Entradas

¿Podría un cliente acceder a nuestras comunicaciones internas?

Uno de los derechos que existen en el ámbito de la protección de datos es el derecho de acceso. Si bien el RGPD lo define muy bien, a veces surgen dudas sobre hasta dónde llega exactamente. Por ejemplo: ¿podría un cliente saber qué decimos sobre él en nuestros correos u otras comunicaciones de trabajo?

Cada vez es más frecuente -más aún desde el boom del teletrabajo- que usemos nuevas tecnologías en nuestras profesiones, incluso para comunicarnos con nuestros compañeros. Y muchas veces le restamos importancia, pues confiamos en que estamos en un entorno seguro y privado.

Pero, ¿y si nuestros clientes pudieran tener acceso a esas comunicaciones? Precisamente sobre esto se pronunció el Tribunal Federal de Justicia de Alemania, en una de sus resoluciones. En este post, analizamos la misma y te damos algunas recomendaciones para evitar riesgos.

El derecho de acceso: artículo 15, RGPD.

Como te contábamos, uno de los derechos (arts. 15 a 21) que reconoce el RGPD es el derecho de acceso. Sobre él, nos dice que es aquel que permite a una persona:

“obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen […]
Y, además, específica qué es lo que tenemos derecho a saber (o acceder):

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]

d) de ser posible, el plazo previsto de conservación de los datos personales […]

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles […].

Además, el RGPD también reconoce el derecho a saber si tus datos son objeto de alguna transferencia internacional de datos y bajo qué garantías. E incluso a obtener una copia de la información personal que tenga relación contigo.

Ampliación del derecho de acceso del interesado

Como ya te adelantábamos, en julio de 2021, el Tribunal Federal de Justicia de Alemania emitió una resolución muy importante en este sentido. ¿Por qué? Porque su decisión podría entenderse como una ampliación del derecho de acceso, de forma que abarcaría mucho más que lo que hasta ahora ha venido entendiéndose.

Primero, lo primero: los hechos que dieron lugar a la sentencia

Una persona demandó a su compañía aseguradora, solicitándole información sobre todos los datos personales suyos que tuviera. Aunque inicialmente se desestimó la demanda, dado que la compañía ya le había proporcionado información, el Tribunal Federal acabó dándole la razón al demandado, entendiendo que la compañía no había respondido adecuadamente a la solicitud

Los argumentos del Tribunal en su sentencia

El Tribunal considera que el derecho de acceso debe ser entendido en un sentido amplio y que no solo incluiría la información expresamente regulada en el RGPD. Así, abarcaría también información que conste en notas internas o tomadas a raíz de conversaciones telefónicas mantenidas con una persona.

Así mismo, el Tribunal entiende que el interesado tiene derecho a -valga la redundancia- ejercitar este derecho repetidamente, incluso aunque ya tuviera conocimiento de previa información o correspondencia.

¿Qué implica esta decisión?

Aunque se trate de una decisión emitida en Alemania, y pese a que la AEPD aún no ha publicado ninguna en este sentido, lo cierto es que debe ser muy tenida en cuenta. Uno de los objetivos del RGPD, como ya te contamos en este post, es precisamente el de unificar el marco normativo y la toma de decisiones en materia de protección de datos. En otras palabras: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.

Por ello, es necesario estar atentos a las decisiones que se dictan en otros Estados, porque probablemente anticipan lo que nuestras propias autoridades (la AEPD) acabarán decidiendo también.

¿Qué deberías tener en cuenta en tu empresa o trabajo?

Una decisión de este tipo, aplicada en el día a día de una empresa o profesional, podría implicar que, si una persona ejercita este derecho, podría llegar a acceder a toda la información que tengamos disponible sobre él: post-it, notas, correo electrónico y otras comunicaciones como aplicaciones de chat, siempre dentro de lo que es el ámbito de trabajo.

¿Lo mejor que podemos hacer? Ser respetuosos, profesionales y cuidadosos con la información personal que manejemos, en cualquier entorno. Es fácil que, especialmente si tenemos confianza con nuestros compañeros, se den situaciones en las que tendemos a relajarnos o adoptar un tono más informal, -todos lo hacemos- pero no debemos olvidarnos de que los datos que intercambiemos no solo son material de trabajo, sino lo que hagamos con ellos puede afectar a la persona que hay detrás.

Directrices del Comité Europeo de Protección de Datos

Además de todo lo que ya te hemos contado, el Comité Europeo de Protección de Datos también cuenta con unas directrices y pautas relativas al derecho de acceso. Aunque aún no está vigente el texto definitivo, hay puntos a destacar:

• El derecho de acceso es clave para proporcionar a la persona información suficiente, transparente y de fácil acceso sobre sus datos.

• Si bien facilita el ejercicio de los otros derechos de protección de datos, no es condición previa para poder ejercitarlos.

• Ante una solicitud de este tipo, es fundamental valorar: quién la hace, si va referida a datos personales, y si abarca todos o solo parte de los datos del interesado.

• Hay que garantizar que el acceso a los datos se hace de manera concisa, transparente e inteligible.

