Entradas

Nueva Guía sobre Gestión de Riesgos y EIPD

, ,

La Agencia Española de Protección de Datos (AEPD) acaba de hacer pública una nueva versión de la Guía sobre Gestión de Riesgos y Evaluación de Impacto de Protección de Datos (EIPD).

Como viene siendo costumbre desde que comenzara su labor, y en su afán por orientar a responsables y encargados para lograr el cumplimiento normativo, la AEPD publica guías, informes y respuestas a consultas sobre diversos temas: relaciones laborales, videovigilancia y cookies entre otros.  

En esta ocasión, y con el fin de explicar el contenido y las novedades de la Guía, la AEPD organizó una jornada dedicada a la misma. Así, con este post, nuestro objetivo es el de resumir los aspectos tratados en dicha presentación y, con ello, los fundamentos y novedades esenciales de la nueva guía.

Antecedentes de la nueva Guía

La primera Guía sobre Gestión de Riesgos y EIPD se publicó en 2015 y supuso un hito en el marco europeo de protección de datos. El documento seguía la política de la AEPD de garantizar los derechos y libertades de los interesados y de dar soporte en el cumplimiento a encargados y responsable, para que éste sea eficaz y eficiente.

Aunque el instrumento continúa siendo, a día de hoy, extremadamente útil, lo cierto es que ya han transcurrido más de seis años desde su entrada en vigor, tiempo en el que han tenido lugar numerosos cambios, que han llevado a la necesidad de desarrollar un sistema más moderno y eficiente. A pesar de que la AEPD, constantemente responde a numerosas consultas planteadas por encargados y responsables, desarrollar este instrumento supone una solución más práctica, común y unificada. He ahí la razón de ser de la nueva guía: un recurso adaptado a la realidad actual, que respeta las previsiones del RGPD y la LOPDGDD.

Introducción a la nueva Guía sobre EIPD

Cualquier actividad de tratamiento que se pretenda llevar a cabo requiere, necesariamente, de un previo ejercicio de reflexión, que permita anticipar problemas y tomar decisiones objetivas y razonables. En otras palabras: gestión de riesgos. El riesgo es, precisamente, uno de los conceptos al que hace repetida referencia el RGPD y el objetivo de una correcta gestión de los riesgos y de la elaboración de una EIPD no es otro que el de garantizar los derechos y libertades de los interesados y el de identificar, evaluar y mitigar los riesgos relativos a aquellos. 

A fin de conseguir lo anterior, es fundamental que las organizaciones establezcan medidas técnicas y organizativas, adecuadas al objeto, ámbito y fines del tratamiento; pero no basta con crearlas: las medidas han de ser sometidas a seguimiento y revisadas periódicamente.

Además, una correcta gestión de riesgos exige que los sujetos no solo cumplan con lo anteriormente dispuesto, sino que sean capaces de demostrar este cumplimiento. Así, toda gestión de riesgos debe cumplir dos características fundamentales:

  • Eficiencia: el coste y el impacto de la gestión de riesgos y la correspondiente EIPD debe ser mínimo para la organización, otro de los motivos que ha dado lugar a la necesidad de publicar la nueva Guía.
  • Eficacia: la gestión de riesgos debe entenderse como un proceso vivo y documentado, nunca como un documento formal, estático e invariable.

Estructura de la nueva guía

El documento publicado por la AEPD presenta una estructura detallada y organizada, dentro de la cual podemos diferenciar, claramente, tres partes o secciones:

1. Fundamentos para la gestión de riesgos. Sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de EIPD, en el marco de la protección de datos.

2. Desarrollo metodológico básico. Sección más práctica, con orientaciones sobre cómo poner en marcha dicha gestión en la organización. Un punto fundamental consiste en recordar que la AEPD solo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.

3. EIPD. Entendiendo a la Evaluación de Impacto como un proceso global, y no como un momento o contenido concreto, que forma parte intrínseca de la gestión de riesgos. De hecho, la nueva guía ha ahondado aún más que la anterior en este concepto, de las siguientes formas:

  • Facilitando a los responsables una check-list que permite que puedan determinar, desde un punto de vista formal, si las consultas remitidas a la AEPD son completas.
  • Ayudando a los responsables en la implementación de procesos de gestión de riesgos.
  • Proporcionando las herramientas para servir de base para el establecimiento de procesos propios de la organización.

Novedades y puntos fuertes de la Guía sobre gestión de riesgos y EIPD

En este apartado, presentaremos y analizaremos algunos de los aspectos clave y de las mejoras que introduce la nueva Guía.

