La guía sobre control de presencia biométrico que ha publicado la Agencia Española de Protección de Datos -en adelante AEPD-, es un paso bastante grande para disipar dudas sobre el tratamiento del dato biométrico en el tratamiento de datos de control de presencia. Pese a la claridad del nuevo criterio, que además se alinea con el del Comité Europeo de Protección de datos, es muy relevante el endurecimiento de la posición de la AEPD y con ello de la limitación de las legitimaciones hasta ahora utilizadas para realizarlo.

Las guías de la AEPD son un recurso de enorme utilidad para ampliar información sobre temas de relevancia en protección de datos, o para definir el criterio de la autoridad; aunque se supone que no tienen criterio vinculante, la existencia de la instrucción 1/2021 eleva el listón de la necesidad de cumplir con lo que se recoge en ellas.

En este post, hacemos un repaso general por los puntos clave de esta nueva guía y te ofrecemos las conclusiones que la AEPD aporta. Te recomendamos en todo caso un análisis detenido de la misma si por algún motivo te afecta.

Tratamiento de datos biométricos y plantillas biométricas

Hay muchos ejemplos de datos biométricos: el iris, la huella dactilar, la cara u otras características físicas de una persona… La tecnología ha avanzado tanto que, muchas veces, cuando se usan datos de este tipo, ni siquiera somos conscientes de ello ni de sus posibilidades a nivel de identificación, seguimiento y perfilado.

Estos datos hacen posible la identificación o autenticación de una persona: identificar permite para distinguir a esa persona de otros individuos; y autenticar, tal como se explica en el Reglamento eIDAS, es el proceso electrónico a través del cual se consigue esto.

Para lograr lo anterior, es indispensable definir la plantilla biométrica: una forma de escritura que hace posible que la característica biométrica humana pueda ser interpretada por una máquina, para conseguir un fin concreto. De este modo, la plantilla es un identificador único.

Control de presencia: modalidades y mínimos a cumplir

Cuando realizamos alguna acción encaminada a establecer controles sobre la presencia de una persona, independientemente de con qué fin lo llevemos a cabo, esa acción tendrá que cumplir con la normativa de protección de datos personales

¿Qué opciones de control de presencia existen?

  • Registro de jornada. Previsto en el art. 34 del Estatuto de los Trabajadores, a fin de cumplir límites en la jornada laboral y crear un entorno jurídicamente seguro para empleados y empresas.
  • Control de acceso con fines laborales. Previsto en el art. 20.3 de la misma norma, como parte de las facultades de vigilancia y control que tiene el empresario
  • Control de acceso con otros fines. Por ejemplo, para el disfrute de algún servicio.

Cuando implantamos un control de presencia, independientemente de en qué modalidad, es fundamental cumplir los principios consagrados con el RGPD, en especial, el principio de minimización de datos, que se define como la obligación de usar solo los datos exclusivamente necesarios para conseguir el fin perseguido.

La AEPD nos recuerda que esto es especialmente importante cuando tratamos datos biométricos. El mercado actual está lleno de tecnología que ofrece infinitas posibilidades, y es fácil dejarse llevar por tantas opciones, pero que tener cuidado en no excederse: si podemos conseguir el mismo fin con una medida o sistema menos intrusivo, habrá que hacerlo.

¿Está prohibido tratar datos biométricos?

El art. 9 RGPD establece la prohibición general de tratar determinados datos, a los que se denomina “de categoría especial”. Entre ellos, están los datos biométricos, tanto si se emplean en un proceso de identificación como en uno de autenticación.

Para levantar esa prohibición general, es fundamental que concurra alguna de las excepciones previstas en el art. 9.2 RGPD. Y, por si ya estabas barajando opciones en tu cabeza, ya te adelantamos que el interés legítimo o la ejecución de un contrato no están dentro de ellas.

Entonces, ¿cómo puedo implantar un método de control de presencia que use biometría sin incumplir la normativa vigente sobre protección de datos?

Si tienes previsto implantar un sistema biométrico, debes ser capaz de justificar por qué ya no es posible seguir utilizando el sistema que venías empleando hasta el momento. Y no solo has de probar que el uso de técnicas biométricas es necesario para conseguir tus fines, sino que, además, sea esencial.

Como la AEPD nos recuerda, algunas acciones fundamentales para conseguir todo esto son:

  • Realizar una evaluación de riesgos
  • Realizar una Evaluación de Impacto en la Protección de Datos. Si te interesa saber más, en su día publicamos este post sobre la guía que la AEPD tiene al respecto.
  • Superar el juicio de idoneidad, necesidad y proporcionalidad del tratamiento

Además, es imprescindible que busques una causa que justifique el levantamiento de la prohibición prevista en el art. 9 RGPD. Y esto nos lleva, inevitablemente, a la siguiente pregunta: ¿a qué circunstancia puedo aferrarme?

En este sentido, la AEPD es rotunda, señalando que:

  • Registro y control con fines laborales. Si lo hacemos con este fin, inicialmente podríamos plantearnos recurrir a solicitar el consentimiento del interesado. Hablamos de un consentimiento que no aplicaría al hecho de registrar la jornada en sí, que es una obligación legal, sino al tratamiento de datos biométricos para ello.
    Lo que ocurre es que el consentimiento, según el RGPD, debe ser libre, y en el ámbito laboral no convence mucho recurrir a él, ya que se presume que siempre existe desequilibrio entre empleador y empleado, que rompería dicha libertad.
    Esto, sin embargo, no cierra la puerta a que el consentimiento en el ámbito laboral pueda otorgarse libremente. Ello se conseguiría, por ejemplo, ofreciendo alternativas a los trabajadores: quien quiera fichar haciendo uso de la opción que emplea biometría, puede hacerlo; quien no, puede optar por otro medio.
    ¿El problema de lo anterior? Pues que ofrecer alternativas implicaría reconocer que existen medios menos intrusivos para conseguir el mismo fin, lo cual daría lugar a que el uso de biometría ya no sea válido, por no ser estrictamente necesario. Por tanto, nos quedamos sin opciones.
  • Fuera del ámbito laboral. Si el registro y control se llevan a cabo fuera del ámbito laboral, tampoco será válido el consentimiento, por lo anteriormente explicado, ni la ejecución de un contrato, pues el RGPD no lo contempla.

