Entradas

Cumplir con la protección de datos en tu club de fútbol

Si has llegado hasta este artículo, muy probablemente tienes relación con algún club o equipo de fútbol. Ya sea porque eres uno de los jugadores, su presidente o incluso la persona que se asegura de que se cumpla con la protección de datos dentro del mismo, este post te interesa.

La protección de datos es una materia que aplica prácticamente en todos los ámbitos de nuestra vida, y el deportivo no es una excepción. Es importante saber qué papel juega la normativa en este sector y, por ello, en este artículo repasamos algunas recomendaciones básicas al respecto.

La protección de datos personales en España

En nuestro país, contamos con dos normas de referencia en protección de datos personales:

Ambas normas están en vigor desde el año 2018, pero aún nos encontramos con que, en algunos clubs, hay mucha tarea pendiente. Es importante que el club revise periódicamente su documentación y los cambios hechos en ella, para asegurar que se está cumpliendo con la normativa vigente.

Una pista sobre esto: la antigua ley de protección de datos existente en España era la LOPD 15/99. Esta norma ya no aplica y, sin embargo, todavía sigue apareciendo en muchos sitios (y esto está mal). Si encuentras alguna mención a ella en tus documentos o formularios, es una señal de que hay que ponerse al día.

El derecho de información en equipos y clubs de fútbol

Uno de los principales derechos protección de datos es el de información, el de saber qué ocurre con nuestros datos personales. Y es, al mismo tiempo, un deber, pues el club o equipo asume la obligación de proporcionar esa información a aquellos con quienes se relaciona.

Son muchas las vías a través de las que puede cumplirse con esto:

  • Formularios, sean en papel o en formato digital
  • Documentos de inscripción, preinscripción o similares
  • Contratos
  • Acuerdos de confidencialidad
  • Políticas de privacidad publicadas en web o portales del club
  • Licencias deportivas o similares
  • Bases legales de cursos o eventos organizados por el club

Lo importante es recordar que siempre que se recojan datos personales, hay que proporcionar información sobre su uso.

¿Por qué aplica la protección de datos a clubs y equipos de fútbol?

Un dato personal es cualquier información que nos sirve para identificar a una persona y su tratamiento exige cumplir con la normativa de protección de datos. Por ejemplo, un club trata datos de:

  • Los propios jugadores
  • Los entrenadores u otros colaboradores similares
  • Voluntarios
  • El Presidente, Vicepresidente y otros miembros de órganos de gobierno
  • Trabajadores del club
  • Proveedores del club
  • Muchos otros: alumnos inscritos en cursos, participantes en eventos o sorteos organizados por el club, etc.

Es importante tener esto en cuenta porque dentro de cada uno de esos grupos hay personas que tienen derechos en materia de privacidad, y el club debe velar por que se cumpla con la normativa en la relación con cada uno de ellos.

¿Puede el club acceder a datos de salud de sus jugadores?

Es razonable que un club de fútbol necesite acceder a determinada información sobre la salud de sus jugadores (o de otras personas implicadas). Esto sirve para comprobar que se encuentran en condiciones óptimas de salud, evitar incidentes y también para prevenir situaciones prohibidas, como el dopaje.

Los datos de salud entran dentro de los que la normativa considera “sensibles” o de categoría especial. Si ya de por sí hay que ser respetuoso con cualquier información sobre una persona, con este tipo de datos aún más.

Si bien el club puede acceder a datos de salud, es indispensable:

  • Tratar solo aquellos datos de salud que sean estrictamente necesarios y no cualesquiera otros
  • Procurar que sean conocidos únicamente por quien esté autorizado para ello, evitando el acceso de terceros
  • Aplicar medidas de seguridad que aseguren su protección y eviten su filtración
  • Cuando dejen de ser necesarios, valorar cómo se prescinde de ellos

¿Puede el club publicar información en web, RRSS y otros medios?

El fútbol es uno de los deportes más populares del mundo y que más interés despierta entre sus seguidores, que quieren estar al día sobre todo lo relacionado con su equipo. En este sentido, es lógico que aparezca información sobre el club y sus jugadores en página web, redes sociales y en medios de comunicación.

Si tu club tiene página web, es otro de los puntos en que aplica la normativa de protección de datos, pues debe estar adecuada y contar con sus textos y demás requisitos legales.

Si se va a publicar información o imágenes de los jugadores en redes, hay que valorar siempre qué es necesario publicar y qué no, es decir, qué cosas tienen realmente interés informativo. Es razonable que se haga pública información de interés para el club y sus seguidores, pero si hablamos de otros temas que salen de este estricto ámbito -por ejemplo, la vida personal de cada uno- siempre es conveniente valorar si tiene sentido darle difusión o no. O si, en su caso, hay obligación de ello, pues sabemos que a veces los clubes tienen que informar de sanciones, expulsiones u otras medidas de disciplina aplicadas a los jugadores.

Lo que hay que recordar es que, detrás la información, hay personas con derechos y siempre se pueden aplicar medidas para procurar su protección. Por ejemplo: si es posible, usar iniciales en lugar de un nombre completo. La protección de datos no está reñida con el derecho que todos tenemos a estar informados y recibir noticias. Y, por ello, hay formas de que coexistan

Menores de edad en equipos de fútbol

Todas las recomendaciones que hemos venido nombrando en este post aplican especialmente a los menores de edad, pues son mucho más vulnerables.

Cuando el club trate datos de menores de edad, también tiene que cumplir con el RGPD y la LOPDgdd, con aún más cuidado. Y esto aplica especialmente a algo ya comentado: las publicaciones en redes u otros medios. Por ejemplo, en 2021 la AEPD multó con 10.000 euros a un club deportivo por publicar fotos de una menor sin contar con autorización de ambos progenitores.

En protección de datos, cuando un niño alcanza la edad de 14 años, ya tiene derecho a consentir (con carácter general) sobre el tratamiento de sus datos personales. Si el niño es menor de 14, el consentimiento o autorizaciones necesariamente tendrá que venir de quienes tengan su patria potestad o tutela.

Relación con otros clubs o federaciones

En fútbol, es constante la relación entre equipos o incluso con federaciones o asociaciones deportivas. Y, como parte de esto, también es constante el intercambio de datos entre unos y otros.

Estas comunicaciones, en muchos casos, no solo están justificadas, sino que son necesarias para el normal desarrollo del equipo. Pero ello no quiere decir que pueda hacerse de cualquier manera: hay que ver qué se comunica, a quién, si hay que informar de ello, si hay que obtener un consentimiento, cómo se va a hacer, etc.

