¿Qué relación hay entre el reciclaje y la digitalización? A simple vista, puede parecer que no tienen relación alguna, pero van más de la mano de lo que creemos.

Muchas empresas se han sometido a procesos de transformación digital en los últimos años, dando lugar a cambios en su forma de trabajar y a que el papel, hasta ahora un gran aliado en el lugar de trabajo, quede relegado a un segundo plano, pues tendemos a optar por otras alternativas más cómodas, sostenibles y seguras.

Aun así, ¿sabías que, de media, un trabajador puede llegar a consumir hasta 60 kg de papel y cartón por año en la oficina? Por tanto, aunque con menos fuerza, el papel sigue estando ahí y, por eso, en este post, queremos contarte todos los aspectos que tienes que tener en cuenta para apostar por el reciclaje, la reutilización y la destrucción segura de los documentos que manejes, en cumplimiento con el RGPD y asegurando la protección de los datos que trates.

¿Cómo destruir o eliminar los datos correctamente?

Cuando hablamos de tratamiento de datos, nos referimos a cualquier operación o actividad que podamos llevar sobre ellos, desde la simple recogida, hasta la destrucción. Y, por ello, durante todo el ciclo de vida de esa información, y hasta el mismo momento en que la eliminemos, debemos adoptar medidas que aseguren su protección.

Hay muchas formas de destruir la documentación de forma segura, desde proceder a su queme hasta usar una destructora de papel (recomendamos esta última especialmente). También puedes hacerlo manualmente, pero siempre asegurándote de que no sea posible reconstruir fragmentos o identificar algún dato.

Conserva sólo aquello que necesites

Nuestra normativa de protección de datos es muy joven y, por ello, aunque fija criterios como el de limitación del plazo de conservación, que implica que los datos no pueden conservarse indefinidamente, no existen muchos plazos concretos de conservación en nuestro ordenamiento jurídico, pues no se ha actualizado en ese sentido. Pero es importante que recuerdes esa premisa: solo debes conservar la información si existe una justificación para ello.

Por ello, es conveniente que lleves a cabo una revisión periódica de los datos de que dispongan, a fin de determinar si debes borrarlos. Puede ser que aún los necesites para dar cumplimiento a tus obligaciones legales o contractuales, o por otras exigencias; pero, si no encuentras justificación de tipo alguno, lo mejor es no conservar esa información.

Busca proveedores que reciclen o destruyan de forma segura

Otra vía para implementar buenas políticas de reciclaje o destrucción segura de la documentación en tu organización, es colaborar con prestadores de servicio especializados en estas áreas. Son muchas las empresas que se dedican a la custodia de documentos, y también las hay que proceden a su transporte y destrucción segura, o a su reciclaje.

Has de tener en cuenta que, si contratas uno de estos servicios, ese prestador puede acceder, aun de forma indirecta, a datos que son de tu responsabilidad, por lo que debes ser precavido a la hora de seleccionarlos. En este sentido, puede resultar muy útil que el prestador contratado cuente con documentación acreditativa de que sus procesos y métodos de trabajo son seguros, por ejemplo, certificados como la UNE 15713, de destrucción segura de material confidencial.

Reciclaje y RGPD: aspectos importantes a tener en cuenta

Muchos espacios de trabajo disponen de un entorno en el que se almacenan folios reciclados. Es decir: papel que ya se ha utilizado para alguna función anterior pero que continúa estando en buen estado, por lo que se guarda para su reutilización. Si éste es tu caso, hay algunas recomendaciones que te serán muy útiles:

  • Antes de proceder al reciclaje o reutilización del material, examina bien su contenido
  • Si incluye datos personales, deberás implementar medidas para que los mismos no sean identificables, como su tachado, por ejemplo
  • Si lo anterior no resulta posible y los datos quedan a la vista, siempre es mejor proceder a la destrucción segura del documento. Esto es sumamente importante, e incluso hay una sanción de la AEPD a una abogada por reutilizar documentos que incluían información personal en el reverso
  • Preferiblemente, los folios reciclados debes usarlos para gestiones internas, anotaciones o similares, y no para finalidades que exijan que sean accesibles por terceros, tanto por limpieza y estética, como por seguridad.

Protocolo para un reciclaje seguro

Como siempre, para actuar de forma correcta en materia de protección de datos, lo mejor es prever los riesgos antes de pasar a la acción. Por ello, como buena práctica, te recomendamos que crees en tu organización un protocolo de reciclaje, reutilización y destrucción segura de los datos, y así ya dispondrás de pautas para saber cómo actuar.

Todo lo tratado en este post puede servirte de inspiración, pero como idea, algunos aspectos que podrías incluir en el mismo:

  • Qué documentos pueden reutilizarse y cuáles no
  • Cómo destruir la información de forma segura
  • Cómo manejar o qué uso dar a los documentos reciclados
  • Quién puede acceder a esos documentos
  • Cómo actuar ante una brecha de seguridad relacionada con lo anterior
  • Y, aunque no ha sido el tema principal del post, implementar medidas de destrucción segura de los archivos digitales. Por ejemplo, dispones de diversos programas y aplicaciones que pueden ser de mucha ayuda para ello.

Para ir cerrando…

Es enormemente positivo que cada vez sean más las organizaciones que optan por el reciclaje, pero no debemos olvidar el impacto que, como hemos visto, pueden tener estas prácticas en los datos y su protección. Asegúrate de disponer de las herramientas suficientes para tener métodos seguros, cumplidores y, sin duda, crearás un entorno más sostenible, a la par que evitas incumplimientos normativos. ¡Gracias por leer!

Como avanzábamos en nuestro último post sobre la nueva Guía para profesionales del sector sanitario. En este artículo, de carácter más práctico, resolvemos algunas de las dudas que pueden surgir a los profesionales sanitarios sobre el tratamiento de datos personales en su actividad.

¿Qué obligaciones hay en el ámbito sanitario en cuanto a la normativa de protección de datos?

1. Nombrar a un Delegado de Protección de Datos (DPO). La designación de un DPO es obligatoria cuando el tratamiento de datos sea por un organismo público y cuando se trate de centros obligados al mantenimiento de historias clínicas.

Aquellos que ejerzan su actividad de forma privada a título individual no están obligados. Pero, que no sea obligatorio no quiere decir que no pueda ser recomendable, en cualquier caso.

2. Evaluaciones de Impacto. Realizar una EIPD es obligatorio siempre que el tratamiento de datos personales suponga un alto riesgo para los derechos y libertades de los interesados. Si tienes dudas, la herramienta Evalúa Riesgo, puede ayudar a determinar si estás obligado a hacerla.