• Ningún derecho es absoluto, siempre hay limitaciones y restricciones. Tampoco puede servir para afectar a los derechos y libertades de otros.

• Por último, también recoge la posibilidad de que los responsables de tratamiento puedan rechazar o cobrar una tarifa razonable por solicitudes que consideren manifiestamente infundadas o excesivas. Eso sí, sin menoscabar los derechos gratuitos de los interesados.

Y, como somos buenos, cerramos con unos consejitos extra:

Si alguien ejercita sus derechos de protección de datos ante ti, es clave:

  1. Proporcionar una respuesta. Incluso aunque se deniegue el derecho, o no se reconozca ampliamente, sí o sí hay que responder.
  2. Responder en plazo. Un mes, desde que se ejercitó el derecho.
  3. No solo responder, sino hacerlo adecuadamente. Es decir, de forma íntegra, fundamentada y bien justificada

/0 Comentarios/por

Cómo cumplir con la protección de datos en un sistema interno de denuncias

Hace unos días, contábamos en nuestro blog algunos de los puntos clave sobre la nueva Ley Whistleblowing o de protección a quienes denuncien internamente una infracción en un lugar de trabajo, en vigor desde el pasado lunes 13 de marzo.

Ahora, en este nuevo post, vamos a centrarnos en qué hay que tener en cuenta desde la protección de datos en la implantación de un canal de denuncias.

El objetivo de la ley “whistlebowing”

Como ya sabes, esta nueva norma se dicta con el fin de proteger adecuadamente a quienes denuncien, de forma interna, alguna situación ocurrida en el entorno laboral. Esto implica, de todas todas, que intervengan datos personales:
• Por una parte, del propio denunciante
• Por otra, del denunciado
• Eventualmente, de terceros implicados

Desde el momento en que entran datos personales en juego, toca cumplir con la normativa de protección de datos: en nuestro caso, principalmente con el RGPD y la LOPDgdd.

Qué dice la normativa de protección de datos sobre estos sistemas

Esta idea ya se prevé en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, concretamente en su artículo 24.1:

«Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable»

Licitud del tratamiento

No importa si controlas más o menos sobre protección de datos; pero siempre es fundamental recordar que todo tratamiento de datos personales, debe realizarse de forma lícita (art. 6 RGPD), es decir, que debe contar con justificación o base jurídica que lo ampare.

El tratamiento de los datos asociados al canal de denuncias, para quienes están obligados por ley a crearlo, estará basado por tanto en la existencia de esa obligación legal (art. 6.1.c, RGPD). Para quienes no tengan tal obligación, pero libremente decidan implantar un sistema, la base jurídica más favorable parece ser la existencia de un interés público.

¿Cómo me aseguro de que mi sistema de denuncias cumple con la protección de datos?

En Dataseg, hemos hecho un recorrido de principio a fin por toda la ley para localizar cualquier aspecto de utilidad a nivel protección de datos.

En líneas generales, es fundamental que un sistema de denuncias se construya atendiendo a las siguientes obligaciones:
• Garantizar la seguridad del denunciante y su confidencialidad
• Ser utilizado solo por las personas que la ley dispone
• Impedir el acceso a personal no autorizado
• Si un tercero -por ejemplo, un prestador de servicios- interviene en su gestión, debe suscribirse el correspondiente contrato de encargo
• Garantizar los derechos del denunciante, que podrá comprobar, rectificar y aceptar la información vertida.
• Informar al denunciante de que su identidad será reservada y no difundida
• Centrarse solo en los datos necesarios para gestionar la infracción

Una figura clave en protección de datos: el DPO o DPD

Recuperando información que ya tratamos en nuestro primer post sobre este tema, en la exposición de motivos de la ley “whistleblowing” se establece que aquellas entidades que estén obligadas a disponer de un sistema de denuncias, también deben nombrar un delegado de protección de datos, DPO o DPD. Aunque finalmente en el artículado solo hacen mención a las autoridades que surjan, lo cierto es que esta figura es una de las pocas que recoge la Ley con capacidad para acceder a los datos recogidos en el sistema de denuncias, por eso aunque no sea obligatorio, es recomendable su nombramiento.

Esta figura es importantísima en el marco de la protección de datos, pues fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:
• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

¿Qué criterio tiene la AEPD sobre todo esto?

En octubre de 2021, la Agencia Española de Protección de Datos publicó un artículo muy interesante y práctico sobre privacidad en sistemas de denuncia o “whistleblowing”. Aquí te dejamos el enlace para que puedas leerlo íntegramente, pero, como puntos clave, la AEPD señala que este sistema debe:
• Ser informado a los trabajadores
• Cumplir con los principios de proporcionalidad y limitación
Proteger los datos personales del denunciante
• Tener un acceso limitado
• Garantizar los derechos de los interesados
• Respetar los plazos de conservación y eliminación de datos

¿Cuánto tiempo deben conservarse los datos en el sistema de denuncias?