En cuanto a las federaciones o similares, puede ocurrir te exijan determinados requisitos de cumplimiento normativo o que tu club tenga que utilizar cláusulas, formularios u otros contenidos de protección de datos facilitados por éstas.

En Dataseg, asesoramos a alguna federación de futbol y estamos muy familiarizados con su funcionamiento y con el día a día de los clubs. Y precisamente sabemos que un solo artículo de nuestro blog, si bien es útil, no basta para hablar de todo lo que hace falta.

Si te preocupa que tu club de fútbol cumpla con la protección de datos, puedes contactar con nosotros para recibir asesoramiento a medida.

P.D. En este artículo nos hemos centrado en el fútbol, pero lo que aplica para éste, también lo hace para los demás deportes. Si lo tuyo es el baloncesto, el hockey o el tenis, también estamos a tu plena disposición.

/0 Comentarios/por

Protección de datos en ehealth e investigaciones científicas

El post de hoy se centra en un tema con muchísimas implicaciones y que requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth.

¿Qué tienen en común todas estas cosas entre sí? ¿Por qué importa la protección de datos? Recordemos que un dato personal es cualquier información que identifica -o hace identificable- a una persona. Y que, entre esa información, nos encontramos, por supuesto, con los datos de salud, que muchas veces hacen parte de trabajos de investigación, ensayos y desarrollos relacionados con eHealth.

Por todo ello, es fundamental entender cuándo estamos ante un tratamiento de datos, qué hay que cumplir y cómo hacerlo

¿Cuándo aplica la normativa de protección de datos a un proyecto de investigación?

En España, en cuanto a protección de datos, tenemos dos normas de referencia:

  • El Reglamento Europeo de Protección de Datos (RGPD)
  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDgdd)

Estas dos normas son de obligado cumplimiento siempre que tratemos información personal que pueda llegar a identificar a su titular.

En el ámbito de investigaciones y trabajos biomédicos principalmente deberemos tener en cuenta la Ley 41/2002 básica eguladora de la autonomía del paciente y la Ley 14/2007 de Investigación biomédica.

Si estamos desarrollando una solución de ehealth, o llevando a cabo un trabajo de investigación y manejamos datos personales, estamos sujetos a la normativa y toca cumplirla.

Un recordatorio a tener en cuenta: los datos, aun seudonimizados, continúan siendo datos personales. Por ejemplo, un número o código de empleado se puede contrastar con una base de datos y nos permite saber qué persona hay detrás del mismo. La seudonimización actúa, meramente, como una medida de seguridad, pero no evita la sujeción a la normativa. Nota: la sentencia reciente en el caso EU General Court in Case T-557/20, SRB v EDPS podemos apreciar una ligera variación que en algunos casos considera esta acción anonimización.

Datos de categoría especial: cuáles son y qué exige la normativa

El tema de la protección de datos en los ámbitos descritos tiene mucha importancia porque, por lo general, las investigaciones y trabajos de este tipo implican el tratamiento de datos de salud.

¿Y por qué es relevante esto? Porque ese tipo de datos se incluyen dentro de los que la norma llama sensibles o de categoría especial que, entre otros, son:

  • Datos genéticos
  • Datos biométricos dirigidos a identificar a una persona
  • Datos sobre salud

Si tu trabajo o investigación recae sobre alguna de las informaciones dadas, es indispensable que, antes de iniciarlo (o, si ya lo has hecho, de seguir avanzando), veas cómo cumplir la normativa.

Y es fundamental hacer esto porque, con carácter general, el tratamiento de datos sensibles está prohibido por norma, si bien hay excepciones que levantan esa prohibición. No entraremos en cada una de ellas, pero sí en algunas que pueden ser interesantes para el tema que aquí tratamos:

  • Que la persona haya dado su consentimiento
  • Que el tratamiento de esos datos sea necesario con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • Por fines de medicina preventiva o laboral o interés público en el ámbito de la salud pública

Derecho de información de los participantes en el estudio

Como siempre decimos, la protección de datos no busca salvaguardar el “dato” como tal. La información, por sí misma, no tiene valor: lo que lo tiene es la persona que hay detrás de ella.

Uno de los derechos más elementales en protección de datos -y que es, a su vez, un deber- es el de información: el derecho que tiene la persona a saber, de forma transparente, sencilla y clara, qué se hace con sus datos personales.

En una investigación o trabajo de este tipo, es primordial:

  • Proporcionar al interesado la información sobre el tratamiento de datos
  • Con carácter general, esta obligación la tiene que cumplir la Universidad o centro docente de que se trate, a través de sus investigadores, docentes o similares.
  • En un estudio en que participen menores de 14 años, se informará a sus representantes. Con menores de edad mayores de 14 años, la información se adaptará para que sea accesible a estos.

El consentimiento y otras bases jurídicas aplicables

Siempre que sea posible, en un trabajo o investigación, lo preferible será evitar tratar datos personales. Pero, si es necesario tratarlos, es indispensable que se haga bien, y una parte fundamental de esto es buscar una base legal adecuada.

La base jurídica más conocida para el tratamiento de datos personales es el consentimiento, pero no es la única que existe. Sin embargo, para los trabajos de investigación, especialmente si implican datos sensibles, con carácter general será la más adecuada, lo que supone que tendrá que ser obtenido de los participantes (En la Ley 14/2007 es la que recoge la Ley como base legitimadora).

¿Qué características tiene que tener el consentimiento?

  • Inequívoco, en el sentido de ser una clara acción afirmativa
  • Libre, prestado sin coacción o condiciones, voluntariamente
  • Recogido de forma clara, sencilla
  • Capaz de ser probado
  • Revocable, pudiendo ser retirado en cualquier momento

En cualquier caso, como hemos dicho, no es el consentimiento lo único que nos habilita para tratar datos personales, pues el RGPD contempla (art. 6) otras opciones. Así, en un trabajo o investigación, podríamos llegar entender que existe un interés público o incluso una relación contractual. Pero todo esto hay que analizarlo caso por caso, con un equipo especializado, y antes de empezar a trabajar.

Antes, durante y después del proyecto: cómo cumplir la normativa

Como pautas generales de cumplimiento para cada fase del proyecto, desde su comienzo a su fin, te damos algunos tips clave:

Antes del proyecto

En protección de datos, hay un concepto de vital importancia, que es el de “privacidad desde el diseño”, según el cual los tratamientos de datos hay que diseñarlos y preverlos antes de empezar a llevarlos a cabo, y no al revés.