3. Registro de actividades del tratamiento. Cualquier tratamiento de datos hecho correctamente pasa por efectuar el correspondiente RAT.

Si el servicio sanitario lo presta una entidad pública, el inventario de los tratamientos de datos deberá hacerse público y accesible por medios electrónicos. Por ejemplo, a través de una página web.

4. Gestión de brechas de seguridad de los datos personales. El responsable, asesorado por su DPO, ha de saber qué brechas, vulneraciones o similares de datos personales tienen lugar y aplicar las medidas y garantías necesarias, minimizando el riesgo para los derechos y libertades de los interesados.

Para esto es siempre positivo disponer de un protocolo para la gestión de brechas, que permita anticiparse y prever cómo actuar antes el caso de que las mismas tengan lugar.

Historial clínico, ¿quién y cuándo se puede acceder a él?

El acceso a la historia clínica de los pacientes no puede hacerse de forma indiscriminada, sino que está limitado. Es decir, no cualquier profesional y ante cualquier circunstancia puede acceder, pues hay condiciones para ello.

Tanto los profesionales sanitarios, como los residentes o los centros sociosanitarios podrán acceder al historial siempre y cuando sea necesario para la atención sanitaria que se esté prestando y únicamente para el desempeño de sus funciones.

Hay ciertos supuestos en que este acceso debe hacerse de forma disociada, es decir, separando los datos identificativos de los datos clínicos, como ocurre en los estudios epidemiológicos, en investigaciones o con fines docentes.

Es fundamental que todo el personal de inspección, evaluación, sanitarios o autoridades, que accedan a historias clínicas guarde el deber de secreto. El solo hecho de ser un profesional sanitario no justifica que se pueda acceder a la información clínica de un paciente de forma indiscriminada; sólo en aquellos casos en que sea indispensable hacerlo

Responsabilidades por accesos indebidos a historias clínicas

Siguiendo con lo anterior, el acceso a historiales clínicos de forma injustificada puede acarrear responsabilidades penales, disciplinarias o administrativas, además de conllevar indemnizaciones. Recuerda: todo acceso a datos debe estar justificado.

Derechos de los pacientes, ¿pueden acceder a su historial clínico?

Los interesados tienen reconocidos en el ámbito sanitario sus derechos de protección de datos, aunque con algunas limitaciones concretas.

Por ejemplo, el derecho de supresión puede verse afectado porque la conservación de los datos es necesaria para la correcta atención sanitaria y por obligaciones legales y de interés público que hay que respetar.

Podrán suprimirse aquellos datos que carezcan de relevancia, pero no otros que sean fundamentales para el paciente y sus tratamientos, presentes o futuros.

En el caso de las historias clínicas, no está reconocido expresamente el acceso de los pacientes a estos documentos como tal, pero sí a recibir confirmación de si se están tratando o no sus datos personales y a determinada información asociada s su historia.

Ojo: este derecho no puede implicar acceso a datos de terceras personas o a anotaciones subjetivas de los sanitarios que pudieran constar en la historia.

Menores de edad, ¿quién ejercita sus derechos?

Los padres, madres, tutores o representantes tienen derecho a acceder a los datos relacionados con la historia clínica de los menores, en la medida en que son los responsables de su cuidado.

No obstante, a partir de los 14 años, se reconoce mayor autonomía a los menores. Si bien no desaparece ese derecho de los padres, nos encontramos con que el menor tiene derecho a ser informado de los asuntos que le conciernen en lo respectivo a su salud.

Esto posibilita que su opinión sea tenida en cuenta en todo a lo que respecta a diagnósticos, tratamientos y cualesquiera otros asuntos pudieran afectarle.

¿Cómo comunicarse adecuadamente con los pacientes?

Una de las dudas que pueden surgir a los profesionales sanitarios es la referida a cómo gestionar la comunicación con los pacientes, tanto cuando se encuentran físicamente en el centro, como cuando se realiza por teléfono, mensaje, correo electrónico u otros medios de forma que se respete su intimidad y la confidencialidad de sus datos.

Por ejemplo, a la hora de llamar a los pacientes a consulta es preferible evitar utilizar datos identificativos, como el nombre y apellidos, o el nombre completo de la persona, y optar en su lugar por métodos alternativos, como códigos numéricos o alfanuméricos que se reflejen en una pantalla, uso de iniciales del paciente o similares.

Si se va a llamar al paciente por su nombre, utilizaremos el nombre de pila y si es posible, en una sala donde los únicos que lo escuchen sean los pacientes de la misma consulta.

Evidentemente, son medidas que variarán mucho dependiendo de las posibilidades tecnológicas, de espacio y de recursos humanos de cada centro.

Por otra parte, cuando hablamos con un paciente por teléfono, por ejemplo para cancelar una cita, confirmarla o posponerla; son ellos los que preferentemente deben dar la información de la misma, y no a la inversa.

Es decir, que sea el propio paciente el que comunique los detalles; como son la fecha, hora y características de la cita, a fin de que el interlocutor los confirme, y no al revés.

Existen otros métodos de comunicación con los pacientes, como es el correo electrónico o los SMS. Son válidos, pero te recomendamos que priorices la atención presencial y telefónica en la medida de lo posible, y que reserves estos para aquellos casos en que sea indispensable, y siempre evaluando antes su uso y los riesgos asociados.

La comunicación a través de redes sociales y de aplicaciones de mensajería instantánea – WhatsApp, Telegram, etc. – Está altamente desaconsejada.

¿Podemos dar información a otra persona sobre el ingreso de un paciente?

Con carácter general, si no se ha obtenido consentimiento del paciente para facilitar esta información, no se debe proporcionar. En caso de que el paciente no esté capacitado para prestar este consentimiento, podrán hacerlo sus familiares. Como veremos a continuación, en el ámbito sanitario no siempre es sencillo que se pueda conceder un consentimiento.

En casos excepcionales, como urgencias, pacientes que se correspondan con personas desaparecidas o pacientes inconscientes, se podrá dar información a los familiares o allegados; tratando de verificar previamente que la persona es quien dice ser.

Se darán los detalles indispensables, y el número de habitación en su caso, sin indicar datos de salud mientras no sea necesario.

¿Se pueden colocar cámaras de videovigilancia en los centros sanitarios?

La colocación de cámaras en centros sanitarios está permitida, igual que lo está en otros espacios, tanto con fines de seguridad de las instalaciones como con otros; como puede ser el control laboral de los trabajadores.

No obstante, es cierto que hay que controlar el enfoque, ubicación y demás parámetros que afecten a las cámaras, a fin de evitar que capten zonas que, en el caso de los centros sanitarios, son especialmente sensibles, como consultas, quirófanos y demás. Con carácter general, deberán captar sólo zonas comunes.