Si has leído atentamente el punto anterior, verás que una de las indicaciones de la AEPD sobre estos sistemas se refiere a la conservación y eliminación de datos. ¿Qué nos dice la nueva norma sobre esto? En concreto:

• No deben tratarse datos personales que no sean necesarios para el conocimiento e investigación de la situación denunciada. Si esto ocurre, debemos borrarlos de inmediato.
• Los datos que sí proceda usar, se guardarán solo durante el tiempo imprescindible para decidir si se inicia una investigación.
• Si se comprueba que la información no es veraz, también debe procederse a su inmediato borrado, salvo que pueda haber indicios de un ilícito penal.
• En todo caso, si han transcurrido tres meses desde que se recibieron los datos y no se ha iniciado una investigación, deberá procederse al borrado.

Hasta aquí, nuestra lista de puntos a tener en cuenta desde la protección de datos en la implantación del canal de denuncias. Visto lo visto, está claro que ambos conceptos van de la mano y que, si queremos evitar correr riesgos por incumplimiento, debemos prestar atención a todas las obligaciones mencionadas.

Como siempre, si te has quedado con ganas de más o necesitas asesoramiento especializado, te invitamos a ponerte en contacto con nosotros o solicitar un presupuesto.

/0 Comentarios/por

Nuevo registro de clientes del RD 933/2021 en establecimientos turísticos y alquiler de vehículos

Leer más
/0 Comentarios/por

NEWSLETTER CLIENTES – ENERO 2023

Las noticias que afectan nuestro trabajo van cada día muy rápido y nos encantaría hacérselas llegar para que puedan conocer como “van las barbas de los vecinos” y así entender algunas de las recomendaciones y cambios que todo proyecto de adecuación requiere.

Aquí, a modo de boletín, publicamos un resumen de las noticias, sanciones y publicaciones más críticas del mes anterior.

Para empezar, noticias relevantes de interés sobre protección de datos

El primer euro digital ya se prueba en España

El euro digital ha empezado ya sus pruebas piloto. Y el Banco de España es uno de los encargados en estudiar cómo sería una de sus posibles implementaciones. Para este primer euro digital de Europa, se ha elegido a la compañía española Monei. Su criptomoneda, EURM, ha sido elegida como banco de pruebas del euro digital.

Récord de multas en la Unión Europea relacionadas con el RGPD

En los últimos doce meses, los reguladores europeos encargados de la protección de datos han emitido multas por valor de 2.920 millones de euros al vulnerar el Reglamento General de Protección de Datos (RGPD). Un aumento del 168% respecto a 2021.

Informe de la Comisión Europea sobre patrones oscuros

La Comisión Europea ha publicado un informe sobre patrones oscuros en tiendas online; 148 de las 399 tiendas analizadas incluían alguno de los tres patrones oscuros más comunes: temporizadores, dirigir al consumidor hacia el producto más caro o invisibilizar información relevante.

El Monedero Digital: nuevo proyecto de la Unión Europea

El nuevo proyecto de la Unión Europea: un «Monedero Digital«, una única aplicación donde se tendrán todos los documentos oficiales, DNI, pagos, contraseñas y más. Hará posible acciones que van desde verificar nuestra identidad hasta alquilar un coche, por ejemplo.

Novedades en los partes de incapacidad temporal

El pasado 5 de enero, se publicó en el BOE el Real Decreto 1060/2022, de 27 de diciembre, por el que se modifica el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración que, entre otras, elimina la obligación de los trabajadores de entregar los partes de baja por incapacidad temporal a sus empresas. La norma entrará en vigor el 1 de abril de este año.

Absuelto por el Tribunal Supremo por acceso ilegítimo a sus datos médicos

El Tribunal Supremo ha anulado una condena de 9 años de cárcel impuesta a un hombre por robos con violencia en la Comunidad Valenciana al considerar que la Guardia Civil accedió, sin su consentimiento ni orden judicial, a sus datos médicos, lo que fue determinante para averiguar su identidad y poder arrestarlo.

Neeva: un buscador que apuesta por la privacidad de los usuarios

Llega a España el nuevo motor de búsqueda Neeva, creado por dos antiguos empleados de Google. La compañía destaca que su tecnología permite a los usuarios evitar ser rastreados, a la vez que no cuenta con anuncios molestos durante la navegación, lo que permite ofrecer «resultados de búsqueda reales».

Nuevo Código de Conducta de AUTOCONTROL

La AEPD ha aprobado la modificación del Código de conducta de AUTOCONTROL ‘Tratamiento de datos en la actividad publicitaria’, que recoge una vía para resolver de forma más ágil las reclamaciones en materia de protección de datos y publicidad que puedan plantear los ciudadanos.

En el blog de la AEPD: neurodatos, privacidad y protección de datos

Las interfaces cerebro-computador permiten recoger neurodatos que, asociados a personas identificadas son datos personales. Con análisis avanzados y uso de Inteligencia Artificial podrían inferir y revelar información asociada a pensamientos, sentimientos o estados de salud, además de perfilar al individuo.

Sanciones y otras novedades relevantes de la AEPD

¡Ojo con pre-marcar las casillas en formularios de recogida de datos!

La AEPD ha multado con 20.000 euros -16.000 por acogerse a la reducción por pago voluntario- al Hospital Recoletas Ponferrada por premarcar en una tablet casillas relacionadas con la protección de datos que los pacientes tenían que rellenar antes de ser atendidos, conducta que vulnera lo dispuesto en los arts. 6.1 y 15 del RGPD.