¿Entonces, qué opciones nos quedan? Podríamos recurrir a basar el tratamiento en la existencia de una autorización legal que lo posibilite, pero la AEPD ya ha aclarado que no existe en nuestro ordenamiento jurídico, a día de hoy, ninguna norma que lo contemple. Y también añade que el mero hecho de que el tratamiento biométrico suponga un ahorro no significativo para la empresa tampoco se considera suficiente justificación.

Medidas que recomienda la AEPD cuando se tratan datos biométricos para el registro de presencia

En su guía, la AEPD recoge una serie de medidas ejemplificativas que es indispensable tener en cuenta para estos casos, entre las cuales se encuentran:

  1. Que los dispositivos empleados estén bajo el exclusivo control de los usuarios
  2. De ser posible, no haya almacenamiento centralizado de plantillas biométricas
  3. Que se habiliten mecanismos automatizados de supresión de datos
  4. De haber convenios colectivos, se recojan en ellos las garantías adoptadas
  5. Que el individuo sea consciente y reciba información sobre la toma de sus datos

Estas medidas se complementan con otras que pueden ser aplicadas, según la AEPD, a cualquier control de presencia:

  1. Informar sobre el tratamiento de datos biométricos
  2. Que sea posible revocar el vínculo plantilla-persona física
  3. No sea posible usar la plantilla para otros fines
  4. Si se empleen tecnologías de cifrado
  5. No pueda haber interconexión entre distintas bases de datos
  6. Que se supriman los datos cuando pierdan su vínculo con el fin perseguido
  7. Que se aplique la protección de datos desde el diseño
  8. Y, por último y de nuevo… la realización de una Evaluación de Impacto.

Sobre la EIPD, es importante saber que no basta con realizarla, sino que has de ser capaz de aportar toda la documentación justificativa de la misma y de las medidas técnicas, organizativas y jurídicas adoptadas.

¿Qué conclusiones sobre todo esto nos aporta la AEPD?

La Agencia Española de Protección de Datos cierra su guía ofreciendo una serie de conclusiones que aplican al uso de datos biométricos con fines de control de presencia. Aquí, te dejamos la lista de los puntos clave al respecto:

  • Este tipo de tratamientos deben ser considerados, en todo caso, de alto riesgo
  • Es fundamental que concurra alguna circunstancia que levante la prohibición del art. 9 RGPD para tratar este tipo de datos
  • Cualquier uso adicional que se le quiera dar a estos datos debe estar justificado
  • Si se usa inteligencia artificial, hay que recurrir a la normativa reguladora de ésta
  • Siempre tiene que haber una EIPD favorable, previa al tratamiento
  • No deben tomarse decisiones automatizadas -sin intervención humana- que tengan efectos jurídicos o desfavorables sobre el interesado
  • Han de cumplirse las medidas anteriormente listadas
  • Y esas medidas deben revisarse periódicamente y actualizarse cuando sea necesario

Si algo sacamos en claro de todo esto es que, si bien la Agencia es muy rotunda y clara en la mayoría de aspectos, sigue habiendo dilemas y, definitivamente, no existe un único camino a seguir en lo que a tratamientos de esta categoría se refiere.

En cada caso, será indispensable analizar y justificar las circunstancias para ver qué posibilidades nos ofrece la normativa. Y, como siempre recordamos desde Dataseg, procurando que la máxima sea siempre el respeto hacia los derechos y libertades de los implicados.

Algunos artículos atrás, te hablamos de la recién llegada “ley Whistleblowing” y, con ella, de la obligación para algunas entidades de nombrar un Delegado de Protección de Datos. Pero, hasta ahora, no hemos dedicado ninguno de nuestros posts a hablar precisamente de esta figura; el Delegado de Protección de Datos, también llamado DPO o DPD.

Como se suele decir: mejor tarde que nunca. Así que, aferrándonos a este dicho, hoy te hablamos de esta figura creada por el RGPD, sus funciones y si es obligatorio contar con uno o no.

Primero, lo primero: ¿qué es un Delegado de Protección de Datos?

Como ya te adelantábamos, el delegado de protección de datos, DPD o DPO, es una figura creada por el RGPD, que lo regula entre sus artículos 37 y 39. El DPO es la persona física o jurídica que se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos y, para ello, supervisa todo lo relacionado con ella.

Ojo al dato: puede ser una persona física o jurídica, y puede formar parte, o no, de la organización. Por ejemplo; si tienes una empresa, puedes, a su vez, contratar a otra empresa o persona especializada para que sea el DPO de la tuya (éste, por ejemplo, es uno de los servicios que prestamos en Dataseg).

También es importante saber que, aunque hay muchos cursos, e incluso un examen oficial de certificación de DPO, no se exige que un delegado de protección de datos tenga ninguna formación específica; pero siempre es recomendable que tenga conocimientos jurídicos, dadas las características de su cargo.

¿Cuál es la función de un delegado de protección de datos?

El DPO es el “vigilante” de la protección de datos y de su cumplimiento dentro de una organización. Para ello, tiene asignadas unas funciones claras, que son:

  • Informar y asesorar sobre las obligaciones que, en virtud de la normativa vigente reguladora de la protección de datos, hay que cumplir
  • Supervisar ese cumplimiento. Para esto, el DPO puede asignar responsabilidades a otros sujetos, impartir formación, concienciar a los empleados e incluso realizar auditorías
  • Asesorar acerca de la realización de evaluaciones de impacto relativas a la protección de datos
  • Cooperar con la autoridad de control. En nuestro caso, la AEPD. Así como actuar como punto de contacto con ésta, por ejemplo, cuando hay consultas relativas al tratamiento de datos.

Aunque esas son las funciones que, en concreto, recoge el RGPD, evidentemente se abre un abanico de posibilidades; pues cualquier cuestión que tenga relación con protección de datos en la organización, debería pasar necesariamente por el conocimiento y supervisión previa del DPO.

¿Cuándo es obligatorio designar un DPO?

El RGPD recoge tres supuestos concretos en los que es preciso contar con esta figura:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de datos relativos a condenas e infracciones penales.

Pero, además, la LOPDgdd 3/2018 recoge una lista tasada de otras situaciones que requieren del nombramiento de un DPO. Son muchas, y no las enumeraremos todas, pero esta relación incluye, por ejemplo, a los colegios profesionales o los centros docentes. Puedes consultar el listado completo en el artículo 34 de la norma, que aquí enlazamos.