Y, por supuesto, hay que tener en cuenta varios factores si existe videovigilancia, como la colocación de carteles que informen sobre su uso y, entre otros, la elaboración de los correspondientes registros de actividades.

Para terminar…

Y, hasta aquí, nuestros consejos y recomendaciones para el tratamiento de datos en el ámbito sanitario.

Esperamos que este artículo te haya ayudado a saber un poco más sobre el tema y que haya servido para contestar preguntas clave, si bien siempre puedes ponerte en contacto con nosotros para saber más. También te dejamos la Guía para profesionales sanitarios por si quieres ampliar la información.

Este mes de junio, la AEPD ha publicado la nueva Guía para profesionales del sector sanitario, en la que trata de responder algunas de las dudas más relevantes que les pueden surgir a estos profesionales en su actividad

Esta guía viene motivada porque en 2021 se registraron más de 600 reclamaciones por el mal uso de los datos personales relativos a la salud.

En este post te resumimos el contenido de la guía y algunos de los puntos más relevantes que se tratan en ella.

Introducción a la Guía

Los profesionales del sector sanitario, además de tratar datos identificativos, tienen acceso a datos de salud, necesarios para cumplir con la finalidad de prestación de asistencia sanitaria. Estos datos que se encuentran dentro de la categoría de datos especiales o datos sensibles, tienen una especial protección y sólo pueden ser tratados bajo ciertas condiciones y garantías necesarias para el correcto uso de ellos.

Puntos en los que se estructura la Guía

En este apartado, hacemos un resumen de la estructura y contenido que de la guía, ¡Recuerda! Esto es solo un resumen, por lo que no entramos a valorar todos los puntos de la guía en su conjunto

1. Conceptos básicos: los datos de salud son necesarios para cumplir con la finalidad de atención sanitaria y, como datos de categoría especial, requieren una protección.

Los encargados de proporcionar dicha protección son los responsables del tratamiento de los datos (entidad pública, privada o profesionales individuales) y para ello, dispondrán las medidas de seguridad y decidirán sobre los datos, su recogida y finalidad, además de seleccionar encargados –es decir, terceros que presten algún servicio al responsable- que ofrezcan las garantías de cumplimiento necesarias

2. Legitimación para el tratamiento: La guía hace una diferenciación entre dos conceptos que pueden confundiré: el consentimiento informado, una acción que se realiza muchas veces en el ámbito sanitario, en la relación con los pacientes; y el consentimiento como base legitimadora para el tratamiento de los datos.

Para el último caso, la guía recuerda que, en el ámbito sanitario, normalmente los datos podrán tratarse sin consentimiento del interesado, ya que se pueden aplicar otras bases jurídicas, como es el caso del interés vital. Esto no exime, sin embargo, de la obligación de informar al paciente de que sus datos están siendo tratados y con qué fin.

En el caso de los menores de edad. A partir de los 14 años, tienen derecho a consentir el tratamiento de sus datos y a ser informados sobre ello.

3. Historias clínicas: la guía facilita información sobre quiénes pueden acceder a las historias, entre ellos: profesionales sanitarios, residentes, estudiantes, centros sociosanitarios, centros privados, etc. Así como de en qué casos pueden tener acceso.

Lo más fundamental de este punto es recordar que la protección de datos no pretende obstaculizar la correcta atención sanitaria. Eso sí: todo acceso debe estar correctamente justificado y limitado a lo estrictamente necesario.

4. Responsabilidad del profesional sanitario: debemos tener claro que cualquier actuación no justificada por los sanitarios puede dar lugar a responsabilidades en el ámbito penal -llegando algunas actuaciones a ser constitutivas de delito-, sanciones disciplinarias y también de carácter administrativo. La guía recuerda la importancia de una buena gestión de las brechas de seguridad y recalca el crecimiento reciente de los ciberataques.

5. Obligaciones en el tratamiento de los datos: los profesionales deben asegurarse de que el tratamiento de los datos sea lícito, que se informe al paciente de los derechos que le corresponden, que se van a tratar sus datos, y se respete el deber de confidencialidad. Se debe garantizar el principio de responsabilidad proactiva: cumplir y ser capaz de demostrarlo.

6. Derechos de los pacientes: la guía nos recuerda que el RGPD regula los derechos que existen en materia de protección de datos, si bien en el ámbito sanitario hay ciertas limitaciones sobre esos derechos, por razones de interés público, cumplimiento de obligaciones o prestación de una correcta atención.

Como puntos clave:

  • Cuando se de información del paciente acerca de su historia clínica, no se debe incluir información de terceros.
  • Los menores de edad, mayores de 14 años, tienen derecho a ser informados del tratamiento de sus datos. (sin que ello implique que se deje de informar a sus padres o tutores).
  • Cualquier brecha de seguridad, como el borrado accidental de documentación, deberá ser comunicada a la AEPD, si existe un riesgo para los derechos del paciente.

7. Comunicaciones de datos a terceros: cómo llamar a los pacientes en las consultas, cómo gestionar la información para que no sea accesible para el resto de pacientes, cómo dar la información para cancelar o posponer una cita, la información que se puede dar sobre el ingreso de una persona o la gestión de los justificantes de asistencia de los acompañantes son algunos puntos que se intentan resolver en la guía. En el próximo artículo que publicaremos te daremos una serie de recomendaciones sobre estos aspectos tan cotidianos.

8. Seguridad en los centros: en cuanto a la videovigilancia, siempre que se informe de la existencia de cámaras, que se elaboren los correspondientes registros del tratamiento y que aquellas no estén orientadas hacia zonas donde se vea comprometida la intimidad de los pacientes, es lícito el uso de este sistema.

La instalación de cámaras con fines distintos a los de seguridad. (como el control laboral de los trabajadores) es otro tratamiento igualmente válido, si se siguen las mismas pautas descritas

9. Posición jurídica de los profesionales sanitarios: por último, se recalca la importancia de identificar quién es el responsable del tratamiento de los datos. En cada caso, dado que es quien asume la elaboración de los registros de actividades y evaluaciones de impacto, la implantación de medidas de seguridad, la guarda y conservación de historias clínicas o la salvaguarda de los derechos de los pacientes.

Esto es fundamental en el ámbito sanitario, ya que dependiendo de cómo ejerza su actividad el profesional -a título individual, como empleado, arrendando un espacio, etc.- ostentará responsabilidad o no. Puedes consultar la guía para ampliar este punto.

Continuará…

Hasta aquí nuestro resumen de la nueva guía de la AEPD. En los próximos días, seguiremos profundizando en este tema, con un post con recomendaciones de cumplimiento de esta Guía para profesionales sanitarios ¡Mantente atento!