Dato importante sobre la creación de grupos de WhatsApp de trabajo

La AEPD ha archivado las actuaciones en un expediente relacionado con la creación de grupos de WhatsApp por parte del empleador para la organización y desarrollo del trabajo particular, entendiendo que existía legitimación para esta acción y que no ha habido vulneración de la normativa reguladora.

Los datos de geolocalización son datos personales

La Audiencia Nacional ha anulado una decisión de la Agencia Española de Protección de Datos (AEPD). La AEPD afirmó anteriormente que Virgin telco, un proveedor de telecomunicaciones, había actuado conforme a la ley cuando denegaba a sus clientes el acceso a sus datos de geolocalización. Noyb, organización que lucha por la privacidad, argumentó que los datos de geolocalización eran datos personales y debían facilitarse en virtud del derecho de acceso. Ahora, medio año después, tanto la AEPD como la Audiencia Nacional han dado la razón a Noyb

Cuidado con los sistemas de registro biométricos

La Agencia Española de Protección de Datos ha declarado que los sistemas biométricos para autorizar las entradas de aficionados a los estadios, como la huella dactilar, son ilegales.

Multada una empresa por usar WhatsApp de forma indebida

En este caso, con la imposición de una multa de 5.000 euros (reducida a 3.000 euros por pago en periodo voluntario) a una empresa por difundir la notificación de embargo de nómina de una trabajadora, sin su consentimiento, a un familiar de la misma

Otra, sancionada por incumplimientos en sus procesos de selección

La AEPD ha sancionado a una empresa que evaluaba a candidatos en procesos de selección solicitando, entre otros, datos de discapacidad y etnia, considerados datos sensibles o de categoría especial. Entiende la autoridad que no concurren las excepciones del art.9.2 del RGPD, lo que resulta en una multa de 50.000 euros.

Bankinter recibe una multa derivada de acceso a datos por un tercero

Bankinter ha abonado una multa de 80.000 euros a la Agencia de Protección de Datos, después de que un usuario del banco interpusiese una reclamación por tener acceso, a través de su cuenta, a los movimientos de otra cuenta perteneciente a un tercero. En el apartado correspondiente al extracto mensual, figuraban los movimientos de su cuenta y los de otra cuenta perteneciente a un tercero.

Y no nos olvidamos de otras noticias relevantes a nivel internacional

Irlanda: sanción multimillonaria contra Meta

La Comisión de Protección de Datos (DPC) anunció el pasado 4 de enero la conclusión de dos investigaciones; sobre las operaciones de tratamiento de datos de Meta Platforms Ireland Limited en relación con la prestación de sus servicios de Facebook e Instagram. La DPC ha tomado decisiones finales en las que ha multado a Meta con 210 millones de euros (por infracciones del RGPD en relación con Facebook) y 180 millones de euros (por infracciones en relación con Instagram). Así, hablamos de dos sanciones que, conjuntamente, ascienden a un total de 390 millones de euros. También se ha ordenado a Meta Ireland que cumpla con sus operaciones de tratamiento de datos en un período de 3 meses.

También en Irlanda: otra sanción millonaria contra WhatsApp

Más recientemente, el 19 de enero, la DPC anunció también la conclusión de una investigación sobre el procesamiento realizado por WhatsApp Ireland Limited; en relación con la prestación de su servicio de WhatsApp, que resulta en una multa a WhatsApp Ireland con 5,5 millones de euros por incumplimientos del RGPD.

Y sigue la lluvia de sanciones: Apple, multado con 8 millones en Francia

En el plano internacional, empezamos fuerte. Hace unas semanas, la CNIL, autoridad de control francesa, impuso a la compañía Apple una multa de 8 millones de euros por no haber obtenido el consentimiento de los usuarios franceses de iPhone iOS 14.6 antes de depositar y/o escribir identificadores utilizados con fines publicitarios.

Tampoco se libra TikTok: 5 millones de multa por su uso de cookies

Las resoluciones de la CNIL no acaban con el caso de Apple, pues la autoridad de control francesa también ha impuesto este mes una multa de 5 millones de euros contra la red social TikTok, por incumplimientos relacionados con la información asociada al uso de cookies y con la dificultad para el usuario de configurarlas o rechazarlas a su gusto.

En Finlandia, una sanción relacionada con datos médicos y consentimiento

La autoridad de control finlandesa ha anunciado la imposición de una multa a una organización por no obtener el consentimiento del interesado para el tratamiento de datos de salud personal (consumo máximo de oxígeno e índice de masa corporal), que es parte del negocio principal de la empresa.

También en Finlandia: sanción relacionada con el ejercicio de derechos

La autoridad de protección de datos finlandesa sancionó con 750.000€ a Alektum Oy (agencia de recaudación) por no responder a las solicitudes de acceso de los interesados y por no cooperar -obstruir la investigación- con dicha autoridad.