Y no podemos olvidarnos de la recién llegada Ley Whistleblowing, de la que ya te hemos hablado en artículos anteriores, que está en vigor desde el pasado 13 de marzo.

Esta nueva norma recoge la obligación, para un considerable número de entidades públicas y privadas, de contar con un canal interno de denuncias y de nombrar un delegado de protección de datos. Con carácter general, esta obligación afecta a:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros; prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Si piensas que tu organización puede encajar en alguno de los supuestos contemplados, es importante que revises si necesitas contar con un DPO.

¿Qué pasa si no cumplo con las normas que regulan la figura del DPO?

Tanto el RGPD como la LOPDgdd disponen de un marco sancionador, asociado a infracciones en materia de protección de datos, que se estructuran y clasifican conforme a su gravedad. De entre las diferentes situaciones que pueden darse en el panorama del incumplimiento normativo, hay algunas que se relacionan directamente con la figura del Delegado de Protección de Datos.

Infracciones relacionadas con la figura del DPO

Los artículos 73 y 74 de la LOPDgdd recogen que las siguientes infracciones relacionadas con la figura del DPO, con independencia del periodo de prescripción, podrán sufrir una multa administrativa de entre 0 y 10 millones de euros, o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (conforme el artículo 83.4)

  1. No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la AEPD cuando su nombramiento sea exigible (art. 74.p LOPDgdd). ¡Ojo! Tienes que tener este punto en cuenta: cuando designes un DPO, debes notificarlo a la AEPD para que conste en su registro.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento. (art. 73. LOPDgdd)
  3. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73. LOPDgdd)

Hasta aquí nuestra presentación de esta figura que el RGPD creó hace ya unos años, y con la que todavía parece que, en algunos casos, no estamos del todo familiarizados.

Si te has quedado con dudas o necesitas un asesoramiento personalizado, te invitamos a ponerte en contacto con nosotros o a dejarnos un comentario.

¡Gracias por leernos y hasta la próxima!

¿Puedo publicar fotos de mis clientes en Internet y redes sociales y tener un cumplimiento web adecuado? Quizás es algo que te has preguntado más de una vez ya que su uso ayuda a posicionar y generar visitas a tu web. En este post te damos las claves para que puedas utilizar las redes como lanzadera al mundo, a la par que cumples con la normativa de protección de datos.

Comentarios en blog, opiniones y valoraciones. Cumplimiento web

Es probable que, para dar a conocer tu negocio e interactuar con los usuarios, cuentes con un blog o con un espacio en el que estos puedan hacer valoraciones sobre tus servicios o dejarte comentarios. Si son espacios de terceros, como son las RRSS será responsabilidad de dicha red social cumplir con el RGPD. Si, por el contrario es espacio propio -por ejemplo, un blog o un libro de visitas en tu web- eres tú el responsable. ¿Cómo puedes hacer que sea un entorno seguro y cumplidor? Aquí tienes algunos consejos:

  • Pide solo los datos estrictamente necesarios para la finalidad perseguida. Si, por ejemplo, tienes un blog en que los usuarios pueden publicar su comentario, probablemente baste con disponer del comentario en sí y de un nombre y no será necesario nada más.
  • Proporciona la información del tratamiento de sus datos a los usuarios. En cada formulario en el que recojas datos debe aparecer la información básica sobre protección, y luego debes redirijir a la información adicional. ¿Un ejemplo práctico de esto? Lo tienes en nuestro formulario de contacto.
  • Si vas a usar los datos recogidos para otros fines, además del principal, debes informarlo y solicitar el consentimiento previo -si es necesario-. El cumplimiento web de los derechos y libertades de tus interesados debe ser una prioridad.

Fotos, vídeos y otro contenido audiovisual

Si quieres utilizar tu web o redes sociales para publicar contenido audiovisual en el que aparezcan tus clientes -u otras personas- presta atención:

  • Lo primero que debes hacer es solicitar el consentimiento de las personas afectadas. Nunca debes publicar una foto, vídeo o contenido similar de alguien si no cuentas con autorización previa para ello.
  • Puedes hacer uso de tecnologías como el pixelado de imágenes para evitar que se reconozca a las personas en el contenido publicado. Si no son identificables, no es necesario su consentimiento, pero has de ser muy cuidadoso con esto.
  • Cuando pidas permiso a la persona para publicar su imagen, no olvides informarla de qué uso le vas a dar. El derecho de información del art. 13 RGPD es una de las claves de la normativa de protección de datos. También es conveniente que reflejes esto en tu política de privacidad, términos de uso o similares.
  • Ten cuidado cuando trates con personas especialmente vulnerables, como los menores de edad. En este caso, necesitarás el consentimiento de sus representantes legales.
  • Las personas tienen derechos y, en consecuencia, son dueños de sus datos. Si alguien te pide que elimines una foto en la que aparece, debes seguir sus indicaciones.

Cómo gestionar las imágenes de trabajadores

En el caso de empleados, personal en prácticas, becarios y demás, debes aplicar todo lo ya dicho. Pero también hay algunos consejos que quizás podrían ayudarte a reforzar tu cumplimiento

  • Lo primero que tienes que recordar es que serán tus empleados, pero siguen siendo dueños de sus datos. Algunos datos relativos a su posición en tu empresa y la finalidad de la publicación podría ser posible publicar algunos datos sin cosentimiento; ahora bien, los contenidos con objeto promocional y del día a día, pueden requereir el consentimiento previo.
  • Puedes aprovechar documentos que regulan vuestra relación profesional para informarles del tratamiento de datos para estos fines. En los casos que se requiera su consentimiento, puedes hacerlo en ese momento, y a la hora de seleccionar los contenidos.
  • ¿Y si un trabajador abandona la empresa? Puede darse el caso de que un empleado con el que mantenías una relación laboral apareciera, en su momento, en un vídeo o foto de empresa. El solo hecho de que ya no forme parte de la empresa no es motivo para que tengas que borrar su imagen, puede seguir ahí; eso sí, si te lo pide, deberás proceder a hacerlo. En cualquier caso, siempre es conveniente que revises tus redes periódicamente, y compruebes si tiene sentido que determinados contenidos sigan publicados

En conclusión…

Una página web o un perfil en redes pueden convertirse en grandes aliados a la hora de promocionar un negocio, actividad o proyecto, pero todo tratamiento de datos en su ámbito debe cumplir la normativa correspondiente.