¡Por cierto! No es la primera vez que resumimos alguno de los recursos de la AEPD. Sin ir más lejos, hace un tiempo dedicamos un artículo a su Guía sobre gestión de riesgos y EIPD, que te animamos a consultar.

¿Pagarías con tus datos personales, como datos moneda? ¿se pueden considerar los datos personales un medio de pago? Quizá es una pregunta que nunca antes te hayas planteado, pero sobre todo porque deberíamos responder primero ¿qué entendemos por medio de pago? tarjetas de crédito y débito, transferencias, dinero en efectivo… Indudablemente, son muchas las opciones entre las que elegir, pero, ¿están los datos personales incluidos dentro de este grupo? pues casi, ósea sí, es decir… veamos:

Hace unos días, publicamos en nuestro blog un artículo referido a las novedades que trae consigo la nueva versión -en vigor desde el pasado 1 de enero de 2022- de la Ley General Para la Defensa de los Consumidores y Usuarios. Aunque, como ya contábamos en dicha publicación, muchos de los cambios afectan a las garantías y sus plazos, te adelantábamos que también había noticias en materia de protección de datos… ¡y vaya noticias! aquí venimos a contarlas porque tienen tela marinera.

Para que veas por donde vamos, recuerda, cuando en una plataforma te dicen que su uso es gratis, el precio es tu privacidad…

Modificación de la Ley de Defensa de Consumidores y Usuarios

Son varios los preceptos de esta norma que se han visto modificados con la publicación de la nueva versión de la misma y, sin desmerecer al resto de cambios, hay un artículo que nos llama poderosamente la atención, tanto como para dedicarle este artículo entero: el 59, en su apartado 4, y es debido a que en este artículo se establece cuál es el ámbito de aplicación de la Ley, y ojo a lo que dice, porque ahora se amplia a otro tipo de contratos online:

“los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales, salvo cuando los datos personales facilitados por el consumidor o usuario sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales objeto de un contrato de compraventa o de servicios o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En otras palabras: la Ley reconoce, de forma expresa y directa, y por primera vez en nuestro ordenamiento jurídico, que los datos personales constituyen un método de pago, y que hay relaciones contractuales que, de hecho, pueden sustentarse en el suministro de los mismos por parte del usuario hacia el empresario.

Pero tranquilos, o no… esto no se lo sacó de la manga nuestro legislador (que ya sabemos que a veces se emociona/n). Esto sale de la obligatoriedad de trasponer a nuestro derecho la Directiva europea 2019/770 de contenidos y servicios digitales.

La Directiva 2019/770 de contenidos y servicios digitales

La nueva versión de la Ley constituye una transposición de lo que ya reflejaba la Directiva 2019/770 de contenidos y servicios digitales. Grosso modo, te contamos algunos detalles importantes de la misma:

  • Es aplicable a todo contrato en virtud del cual un empresario suministra contenidos o servicios digitales al consumidor y éste paga o se compromete a pagar un precio. También es aplicable cuando el consumidor no paga un precio pero facilita o se compromete a facilitar datos personales al empresario
  • Establece obligaciones para el empresario en materia de falta de conformidad, reembolsos o incumplimiento de los suministros
  • Fija una serie de condiciones o criterios mínimos de cumplimiento en el marco de contenidos, servicios o derechos digitales. Cuando hablamos de servicios digitales, podemos incluir, por ejemplo, almacenamiento en la nube o redes sociales.
  • En caso de rescisión del contrato, el empresario debe cumplir con las obligaciones del RGPD. En determinadas condiciones, ha de abstenerse de usar los contenidos facilitados por el usuario y que no sean datos personales, y debe permitir al mismo recuperar esos contenidos sin impedimentos.

Los datos como medio de pago: implicaciones en la realidad

Pero, ¿en qué me afecta todo lo anterior? Aunque, hasta aquí, este parezca un artículo puramente jurídico, tiene claras consecuencias en la realidad. Lo que hace la normativa es venir a reconocer, de forma oficial, algo que ya venía apreciándose desde hace tiempo, y es que los datos personales pueden considerarse como una moneda de cambio.

Esto significa que cuando accedes a un servicio gratuito, como es el caso de Youtube, Facebook, Twitter o Spotify -quitando las versiones premium, claro- se puede entender que el precio que estás pagando por ese servicio son los datos personales que pones a disposición de la plataforma o proveedor.

Así, dejas de ser un simple usuario de la misma, y te conviertes en un consumidor, en una parte de una relación contractual existente entre ese proveedor y tú y, por tanto, en un sujeto protegido por la normativa de consumidores y usuarios. Esto supone un avance considerable en el marco de los derechos digitales y de nuestra seguridad jurídica como usuarios de estos recursos.

Además, se pone especial atención en determinar si, a la hora de suministrar tus datos, se te informó de forma clara, completa y comprensible, o si hubo algún tipo de abuso o desequilibrio que pudiera afectar a tus derechos e intereses

Retos para implementar el cambio requerido por la directiva

Claramente pese a que es el reconocimiento de una realidad, de facto hasta ahora, hay un problema, y es que todavía no se tiene claro el precio de los datos personales, podría ser mucho, podría ser poco, pero no está estandarizado, ni los datos de todos valen lo mismo. Además, justamente ahora mismo está en manos del TJUE una cuestión prejudicial lanzada por los tribunales de Luxemburgo, por Marx Schrems para que sea este alto tribunal quien decida si esto es posible en el caso de Facebook, y eso amigos, sentará la jurisprudencia de esta modalidad, lo malo es que en palacio las cosas van despacio…

Por otro lado, hasta ahora no se ha aplicado aunque se hace, así que para poder utilizar esta «metodología de pago» según se lee literalmente el artículo, se deben poner las condiciones claras, y en todo caso se debe respetar la normativa de protección de datos. Si tu empresa piensa en usarla, ánimo y suerte con la estrategia de cumplimiento antes, durante y después de la formalización del contrato, porque deberá estar embebida de privacidad por diseño y por defecto hasta en la medula de tu organización. Ojo, claramente no es imposible, solo hay que tener mucho cuidado, ser muy meticuloso y estricto.

Algunos datos interesantes… datos moneda, o el precio de las herramientas gratis.