1. Elaboración de un listado de factores de riesgo

La AEPD, como resultado de un profundo ejercicio de síntesis, ha creado una relación de factores de riesgo, a tener en cuenta por los responsables del tratamiento. Esta relación, en cualquier caso, no tiene carácter limitativo, sino que abre la puerta a que cada responsable, desde su responsabilidad proactiva, identifique los factores de riesgo específicos para cada tratamiento llevado a cabo y, a partir de ahí:

  • Implemente medidas de seguridad orientadas a proteger los derechos de los interesados
  • Realice un análisis para prever las consecuencias de posibles brechas de seguridad
  • Analice los fallos en los sistemas de tratamiento de información y estudie las repercusiones en los derechos de los individuos

2. Nuevas recomendaciones para mitigar los riesgos

Además de lo anterior, la AEPD ha llevado a cabo una tarea adicional, consistente en ofrecer una serie de recomendaciones para mitigar dichos riesgos, desde cuatro niveles:

  • Mediante la implementación de cambios en el diseño del tratamiento
  • Con la aplicación de medidas de gobernanza y políticas de protección de datos, a fin de garantizar y proteger los derechos y libertades.
  • A partir de la puesta en marcha de medidas de privacidad desde el diseño
  • Haciendo uso de medidas de seguridad, específicamente orientadas a la protección de los derechos y libertades de los interesados.

3. Introducción de la herramienta “EVALUA_RIESGO RGPD”

Además de la Guía en sí, la AEPD ha aprovechado la ocasión para presentar una herramienta que la guía contempla: Evalúa Riesgo. Es un recurso diseñado para dar soporte a los responsables a la hora de determinar el nivel de riesgo que pueden suponer sus tratamientos.

Su funcionamiento consiste en que la herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable -que es quien debe asumir ese cometido- en dicha tarea.

Para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:

  1. Los fines del tratamiento
  2. Los tipos de datos tratados
  3. El ámbito y alcance del tratamiento
  4. La tipología de interesados
  5. Los factores técnicos y tecnologías empleados
  6. La existencia de bases de datos específicas
  7. Los efectos colaterales del tratamiento en los interesados
  8. La categoría o sector dónde trata los datos el responsable o encargado
  9. Las comunicaciones de datos llevadas a cabo
  10. El impacto de la potencial pérdida de confidencialidad y seguridad

Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.

Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.

Conclusiones

Hasta aquí, nuestro artículo dedicado a la gestión de riesgos, las EIPD, la guía que regula ambos conceptos y todas las novedades. Pero, ojo, solo por el momento: siguiendo ese criterio de que estos son procesos vivos y cambiantes, la AEPD ya ha adelantado que los instrumentos presentados hoy forman parte de las muchas actuaciones y trabajos futuros que se desarrollarán a partir de ahora.

Todo apunta a que, de aquí en adelante, nos encontraremos con un panorama cambiante, con actualización de los formatos conocidos, prestación de más ayudas a responsables y encargados, introducción de nuevas herramientas y demás. No en vano justo ayer, 30 de junio de 2021 la Autoridad Francesa de Protección de Datos publicó su herramienta de elaboración de EIPDs V.3. Un gran recurso que en conjunto con este presentado por la AEPD nos vendrán muy bien a todos los actores en el ecosistema de privacidad.

Es indispensable recordar que, por mucho que la AEPD facilite la gestión, son los responsables del tratamiento quienes tienen en sus manos la carga de realizarla correctamente, y de estar al tanto de cambios y novedades, a fin de garantizar los derechos y libertades de los interesados, que es lo primordial.

Desde Dataseg, continuamos al pie del cañón para estar al tanto de todas las actualizaciones, novedades y asuntos de interés, a fin de mantenerte informado. Y, si quieres saber más, siempre puedes ponerte en contacto con nosotros.

/0 Comentarios/por

COVID y protección de datos en la desescalada

, ,

Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.

En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.

Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.

  • Contenido de este post:
  • (1) COVID y protección de datos ¿No es más importante la salud?
  • (2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
    • Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
    • Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
    • ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
    • ¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
  • (3) Conclusiones.
  • (4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.

COVID y protección de datos ¿No es más importante la salud?

Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.

La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

RGPD UE 2016/679

Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.

Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.

1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?

  • Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
  • NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:

El fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Orden SND/388/2020, de 3 de mayo

2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?

Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.