En un proyecto o investigación, debes plantearte qué quieres hacer, si lo que vas a hacer implica tratamiento de datos personales o no y cómo vas a asegurar que ese tratamiento se desarrolle de forma cumplidora. Una forma de hacer esto es valorando el riesgo y potencial impacto que el proyecto puede suponer para los derechos de los participantes.

Durante el proyecto

Es fundamental que, mientras el proyecto se desarrolla, te asegures de cumplir todas las obligaciones y recomendaciones que hemos venido dando. Por ejemplo, y con especial importancia, brindando información a los participantes y recogiendo -puede ser mediante formulario- los consentimientos necesarios.

Monitorizar continuamente el entorno interno y externo de la organización es otro paso a aplicar, así como ser consciente de los cambios en la normativa. También, aplicar medidas de prevención, de formación y de recuperación ante ataques e involucrar a todos los intervinientes, a fin de que cada uno de ellos esté haciendo lo correcto para proteger la privacidad de los usuarios mientras se desarrolla el proyecto.

Si surge cualquier incidente o cambio, es necesario estar preparado para darle una respuesta. Y estas obligaciones deben perdurar y mantenerse estables mientras se desarrolla el mismo.

Después del proyecto

Las obligaciones de privacidad y confidencialidad contraídas no terminan una vez el proyecto o investigación ha concluido, pues permanecen vigentes. Debes asegurarte de que todo aquello que se ha hecho para cumplir no caiga en saco roto una vez que la investigación finaliza.

También es el momento idóneo para ver qué ocurre con los datos que ya no necesitas: si debes o no debes conservar algo, si has de devolver información, si tienes que destruirla (y, en su caso, de qué manera).

Todo proyecto y todo tratamiento de datos es un mundo, por lo que, caso por caso, tocará analizar y definir lo que sea necesario.

Medidas de seguridad sobre los datos personales

Es preciso disponer de medidas y sistemas de seguridad que aseguren, sobre todo, medios robustos de comunicación y transmisión de los datos personales. Es fundamental analizar qué herramientas o requisitos necesitamos para asegurar que la información personal que cae en nuestras manos está segura.

Esto pasa por exigir la firma de acuerdos de confidencialidad, evaluar la seguridad de los sistemas informáticos, controlar los accesos y privilegios o a quién se le envía información. Y, a nivel privacidad, hay dos instrumentos básicos que la norma regula:

  • El análisis de riesgos: implica evaluar el riesgo que la acción llevada a cabo supone en cuanto a privacidad. Pasa por describir el propio tratamiento, identificar cuáles son los factores de riesgo y el nivel del mismo, determinar la forma de tratarlo y las concretas medidas de control a aplicar.
  • La evaluación de impacto: esta acción no es obligatoria en todos los tratamientos de datos, pero sí en algunos de ellos, por lo que es necesario identificar si tu trabajo requiere de la misma o no. Te adelantamos que, si tu proyecto o investigación implica datos de salud o biomédicos, esta evaluación es obligatoria.

¿Lo anterior te deja con más dudas que antes de empezar a leer? Es normal, dado que este ámbito es muy complejo, y hay muchas preguntas que tener en cuenta. Podríamos dedicarle muchos artículos al tema, pero también puedes preguntarnos lo que necesites.

Datos de salud y tecnología: eHealth y la vigilancia sobre los usuarios

Entendemos por “eHealth” o “eSalud” cualquier atención o vigilancia de la salud enfocada desde la aplicación de tecnologías de la comunicación o la información.

Un teléfono móvil, por ejemplo, permite acceder prácticamente a cualquier información sobre la vida de su portador. Y, evidentemente, no nos comportamos igual cuando sabemos que nos vigilan, vigilancia que, además, nos hace vulnerables.

No entraremos en exceso en este tema, pues también tiene lo suyo. Pero sí es fundamental saber que un proyecto de estas características, sí o sí, debe cumplir con las acciones y mínimos recogidos en este artículo. Y, más allá de ello, no hay que olvidar que al mismo tiempo que se resuelve un problema o desafío médico, se hace frente a un desafío desde el punto de vista de la privacidad: son conceptos que, inevitablemente, van de la mano.

Hay mucha tecnología que permite hacer que ambas ideas coexistan y funcionen; lo que hemos de lograr es buscar soluciones que ofrezcan respuestas transparentes y proporcionales e ir construyendo, progresivamente, una cultura de protección de la privacidad.

Mantener la información de la persona protegida y asegurar su confidencialidad es fundamental, especialmente si hay riesgo de que esa información sea usada para estigmatizarla o discriminarla.

Antes de irnos, te dejamos este enlace, en el que puedes consultar todo lo que la AEPD ha publicado sobre investigación sanitaria y ensayos clínicos.

/0 Comentarios/por

Datos moneda. Los datos personales como medio de pago

,

¿Pagarías con tus datos personales, como datos moneda? ¿se pueden considerar los datos personales un medio de pago? Quizá es una pregunta que nunca antes te hayas planteado, pero sobre todo porque deberíamos responder primero ¿qué entendemos por medio de pago? tarjetas de crédito y débito, transferencias, dinero en efectivo… Indudablemente, son muchas las opciones entre las que elegir, pero, ¿están los datos personales incluidos dentro de este grupo? pues casi, ósea sí, es decir… veamos:

Hace unos días, publicamos en nuestro blog un artículo referido a las novedades que trae consigo la nueva versión -en vigor desde el pasado 1 de enero de 2022- de la Ley General Para la Defensa de los Consumidores y Usuarios. Aunque, como ya contábamos en dicha publicación, muchos de los cambios afectan a las garantías y sus plazos, te adelantábamos que también había noticias en materia de protección de datos… ¡y vaya noticias! aquí venimos a contarlas porque tienen tela marinera.

Para que veas por donde vamos, recuerda, cuando en una plataforma te dicen que su uso es gratis, el precio es tu privacidad…

Modificación de la Ley de Defensa de Consumidores y Usuarios

Son varios los preceptos de esta norma que se han visto modificados con la publicación de la nueva versión de la misma y, sin desmerecer al resto de cambios, hay un artículo que nos llama poderosamente la atención, tanto como para dedicarle este artículo entero: el 59, en su apartado 4, y es debido a que en este artículo se establece cuál es el ámbito de aplicación de la Ley, y ojo a lo que dice, porque ahora se amplia a otro tipo de contratos online:

“los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales, salvo cuando los datos personales facilitados por el consumidor o usuario sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales objeto de un contrato de compraventa o de servicios o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En otras palabras: la Ley reconoce, de forma expresa y directa, y por primera vez en nuestro ordenamiento jurídico, que los datos personales constituyen un método de pago, y que hay relaciones contractuales que, de hecho, pueden sustentarse en el suministro de los mismos por parte del usuario hacia el empresario.