Era de esperar que llegáramos hasta este punto, pues muchas veces no somos conscientes del precio que estamos pagando por determinados servicios cuando tenemos la sensación de no estar pagando ninguno en absoluto, por el sencillo hecho de que no hacemos aportación económica. Al final en estos casos, estamos dando acceso a nuestra esfera más privada, algo que tiene fuertes implicaciones éticas y esto puede acabar siendo intrusivo, por lo que es fundamental blindarle protección. En estos casos es donde se suele decir que el producto eres tú, o mejor, tus datos personales

Sin ir más lejos, con anterioridad a la Directiva, el Supervisor Europeo de Protección de Datos publicó una opinión un tanto crítica hacia ciertos aspectos de la misma. Por una parte, por considerar que no era apropiado referirse a “datos personales” en general, al identificarlos como medio de pago, pues sería más apropiado especificar a qué concretos datos nos referimos o pueden ser efectivamente considerados medio de pago; por otra, por el impacto que este hecho puede tener en los derechos y libertades fundamentales de las personas.

Pero ¿Y cuánto vale un dato personal, y quién lo dice?

Una anecdota para entenderlo:

Hace unos años, Jane Vertesi, profesora de Sociología de la Universidad de Princeton, decidió ocultar su embarazo en redes sociales e Interneten general, sin hacer ningún tipo de publicación al respecto, ni permitiendo que sus familiares, amigos o contactos lo hicieran, ni siquiera para felicitarla. Tampoco hizo ninguna compra on-line que tuviera relación con el embarazo, la maternidad o el bebé que estaba por llegar y, si se veía en la necesidad de ello, trataba de ocultar la información en la medida de lo posible.  ¿El motivo? Jane investigó y llegó a la conclusión de que, de media, en términos de marketing, un dato personal vale 10 centavos de dólar, pero el de una embarazada se multiplica hasta un dólar y medio… Y no estaba dispuesta a que ni ella ni su embarazo se convirtiesen en elementos rastreables a fin de generar negocio.  

En fin, Jane utilizo su método, pero hay miles de artículos hablando del valor de un dato personal, o includo de una identidad completa. Podríamos decir que depende de la calidad del dato, de la persona, de los tipos de datos, y de la rentabilidad asociada a estos puntos. Por eso uno de los retos es la definición del valor o de cómo definirlo. Poca cosa no es, y esperemos que no se tome a la ligera.

En conclusión…

Aunque hablamos de un cambio normativo reciente en nuestro ordenamiento, el debate en torno a este tema ya lleva tiempo sobre la mesa en Europa, y también aquí, y claramente no termina con este cambio, sino que esperemos que se reavive. Y ojala, esperemos que no necesitemos el TJUE mediante, lleguemos a un punto de encuentro que beneficie a todas las partes, y no que solo explote a una.

Y tú, ¿qué opinas sobre esto? Te invitamos a participar en nuestra sección de comentarios, o en nuestros perfiles en redes sociales. Y sobre todo a recordar, tú vales muchísimo, tus datos valen muchísimo, y los de tus amigos, conocidos y familiares; no los regales, no los expongas, no te descuides.

Este artículo sobre el certificado Covid como requisito obligatorio, establecido por el Gobierno de Canarias el pasado 21/07/21, para acceder a espacios públicos cerrados y actividades varias, ventajosamente a día de hoy (29/07/21) está modificado respecto a su idea inicial, que no era otra que dar recomendaciones a los obligados a cumplir la medida para reducir al mínimo el impacto en derechos y libertades de sus clientes, amigos y conocidos.

La medida ha sido suspendida cautelarmente, suponemos -aún no es público el fallo- que por lo desproporcionado de su aplicación, en tanto que era discriminatoria y limitaba derechos fundamentales de los ciudadanos. En todo caso ya que este post lo publicamos antes de conocer la suspensión, hemos decidido mantenerlo con variaciones, para información general.

¿Qué es el certificado covid?

El certificado COVID es un certificado digital que entró en funcionamiento, en todo el territorio de la Unión Europea, el pasado 1 de julio de 2021, y mediante el cual, la persona titular puede acreditar de forma oficial que:

  1. Ha sido vacunada contra la COVID-19
  2. Superó la enfermedad
  3. Se ha sometido recientemente a una prueba diagnóstica, con resultado negativo.

Es un documento gratuito que las personas que cumplan alguno de los requisitos anteriores pueden solicitar a las autoridades competentes de su país, en el caso de España, el Ministerio de Sanidad. El documento se puede obtener de forma sencilla a través de internet, y tiene como objetivo principal facilitar la movilidad de personas y la seguridad sanitaria dentro del territorio de la Unión.

En el momento de su entrada en funcionamiento las autoridades de la Unión fueron muy tajantes en recordar que “el certificado es un derecho, no una obligación”, por tanto, este artículo tiene como fin, intentar paliar los posibles efectos negativos que pueda tener tanto para interesados como para responsables RGPD, de la medida Canaria de exigir el certificado para otros fines.

Certificado Covid como medida de control de acceso a espacios públicos en Canarias

El pasado 26 de julio de 2021, el Gobierno de Canarias, publicaba una orden en el Boletín Oficial de la Comunidad Autónoma, donde indicaba que era necesario que, en aquellas islas que se encuentraban en las situaciones sanitarias denominadas Fase 3 y 4,  (actualmente, Gran Canaria, Fuerteventura, Tenerife y La Palma), se requeriría el certificado covid a cualquier persona mayor de edad que encajara en alguno de los siguientes supuestos:

  • Que acceda o permanezca en el interior de establecimientos de hostelería y restauración (Fases 3 y 4)
  • Que acuda a cualquier actividad cultural en cines, teatros, auditorios y en espacios culturales estables (Fase 4)
  • Que realice cualquier actividad física y deportiva no federada en zonas interiores de instalaciones y centros deportivos (Fase 4)
  • Que acceda o permanezca en establecimientos y locales de juego y apuestas (Fase 4)

Como era evidente, se trataba de medidas que afectaban a un abanico bastante amplio de las actividades que realizamos día a día y de los espacios a los que accedemos o acudimos, por lo que su importancia es innegable.

Antecedentes e implicaciones negativas de la medida

El antecedente de esta medida está en Francia, donde desde hace unos días el certificado covid es obligatorio para estas actividades y otras tantas. La cuestión es que en ese país existen mecanismos para obligar a vacunarse, mientras que en España sigue siendo voluntario.

Por tanto, desde el punto de vista de muchos juristas exigir el certificado covid así, podía ser una medida discriminatoria ya que la vacuna no es obligatoria, y porque algunos colectivos todavía no pueden acceder a ella, y por tanto vulneraba los derechos de libertad de elección y circulación de los interesados. Nuestra primera redacción de este post decía «Muy seguramente a día de hoy esta medida ya habrá sido recurrida por algún colectivo, con lo que en breve veremos si se mantiene o no su aplicación». Y justo hace unos minutos (29/07/21 16:00) conocimos la noticia que el Tribunal Superior de Justicia de Canarias suspendía cautelarme dicha iniciativa.