/0 Comentarios/por

Reciclaje y RGPD: cumplir correctamente

,

¿Qué relación hay entre el reciclaje y la digitalización? A simple vista, puede parecer que no tienen relación alguna, pero van más de la mano de lo que creemos.

Muchas empresas se han sometido a procesos de transformación digital en los últimos años, dando lugar a cambios en su forma de trabajar y a que el papel, hasta ahora un gran aliado en el lugar de trabajo, quede relegado a un segundo plano, pues tendemos a optar por otras alternativas más cómodas, sostenibles y seguras.

Aun así, ¿sabías que, de media, un trabajador puede llegar a consumir hasta 60 kg de papel y cartón por año en la oficina? Por tanto, aunque con menos fuerza, el papel sigue estando ahí y, por eso, en este post, queremos contarte todos los aspectos que tienes que tener en cuenta para apostar por el reciclaje, la reutilización y la destrucción segura de los documentos que manejes, en cumplimiento con el RGPD y asegurando la protección de los datos que trates.

¿Cómo destruir o eliminar los datos correctamente?

Cuando hablamos de tratamiento de datos, nos referimos a cualquier operación o actividad que podamos llevar sobre ellos, desde la simple recogida, hasta la destrucción. Y, por ello, durante todo el ciclo de vida de esa información, y hasta el mismo momento en que la eliminemos, debemos adoptar medidas que aseguren su protección.

Hay muchas formas de destruir la documentación de forma segura, desde proceder a su queme hasta usar una destructora de papel (recomendamos esta última especialmente). También puedes hacerlo manualmente, pero siempre asegurándote de que no sea posible reconstruir fragmentos o identificar algún dato.

Conserva sólo aquello que necesites

Nuestra normativa de protección de datos es muy joven y, por ello, aunque fija criterios como el de limitación del plazo de conservación, que implica que los datos no pueden conservarse indefinidamente, no existen muchos plazos concretos de conservación en nuestro ordenamiento jurídico, pues no se ha actualizado en ese sentido. Pero es importante que recuerdes esa premisa: solo debes conservar la información si existe una justificación para ello.

Por ello, es conveniente que lleves a cabo una revisión periódica de los datos de que dispongan, a fin de determinar si debes borrarlos. Puede ser que aún los necesites para dar cumplimiento a tus obligaciones legales o contractuales, o por otras exigencias; pero, si no encuentras justificación de tipo alguno, lo mejor es no conservar esa información.

Busca proveedores que reciclen o destruyan de forma segura

Otra vía para implementar buenas políticas de reciclaje o destrucción segura de la documentación en tu organización, es colaborar con prestadores de servicio especializados en estas áreas. Son muchas las empresas que se dedican a la custodia de documentos, y también las hay que proceden a su transporte y destrucción segura, o a su reciclaje.

Has de tener en cuenta que, si contratas uno de estos servicios, ese prestador puede acceder, aun de forma indirecta, a datos que son de tu responsabilidad, por lo que debes ser precavido a la hora de seleccionarlos. En este sentido, puede resultar muy útil que el prestador contratado cuente con documentación acreditativa de que sus procesos y métodos de trabajo son seguros, por ejemplo, certificados como la UNE 15713, de destrucción segura de material confidencial.

Reciclaje y RGPD: aspectos importantes a tener en cuenta

Muchos espacios de trabajo disponen de un entorno en el que se almacenan folios reciclados. Es decir: papel que ya se ha utilizado para alguna función anterior pero que continúa estando en buen estado, por lo que se guarda para su reutilización. Si éste es tu caso, hay algunas recomendaciones que te serán muy útiles:

  • Antes de proceder al reciclaje o reutilización del material, examina bien su contenido
  • Si incluye datos personales, deberás implementar medidas para que los mismos no sean identificables, como su tachado, por ejemplo
  • Si lo anterior no resulta posible y los datos quedan a la vista, siempre es mejor proceder a la destrucción segura del documento. Esto es sumamente importante, e incluso hay una sanción de la AEPD a una abogada por reutilizar documentos que incluían información personal en el reverso
  • Preferiblemente, los folios reciclados debes usarlos para gestiones internas, anotaciones o similares, y no para finalidades que exijan que sean accesibles por terceros, tanto por limpieza y estética, como por seguridad.

Protocolo para un reciclaje seguro

Como siempre, para actuar de forma correcta en materia de protección de datos, lo mejor es prever los riesgos antes de pasar a la acción. Por ello, como buena práctica, te recomendamos que crees en tu organización un protocolo de reciclaje, reutilización y destrucción segura de los datos, y así ya dispondrás de pautas para saber cómo actuar.

Todo lo tratado en este post puede servirte de inspiración, pero como idea, algunos aspectos que podrías incluir en el mismo:

  • Qué documentos pueden reutilizarse y cuáles no
  • Cómo destruir la información de forma segura
  • Cómo manejar o qué uso dar a los documentos reciclados
  • Quién puede acceder a esos documentos
  • Cómo actuar ante una brecha de seguridad relacionada con lo anterior
  • Y, aunque no ha sido el tema principal del post, implementar medidas de destrucción segura de los archivos digitales. Por ejemplo, dispones de diversos programas y aplicaciones que pueden ser de mucha ayuda para ello.