Pero así por facilitar un resumen, la Agencia Española de Protección de Datos a través del Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que publicó el 30/04/2020, ha establecido las «líneas rojas» dejando claro que:

  1. La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
  2. Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
  3. Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
  4. Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
  5. Debe ser tomada por personal cualificado para ello.
  6. En cuanto a las legitimaciones para el tratamiento:
    1. La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
    2. No es aplicable el interés legítimo.
    3. En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
    4. En otros casos podría aplicarse el interés público.
  7. La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.

3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?

Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:

Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:

Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

[Pero ojo]

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

AEPD en sus Preguntas frecuentes sobre COVID

Y todavía más ojo, que en el informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, publicado el 13/3/2020, dice la AEPD:

Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.

También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.

4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.

Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:

  1. Busquen proveedores profesionales y cumplidores.
  2. Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
  3. Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
  4. Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
  5. Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.

En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.

(3) Conclusiones.

Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.

Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.

(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
  • 26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
  • 8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.
/0 Comentarios/por

Control de temperatura y protección de datos

, ,

Control de temperatura y protección de datos: El control de temperatura para frenar la expansión del COVID, es una de las medidas estrella de esta «nueva normalidad» en la que, vayamos a donde vayamos, estamos viendo como, o nos apuntan a la frente con un termómetro de infrarojos, o en nuestro caso, nos preguntan «¿Se puede instalar una cámara de videotermica? ¿Puedo obligar a mi personal a tomarse la temperatura al iniciar la joranda?» etc. Total, que el empresario o profesional/autónomo se termina preguntando si debe instalar un sistema de control de temperatura, o si puede, si le toca, lo que sea… Pues señores, como casi todo en derecho: DEPENDE.

Y diréis, ¿De qué depende? pues depende de qué es lo que vas a hacer, cómo lo vas a hacer, para qué lo vas a hacer, qué legitimación tienes para hacerlo, y por supuesto, de que todas las respuesta que salgan a estas preguntas, encajen dentro de los margenes y líneas rojas pintadas por la AEPD en la documentación, que sobre el COVID, control de temperatura y protección de datos ha publicado hasta el momento. «Fácil».

Contenido de este post:

  1. ¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?
  2. Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.
  3. Toma de temperatura en el ámbito laboral
  4. Toma de temperatura a clientes y visitantes
  5. Recomendaciones en caso de querer/»deber» aplicar esta medida.
  6. Conclusiones.

¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?

Pues bastante. Con sus admiradores y detractores, como siempre, pero desde nuestro punto de vista, con una premisa muy sólida y correcta:

La aplicación de la toma de temperatura como medida de control epidemiológica depende de la autoridad sanitaria competente, en este caso del Ministerio de Sanidad

Referencia: TODOS los documentos y comunicados publicados por la AEPD en relación a Covid19

En concreto ha publicado los siguientes materiales informativos en donde se menciona la toma de temperatura:

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.

Del conjunto de ellos se desprende claramente que la toma de temperatura como un medio de control epidemiológico, no de debe ser usado a la ligera, y siempre debe estar sujeto a un análisis profundo sobre la idoneidad, proporcionalidad, eficacia, y que no exista un medio menos intrusivo para conseguir el objetivo deseado.

Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.

  • «…este tipo de operación supone un tratamiento de datos personales…»
  • «…Este tratamiento … supone una injerencia particularmente intensa en los derechos de los afectados…»
  • «.en los controles … en espacios públicos, … una eventual denegación de acceso … estaría desvelando a terceros … que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus…»
  • «…dependiendo del contexto … las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada…»
  • «…La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga… el Ministerio de Sanidad … hay personas asintomáticas…a fiebre no siempre es uno de los síntomas presentes… (se debe evaluar) hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas…»
  • «…Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD)…»
    • No puede ser por regla general el consentimiento.
    • Entorno laboral: «…la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo…»
    • «…La utilización del interés legítimo … como base legitimadora quedaríaexcluida…»
  • «…En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece…»
    • Información a los trabajadores, clientes o usuarios …en particular si se va a producir una grabación y conservación de la información.
    • Conservación: «…En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos…»

En el estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad, la AEPD reiteró que :

… manifiesta su preocupación por el uso de estos dispositivos (cámaras térmicas) y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. Alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

Toma de temperatura en el ámbito laboral

La AEPD entiende que el empresario tiene una obligación de control y preservación de la salud dentro del ámbito de trabajo. Por tanto puede implementar medidas destinadas a medir la temperatura del personal, e incluso, en previsión de la seguridad de los empleados, de quienes accedan a las instalaciones de su empresa, negocio o despacho. Pero cuidadín, no hay cheque en blanco, todo debe analizarse.