Es fundamental que dispongas de las medidas y pautas necesarias para garantizar los derechos digitales de las personas, y para cumplir con la normativa de protección de datos. Con los consejos que hemos puesto a tu disposición en este artículo, ya tienes parte del trabajo de cumplimiento web hecho. Pero también dispones de otros recursos interesantes, como la Guía de la AEPD sobre privacidad y seguridad en Internet y, por supuesto, con nuestra ayuda como profesionales en la materia.

Este artículo sobre el certificado Covid como requisito obligatorio, establecido por el Gobierno de Canarias el pasado 21/07/21, para acceder a espacios públicos cerrados y actividades varias, ventajosamente a día de hoy (29/07/21) está modificado respecto a su idea inicial, que no era otra que dar recomendaciones a los obligados a cumplir la medida para reducir al mínimo el impacto en derechos y libertades de sus clientes, amigos y conocidos.

La medida ha sido suspendida cautelarmente, suponemos -aún no es público el fallo- que por lo desproporcionado de su aplicación, en tanto que era discriminatoria y limitaba derechos fundamentales de los ciudadanos. En todo caso ya que este post lo publicamos antes de conocer la suspensión, hemos decidido mantenerlo con variaciones, para información general.

¿Qué es el certificado covid?

El certificado COVID es un certificado digital que entró en funcionamiento, en todo el territorio de la Unión Europea, el pasado 1 de julio de 2021, y mediante el cual, la persona titular puede acreditar de forma oficial que:

  1. Ha sido vacunada contra la COVID-19
  2. Superó la enfermedad
  3. Se ha sometido recientemente a una prueba diagnóstica, con resultado negativo.

Es un documento gratuito que las personas que cumplan alguno de los requisitos anteriores pueden solicitar a las autoridades competentes de su país, en el caso de España, el Ministerio de Sanidad. El documento se puede obtener de forma sencilla a través de internet, y tiene como objetivo principal facilitar la movilidad de personas y la seguridad sanitaria dentro del territorio de la Unión.

En el momento de su entrada en funcionamiento las autoridades de la Unión fueron muy tajantes en recordar que “el certificado es un derecho, no una obligación”, por tanto, este artículo tiene como fin, intentar paliar los posibles efectos negativos que pueda tener tanto para interesados como para responsables RGPD, de la medida Canaria de exigir el certificado para otros fines.

Certificado Covid como medida de control de acceso a espacios públicos en Canarias

El pasado 26 de julio de 2021, el Gobierno de Canarias, publicaba una orden en el Boletín Oficial de la Comunidad Autónoma, donde indicaba que era necesario que, en aquellas islas que se encuentraban en las situaciones sanitarias denominadas Fase 3 y 4,  (actualmente, Gran Canaria, Fuerteventura, Tenerife y La Palma), se requeriría el certificado covid a cualquier persona mayor de edad que encajara en alguno de los siguientes supuestos:

  • Que acceda o permanezca en el interior de establecimientos de hostelería y restauración (Fases 3 y 4)
  • Que acuda a cualquier actividad cultural en cines, teatros, auditorios y en espacios culturales estables (Fase 4)
  • Que realice cualquier actividad física y deportiva no federada en zonas interiores de instalaciones y centros deportivos (Fase 4)
  • Que acceda o permanezca en establecimientos y locales de juego y apuestas (Fase 4)

Como era evidente, se trataba de medidas que afectaban a un abanico bastante amplio de las actividades que realizamos día a día y de los espacios a los que accedemos o acudimos, por lo que su importancia es innegable.

Antecedentes e implicaciones negativas de la medida

El antecedente de esta medida está en Francia, donde desde hace unos días el certificado covid es obligatorio para estas actividades y otras tantas. La cuestión es que en ese país existen mecanismos para obligar a vacunarse, mientras que en España sigue siendo voluntario.

Por tanto, desde el punto de vista de muchos juristas exigir el certificado covid así, podía ser una medida discriminatoria ya que la vacuna no es obligatoria, y porque algunos colectivos todavía no pueden acceder a ella, y por tanto vulneraba los derechos de libertad de elección y circulación de los interesados. Nuestra primera redacción de este post decía «Muy seguramente a día de hoy esta medida ya habrá sido recurrida por algún colectivo, con lo que en breve veremos si se mantiene o no su aplicación». Y justo hace unos minutos (29/07/21 16:00) conocimos la noticia que el Tribunal Superior de Justicia de Canarias suspendía cautelarme dicha iniciativa.

Ya hace unos días fuentes de la AEPD mostrarón su preocupación por el uso desproporcionado e injustificado de lo que un documento que está estrictamente relacionado con datos de salud. Aunque a su vez en informes anteriores sobre la pandemia ha indicado que la protección de datos no debe ser un freno en la lucha de las autoridades contra el virus.

Por su parte, el Comité Europeo de las Regiones, en un reciente informe, ha insistido en que el uso del certificado covid “no debe incurrir en un trato discriminatorio hacia personas no vacunadas, y siempre garantizando el derecho a la protección de datos

Ok a lo anterior pero había una orden que cumplir. ¿Cómo hacerlo limitando el impacto negativo en los derechos de los interesados?

Ya nos libramos de esta, pero y si no, ¿qué hubieramos tenido que hacer para cumplir con la orden, a la espera de la respuesta de los Tribunale

  • No almacenar información no necesaria (incluido el certificado)
  • Limitar la información y documentos que se solicitan, y en particular, que se almacenan
  • Formar al personal
  • Aplicar medidas de seguridad adecuadas

Para concluir…

Evidentemente, como ya hemos dicho, vivimos en una realidad sometida a constante cambio, y es algo que tenemos que tener muy en cuenta, pues es posible que en los próximos días dispongamos de más información acerca de esta u otras prácticas. Por ello, este artículo es susceptible de sufrir modificaciones y actualizaciones, así que, ¡mejor permanecer atentos!

Esperamos que hayas disfrutado de la lectura y hayas encontrado la respuesta a tus preguntas. Si no es así, no dudes en dejarnos un comentario o en contactar con nosotros: estaremos encantados de echarte una mano.