Para ir cerrando…

Es enormemente positivo que cada vez sean más las organizaciones que optan por el reciclaje, pero no debemos olvidar el impacto que, como hemos visto, pueden tener estas prácticas en los datos y su protección. Asegúrate de disponer de las herramientas suficientes para tener métodos seguros, cumplidores y, sin duda, crearás un entorno más sostenible, a la par que evitas incumplimientos normativos. ¡Gracias por leer!

/0 Comentarios/por

Nueva Guía para profesionales del sector sanitario de la AEPD. Resumen de aspectos generales

, ,

Este mes de junio, la AEPD ha publicado la nueva Guía para profesionales del sector sanitario, en la que trata de responder algunas de las dudas más relevantes que les pueden surgir a estos profesionales en su actividad

Esta guía viene motivada porque en 2021 se registraron más de 600 reclamaciones por el mal uso de los datos personales relativos a la salud.

En este post te resumimos el contenido de la guía y algunos de los puntos más relevantes que se tratan en ella.

Introducción a la Guía

Los profesionales del sector sanitario, además de tratar datos identificativos, tienen acceso a datos de salud, necesarios para cumplir con la finalidad de prestación de asistencia sanitaria. Estos datos que se encuentran dentro de la categoría de datos especiales o datos sensibles, tienen una especial protección y sólo pueden ser tratados bajo ciertas condiciones y garantías necesarias para el correcto uso de ellos.

Puntos en los que se estructura la Guía

En este apartado, hacemos un resumen de la estructura y contenido que de la guía, ¡Recuerda! Esto es solo un resumen, por lo que no entramos a valorar todos los puntos de la guía en su conjunto

1. Conceptos básicos: los datos de salud son necesarios para cumplir con la finalidad de atención sanitaria y, como datos de categoría especial, requieren una protección.

Los encargados de proporcionar dicha protección son los responsables del tratamiento de los datos (entidad pública, privada o profesionales individuales) y para ello, dispondrán las medidas de seguridad y decidirán sobre los datos, su recogida y finalidad, además de seleccionar encargados –es decir, terceros que presten algún servicio al responsable- que ofrezcan las garantías de cumplimiento necesarias

2. Legitimación para el tratamiento: La guía hace una diferenciación entre dos conceptos que pueden confundiré: el consentimiento informado, una acción que se realiza muchas veces en el ámbito sanitario, en la relación con los pacientes; y el consentimiento como base legitimadora para el tratamiento de los datos.

Para el último caso, la guía recuerda que, en el ámbito sanitario, normalmente los datos podrán tratarse sin consentimiento del interesado, ya que se pueden aplicar otras bases jurídicas, como es el caso del interés vital. Esto no exime, sin embargo, de la obligación de informar al paciente de que sus datos están siendo tratados y con qué fin.

En el caso de los menores de edad. A partir de los 14 años, tienen derecho a consentir el tratamiento de sus datos y a ser informados sobre ello.

3. Historias clínicas: la guía facilita información sobre quiénes pueden acceder a las historias, entre ellos: profesionales sanitarios, residentes, estudiantes, centros sociosanitarios, centros privados, etc. Así como de en qué casos pueden tener acceso.

Lo más fundamental de este punto es recordar que la protección de datos no pretende obstaculizar la correcta atención sanitaria. Eso sí: todo acceso debe estar correctamente justificado y limitado a lo estrictamente necesario.

4. Responsabilidad del profesional sanitario: debemos tener claro que cualquier actuación no justificada por los sanitarios puede dar lugar a responsabilidades en el ámbito penal -llegando algunas actuaciones a ser constitutivas de delito-, sanciones disciplinarias y también de carácter administrativo. La guía recuerda la importancia de una buena gestión de las brechas de seguridad y recalca el crecimiento reciente de los ciberataques.

5. Obligaciones en el tratamiento de los datos: los profesionales deben asegurarse de que el tratamiento de los datos sea lícito, que se informe al paciente de los derechos que le corresponden, que se van a tratar sus datos, y se respete el deber de confidencialidad. Se debe garantizar el principio de responsabilidad proactiva: cumplir y ser capaz de demostrarlo.

6. Derechos de los pacientes: la guía nos recuerda que el RGPD regula los derechos que existen en materia de protección de datos, si bien en el ámbito sanitario hay ciertas limitaciones sobre esos derechos, por razones de interés público, cumplimiento de obligaciones o prestación de una correcta atención.

Como puntos clave:

  • Cuando se de información del paciente acerca de su historia clínica, no se debe incluir información de terceros.
  • Los menores de edad, mayores de 14 años, tienen derecho a ser informados del tratamiento de sus datos. (sin que ello implique que se deje de informar a sus padres o tutores).
  • Cualquier brecha de seguridad, como el borrado accidental de documentación, deberá ser comunicada a la AEPD, si existe un riesgo para los derechos del paciente.

7. Comunicaciones de datos a terceros: cómo llamar a los pacientes en las consultas, cómo gestionar la información para que no sea accesible para el resto de pacientes, cómo dar la información para cancelar o posponer una cita, la información que se puede dar sobre el ingreso de una persona o la gestión de los justificantes de asistencia de los acompañantes son algunos puntos que se intentan resolver en la guía. En el próximo artículo que publicaremos te daremos una serie de recomendaciones sobre estos aspectos tan cotidianos.