Pero, ¿hasta qué punto es necesario o conveniente esto? Hay que tener en cuenta que hay personas que, pese a padecer COVID-19, son asintomáticas. Por tanto, la fiebre no es un factor indicativo, que nos pueda orientar plenamente. Además, la temperatura corporal puede estar elevada por muchas otras razones, distintas a estar infectado con COVID por lo que es posible elegir y optar por otras medidas más adecuadas y efectivas.
Hay que destacar que la AEPD indica que la toma de la temperatura en el ámbito laboral debe ser en coordinación con el equipo de prevención de riesgos, y debe ser realizado por personal cualificado.

Es importante, en todos los casos, cumplir con la normativa y garantizar los derechos y libertades de los interesados, así que en función de la actividad de tratamiento realizada es posible que sea preciso llevar a cabo una EIPD (Evaluación de Impacto en la Protección de Datos) previa, y en todos los casos, informar conforme el art. 13 RGPD, si corresponde, y cumplir con los principios de limitación del tratamiento, y plazos de conservación. De estos últimos habla la AEPD diciendo que no debería conservarse los datos, salvo que se pueda justificar plenamente el motivo de la conservación -dicho como lo han dicho, no guardéis los datos si aplicáis esta medida

Toma de temperatura a clientes y visitantes

Muchos son los colegios profesionales y consejos profesionales que recomiendan hacer triages y tomar la temperatura de los pacientes o clientes, o visitantes. Es importante tener claro que en tanto no sea una medida expedida por el Ministerio de Sanidad, NO es una obligación legal aplicar estas medidas.

En la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado. (ENLACE) se definen con claridad las obligaciones a aplicar durante el procesos de desescalada y apertura de comercios, despachos y otros de cara al público. Esto SI es obligatorio, y no incluye ni toma de temperatura, ni triages concretos.

Hay que tener especial atención en la toma de temperatura en lugares públicos para evitar discriminación, daños a los interesados, y exposición de datos a terceros no autorizados.

Si implanta esta medida, limite la exposición del cliente facilitando la toma de la temperatura en zonas privadas, o incluso, el auto test.

Recomendaciones en caso de plantearse la aplicación de esta medida

Dejando claro que cada situación debe analizarse caso por caso, que entendemos que hay medidas más idóneas, y por supuesto, que hay/habrá casos en que se considere que es la «única/mejor» opción, le dejamos unas recomendaciones, básicas, por si se plantea la aplicación de la toma de temperatura como medida de control contra el COVID:

  1. Evalue qué tratamiento realmente es el que va a realizar. Si es un tratamiento automatizado, o manual, si realmente recoge datos o no, si los conserva, o no (por ejemplo no es un tratamiento automatizado, pero hay cámaras de seguridad grabando… ), etc.
  2. Busque opciones menos invasivas en en ámbito privado y más eficaces contra el virus.
  3. Evalue el impacto en la protección de datos y derechos de los interesados. Que no necesariamente, es hacer una Evaluación de impacto (EIPD) formal y completa, en todos los casos. Evaluar caso a caso, recordad.
  4. Aplique los principios de proporcionalidad, limitación del tratamiento y la conservación, información y transparencia, legitimidad, seguridad y confidencialidad, y sobre todo, el sentido común.
  5. No se deje llevar por lo que hacen los demás. Cada caso es un mundo, cada uno ha analizado, o debería haber analizado el suyo… y claro que hay quien lo hace mal, no lo haga usted también.

En conclusión

La toma de temperatura no es la medida más eficaz, y hasta la fecha (ojo, que igual mañana nos toca editar y cambiar esto) no es obligatorio implantarla, es mejor aplicar otras opciones menos invasivas y seguramente más eficaces, distanciamiento social, medios de protección física, medidas de higiene, etc.

Ahora bien, si por lo que sea se decanta o debe implantar esta medida, recuerde consultar con su DPO, o su empresa o asesoría de protección de datos a modo de definir las medidas que corresponden aplicar, y así garantizar no solo el cumplimiento de la normativa, sino ayudar a proteger de manera adecuada los derechos y libertades de los interesados, y los suyos propios.