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

La Agencia Española de Protección de Datos (AEPD) acaba de hacer pública una nueva versión de la Guía sobre Gestión de Riesgos y Evaluación de Impacto de Protección de Datos (EIPD).

Como viene siendo costumbre desde que comenzara su labor, y en su afán por orientar a responsables y encargados para lograr el cumplimiento normativo, la AEPD publica guías, informes y respuestas a consultas sobre diversos temas: relaciones laborales, videovigilancia y cookies entre otros.  

En esta ocasión, y con el fin de explicar el contenido y las novedades de la Guía, la AEPD organizó una jornada dedicada a la misma. Así, con este post, nuestro objetivo es el de resumir los aspectos tratados en dicha presentación y, con ello, los fundamentos y novedades esenciales de la nueva guía.

Antecedentes de la nueva Guía

La primera Guía sobre Gestión de Riesgos y EIPD se publicó en 2015 y supuso un hito en el marco europeo de protección de datos. El documento seguía la política de la AEPD de garantizar los derechos y libertades de los interesados y de dar soporte en el cumplimiento a encargados y responsable, para que éste sea eficaz y eficiente.

Aunque el instrumento continúa siendo, a día de hoy, extremadamente útil, lo cierto es que ya han transcurrido más de seis años desde su entrada en vigor, tiempo en el que han tenido lugar numerosos cambios, que han llevado a la necesidad de desarrollar un sistema más moderno y eficiente. A pesar de que la AEPD, constantemente responde a numerosas consultas planteadas por encargados y responsables, desarrollar este instrumento supone una solución más práctica, común y unificada. He ahí la razón de ser de la nueva guía: un recurso adaptado a la realidad actual, que respeta las previsiones del RGPD y la LOPDGDD.

Introducción a la nueva Guía sobre EIPD

Cualquier actividad de tratamiento que se pretenda llevar a cabo requiere, necesariamente, de un previo ejercicio de reflexión, que permita anticipar problemas y tomar decisiones objetivas y razonables. En otras palabras: gestión de riesgos. El riesgo es, precisamente, uno de los conceptos al que hace repetida referencia el RGPD y el objetivo de una correcta gestión de los riesgos y de la elaboración de una EIPD no es otro que el de garantizar los derechos y libertades de los interesados y el de identificar, evaluar y mitigar los riesgos relativos a aquellos. 

A fin de conseguir lo anterior, es fundamental que las organizaciones establezcan medidas técnicas y organizativas, adecuadas al objeto, ámbito y fines del tratamiento; pero no basta con crearlas: las medidas han de ser sometidas a seguimiento y revisadas periódicamente.

Además, una correcta gestión de riesgos exige que los sujetos no solo cumplan con lo anteriormente dispuesto, sino que sean capaces de demostrar este cumplimiento. Así, toda gestión de riesgos debe cumplir dos características fundamentales:

  • Eficiencia: el coste y el impacto de la gestión de riesgos y la correspondiente EIPD debe ser mínimo para la organización, otro de los motivos que ha dado lugar a la necesidad de publicar la nueva Guía.
  • Eficacia: la gestión de riesgos debe entenderse como un proceso vivo y documentado, nunca como un documento formal, estático e invariable.

Estructura de la nueva guía

El documento publicado por la AEPD presenta una estructura detallada y organizada, dentro de la cual podemos diferenciar, claramente, tres partes o secciones:

1. Fundamentos para la gestión de riesgos. Sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de EIPD, en el marco de la protección de datos.

2. Desarrollo metodológico básico. Sección más práctica, con orientaciones sobre cómo poner en marcha dicha gestión en la organización. Un punto fundamental consiste en recordar que la AEPD solo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.

3. EIPD. Entendiendo a la Evaluación de Impacto como un proceso global, y no como un momento o contenido concreto, que forma parte intrínseca de la gestión de riesgos. De hecho, la nueva guía ha ahondado aún más que la anterior en este concepto, de las siguientes formas:

  • Facilitando a los responsables una check-list que permite que puedan determinar, desde un punto de vista formal, si las consultas remitidas a la AEPD son completas.
  • Ayudando a los responsables en la implementación de procesos de gestión de riesgos.
  • Proporcionando las herramientas para servir de base para el establecimiento de procesos propios de la organización.

Novedades y puntos fuertes de la Guía sobre gestión de riesgos y EIPD

En este apartado, presentaremos y analizaremos algunos de los aspectos clave y de las mejoras que introduce la nueva Guía.

1. Elaboración de un listado de factores de riesgo

La AEPD, como resultado de un profundo ejercicio de síntesis, ha creado una relación de factores de riesgo, a tener en cuenta por los responsables del tratamiento. Esta relación, en cualquier caso, no tiene carácter limitativo, sino que abre la puerta a que cada responsable, desde su responsabilidad proactiva, identifique los factores de riesgo específicos para cada tratamiento llevado a cabo y, a partir de ahí:

  • Implemente medidas de seguridad orientadas a proteger los derechos de los interesados
  • Realice un análisis para prever las consecuencias de posibles brechas de seguridad
  • Analice los fallos en los sistemas de tratamiento de información y estudie las repercusiones en los derechos de los individuos

2. Nuevas recomendaciones para mitigar los riesgos

Además de lo anterior, la AEPD ha llevado a cabo una tarea adicional, consistente en ofrecer una serie de recomendaciones para mitigar dichos riesgos, desde cuatro niveles:

  • Mediante la implementación de cambios en el diseño del tratamiento
  • Con la aplicación de medidas de gobernanza y políticas de protección de datos, a fin de garantizar y proteger los derechos y libertades.
  • A partir de la puesta en marcha de medidas de privacidad desde el diseño
  • Haciendo uso de medidas de seguridad, específicamente orientadas a la protección de los derechos y libertades de los interesados.

3. Introducción de la herramienta “EVALUA_RIESGO RGPD”

Además de la Guía en sí, la AEPD ha aprovechado la ocasión para presentar una herramienta que la guía contempla: Evalúa Riesgo. Es un recurso diseñado para dar soporte a los responsables a la hora de determinar el nivel de riesgo que pueden suponer sus tratamientos.

Su funcionamiento consiste en que la herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable -que es quien debe asumir ese cometido- en dicha tarea.