Pero tranquilos, o no… esto no se lo sacó de la manga nuestro legislador (que ya sabemos que a veces se emociona/n). Esto sale de la obligatoriedad de trasponer a nuestro derecho la Directiva europea 2019/770 de contenidos y servicios digitales.

La Directiva 2019/770 de contenidos y servicios digitales

La nueva versión de la Ley constituye una transposición de lo que ya reflejaba la Directiva 2019/770 de contenidos y servicios digitales. Grosso modo, te contamos algunos detalles importantes de la misma:

  • Es aplicable a todo contrato en virtud del cual un empresario suministra contenidos o servicios digitales al consumidor y éste paga o se compromete a pagar un precio. También es aplicable cuando el consumidor no paga un precio pero facilita o se compromete a facilitar datos personales al empresario
  • Establece obligaciones para el empresario en materia de falta de conformidad, reembolsos o incumplimiento de los suministros
  • Fija una serie de condiciones o criterios mínimos de cumplimiento en el marco de contenidos, servicios o derechos digitales. Cuando hablamos de servicios digitales, podemos incluir, por ejemplo, almacenamiento en la nube o redes sociales.
  • En caso de rescisión del contrato, el empresario debe cumplir con las obligaciones del RGPD. En determinadas condiciones, ha de abstenerse de usar los contenidos facilitados por el usuario y que no sean datos personales, y debe permitir al mismo recuperar esos contenidos sin impedimentos.

Los datos como medio de pago: implicaciones en la realidad

Pero, ¿en qué me afecta todo lo anterior? Aunque, hasta aquí, este parezca un artículo puramente jurídico, tiene claras consecuencias en la realidad. Lo que hace la normativa es venir a reconocer, de forma oficial, algo que ya venía apreciándose desde hace tiempo, y es que los datos personales pueden considerarse como una moneda de cambio.

Esto significa que cuando accedes a un servicio gratuito, como es el caso de Youtube, Facebook, Twitter o Spotify -quitando las versiones premium, claro- se puede entender que el precio que estás pagando por ese servicio son los datos personales que pones a disposición de la plataforma o proveedor.

Así, dejas de ser un simple usuario de la misma, y te conviertes en un consumidor, en una parte de una relación contractual existente entre ese proveedor y tú y, por tanto, en un sujeto protegido por la normativa de consumidores y usuarios. Esto supone un avance considerable en el marco de los derechos digitales y de nuestra seguridad jurídica como usuarios de estos recursos.

Además, se pone especial atención en determinar si, a la hora de suministrar tus datos, se te informó de forma clara, completa y comprensible, o si hubo algún tipo de abuso o desequilibrio que pudiera afectar a tus derechos e intereses

Retos para implementar el cambio requerido por la directiva

Claramente pese a que es el reconocimiento de una realidad, de facto hasta ahora, hay un problema, y es que todavía no se tiene claro el precio de los datos personales, podría ser mucho, podría ser poco, pero no está estandarizado, ni los datos de todos valen lo mismo. Además, justamente ahora mismo está en manos del TJUE una cuestión prejudicial lanzada por los tribunales de Luxemburgo, por Marx Schrems para que sea este alto tribunal quien decida si esto es posible en el caso de Facebook, y eso amigos, sentará la jurisprudencia de esta modalidad, lo malo es que en palacio las cosas van despacio…

Por otro lado, hasta ahora no se ha aplicado aunque se hace, así que para poder utilizar esta «metodología de pago» según se lee literalmente el artículo, se deben poner las condiciones claras, y en todo caso se debe respetar la normativa de protección de datos. Si tu empresa piensa en usarla, ánimo y suerte con la estrategia de cumplimiento antes, durante y después de la formalización del contrato, porque deberá estar embebida de privacidad por diseño y por defecto hasta en la medula de tu organización. Ojo, claramente no es imposible, solo hay que tener mucho cuidado, ser muy meticuloso y estricto.

Algunos datos interesantes… datos moneda, o el precio de las herramientas gratis.

Era de esperar que llegáramos hasta este punto, pues muchas veces no somos conscientes del precio que estamos pagando por determinados servicios cuando tenemos la sensación de no estar pagando ninguno en absoluto, por el sencillo hecho de que no hacemos aportación económica. Al final en estos casos, estamos dando acceso a nuestra esfera más privada, algo que tiene fuertes implicaciones éticas y esto puede acabar siendo intrusivo, por lo que es fundamental blindarle protección. En estos casos es donde se suele decir que el producto eres tú, o mejor, tus datos personales

Sin ir más lejos, con anterioridad a la Directiva, el Supervisor Europeo de Protección de Datos publicó una opinión un tanto crítica hacia ciertos aspectos de la misma. Por una parte, por considerar que no era apropiado referirse a “datos personales” en general, al identificarlos como medio de pago, pues sería más apropiado especificar a qué concretos datos nos referimos o pueden ser efectivamente considerados medio de pago; por otra, por el impacto que este hecho puede tener en los derechos y libertades fundamentales de las personas.

Pero ¿Y cuánto vale un dato personal, y quién lo dice?

Una anecdota para entenderlo:

Hace unos años, Jane Vertesi, profesora de Sociología de la Universidad de Princeton, decidió ocultar su embarazo en redes sociales e Interneten general, sin hacer ningún tipo de publicación al respecto, ni permitiendo que sus familiares, amigos o contactos lo hicieran, ni siquiera para felicitarla. Tampoco hizo ninguna compra on-line que tuviera relación con el embarazo, la maternidad o el bebé que estaba por llegar y, si se veía en la necesidad de ello, trataba de ocultar la información en la medida de lo posible.  ¿El motivo? Jane investigó y llegó a la conclusión de que, de media, en términos de marketing, un dato personal vale 10 centavos de dólar, pero el de una embarazada se multiplica hasta un dólar y medio… Y no estaba dispuesta a que ni ella ni su embarazo se convirtiesen en elementos rastreables a fin de generar negocio.  

En fin, Jane utilizo su método, pero hay miles de artículos hablando del valor de un dato personal, o includo de una identidad completa. Podríamos decir que depende de la calidad del dato, de la persona, de los tipos de datos, y de la rentabilidad asociada a estos puntos. Por eso uno de los retos es la definición del valor o de cómo definirlo. Poca cosa no es, y esperemos que no se tome a la ligera.