Más información sobre otras medidas relacionadas con COVID y protección de datos en nuestro post: COVID y protección de datos en la desescalada

/0 Comentarios/por

Ya está aquí la nueva LOPD, la LOPDgdd

,

La nueva LOPD, ha llegó a nuestras vidas, por fin.  El pasado 6 de diciembre de 2018 se publicó en el Boletín Oficial del Estado, la nueva LOPD, la Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En este artículo que pretende ser muy práctico y corto – para la materia de la que hablamos- esperamos aclarar varias dudas e inquietudes generales y hacer un micro resumen de los puntos que podrían afectar un proyecto de cumplimiento de RGPD/LOPD.

El resumen más amplió podrá encontrarlo en este otro post «Nueva LOPD 3/2018. Principales cambios y novedades» que publicaremos más adelante.

¿Entonces qué hay que cumplir, el RGPD o la nueva LOPD?

Así en plan directo, de ahora en adelante hay que cumplir con el RGPD y la nueva LOPD.

El marco normativo de protección de datos seguirá encabezado por el Reglamento General de Protección de Datos, RGPD UE 679/2016, que entró en aplicación el pasado 25 de mayo de 2018, motivo por el que se ha tenido que cambiar nuestra archiconocida LOPD 15/1999 por esta nueva Ley nacional.

Con la publicación de la nueva LOPD se cierra el primer paso del proceso legislativo a nivel nacional, asociado al Reglamento General de Protección de Datos, RGPD UE 679/2016.

Es posible que a futuro haya más regulaciones nacionales en materia de protección de datos. La propia ley prevé un desarrollo reglamentario posterior.

Si ya teníamos desde mayo el RGPD ¿Por qué ahora nos cambian la LOPD?

El RGPD es el marco, la base, el límite, es el que pone las reglas. Fue aprobado por unanimidad de los Estados miembros de la UE, pero como esa unanimidad no fue absoluta, se dejaron algunos puntos para que cada Estado los regulase con ciertos límites.

Cada Estado de la Unión ha tenido que actualizar su normativa de protección de datos. En nuestro caso dejamos atrás nuestra LOPD 15/1999 por la nueva LOPD 3/2018, o LOPDgdd 3/2018 como se le quiera llamar (Lo de las garantías digitales está en minúscula, cosa que ayuda a seguir usando la nomenclatura ya conocida, LOPD)

Este tema lo explicamos mucho mejor en nuestro post relacionado con el primer borrador del anteproyecto de LOPD.

Micro resumen de novedades que le pueden afectar a su proyecto de protección de datos.

A modo de mención estas son algunas de las novedades más importantes, y que podrían generar modificaciones en un plan de cumplimiento de protección de datos. Ojo, todo está a modo de mención, tiene excepciones y habrá que ver caso a caso:

1. Acceso a datos de fallecidos – Art. 3.

Se amplía la lista de sujetos que pued

e acceder a los datos de los fallecidos. No obstante habrá que evaluar caso a caso.

2. Edad para el consentimiento de menores – Art 7.

Se establece la edad de 14 años, para que los menores puedan consentir el tratamiento de sus datos. Siendo menores, es un consentimiento con limitaciones. Por debajo de esa edad se debe contar con el consentimiento del titular de la patria potestad o tutela.

3. Reducción de información en la primera capa informativa – Art. 11.

El artículo 11 prevé una disminución de puntos obligatorios a facilitar en la primera capa informativa. Ahora en una primera capa informativa, de datos recogidos directamente del afectado solo hay que informar:

  1. Responsable.
  2. Finalidad.
  3. Derechos.
  4. Enlace a la segunda capa informativa (toda la info)
4. Tratamiento de datos de personas de contacto y empresarios individuales – Art. 19.

Salvo prueba en contrario, se entenderá que el tratamiento de estos datos se realiza con la base del interés legítimo. Siempre que los datos se utilicen para fines estrictamente relacionados con el puesto o actividad profesional.

5. Sistemas de información crediticia – Art. 20.

Aumentan las obligaciones en caso de querer incluir a un cliente en sistemas de información crediticia. Si su empresa o negocio vende deuda, o incluye a sus pagadores morosos en listas de solvencia patrimonial (Asnef, por ejemplo). Lea el art. correspondiente de forma atenta.

6. Videovigilancia – Art. 22.

Se establece que la videovigilancia con fines de preservar la seguridad de las personas y bienes, así como de las instalaciones, se realiza con la base jurídica del interés público. También se fija el plazo máximo de almacenamiento de los datos, que es de un mes, y la información mínima que debe contener los carteles informativos.