Para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:

  1. Los fines del tratamiento
  2. Los tipos de datos tratados
  3. El ámbito y alcance del tratamiento
  4. La tipología de interesados
  5. Los factores técnicos y tecnologías empleados
  6. La existencia de bases de datos específicas
  7. Los efectos colaterales del tratamiento en los interesados
  8. La categoría o sector dónde trata los datos el responsable o encargado
  9. Las comunicaciones de datos llevadas a cabo
  10. El impacto de la potencial pérdida de confidencialidad y seguridad

Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.

Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.

Conclusiones

Hasta aquí, nuestro artículo dedicado a la gestión de riesgos, las EIPD, la guía que regula ambos conceptos y todas las novedades. Pero, ojo, solo por el momento: siguiendo ese criterio de que estos son procesos vivos y cambiantes, la AEPD ya ha adelantado que los instrumentos presentados hoy forman parte de las muchas actuaciones y trabajos futuros que se desarrollarán a partir de ahora.

Todo apunta a que, de aquí en adelante, nos encontraremos con un panorama cambiante, con actualización de los formatos conocidos, prestación de más ayudas a responsables y encargados, introducción de nuevas herramientas y demás. No en vano justo ayer, 30 de junio de 2021 la Autoridad Francesa de Protección de Datos publicó su herramienta de elaboración de EIPDs V.3. Un gran recurso que en conjunto con este presentado por la AEPD nos vendrán muy bien a todos los actores en el ecosistema de privacidad.

Es indispensable recordar que, por mucho que la AEPD facilite la gestión, son los responsables del tratamiento quienes tienen en sus manos la carga de realizarla correctamente, y de estar al tanto de cambios y novedades, a fin de garantizar los derechos y libertades de los interesados, que es lo primordial.

Desde Dataseg, continuamos al pie del cañón para estar al tanto de todas las actualizaciones, novedades y asuntos de interés, a fin de mantenerte informado. Y, si quieres saber más, siempre puedes ponerte en contacto con nosotros.

Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.

En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.

Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.

  • Contenido de este post:
  • (1) COVID y protección de datos ¿No es más importante la salud?
  • (2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
    • Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
    • Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
    • ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
    • ¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
  • (3) Conclusiones.
  • (4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.

COVID y protección de datos ¿No es más importante la salud?

Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.

La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

RGPD UE 2016/679

Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.

Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.

1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?

  • Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
  • NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:

El fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Orden SND/388/2020, de 3 de mayo

2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?

Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.

Pero así por facilitar un resumen, la Agencia Española de Protección de Datos a través del Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que publicó el 30/04/2020, ha establecido las «líneas rojas» dejando claro que:

  1. La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
  2. Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
  3. Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
  4. Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
  5. Debe ser tomada por personal cualificado para ello.
  6. En cuanto a las legitimaciones para el tratamiento:
    1. La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
    2. No es aplicable el interés legítimo.
    3. En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
    4. En otros casos podría aplicarse el interés público.
  7. La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.

3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?

Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:

Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:

Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

[Pero ojo]

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

AEPD en sus Preguntas frecuentes sobre COVID

Y todavía más ojo, que en el informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, publicado el 13/3/2020, dice la AEPD:

Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.

También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.

4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.

Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:

  1. Busquen proveedores profesionales y cumplidores.
  2. Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
  3. Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
  4. Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
  5. Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.

En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.

(3) Conclusiones.

Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.

Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.

(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
  • 26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
  • 8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.

Control de temperatura y protección de datos: El control de temperatura para frenar la expansión del COVID, es una de las medidas estrella de esta «nueva normalidad» en la que, vayamos a donde vayamos, estamos viendo como, o nos apuntan a la frente con un termómetro de infrarojos, o en nuestro caso, nos preguntan «¿Se puede instalar una cámara de videotermica? ¿Puedo obligar a mi personal a tomarse la temperatura al iniciar la joranda?» etc. Total, que el empresario o profesional/autónomo se termina preguntando si debe instalar un sistema de control de temperatura, o si puede, si le toca, lo que sea… Pues señores, como casi todo en derecho: DEPENDE.

Y diréis, ¿De qué depende? pues depende de qué es lo que vas a hacer, cómo lo vas a hacer, para qué lo vas a hacer, qué legitimación tienes para hacerlo, y por supuesto, de que todas las respuesta que salgan a estas preguntas, encajen dentro de los margenes y líneas rojas pintadas por la AEPD en la documentación, que sobre el COVID, control de temperatura y protección de datos ha publicado hasta el momento. «Fácil».

Contenido de este post:

  1. ¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?
  2. Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.
  3. Toma de temperatura en el ámbito laboral
  4. Toma de temperatura a clientes y visitantes
  5. Recomendaciones en caso de querer/»deber» aplicar esta medida.
  6. Conclusiones.

¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?

Pues bastante. Con sus admiradores y detractores, como siempre, pero desde nuestro punto de vista, con una premisa muy sólida y correcta:

La aplicación de la toma de temperatura como medida de control epidemiológica depende de la autoridad sanitaria competente, en este caso del Ministerio de Sanidad

Referencia: TODOS los documentos y comunicados publicados por la AEPD en relación a Covid19

En concreto ha publicado los siguientes materiales informativos en donde se menciona la toma de temperatura:

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.

Del conjunto de ellos se desprende claramente que la toma de temperatura como un medio de control epidemiológico, no de debe ser usado a la ligera, y siempre debe estar sujeto a un análisis profundo sobre la idoneidad, proporcionalidad, eficacia, y que no exista un medio menos intrusivo para conseguir el objetivo deseado.

Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.

  • «…este tipo de operación supone un tratamiento de datos personales…»
  • «…Este tratamiento … supone una injerencia particularmente intensa en los derechos de los afectados…»
  • «.en los controles … en espacios públicos, … una eventual denegación de acceso … estaría desvelando a terceros … que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus…»
  • «…dependiendo del contexto … las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada…»
  • «…La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga… el Ministerio de Sanidad … hay personas asintomáticas…a fiebre no siempre es uno de los síntomas presentes… (se debe evaluar) hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas…»
  • «…Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD)…»
    • No puede ser por regla general el consentimiento.
    • Entorno laboral: «…la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo…»
    • «…La utilización del interés legítimo … como base legitimadora quedaríaexcluida…»
  • «…En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece…»
    • Información a los trabajadores, clientes o usuarios …en particular si se va a producir una grabación y conservación de la información.
    • Conservación: «…En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos…»

En el estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad, la AEPD reiteró que :

… manifiesta su preocupación por el uso de estos dispositivos (cámaras térmicas) y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. Alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

Toma de temperatura en el ámbito laboral

La AEPD entiende que el empresario tiene una obligación de control y preservación de la salud dentro del ámbito de trabajo. Por tanto puede implementar medidas destinadas a medir la temperatura del personal, e incluso, en previsión de la seguridad de los empleados, de quienes accedan a las instalaciones de su empresa, negocio o despacho. Pero cuidadín, no hay cheque en blanco, todo debe analizarse.