Ya hace unos días fuentes de la AEPD mostrarón su preocupación por el uso desproporcionado e injustificado de lo que un documento que está estrictamente relacionado con datos de salud. Aunque a su vez en informes anteriores sobre la pandemia ha indicado que la protección de datos no debe ser un freno en la lucha de las autoridades contra el virus.

Por su parte, el Comité Europeo de las Regiones, en un reciente informe, ha insistido en que el uso del certificado covid “no debe incurrir en un trato discriminatorio hacia personas no vacunadas, y siempre garantizando el derecho a la protección de datos

Ok a lo anterior pero había una orden que cumplir. ¿Cómo hacerlo limitando el impacto negativo en los derechos de los interesados?

Ya nos libramos de esta, pero y si no, ¿qué hubieramos tenido que hacer para cumplir con la orden, a la espera de la respuesta de los Tribunale

  • No almacenar información no necesaria (incluido el certificado)
  • Limitar la información y documentos que se solicitan, y en particular, que se almacenan
  • Formar al personal
  • Aplicar medidas de seguridad adecuadas

Para concluir…

Evidentemente, como ya hemos dicho, vivimos en una realidad sometida a constante cambio, y es algo que tenemos que tener muy en cuenta, pues es posible que en los próximos días dispongamos de más información acerca de esta u otras prácticas. Por ello, este artículo es susceptible de sufrir modificaciones y actualizaciones, así que, ¡mejor permanecer atentos!

Esperamos que hayas disfrutado de la lectura y hayas encontrado la respuesta a tus preguntas. Si no es así, no dudes en dejarnos un comentario o en contactar con nosotros: estaremos encantados de echarte una mano.

Pensar que nuestra privacidad en LinkedIn está asegurada es fácil, porque de alguna forma el que el entorno sea profesional nos da cierto halo de confianza. Por desgracia es más inseguro de lo que parece, ya que al ser una fuente de información «fiable» hay muchos usuarios maliciosos, cotillas, etc. dispuestos a utilizar esa información para su beneficio.

Es por esto que hoy en nuestro blog queremos darte información para que conozcas las opciones de privacidad que puedes configurar en Linkedin y cómo hacerlo.

Opciones de privacidad que puedes configurar en LinkedIn

LinkedIn te permite gestionar tu privacidad, dándote la oportunidad de configurar varias de opciones relacionadas con tu privacidad, entre ellas, las que te explicaremos y daremos el paso a paso, hoy:

  1. Cómo ven desde fuera de Linkedin tu perfil.
  2. Quién puede ver, o no, tu perfil (perfil privado)
  3. Configurar el «estado» de la actividad.
  4. Quién puede ver, o no, tus contactos.
  5. Visibilidad de los apellidos.
  6. Quién puede encontrarte por tu número de teléfono.

Paso a paso para configurar las distintas opciones

Para llevar a cabo cualquier configurar de privacidad en LinkedIn, en primer lugar debes acceder al menú de configuración.

Puedes acceder así:

  1. Ingresa a tu cuenta de LinkedIn y en la parte superior derecha,  selecciona el icono de herramientas.
  2. En la pantalla emergente selecciona la opción “Ajustes y Privacidad». Si accedes desde el cliente web, está justo debajo del icono superior derecho donde aparece tu foto en miniatura.

1. Paso a paso para configurar: La visualización de perfil.

Al configurar esta opción elijes quién puede visualizar tu perfil, si todo el mundo, si solo tus contactos, o también tus seguidores, etc. Para eso te permite navegar en modo visible o privado.

  1. En la ventana emergente de “Privacidad” selecciona “Opciones de visualización de perfil
  2. Opciones: Con nombre completo, con nombre y la inicial del apellido, o en modo anónimo.
  3. La más usada es el nombre completo.

Lo anterior es para los demás usuarios de la red. PERO si quieres ocultar tu perfil para que no aparezca en Google, justo al lado de esta opción, tienes la oportunidad de elegir que NO puedan ver tu perfil desde los buscadores.

2. Paso a paso para configurar: El estado de actividad.

Con la configuración de esta opción puedes decidir si quieres que tus contactos y seguidores, o incluso cualquier persona con acceso a tu perfil en LinkedIn pueda ver si estás ACTIVO en ese momento (Se señala con un punto verde junto a tu foto de perfil). Incluso cuándo fue la última conexión.

Por si no sabes qué es el estado «Activo» aquí te lo contamos.

Para configurarlo:

  1. En la ventana de “Privacidad” selecciona “Gestionar tu estado
  2. Selecciona la opción que quieras, y elije quién puede ver cuando estás en línea en LinkedIn. En este caso aconsejamos que sólo los contactos puedan ver ese punto verde al lado de tu foto a fin de evitar que vigilen tus conexiones.

3. Paso a paso para configurar: La Visibilidad de E-mail.

¿Quién quieres que vea tu email? Normalmente, al ser una red abierta a muchísima gente, es mejor que nadie, o muy pocos. Por eso te invitamos a configurar adecuadamente esta opción, y por el bien de tu privacidad, evitar que cualquiera pueda verla.

Los pasos:

  1. Nuevamente, en la ventana de “privacidad” selecciona “Quién puede ver tu dirección de E-mail
  2. Selecciona la opción que más se ajuste a ti, en este caso recomendamos “Sólo visible para mi”. Ya si quieren contactar contigo te lo harán saber y tú tendrás la opción de dar el correo electrónico que más te convenga.

4.

4. Paso a paso para configurar la visibilidad de los contactos

¿Sabías que conociendo los contactos de una persona, puedes saber bastante sobre ella, aunque tenga el perfil de LinkedIn como privado? Pues sí. Se puede a llegar a conocer información profesional, laboral, gustos, intereses, solo siguiendo el rastro. Así que, ¿Y si evitas que te espíen a través de tus contactos?.

Configurando esta opción, tampoco se podrá saber quién es tu contacto.

Pasos:

  1. Selecciona “Quién puede ver tus contactos
  2. Elige “Solo tu”. Salvo que a ti te guste que vean quienes son tus contactos y conexiones, que oye, si te apetece, también puedes dejarlos a la vista.

5.

5. Paso a paso para configurar: Visibilidad de los apellidos

Una opción que se presenta a si misma. ¿Quieres que los demás usuarios de la red social, que no son tus contactos, puedan ver tus apellidos? Es tu decisión. En cualquier caso, la red social te permite decidir, y eso es una maravilla.

Cónfiguralo, desde el menú herramientas / opciónes:

  1. Entra en “Quién puede ver tus apellidos
  2. Selecciona la segunda opción, así los usuarios que no son tus contactos no podrán conocer tus apellidos, en ese sentido solo a quien se lo permitas podrán saber tu información completa.