En conclusión…

Aunque hablamos de un cambio normativo reciente en nuestro ordenamiento, el debate en torno a este tema ya lleva tiempo sobre la mesa en Europa, y también aquí, y claramente no termina con este cambio, sino que esperemos que se reavive. Y ojala, esperemos que no necesitemos el TJUE mediante, lleguemos a un punto de encuentro que beneficie a todas las partes, y no que solo explote a una.

Y tú, ¿qué opinas sobre esto? Te invitamos a participar en nuestra sección de comentarios, o en nuestros perfiles en redes sociales. Y sobre todo a recordar, tú vales muchísimo, tus datos valen muchísimo, y los de tus amigos, conocidos y familiares; no los regales, no los expongas, no te descuides.

/0 Comentarios/por

La autoridad de control noruega decide no usar Facebook

Facebook y protección de datos

En el artículo de hoy, vamos a hablar de una decisión sin precedentes, tomada por la Autoridad de Control de Noruega, en relación al uso de Facebook, la valoración de los riesgos que ello implica y la importancia de la protección de datos en este ámbito.

Cuando se tratan datos personales, uno de los principios que hemos de cumplir, a tenor de lo dispuesto en el art. 13 RGPD, es el derecho a la información del interesado; en otras palabras, comunicarle quién va a tratar sus datos, con qué fines, durante cuánto tiempo… Como parte de este derecho, en el contenido del mismo, hay que notificarle al interesado si el tratamiento va a implicar alguna transferencia internacional de datos personales.

¿Qué son las transferencias internacionales de datos?

Aunque muchos ya estamos familiarizados con el término y con sus implicaciones, una transferencia internacional de datos es el fenómeno que se produce cuando tiene lugar un tratamiento de datos personales más allá de los límites de la Unión Europea.

Esto puede suceder con independencia de que nuestras sedes y nuestros servicios se ubiquen dentro del espacio europeo, si es que se da el caso de que trabajamos con algún proveedor, o usamos algún recurso, procedente del exterior. Tal es el caso, por ejemplo, de WhatsApp, MailChimp, Youtube, Microsoft o, para el supuesto que hoy planteamos, Facebook.

Todas las plataformas mencionadas nos suenan, y de sobra, porque están más que implementadas en nuestro día a día. Eso hace que las veamos como algo cotidiano, de uso común y, aparentemente, sin mayores factores a tener en cuenta.

No obstante, lo que ocurre con las transferencias internacionales de datos es que, si bien la Unión Europea está considerada como un entorno seguro, en materia de confidencialidad y privacidad, y entendemos que el marco normativo europeo ofrece la suficiente protección a la información, no se puede decir lo mismo de otros espacios. Y ahí es dónde está el quid de la cuestión.

La decisión de la Autoridad de Control noruega sobre Facebook

La razón que motiva la elaboración de este artículo es, precisamente, una decisión muy curiosa que acaba de tomar la Autoridad de Control noruega, en relación al uso de Facebook. Decisión que, hasta donde sabemos -como la propia entidad ha destacado- no había sido tramitada, hasta ahora, de la forma en que este órgano lo ha hecho, por lo que fija un precedente.

La historia comienza cuando esta entidad -que sería la equivalente a nuestra AEPD, solo que en el país nórdico- se planteó la creación de un perfil o página oficial en Facebook, a fin de utilizarla como vía de comunicación con los usuarios que accedieran a la misma.

Hasta ahí, todo normal: prácticamente cualquier organismo, público o privado, nacional o internacional, cuenta con perfiles oficiales en Facebook u otras redes sociales.

La diferencia en la actuación de la autoridad noruega radica en que, con anterioridad a la toma de la decisión, decidieron desarrollar una evaluación de riesgos relativa a las implicaciones de la misma; es decir: tomar en consideración los riesgos que la apertura de dicha página podría conllevar, así como los efectos en los derechos de protección de datos de los interesados.

Las conclusiones de la autoridad noruega sobre Facebook

Una vez elaborada la correspondiente evaluación de riesgos, la citada Autoridad de Control, llegó a una serie de conclusiones en relación al uso de Facebook que, de forma resumida, te contamos:

  1. En primer lugar, el órgano determinó que, de proceder a la apertura de dicha página, no estarían cumpliendo, o al menos no de forma íntegra, con el art. 26 RGPD, que regula la corresponsabilidad en el tratamiento de datos personales.
  2. Por otra parte, también estimaron que el contenido del acuerdo estándar a suscribir con Facebook no tenía el carácter adecuado.
  3. Así mismo, la autoridad afirmó no estar segura de poder garantizar cómo se trataría la información de los usuarios que interactuaron con su página o con sus publicaciones (por ejemplo, dando “Me gusta”). Saber qué información se guardaría o durante cuánto tiempo escaparía totalmente fuera de su control.
  4. Por último -y, desde luego, no por ello menos importante- la autoridad también entendió, realizada dicha evaluación, que el riesgo asociado al tratamiento de datos personales de los usuarios a través de Facebook era demasiado alto, y que podría afectar a sus derechos y libertades.

Como no te habrá costado adivinar por las conclusiones extraídas, la Autoridad de Control noruega ha decidido no proceder a la apertura de una página en Facebook.

La relevancia de la decisión

Como comentábamos, por la información de que disponemos, es una decisión sin precedentes. Y no nos referimos a la decisión de no abrir un perfil en Facebook, sino a la realización de esa evaluación de riesgos previa.

Por lo que sabemos, y por los datos con que la propia Autoridad de Control noruega cuenta, es la primera vez que una organización procede de esta forma antes de efectuar tal acción. Sin duda, una decisión muy interesante, que abre la puerta a muchos planteamientos e inquietudes en este ámbito.

Tal y como indicamos unas líneas más arriba, estas tecnologías están totalmente implantadas en nuestra vida, y sería idealista tratar de ignorar su uso. Pero no por ello deberíamos olvidar los riesgos a que puede quedar expuesta la información personal cuando no se salvaguarda correctamente, o con las suficientes garantías.

La Autoridad de Control noruega considera que ha sido un paso dado en la buena dirección, y que probablemente la realización de estas acciones sería muy apropiada por parte de otras organizaciones y negocios. Y no podemos evitar coincidir con este criterio.

¿Y tú? ¿Usas las redes sociales como parte de tu actividad?

Si quieres saber más sobre esta decisión, te invitamos a leer la noticia que nos inspiró para escribir este post.

/0 Comentarios/por

Cookies, RGPD y guía AEPD

, , ,

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

/0 Comentarios/por

COVID y protección de datos en la desescalada

, ,

Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.

En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.

Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.