Pero, ¿hasta qué punto es necesario o conveniente esto? Hay que tener en cuenta que hay personas que, pese a padecer COVID-19, son asintomáticas. Por tanto, la fiebre no es un factor indicativo, que nos pueda orientar plenamente. Además, la temperatura corporal puede estar elevada por muchas otras razones, distintas a estar infectado con COVID por lo que es posible elegir y optar por otras medidas más adecuadas y efectivas.
Hay que destacar que la AEPD indica que la toma de la temperatura en el ámbito laboral debe ser en coordinación con el equipo de prevención de riesgos, y debe ser realizado por personal cualificado.

Es importante, en todos los casos, cumplir con la normativa y garantizar los derechos y libertades de los interesados, así que en función de la actividad de tratamiento realizada es posible que sea preciso llevar a cabo una EIPD (Evaluación de Impacto en la Protección de Datos) previa, y en todos los casos, informar conforme el art. 13 RGPD, si corresponde, y cumplir con los principios de limitación del tratamiento, y plazos de conservación. De estos últimos habla la AEPD diciendo que no debería conservarse los datos, salvo que se pueda justificar plenamente el motivo de la conservación -dicho como lo han dicho, no guardéis los datos si aplicáis esta medida

Toma de temperatura a clientes y visitantes

Muchos son los colegios profesionales y consejos profesionales que recomiendan hacer triages y tomar la temperatura de los pacientes o clientes, o visitantes. Es importante tener claro que en tanto no sea una medida expedida por el Ministerio de Sanidad, NO es una obligación legal aplicar estas medidas.

En la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado. (ENLACE) se definen con claridad las obligaciones a aplicar durante el procesos de desescalada y apertura de comercios, despachos y otros de cara al público. Esto SI es obligatorio, y no incluye ni toma de temperatura, ni triages concretos.

Hay que tener especial atención en la toma de temperatura en lugares públicos para evitar discriminación, daños a los interesados, y exposición de datos a terceros no autorizados.

Si implanta esta medida, limite la exposición del cliente facilitando la toma de la temperatura en zonas privadas, o incluso, el auto test.

Recomendaciones en caso de plantearse la aplicación de esta medida

Dejando claro que cada situación debe analizarse caso por caso, que entendemos que hay medidas más idóneas, y por supuesto, que hay/habrá casos en que se considere que es la «única/mejor» opción, le dejamos unas recomendaciones, básicas, por si se plantea la aplicación de la toma de temperatura como medida de control contra el COVID:

  1. Evalue qué tratamiento realmente es el que va a realizar. Si es un tratamiento automatizado, o manual, si realmente recoge datos o no, si los conserva, o no (por ejemplo no es un tratamiento automatizado, pero hay cámaras de seguridad grabando… ), etc.
  2. Busque opciones menos invasivas en en ámbito privado y más eficaces contra el virus.
  3. Evalue el impacto en la protección de datos y derechos de los interesados. Que no necesariamente, es hacer una Evaluación de impacto (EIPD) formal y completa, en todos los casos. Evaluar caso a caso, recordad.
  4. Aplique los principios de proporcionalidad, limitación del tratamiento y la conservación, información y transparencia, legitimidad, seguridad y confidencialidad, y sobre todo, el sentido común.
  5. No se deje llevar por lo que hacen los demás. Cada caso es un mundo, cada uno ha analizado, o debería haber analizado el suyo… y claro que hay quien lo hace mal, no lo haga usted también.

En conclusión

La toma de temperatura no es la medida más eficaz, y hasta la fecha (ojo, que igual mañana nos toca editar y cambiar esto) no es obligatorio implantarla, es mejor aplicar otras opciones menos invasivas y seguramente más eficaces, distanciamiento social, medios de protección física, medidas de higiene, etc.

Ahora bien, si por lo que sea se decanta o debe implantar esta medida, recuerde consultar con su DPO, o su empresa o asesoría de protección de datos a modo de definir las medidas que corresponden aplicar, y así garantizar no solo el cumplimiento de la normativa, sino ayudar a proteger de manera adecuada los derechos y libertades de los interesados, y los suyos propios.

Más información sobre otras medidas relacionadas con COVID y protección de datos en nuestro post: COVID y protección de datos en la desescalada

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

Los mitos sobre el RGPD (GDPR, si preferís sus siglas en inglés), rayos, truenos y centellas, no dejan de aparecer a medida que se acerca el 25 de mayo. Muchos de nuestros clientes nos llaman asustados por lo que un comercial, de dudosa ética le ha dicho para intentar venderle -bajo amenaza de multas millonarias- un producto/servicio que no necesita o que ya ha contratado.

También hay muchos bulos, noticias sueltas y no contrastadas, mesías de la LOPD que publican verdades a medias, medias mentiras, y otras veces exageraciones o vaguedades. Pese a que hay muy buenos artículos y muy buenos abogados, asesores, consultores, etc. que publican información clara, vemos necesario aclarar dudas, confusiones, y desechar mentiras.

Esperamos que este post ayude a que tengáis información más clara, así como fuentes a las que acudir en caso de duda.

Mito 1. El RGPD entró en vigor el 25 de mayo de 2018.

¡Falso! el Reglamento entró en vigor el 25 de mayo del año 2016, sí, como lo lee, del año 2016. Ahora bien, será exigible, y aplicable a partir del 25/05/2016 (Aquí mini resumen de los puntos clave del RGPD). Esto significa que ha estado en vigor todo este tiempo, aunque se aplazó la exigencia de su cumplimiento 2 años.