7. Exclusión publicitaria – Art. 23.

Será obligatorio consultar las listas de exclusión publicitaria antes de iniciar una campaña de marketing online, salvo que se cuente con el consentimiento del interesado.

Luego claro, también regula varios puntos que deben tener en cuenta los gestores de dichas bases.

8. Denuncias internas – Art. 24.

Se define la forma, plazo y garantías para el tratamiento de datos dentro de los sistemas de información de denuncias internas de una empresa. Más conocido como sistema de Whistleblowing.

9. Tratamiento de datos relativos a infracciones y sanciones – Art. 27.

Se aclara que los abogados y procuradores podrán tratar estos datos siempre que sea en el ejercicio de sus funciones.

10. Corresponsabilidad – Art. 29.

La determinación de responsabilidades se debe atender y definir en función de las actividades que efectivamente desarrolle cada uno de los corresponsables. Debe existir un acuerdo de corresponsabilidad, que no se olvide.

11. Registro de actividades de tratamiento – Art. 31.

Se debe comunicar al Delegado de Protección de Datos cualquier adición modificación o exclusión de los RATs. También se incluye obligación de publicación para la AAPP y otros entes y órganos de derecho público.

12. Bloqueo de los datos – Art. 32.

En algunos casos en los que subsista una obligación legal, en lugar se suprimir los datos, estos serán bloqueados durante el tiempo que el responsable o encargado este obligado a mantenerlos.

13. Encargo de tratamiento – Art. 33.

Se considerará responsable al encargado que use los datos para sus propios fines, con sus correspondientes consecuencias. Con excepciones.

Nunca se considerara responsable del tratamiento a un encargado de tratamiento, de datos de los que sea titular una administración publica.

14. Delegado de protección de datos- Art. 34

Se define la lista de sujetos obligados a nombrar un DPO. Entre ellos, a modo de muestra:

a. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

b. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Hay excepciones para los profesionales independientes que tratan datos en su consulta particular.

c. Las empresas de seguridad privada.

d. Las federaciones deportivas cuando traten datos de menores de edad.

e. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

15. Garantía de los derechos digitales – Título X.

Aunque son bastantes, debido a que nos centramos en contenidos que podrían afectar directamente el proyecto de cumplimiento de la normativa de protección de datos de una empresa, profesional o AAPP, hacemos referencia solo a los que afectan el ámbito Laboral:

a. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
b. Derecho a la dexconexión digital en el ámbito laboral.
c. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
d. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Todos ellos tienen en común la limitación del uso/ abuso por parte de las empresas y empresarios de acciones de control laboral que vayan en contra de los derechos de los trabajadores. También requieren la definición de una política interna al respecto.

16. Medidas de seguridad en el sector público. Disposición adicional primera.

Las medidas de seguridad que deben aplicar las AAPP, sus órganos, y demás entes de derecho público o a los que le sea aplicable, deben estar alineadas con el cumplimiento del Esquema Nacional de Seguridad.

17. Transparencia y acceso a la información pública. Disposición adicional segunda.

Se definen los datos que se pueden usar/publicar para cumplir con el principio de publicidad y transparencia, sin faltar al derecho de la protección de datos.

18. Prácticas agresivas (comerciales) en materia de protección de datos. Disposición adicional decimosexta.

Se lista una serie de prácticas que se considerarán competencia desleal. Entre ellas la intimidación, usurpación de identidad de la AEPD, u oferta de servicios con cargo a los fondos de Fundae (antes Fundación tripartita).

Así que ojo antes de aceptar una oferta de esas de «coste 0», o «50 euros más formación por Fundae». Son un timo, una práctica desleal y pueden llevarle a cometer un fraude a la SS y a hacienda.

Conclusiones

El marco normativo de protección de datos ahora está compuesto por la nueva LOPD, la LOPDgdd 3/2018, y  el Reglamento Europeo de Proteción de Datos. Esta claro que habrá que tener en cuenta los cambios que la nueva LOPD ha introducido en distintas normas, y luego los futuros desarrollos legislativos que se prevén.

Es necesario revisar el cumplimiento actual de la normativa aplicable de su empresa, negocio, ong, federación, asociación, etc. Todo lo que se haya hecho para cumplir la LOPD 15/1999 ya no vale, y lo que se haya hecho para cumplir RGPD, puede que necesite algún ajuste conforme la nueva LOPD. Como dice el principio del RPGD, hay que tener responsabilidad proactiva.

/0 Comentarios/por