  • Contenido de este post:
  • (1) COVID y protección de datos ¿No es más importante la salud?
  • (2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
    • Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
    • Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
    • ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
    • ¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
  • (3) Conclusiones.
  • (4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.

COVID y protección de datos ¿No es más importante la salud?

Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.

La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

RGPD UE 2016/679

Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.

Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.

1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?

  • Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
  • NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:

El fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Orden SND/388/2020, de 3 de mayo

2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?

Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.

Pero así por facilitar un resumen, la Agencia Española de Protección de Datos a través del Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que publicó el 30/04/2020, ha establecido las «líneas rojas» dejando claro que:

  1. La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
  2. Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
  3. Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
  4. Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
  5. Debe ser tomada por personal cualificado para ello.
  6. En cuanto a las legitimaciones para el tratamiento:
    1. La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
    2. No es aplicable el interés legítimo.
    3. En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
    4. En otros casos podría aplicarse el interés público.
  7. La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.

3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?

Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:

Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:

Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

[Pero ojo]

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

AEPD en sus Preguntas frecuentes sobre COVID

Y todavía más ojo, que en el informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, publicado el 13/3/2020, dice la AEPD:

Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.

También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.

4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.

Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:

  1. Busquen proveedores profesionales y cumplidores.
  2. Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
  3. Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
  4. Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
  5. Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.

En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.

(3) Conclusiones.

Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.

Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.

(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
  • 26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
  • 8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.
/0 Comentarios/por

Control de temperatura y protección de datos

, ,

Control de temperatura y protección de datos: El control de temperatura para frenar la expansión del COVID, es una de las medidas estrella de esta «nueva normalidad» en la que, vayamos a donde vayamos, estamos viendo como, o nos apuntan a la frente con un termómetro de infrarojos, o en nuestro caso, nos preguntan «¿Se puede instalar una cámara de videotermica? ¿Puedo obligar a mi personal a tomarse la temperatura al iniciar la joranda?» etc. Total, que el empresario o profesional/autónomo se termina preguntando si debe instalar un sistema de control de temperatura, o si puede, si le toca, lo que sea… Pues señores, como casi todo en derecho: DEPENDE.

Y diréis, ¿De qué depende? pues depende de qué es lo que vas a hacer, cómo lo vas a hacer, para qué lo vas a hacer, qué legitimación tienes para hacerlo, y por supuesto, de que todas las respuesta que salgan a estas preguntas, encajen dentro de los margenes y líneas rojas pintadas por la AEPD en la documentación, que sobre el COVID, control de temperatura y protección de datos ha publicado hasta el momento. «Fácil».

Contenido de este post:

  1. ¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?
  2. Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.
  3. Toma de temperatura en el ámbito laboral
  4. Toma de temperatura a clientes y visitantes
  5. Recomendaciones en caso de querer/»deber» aplicar esta medida.
  6. Conclusiones.

¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?

Pues bastante. Con sus admiradores y detractores, como siempre, pero desde nuestro punto de vista, con una premisa muy sólida y correcta:

La aplicación de la toma de temperatura como medida de control epidemiológica depende de la autoridad sanitaria competente, en este caso del Ministerio de Sanidad

Referencia: TODOS los documentos y comunicados publicados por la AEPD en relación a Covid19

En concreto ha publicado los siguientes materiales informativos en donde se menciona la toma de temperatura:

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.

Del conjunto de ellos se desprende claramente que la toma de temperatura como un medio de control epidemiológico, no de debe ser usado a la ligera, y siempre debe estar sujeto a un análisis profundo sobre la idoneidad, proporcionalidad, eficacia, y que no exista un medio menos intrusivo para conseguir el objetivo deseado.

Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.

  • «…este tipo de operación supone un tratamiento de datos personales…»
  • «…Este tratamiento … supone una injerencia particularmente intensa en los derechos de los afectados…»
  • «.en los controles … en espacios públicos, … una eventual denegación de acceso … estaría desvelando a terceros … que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus…»
  • «…dependiendo del contexto … las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada…»
  • «…La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga… el Ministerio de Sanidad … hay personas asintomáticas…a fiebre no siempre es uno de los síntomas presentes… (se debe evaluar) hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas…»
  • «…Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD)…»
    • No puede ser por regla general el consentimiento.
    • Entorno laboral: «…la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo…»
    • «…La utilización del interés legítimo … como base legitimadora quedaríaexcluida…»
  • «…En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece…»
    • Información a los trabajadores, clientes o usuarios …en particular si se va a producir una grabación y conservación de la información.
    • Conservación: «…En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos…»

En el estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad, la AEPD reiteró que :

… manifiesta su preocupación por el uso de estos dispositivos (cámaras térmicas) y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. Alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

Toma de temperatura en el ámbito laboral

La AEPD entiende que el empresario tiene una obligación de control y preservación de la salud dentro del ámbito de trabajo. Por tanto puede implementar medidas destinadas a medir la temperatura del personal, e incluso, en previsión de la seguridad de los empleados, de quienes accedan a las instalaciones de su empresa, negocio o despacho. Pero cuidadín, no hay cheque en blanco, todo debe analizarse.

Pero, ¿hasta qué punto es necesario o conveniente esto? Hay que tener en cuenta que hay personas que, pese a padecer COVID-19, son asintomáticas. Por tanto, la fiebre no es un factor indicativo, que nos pueda orientar plenamente. Además, la temperatura corporal puede estar elevada por muchas otras razones, distintas a estar infectado con COVID por lo que es posible elegir y optar por otras medidas más adecuadas y efectivas.
Hay que destacar que la AEPD indica que la toma de la temperatura en el ámbito laboral debe ser en coordinación con el equipo de prevención de riesgos, y debe ser realizado por personal cualificado.

Es importante, en todos los casos, cumplir con la normativa y garantizar los derechos y libertades de los interesados, así que en función de la actividad de tratamiento realizada es posible que sea preciso llevar a cabo una EIPD (Evaluación de Impacto en la Protección de Datos) previa, y en todos los casos, informar conforme el art. 13 RGPD, si corresponde, y cumplir con los principios de limitación del tratamiento, y plazos de conservación. De estos últimos habla la AEPD diciendo que no debería conservarse los datos, salvo que se pueda justificar plenamente el motivo de la conservación -dicho como lo han dicho, no guardéis los datos si aplicáis esta medida

Toma de temperatura a clientes y visitantes

Muchos son los colegios profesionales y consejos profesionales que recomiendan hacer triages y tomar la temperatura de los pacientes o clientes, o visitantes. Es importante tener claro que en tanto no sea una medida expedida por el Ministerio de Sanidad, NO es una obligación legal aplicar estas medidas.