Entonces, ¿En qué nos afectará en realidad la llegada del 25/05/2018? Fácil, que a partir de ese día, todos los sujetos obligados al cumplimiento del RGPD, deben cumplirlo. No hay periodo de carencia, no hay unos meses después de esa fecha para adecuarse, el tiempo para adecuarse ha sido el transcurrido desde su aprobación hasta ahora.

Mentira 2. El GDPR obliga a todo el mundo a tener un Delegado de Protección de Datos

Otra vez, ¡Falso! El Reglamento no obliga que todos los Responsables o Encargados de tratamiento de los datos, nombren un Delegado de Protección de Datos – DPD (Más conocido como DPO por sus siglas en inglés).  Deben asignar un delegado de protección de datos, aquellos que cumplan, como mínimo, una de las siguientes opciones:

Artículo 37 RGPD:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público…
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Eso dice el Reglamento, aunque es cierto que el proyecto de Ley Orgánica de Protección de Datos 2018 (Aquí resumen de los puntos clave), trae supuestos más directos y desglozados. Ahora bien, hasta que no esté aprobado y publicado el texto íntegro de la Nueva Ley de Protección de Datos, los supuestos son los que dice el RGPD, ni más, ni menos.

En caso de duda se pueden consultar los artículos de la Agencia Española de Protección de Datos sobre el tema (aquí), o sus preguntas frecuentes (aquí) o las directrices del Grupo del Artículo 29 (aquí).

Pregunta del millón ¿Una farmacia necesita Delegado de Protección de Datos? ¡Pues depende! ¿De qué? Del volumen de datos, número de afectados o del alcance geográfico. Por ejemplo, no es lo mismo la única farmacia del pueblo, que una de 20 en un mismo pueblo.

Mentira 3. Todo el mundo debe llevar un “Registro de Actividades de Tratamiento”

¡Falso! Pues oiga, tampoco. Al igual que el punto anterior, y sin perjuicio de lo que exija la futura LOPD 2018, este registro solo deben realizarlo una serie de Responsables o Encargados.

No deberán llevar un Registro de actividades de tratamiento, aquellos a los que aplique la siguiente excepción establecida en el art. 30 del RGPD:

Artículo 30 RGPD

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Exageración 4. El RGPD hace que todos los Estados miembros de la UE exijan lo mismo en protección de datos.

Lamentablemente, ¡Falso!. Ya nos gustaría que ese principio y objetivo de la UE se hubiera alcanzado. No hubo consenso en todo el contenido del RGPD, y se dejó margen a los Estados para que regulasen internamente algunos puntos conflictivos, o muy “de país”.

Según Alejandro Padin (Garrigues), durante su comparecencia en el Congreso -en relación con el proyecto de Ley de Protección de datos 2018-, El RGPD obliga a los Estados a regular a nivel nacional entre 15 y 20 puntos, pero “permite” que regulen, o que se aplique el derecho nacional -si existe- hasta en 36 puntos más. Osea que podrían haber hasta más o menos 56 puntos de diferencia en la normativa de protección de datos de los Estados miembros de la UE.  Por lo que se ve en las leyes ya aprobadas (Francia y Alemania) y los proyectos de Ley en proceso, definitivamente no habrá homogeneidad.

Un ejemplo claro es lo relativo a la edad del consentimiento de los menores en el ámbito de la sociedad de la información. El RGPD establece la edad necesaria para consentir, en ese ámbito, en los 16 años, pero permite a los Estados poner una distinta -mínimo 13 años-. En España actualmente la edad para que los menores presten consentimiento son los 14 años, pero el proyecto de Ley de la nueva LOPD 2018, rebaja esa edad a 13 años (a ver cómo queda). El resto de Estados:

  • 13 años: Chipre, Letonia, Dinamarca, Suecia, Irlanda, Polonia, Noruega y Reino Unido.
  • 14 años: Austría y Bulgaría.
  • 15 años: Croacia.
  • 16 años: Alemanía, Hungría, Francia, Lituania, Luxemburgo, Reino Unido, Estonia, Holanda.

Mito 5. El 25 de mayo de 2018, dejará de aplicarse la LOPD 15/1999.

Sí, y no. Todo aquello en lo que la LOPD 15/99, sea contraría al RGPD, dejará de ser exigible y aplicará el RGPD. Ahora bien, todo aquello que no contravenga al RGPD, será en relación al Reglamento, «derecho del Estado», y en tal caso aplicará de forma complementaría.

Retomando el ejemplo de la edad del consentimiento de los menores, en caso de que la nueva Ley de protección de datos, no esté en vigor el 25/05/2018, la edad del consentimiento de los menores, en el ámbito de la Sociedad de la información, en España será 14 años, conforme nuestra LOPD 15/1999, y no de 16 años como establece el RGPD. Esta aclaración la hizo Agustín Fuentes, de la Agencia Española de Protección de Datos, durante su comparecencia en el Congreso con motivo de la tramitación de la nueva LOPD. La AEPD interpreta en sentido amplio la remisión del RGPD a «LEYES nacionales», y aunque la edad de 14 años se estableció mediante un Real Decreto será la que se aplique. 

En fin, que salvo que haya una nueva Ley de Protección de Datos, la actual no morirá el próximo 25/05/2018. Seguirá estando vigente en todo cuanto no contravenga al Reglamento Europeo de Protección de Datos.

Muchos mitos, pocas nueces

Las información está clara como el agua en el contenido del RGPD. No hay que creer inventos de vende humos, en caso de duda, hay que acudir a la fuente.

Si quiere información clara, acuda página del Grupo del artículo 29 -futuro Consejo UE de Protección de Datos-; a la página de la Agencia Española de Protección de Datos. En ellas encontrará información clara, concisa y apropiada. También, existen grandes profesionales, y empresas especializadas, que le podrán ayudar con la tarea de enfrentarse al RGPD.

Para más información, visite nuestros post relacionados:

1. Claves del Anteproyecto de Ley Orgánica de Protección de Datos (futura LOPD 2018)

2. Reglamento General de Protección de Datos ¿Qué es?, puntos más importantes a tener en cuenta.

3. Resumen1. 9AEPD. Primera parte de la sesión anual de la AEPD, especial sobre el RGPD.

4. Resumen2. 9AEPD. Segunda parte de la sesión anual de la AEPD 2017, especialmente dedicado al RGPD.