6. Paso a paso para configurar quién puede encontrarte por tu correo electrónico

Es sabido por todos que en las redes sociales te pueden encontrar por tu correo. ¿Quieres permitir que eso pase en tu caso? A veces no es la mejor opción.

Puedes eliminar esa opción, o habilitarla, así:

  1. En la ventana de “privacidad” selecciona “Gestiona quién puede  encontrar tu perfil por tu dirección de E-mail
  2. Elige “Contactos de segundo grado” o «Nadie«. Así como mucho solo podrán encontrarte por tu correo los contactos de tus contactos, o nadie, si esa ha sido tu elección. No recomendamos, la opción «Todos». Por cuestiones de privacidad, obvio.

6. Paso a paso para configurar quién puede encontrarte por tu numero de teléfono

Como en el caso anterior, está en tu mano permitir o no que te encuentren por tu número de teléfono. Nuestra recomendación es que lo limites.

Para configurar esta opción:

  1. Selecciona “Gestiona quién puede encontrar tu perfil por tu número de teléfono
  2. Elige “Contactos de segundo grado” o «Nadie«. Así como mucho solo podrán encontrarte por tu teléfono los contactos de tus contactos, o nadie, si esa ha sido tu elección. No recomendamos, la opción «Todos». Por cuestiones de privacidad, obvio.

8.

Conclusiones

Debes ser prudente con los datos que subes, y con quien los compartes para evitar problemas de reputación, ciberdelincuencia, etc. Hay que cuidar tu rastro digital. Uno de los peligros a los que te expones, por ejemplo es la suplantación de identidad, para distintos fines, entre ellos los más usuales son para «El fraude del CEO«, así como la contratación de servicios de telefonía, u otros.

Por otra parte es importante resaltar que esta red social tiene fines meramente profesionales, si notas conductas fuera de dicho ámbito, o consideras que hay algún tipo de actividad dañina para ti, debes reportar y/o bloquear al perfil en cuestión.

¿Te ha pasado que entras al facebook, no al chat, y de repente todos tus contactos empiezan a hablarte? No es brujería, es que tienes activado el Estado Activo.

El Estado Activo es una de las  herramientas recientes de facebook para facilitar la comunicación de sus usuarios a través del chat privado de la plataforma. Aunque es muy visible, muchos usuarios no saben qué es ese punto verde que sale al lado de su foto cuando entran en la app móvil, ni para qué sirve.

Aparecer activo o no en el chat de facebook o en sus otros servicios puede ser tan útil como perjudicial. Queremos explicaros qué es el Estado Activo y cómo activarlo o deshabilitarlo. ¿Qué porqué? Porqué somos los usuarios quienes tenemos que cuidar de nuestras relaciones personales, de nuestra privacidad, y de nuestro rastro digital en internet.

Cómo está activado por defecto, nosotros hacemos este post para enseñaros a desactivarlo y activarlo a vuestro antojo.

¿Qué es el estado “Activo”?

El estado “Activo” es una opción que muestra en el chat de facebook (mensenger), si un contacto está conectado o hace cuento tiempo se conectó por última vez. Es decir, si tu Estado Activo está activado cuando entres en facebook todos tus contactos podrán verlo.

Si bien es una opción útil para iniciar una conversación y contactar con otros, facilitando la inmediatez de las comunicaciones. También hay que reconocer que cuando no se quiere establecer contacto con nadie, por las razones que sean, ya no es tan idónea.

¿Cómo saber si esta habilitado el Estado Activo?

Cuando la función está activa aparece un punto verde al lado del nombre del usuario en el chat de facebook cada vez que este accede al messenger o directamente a la plataforma sea vía app o página web. Eso permite a todos los contactos saber que está conectado y disponible para hablar.

En cuanto el usuario salga de la plataforma, el sistema en lugar de presentar el punto verde, aparece el tiempo que ha pasado desde la última conexión del mismo.

¿Cómo saber si esta deshabilitado el Estado Activo?

Si se desactiva esta función, los amigos y contactos no podrán ver cuando el usuario realmente está dentro de la red social ni la hora de la última conexión.

Si la sesión de la cuenta está abierta en diferentes dispositivos, sólo cuando se deshabilita de todos ellos el usuario deja de tener activo el Estado Activo.

¿Cómo saber si mi estado está “Activo”?

Sigue los siguientes pasos para saber cómo está la cosa con tu Estado Activo:

  • 1, Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “Estado Activo”
  • 3. En la nueva ventana emergente aparecerá si está o no habilitado. Como ya dijimos suele estarlo por defecto.

estado Activo

¿Cómo deshabilitar el Estado Activo?

Desabilitar la opción en cuestión no es tan complejo, aunque si requiere que actúes. Sigue estos pasos:

  • 1: Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “ Estado Activo”
  • 3. Se deshabilita seleccionando el punto verde, llevandolo hacia la izquierda.

2 estado activo

Conclusión

Gestionar si aparecemos o no activos en la red social puede parecer poco urgente, pero es necesaria. Cada día perdemos muchas horas en internet y desactivar esta opción puede ser en parte una solución. Por otro lado, puede ser útil para no dejar a nadie con la palabra en la boca, o para que piense que no queremos hablarle; y por supuesto para cuidar nuestra privacidad y evitar el control o vigilancia por parte de terceros.

Facebook tiene que darnos herramientas requeridas para gestionar nuestra configuración de perfil, ahora es nuestro, tú turno, de ponerte manos a la obra y configurar tu privacidad de forma adecuada.

Autor: Adriana G.

Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos-  por parte del empresario.

El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.

En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.

Resumen. Consideraciones especiales del caso.

Distancia de los hechos y diferencias temporales

Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.

El caso surgió por una cuenta de msn, no de correo electrónico

La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.

En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.

Novedades a destacar sobre lo que ya se hacía en España

No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.

Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.

Diferenciación de dispositivos

La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.

¿Cuándo podría verse afectado el trabajador?

Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.

Requisitos antes para un correcto control laboral de recursos empresariales

Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.

Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.

Juicios a realizar antes de poner en marcha una medida

  1. Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
  2. Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
  3. Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
  4. Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
  5. Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
  6. Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.

 Se debe informar:

  1. De la medida de control laboral de recursos empresariales que se realizará.
  2. El alcance concreto de la medida.
  3. Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
  4. La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.

¿Mi empresa puede ver mi correo electrónico?

Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.

Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.

Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.

Finalmente

Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.

Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.

Comentario y explicación en la radio

Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.

Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.

 

Ransomware. Recomendaciones de seguridad

Ransomware. Recomendaciones de seguridad1

Ayer inicio el segundo gran ciberataque de ransomware. La seguridad de muchas empresas, y estados se ha visto comprometida. Por desgracia se repite lo sucedido el pasado 12 de mayo, cuando wannacry afectó a más de 200 mil equipos en todo el mundo.