En la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado. (ENLACE) se definen con claridad las obligaciones a aplicar durante el procesos de desescalada y apertura de comercios, despachos y otros de cara al público. Esto SI es obligatorio, y no incluye ni toma de temperatura, ni triages concretos.

Hay que tener especial atención en la toma de temperatura en lugares públicos para evitar discriminación, daños a los interesados, y exposición de datos a terceros no autorizados.

Si implanta esta medida, limite la exposición del cliente facilitando la toma de la temperatura en zonas privadas, o incluso, el auto test.

Recomendaciones en caso de plantearse la aplicación de esta medida

Dejando claro que cada situación debe analizarse caso por caso, que entendemos que hay medidas más idóneas, y por supuesto, que hay/habrá casos en que se considere que es la «única/mejor» opción, le dejamos unas recomendaciones, básicas, por si se plantea la aplicación de la toma de temperatura como medida de control contra el COVID:

  1. Evalue qué tratamiento realmente es el que va a realizar. Si es un tratamiento automatizado, o manual, si realmente recoge datos o no, si los conserva, o no (por ejemplo no es un tratamiento automatizado, pero hay cámaras de seguridad grabando… ), etc.
  2. Busque opciones menos invasivas en en ámbito privado y más eficaces contra el virus.
  3. Evalue el impacto en la protección de datos y derechos de los interesados. Que no necesariamente, es hacer una Evaluación de impacto (EIPD) formal y completa, en todos los casos. Evaluar caso a caso, recordad.
  4. Aplique los principios de proporcionalidad, limitación del tratamiento y la conservación, información y transparencia, legitimidad, seguridad y confidencialidad, y sobre todo, el sentido común.
  5. No se deje llevar por lo que hacen los demás. Cada caso es un mundo, cada uno ha analizado, o debería haber analizado el suyo… y claro que hay quien lo hace mal, no lo haga usted también.

En conclusión

La toma de temperatura no es la medida más eficaz, y hasta la fecha (ojo, que igual mañana nos toca editar y cambiar esto) no es obligatorio implantarla, es mejor aplicar otras opciones menos invasivas y seguramente más eficaces, distanciamiento social, medios de protección física, medidas de higiene, etc.

Ahora bien, si por lo que sea se decanta o debe implantar esta medida, recuerde consultar con su DPO, o su empresa o asesoría de protección de datos a modo de definir las medidas que corresponden aplicar, y así garantizar no solo el cumplimiento de la normativa, sino ayudar a proteger de manera adecuada los derechos y libertades de los interesados, y los suyos propios.

Más información sobre otras medidas relacionadas con COVID y protección de datos en nuestro post: COVID y protección de datos en la desescalada

/0 Comentarios/por

Ya está aquí la nueva LOPD, la LOPDgdd

,

La nueva LOPD, ha llegó a nuestras vidas, por fin.  El pasado 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado, la nueva LOPD, la Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En este artículo que pretende ser muy práctico y corto – para la materia de la que hablamos- esperamos aclarar varias dudas e inquietudes generales y hacer un micro resumen de los puntos que podrían afectar un proyecto de cumplimiento de RGPD/LOPD.

El resumen más amplió podrá encontrarlo en este otro post «Nueva LOPD 3/2018. Principales cambios y novedades» que publicaremos más adelante.

¿Entonces qué hay que cumplir, el RGPD o la nueva LOPD?

Así en plan directo, de ahora en adelante hay que cumplir con el RGPD y la nueva LOPD.

El marco normativo de protección de datos seguirá encabezado por el Reglamento General de Protección de Datos, RGPD UE 679/2016, que entró en aplicación el pasado 25 de mayo de 2018, motivo por el que se ha tenido que cambiar nuestra archiconocida LOPD 15/1999 por esta nueva Ley nacional.

Con la publicación de la nueva LOPD se cierra el primer paso del proceso legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE 679/2016.

Es posible que a futuro haya más regulaciones nacionales en materia de protección de datos. La propia ley prevé un desarrollo reglamentario posterior.

Si ya teníamos desde mayo el RGPD ¿Por qué ahora nos cambian la LOPD?

El RGPD es el marco, la base, el límite, es el que pone las reglas. Fue aprobado por unanimidad de los Estados miembros de la UE, pero como esa unanimidad no fue absoluta, se dejaron algunos puntos para que cada Estado los regulase con ciertos límites.

Cada Estado de la Unión ha tenido que actualizar su normativa de protección de datos. En nuestro caso dejamos atrás nuestra LOPD 15/1999 por la nueva LOPD 3/2018, o LOPDgdd 3/2018 como se le quiera llamar (Lo de las garantías digitales está en minúscula, cosa que ayuda a seguir usando la nomenclatura ya conocida, LOPD)

Este tema lo explicamos mucho mejor en nuestro post relacionado con el primer borrador del anteproyecto de LOPD.

Micro resumen de novedades que le pueden afectar a su proyecto de protección de datos.

A modo de mención estas son algunas de las novedades más importantes, y que podrían generar modificaciones en un plan de cumplimiento de protección de datos. Ojo, todo está a modo de mención, tiene excepciones y habrá que ver caso a caso:

1. Acceso a datos de fallecidos – Art. 3.

Se amplía la lista de sujetos que pued

e acceder a los datos de los fallecidos. No obstante habrá que evaluar caso a caso.

2. Edad para el consentimiento de menores – Art 7.

Se establece la edad de 14 años, para que los menores puedan consentir el tratamiento de sus datos. Siendo menores, es un consentimiento con limitaciones. Por debajo de esa edad se debe contar con el consentimiento del titular de la patria potestad o tutela.

3. Reducción de información en la primera capa informativa – Art. 11.

El artículo 11 prevé una disminución de puntos obligatorios a facilitar en la primera capa informativa. Ahora en una primera capa informativa, de datos recogidos directamente del afectado solo hay que informar:

  1. Responsable.
  2. Finalidad.
  3. Derechos.
  4. Enlace a la segunda capa informativa (toda la info)
4. Tratamiento de datos de personas de contacto y empresarios individuales – Art. 19.

Salvo prueba en contrario, se entenderá que el tratamiento de estos datos se realiza con la base del interés legítimo. Siempre que los datos se utilicen para fines estrictamente relacionados con el puesto o actividad profesional.

5. Sistemas de información crediticia – Art. 20.

Aumentan las obligaciones en caso de querer incluir a un cliente en sistemas de información crediticia. Si su empresa o negocio vende deuda, o incluye a sus pagadores morosos en listas de solvencia patrimonial (Asnef, por ejemplo). Lea el art. correspondiente de forma atenta.