8. Seguridad en los centros: en cuanto a la videovigilancia, siempre que se informe de la existencia de cámaras, que se elaboren los correspondientes registros del tratamiento y que aquellas no estén orientadas hacia zonas donde se vea comprometida la intimidad de los pacientes, es lícito el uso de este sistema.

La instalación de cámaras con fines distintos a los de seguridad. (como el control laboral de los trabajadores) es otro tratamiento igualmente válido, si se siguen las mismas pautas descritas

9. Posición jurídica de los profesionales sanitarios: por último, se recalca la importancia de identificar quién es el responsable del tratamiento de los datos. En cada caso, dado que es quien asume la elaboración de los registros de actividades y evaluaciones de impacto, la implantación de medidas de seguridad, la guarda y conservación de historias clínicas o la salvaguarda de los derechos de los pacientes.

Esto es fundamental en el ámbito sanitario, ya que dependiendo de cómo ejerza su actividad el profesional -a título individual, como empleado, arrendando un espacio, etc.- ostentará responsabilidad o no. Puedes consultar la guía para ampliar este punto.

Continuará…

Hasta aquí nuestro resumen de la nueva guía de la AEPD. En los próximos días, seguiremos profundizando en este tema, con un post con recomendaciones de cumplimiento de esta Guía para profesionales sanitarios ¡Mantente atento!

¡Por cierto! No es la primera vez que resumimos alguno de los recursos de la AEPD. Sin ir más lejos, hace un tiempo dedicamos un artículo a su Guía sobre gestión de riesgos y EIPD, que te animamos a consultar.

/0 Comentarios/por

Datos moneda. Los datos personales como medio de pago

,

¿Pagarías con tus datos personales, como datos moneda? ¿se pueden considerar los datos personales un medio de pago? Quizá es una pregunta que nunca antes te hayas planteado, pero sobre todo porque deberíamos responder primero ¿qué entendemos por medio de pago? tarjetas de crédito y débito, transferencias, dinero en efectivo… Indudablemente, son muchas las opciones entre las que elegir, pero, ¿están los datos personales incluidos dentro de este grupo? pues casi, ósea sí, es decir… veamos:

Hace unos días, publicamos en nuestro blog un artículo referido a las novedades que trae consigo la nueva versión -en vigor desde el pasado 1 de enero de 2022- de la Ley General Para la Defensa de los Consumidores y Usuarios. Aunque, como ya contábamos en dicha publicación, muchos de los cambios afectan a las garantías y sus plazos, te adelantábamos que también había noticias en materia de protección de datos… ¡y vaya noticias! aquí venimos a contarlas porque tienen tela marinera.

Para que veas por donde vamos, recuerda, cuando en una plataforma te dicen que su uso es gratis, el precio es tu privacidad…

Modificación de la Ley de Defensa de Consumidores y Usuarios

Son varios los preceptos de esta norma que se han visto modificados con la publicación de la nueva versión de la misma y, sin desmerecer al resto de cambios, hay un artículo que nos llama poderosamente la atención, tanto como para dedicarle este artículo entero: el 59, en su apartado 4, y es debido a que en este artículo se establece cuál es el ámbito de aplicación de la Ley, y ojo a lo que dice, porque ahora se amplia a otro tipo de contratos online:

“los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales, salvo cuando los datos personales facilitados por el consumidor o usuario sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales objeto de un contrato de compraventa o de servicios o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En otras palabras: la Ley reconoce, de forma expresa y directa, y por primera vez en nuestro ordenamiento jurídico, que los datos personales constituyen un método de pago, y que hay relaciones contractuales que, de hecho, pueden sustentarse en el suministro de los mismos por parte del usuario hacia el empresario.

Pero tranquilos, o no… esto no se lo sacó de la manga nuestro legislador (que ya sabemos que a veces se emociona/n). Esto sale de la obligatoriedad de trasponer a nuestro derecho la Directiva europea 2019/770 de contenidos y servicios digitales.

La Directiva 2019/770 de contenidos y servicios digitales

La nueva versión de la Ley constituye una transposición de lo que ya reflejaba la Directiva 2019/770 de contenidos y servicios digitales. Grosso modo, te contamos algunos detalles importantes de la misma:

  • Es aplicable a todo contrato en virtud del cual un empresario suministra contenidos o servicios digitales al consumidor y éste paga o se compromete a pagar un precio. También es aplicable cuando el consumidor no paga un precio pero facilita o se compromete a facilitar datos personales al empresario
  • Establece obligaciones para el empresario en materia de falta de conformidad, reembolsos o incumplimiento de los suministros
  • Fija una serie de condiciones o criterios mínimos de cumplimiento en el marco de contenidos, servicios o derechos digitales. Cuando hablamos de servicios digitales, podemos incluir, por ejemplo, almacenamiento en la nube o redes sociales.
  • En caso de rescisión del contrato, el empresario debe cumplir con las obligaciones del RGPD. En determinadas condiciones, ha de abstenerse de usar los contenidos facilitados por el usuario y que no sean datos personales, y debe permitir al mismo recuperar esos contenidos sin impedimentos.