Al ataque de ayer y hoy, se le ha llamado #NotPetya o #Petya. Parece que la motivación de los delincuentes que han iniciado esta oleada de ransomware, es distinta a los que lanzaron wannacry (solo les importaba el dinero). Petya no cifra .png, y se centra en archivos de extensiones de programación específicas. No es por ponernos paranoicos pero podría ser que la intención de obtener información, más que dinero, es mayor en este ciberataque. Y esto ¡uy!  todavía es más peligroso. Y si publican usan los datos para chantajearnos, no a cambio de perderlos, sino de publicarlos? Da que pensar.

Al final os dejamos enlaces a post recomendados, por si queréis más información sobre Petya.

Medidas de seguridad 

La seguridad total no existe y menos cuando estamos los humanos de por medio. Es que es tan fácil pinchar el enlace equivocado, o caer ante la oferta de un cotilleo «bueno». La forma más sencilla de protegernos es poniendo medidas de seguridad para evitar incidentes, así como para mitigar el impacto en caso de vernos infectados por un ransomware.

¿Cómo evitar ser víctima de un ataque de ransomware?

Siendo precavidos y poniendo medidas de seguridad técnicas y administrativas.  Debemos ponerselo difícil a los ciberdelincuentes, y sobre todo, procurar que en caso de que lleguemos a vernos afectados, tener salvaguardas que nos ayuden a salir relativamente airosos del ataque.

Puedes encontrar más recomendaciones en la lista que hicimos en nuestro primer post sobre el ataque de wannacry. Ahí, listamos de forma exhaustiva las recomendaciones de prevención, así como de actuación en caso de ser víctima. Por añadir, y ya que lo comentabamos con nuestro amigo @Seguridadyredes en twitter, os recomendamos instalar alguna herramienta antiransom, tenéis la de INCIBE, la del CCN-CERT, o la de nuestro amigo y gran experto en ciberseguridad, @YJesus: Anti Ransom V.3

 

Después de lo anterior, solo nos queda decir…

Aplicaros, poned las medidas de seguridad preventivas, técnicas y de formación que os hagan falta. Ya van dos grandes ciberataques, no tientes la suerte, no vaya a ser que caigas en el tercero.

 

No se puede ir por la vida sin copias de seguridad, sin antivirus, y pensando que eso solo le pasa a las grandes empresas, porque es ¡mentira!

El oro de nuestra generación son los datos, los de todos. Todos somos el blanco.

 

Enlaces a post recomendados

Si queréis saber un poco más sobre este episodio con Petya, estos post os ayudarán: el de Xacata muy resumido y claro; Merce Molist en El confidencial, con historia del virus; y para finalizar, el pabloyglesias con un análisis de la actual industria del cibercrimen.

 

Hoy 25 de mayo, está teniendo lugar la 9ª Sesión Anual Abierta 9AEPD, de la Agencia Española de Protección de Datos. Pretendemos hacer un resumen de la jornada. [Act 29/05/17]El primero, este resumen que va desde el inicio de la jornada. La segunda parte y resumen general (muy concentrado) podéis leerla aquí.

En este momento 9:36 (península), durante el receso, queremos hacer un breve resumen de lo comentado:

Datos destacados de la intervención de la directora de la AEPD, Mar España

  1. La directora recalca que el plan estrategico de la AEPD se está desarrollando de forma controlada pero efectiva.
  2. Menciona todas las guías que han publicado en el último año sobre el Reglamento Europeo de Protección de Datos RGPD.
  3. Anuncia la publicación de guías para colegios  y padres, con el fin de ayudar en la formación en materia de seguridad en internet, a los menores, y para que aprendan sobre el uso de las aplicaciones de mensajería y canales de comunicación con la AEPD.
  4. Anunció la publicación, hoy de la guía Protección de Datos: Guía para el Ciudadano
  5. También anuncia la publicación de guías e instrucciones por parte del Grupo de Artículo 29, para ayudar a los responsables de cumplimiento del Reglamento Europeo de Protección de Datos RGPD. Menciona que tratarán los siguientes temas, muy esperados por los profesionales de la protección de datos:
    1. Anonimización de datos
    2. Privacidad por Defecto
    3. Privacidad por Diseño
    4. Evaluaciones de Impacto en la Privacidad
    5. Evaluaciones de Riegos.
  6. Da algunas cifras que aparecerán en la memoria anual del 2016, de la AEPD, y que todavía no ha sido publicada.
    1. El 73% de la sanciones impuestas por la #AEPD fue para telecos y empresas de energía.
    2. Entre denuncias y tutela de derechos, recibieron sobre 12.000 solicitudes.
    3. Han estado aplicando reducciones del 20% a las sanciones impuestas, en casos de:
      1. Reconocimiento de la infracción
      2. Pago espontaneo
  7. La AEPD está trabando con ENAC sobre el certificado del  Delegado de Protección de Datos DPO – DPD, en España. En este sentido, la directora destaco la importancia de la certificación como garantía de profesionalidad.
  8. La AEPD está trabajando con CCNCERT para adaptar la herramienta PILAR al RGPD y que sea utilizada por los Responsables de Tratamiento en la realización de Evaluaciones de Impacto en la Privacidad EIPD, y los análisis de riesgos.
  9. Anuncia la colaboración con los distintos ministerios para la difusión y formación en matería de Reglamento Europeo de Protección de Datos para todas las Administraciones Públicas AAPP.

Siguiente intervención. 9AEPD

En la siguiente intervención se comentaron las distintas guías y herramientas publicadas a día de hoy, por la AEPD.

  1. En este sentido, anunciaron la futura puesta a disposición de las micro pymes, de la herramienta NanoPymes, que como su nombre indica, está dirigido a pequeñas empresas para facilitar su cumplimiento del RGPD. Ahora bien, hay que recordar que esta herramienta está dirigida a pymes que hacen tratamientos de datos básicos y con un nivel de riesgo para la privacidad de los usuarios, mínimo.

El representante de la AEPD, recuerda que usar la herramienta no es sinónimo de cumplimiento. Ademas de poner todos los datos en NanoPymes, hay que implantar las medidas de seguridad que se recomiendan, y llevar los documentos que corresponden.

También aquí anunciaron la futura apertura de un canal de atención al responsable del tratamiento y profesionales de  la privacidad.

Entrega de los premios AEPD.

Desde aquí felicitamos a los premiados, todos con una clara intención de divulgación y ayuda a los ciudadanos, de todas las edades, con respecto al uso adecuado de sus datos, y la defensa de su derecho a la protección de datos.

Por ahora, eso es todo, volvemos a seguir la jornada.  Saludos y enhorabuena a los premiados