La información general que debe aparecer en nuestra página web es la que nos encontramos en el art 10 de la LSSI, dispone el mismo artículo que deberá ser:

a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.

b) Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la
adquisición de personalidad jurídica o a los solos efectos de publicidad.

c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.

d) Si ejerce una profesión regulada deberá indicar:

1.º Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
2.º El título académico oficial o profesional con el que cuente.
3.º El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
4.º Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.

e) El número de identificación fiscal que le corresponda.

f) Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío.

g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

2. La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en el apartado
3. Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que se permita el acceso a servicios de la sociedad de la
información y se requiera su utilización por parte del prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de
marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario.

Responsabilidad por la información a los destinatarios

En el artículo 17 se indica que el titular de una web no será responsable por la información a la que dirija a los destinatarios de sus servicios, siempre que:

  • No tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de
    un tercero susceptibles de indemnización.
  • Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace
    correspondiente.

Por este motivo en muchas páginas web se hace una limitación de responsabilidad  sobre los contenidos de las páginas enlazadas y sobre la buena fe puesta en
colación en la web.

Comunicaciones comerciales, ofertas, promociones y concursos.

Este apartado no podía faltar, porque si la la LSSI es la reina madre en nuestra regulación de la actividad de internet, la publicidad es el bastión más importante de muchos profesionales y empresas. Por tanto, hay que tener en cuenta:

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.

1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales, y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.
2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca.
3. Lo dispuesto en los apartados anteriores se entiende sin perjuicio de lo que dispongan las normativas dictadas por las Comunidades Autónomas con competencias exclusivas sobre consumo.
4. En todo caso, queda prohibido el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en este artículo, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su
voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Obligaciones previas a la contratación

En el artículo 27 de la LSSI encontramos las obligaciones previas que dispone:

El prestador de servicios de la sociedad de la información que realice actividades de contratación electrónica tendrá la obligación de poner a disposición del destinatario, antes de iniciar el procedimiento de contratación y mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre los siguientes extremos:

a) Los distintos trámites que deben seguirse para celebrar el contrato.
b) Si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible.
c) Los medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos, y
d) La lengua o lenguas en que podrá formalizarse el contrato.

La obligación de poner a disposición del destinatario la información referida en el párrafo anterior se dará por cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas en dicho párrafo.

Cuando el prestador diseñe específicamente sus servicios de contratación electrónica para ser accedidos mediante dispositivos que cuenten con pantallas de formato reducido, se entenderá cumplida la obligación establecida en este apartado cuando facilite de manera permanente, fácil, directa y exacta la dirección de Internet en que dicha información es puesta a disposición del destinatario.

2. El prestador no tendrá la obligación de facilitar la información señalada en el apartado anterior cuando:

a) Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor, o
b) El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente.

3. Sin perjuicio de lo dispuesto en la legislación específica, las ofertas o propuestas de contratación realizadas por vía electrónica serán válida
oferente o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio.

4. Con carácter previo al inicio del procedimiento de contratación, el prestador de servicios deberá poner a disposición del destinatario las condiciones generales a que, en su caso, deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario.

Información posterior a la celebración del contrato

En el artículo 28 de la LSSI se regula la información que se recibe una vez que se haya celebrado el contrato:

1. El oferente está obligado a confirmar la recepción de la aceptación al que la hizo por
alguno de los siguientes medios:

a) El envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de las veinticuatro horas siguientes a la recepción de la aceptación, o
b) La confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario.

En los casos en que la obligación de confirmación corresponda a un destinatario de servicios, el prestador facilitará el cumplimiento de dicha obligación, poniendo a disposición del destinatario alguno de los medios indicados en este apartado. Esta obligación será exigible tanto si la confirmación debiera dirigirse al propio prestador o a otro destinatario.

2. Se entenderá que se ha recibido la aceptación y su confirmación cuando las partes a que se dirijan puedan tener constancia de ello.

En el caso de que la recepción de la aceptación se confirme mediante acuse de recibo, se presumirá que su destinatario puede tener la referida constancia desde que aquél haya sido almacenado en el servidor en que esté dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones.

3. No será necesario confirmar la recepción de la aceptación de una oferta cuando:

a) Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor, o
b) El contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente, cuando estos medios no sean empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación.

Conclusión

La Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico, LSSI-CE nació con una clara finalidad de regular las transacciones en
internet, empoderando a los usuarios y destinatarios de los servicios y permitiéndoles gozar del derecho a una información, clara, precisa y continúa. De tal manera, que sus derechos se vean reforzados y no manipulados por lo “efímero” y supuestamente “anónimo” y distante de internet.

Todas las páginas web que hayan sido creadas con ánimo de lucro, sea directo o indirecto deberán cumplirla. Incluso aquellas webs personales que parecen no tener ánimo de lucro, pero que al final de mes reciben servicios de hosting o algunos eurillos a cambio de enseñar publicidad a sus visitantes. Ojo, que muchos son los que dicen que no les toca, pero sí.

Si necesitáis ayuda con la adecuación legal de vuestra web, ecommerce, plataforma Saas, o cualquier otro servicio de la sociedad de la información, no dudéis en
contactarnos. Nuestro servicio de adecuación legal web, software y App, ha sido diseñado para eso.

Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos-  por parte del empresario.

El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.

En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.

Resumen. Consideraciones especiales del caso.

Distancia de los hechos y diferencias temporales

Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.

El caso surgió por una cuenta de msn, no de correo electrónico

La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.

En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.

Novedades a destacar sobre lo que ya se hacía en España

No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.

Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.

Diferenciación de dispositivos

La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.

¿Cuándo podría verse afectado el trabajador?

Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.

Requisitos antes para un correcto control laboral de recursos empresariales

Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.

Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.

Juicios a realizar antes de poner en marcha una medida

  1. Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
  2. Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
  3. Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
  4. Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
  5. Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
  6. Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.

 Se debe informar:

  1. De la medida de control laboral de recursos empresariales que se realizará.
  2. El alcance concreto de la medida.
  3. Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
  4. La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.

¿Mi empresa puede ver mi correo electrónico?

Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.

Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.

Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.

Finalmente

Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.

Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.

Comentario y explicación en la radio

Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.

Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.