6. Videovigilancia – Art. 22.

Se establece que la videovigilancia con fines de preservar la seguridad de las personas y bienes, así como de las instalaciones, se realiza con la base jurídica del interés público. También se fija el plazo máximo de almacenamiento de los datos, que es de un mes, y la información mínima que debe contener los carteles informativos.

7. Exclusión publicitaria – Art. 23.

Será obligatorio consultar las listas de exclusión publicitaria antes de iniciar una campaña de marketing online, salvo que se cuente con el consentimiento del interesado.

Luego claro, también regula varios puntos que deben tener en cuenta los gestores de dichas bases.

8. Denuncias internas – Art. 24.

Se define la forma, plazo y garantías para el tratamiento de datos dentro de los sistemas de información de denuncias internas de una empresa. Más conocido como sistema de Whistleblowing.

9. Tratamiento de datos relativos a infracciones y sanciones – Art. 27.

Se aclara que los abogados y procuradores podrán tratar estos datos siempre que sea en el ejercicio de sus funciones.

10. Corresponsabilidad – Art. 29.

La determinación de responsabilidades se debe atender y definir en función de las actividades que efectivamente desarrolle cada uno de los corresponsables. Debe existir un acuerdo de corresponsabilidad, que no se olvide.

11. Registro de actividades de tratamiento – Art. 31.

Se debe comunicar al Delegado de Protección de Datos cualquier adición modificación o exclusión de los RATs. También se incluye obligación de publicación para la AAPP y otros entes y órganos de derecho público.

12. Bloqueo de los datos – Art. 32.

En algunos casos en los que subsista una obligación legal, en lugar se suprimir los datos, estos serán bloqueados durante el tiempo que el responsable o encargado este obligado a mantenerlos.

13. Encargo de tratamiento – Art. 33.

Se considerará responsable al encargado que use los datos para sus propios fines, con sus correspondientes consecuencias. Con excepciones.

Nunca se considerara responsable del tratamiento a un encargado de tratamiento, de datos de los que sea titular una administración publica.

14. Delegado de protección de datos- Art. 34

Se define la lista de sujetos obligados a nombrar un DPO. Entre ellos, a modo de muestra:

a. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

b. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Hay excepciones para los profesionales independientes que tratan datos en su consulta particular.

c. Las empresas de seguridad privada.

d. Las federaciones deportivas cuando traten datos de menores de edad.

e. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

15. Garantía de los derechos digitales – Título X.

Aunque son bastantes, debido a que nos centramos en contenidos que podrían afectar directamente el proyecto de cumplimiento de la normativa de protección de datos de una empresa, profesional o AAPP, hacemos referencia solo a los que afectan el ámbito Laboral:

a. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
b. Derecho a la dexconexión digital en el ámbito laboral.
c. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
d. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Todos ellos tienen en común la limitación del uso/ abuso por parte de las empresas y empresarios de acciones de control laboral que vayan en contra de los derechos de los trabajadores. También requieren la definición de una política interna al respecto.

16. Medidas de seguridad en el sector público. Disposición adicional primera.

Las medidas de seguridad que deben aplicar las AAPP, sus órganos, y demás entes de derecho público o a los que le sea aplicable, deben estar alineadas con el cumplimiento del Esquema Nacional de Seguridad.

17. Transparencia y acceso a la información pública. Disposición adicional segunda.

Se definen los datos que se pueden usar/publicar para cumplir con el principio de publicidad y transparencia, sin faltar al derecho de la protección de datos.

18. Prácticas agresivas (comerciales) en materia de protección de datos. Disposición adicional decimosexta.

Se lista una serie de prácticas que se considerarán competencia desleal. Entre ellas la intimidación, usurpación de identidad de la AEPD, u oferta de servicios con cargo a los fondos de Fundae (antes Fundación tripartita).

Así que ojo antes de aceptar una oferta de esas de «coste 0», o «50 euros más formación por Fundae». Son un timo, una práctica desleal y pueden llevarle a cometer un fraude a la SS y a hacienda.

Conclusiones

El marco normativo de protección de datos ahora está compuesto por la nueva LOPD, la LOPDgdd 3/2018, y  el Reglamento Europeo de Proteción de Datos. Esta claro que habrá que tener en cuenta los cambios que la nueva LOPD ha introducido en distintas normas, y luego los futuros desarrollos legislativos que se prevén.

Es necesario revisar el cumplimiento actual de la normativa aplicable de su empresa, negocio, ong, federación, asociación, etc. Todo lo que se haya hecho para cumplir la LOPD 15/1999 ya no vale, y lo que se haya hecho para cumplir RGPD, puede que necesite algún ajuste conforme la nueva LOPD. Como dice el principio del RPGD, hay que tener responsabilidad proactiva.

/0 Comentarios/por

El contrato de protección de datos RGPD LOPD

, ,

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

/0 Comentarios/por

WhatsApp, LOPD y empresas. 5 Claves para cumplir

, ,

WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009,  y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.

Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».

[Nota actualización 22/03/2018] El  pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18] 

¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?

WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.

Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.

Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.

¿Usar o no usar whatsapp a nivel empresarial?

Hasta ahora habíamos recomendado no usar WhatsApp en las empresasaún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc. pero, ya no podemos decir que está absolutamente prohibido.

Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera  es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última  y la guinda, que  actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.

Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.

La clave de las 5 claves: cumplir con los principios de la protección de datos

Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.

Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.  

Clave 1. Informe a los usuarios que usará con ellos esa aplicación.

Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.

Clave 2. Pedir el consentimiento para tratar los datos por esa vía

Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.

Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.

Preguntas orientadoras sobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!

  1. ¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
  2. Pide consentimiento a los interesados antes de incluirles en un grupo?
  3. Solicita consentimiento para enviar información personal por esa vía?

Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp

La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.

Preguntas orientadoras sobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.

  1. ¿Controla el uso profesional de esta app por parte de su personal?
  2. ¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
  3. ¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
  4. ¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.

Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.

En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.

Estás preguntas le darán una idea de las opciones. No las eche en saco roto.

  1. ¿Usa la aplicación para remitir datos de carácter personal? Es mejor no  hacerlo.
  2. ¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
  3. ¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
  4. ¿Ha dado instrucciones para no crear grupos sin consentimiento de la dirección?
  5. ¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
  6. ¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?

Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp

En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.

Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.

Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.

[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.

Actualizaciones importantes por hechos noticiosos

1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]

[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.]

2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]

[1] Ya mencionamos más arriba algunas indicaciones dentro del texto

[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.

[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.

Conclusiones

Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.

La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.

[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y  si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»

Programa de radio asociado a este tema

El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!

/0 Comentarios/por