Los datos como medio de pago: implicaciones en la realidad

Pero, ¿en qué me afecta todo lo anterior? Aunque, hasta aquí, este parezca un artículo puramente jurídico, tiene claras consecuencias en la realidad. Lo que hace la normativa es venir a reconocer, de forma oficial, algo que ya venía apreciándose desde hace tiempo, y es que los datos personales pueden considerarse como una moneda de cambio.

Esto significa que cuando accedes a un servicio gratuito, como es el caso de Youtube, Facebook, Twitter o Spotify -quitando las versiones premium, claro- se puede entender que el precio que estás pagando por ese servicio son los datos personales que pones a disposición de la plataforma o proveedor.

Así, dejas de ser un simple usuario de la misma, y te conviertes en un consumidor, en una parte de una relación contractual existente entre ese proveedor y tú y, por tanto, en un sujeto protegido por la normativa de consumidores y usuarios. Esto supone un avance considerable en el marco de los derechos digitales y de nuestra seguridad jurídica como usuarios de estos recursos.

Además, se pone especial atención en determinar si, a la hora de suministrar tus datos, se te informó de forma clara, completa y comprensible, o si hubo algún tipo de abuso o desequilibrio que pudiera afectar a tus derechos e intereses

Retos para implementar el cambio requerido por la directiva

Claramente pese a que es el reconocimiento de una realidad, de facto hasta ahora, hay un problema, y es que todavía no se tiene claro el precio de los datos personales, podría ser mucho, podría ser poco, pero no está estandarizado, ni los datos de todos valen lo mismo. Además, justamente ahora mismo está en manos del TJUE una cuestión prejudicial lanzada por los tribunales de Luxemburgo, por Marx Schrems para que sea este alto tribunal quien decida si esto es posible en el caso de Facebook, y eso amigos, sentará la jurisprudencia de esta modalidad, lo malo es que en palacio las cosas van despacio…

Por otro lado, hasta ahora no se ha aplicado aunque se hace, así que para poder utilizar esta «metodología de pago» según se lee literalmente el artículo, se deben poner las condiciones claras, y en todo caso se debe respetar la normativa de protección de datos. Si tu empresa piensa en usarla, ánimo y suerte con la estrategia de cumplimiento antes, durante y después de la formalización del contrato, porque deberá estar embebida de privacidad por diseño y por defecto hasta en la medula de tu organización. Ojo, claramente no es imposible, solo hay que tener mucho cuidado, ser muy meticuloso y estricto.

Algunos datos interesantes… datos moneda, o el precio de las herramientas gratis.

Era de esperar que llegáramos hasta este punto, pues muchas veces no somos conscientes del precio que estamos pagando por determinados servicios cuando tenemos la sensación de no estar pagando ninguno en absoluto, por el sencillo hecho de que no hacemos aportación económica. Al final en estos casos, estamos dando acceso a nuestra esfera más privada, algo que tiene fuertes implicaciones éticas y esto puede acabar siendo intrusivo, por lo que es fundamental blindarle protección. En estos casos es donde se suele decir que el producto eres tú, o mejor, tus datos personales

Sin ir más lejos, con anterioridad a la Directiva, el Supervisor Europeo de Protección de Datos publicó una opinión un tanto crítica hacia ciertos aspectos de la misma. Por una parte, por considerar que no era apropiado referirse a “datos personales” en general, al identificarlos como medio de pago, pues sería más apropiado especificar a qué concretos datos nos referimos o pueden ser efectivamente considerados medio de pago; por otra, por el impacto que este hecho puede tener en los derechos y libertades fundamentales de las personas.

Pero ¿Y cuánto vale un dato personal, y quién lo dice?

Una anecdota para entenderlo:

Hace unos años, Jane Vertesi, profesora de Sociología de la Universidad de Princeton, decidió ocultar su embarazo en redes sociales e Interneten general, sin hacer ningún tipo de publicación al respecto, ni permitiendo que sus familiares, amigos o contactos lo hicieran, ni siquiera para felicitarla. Tampoco hizo ninguna compra on-line que tuviera relación con el embarazo, la maternidad o el bebé que estaba por llegar y, si se veía en la necesidad de ello, trataba de ocultar la información en la medida de lo posible.  ¿El motivo? Jane investigó y llegó a la conclusión de que, de media, en términos de marketing, un dato personal vale 10 centavos de dólar, pero el de una embarazada se multiplica hasta un dólar y medio… Y no estaba dispuesta a que ni ella ni su embarazo se convirtiesen en elementos rastreables a fin de generar negocio.  

En fin, Jane utilizo su método, pero hay miles de artículos hablando del valor de un dato personal, o includo de una identidad completa. Podríamos decir que depende de la calidad del dato, de la persona, de los tipos de datos, y de la rentabilidad asociada a estos puntos. Por eso uno de los retos es la definición del valor o de cómo definirlo. Poca cosa no es, y esperemos que no se tome a la ligera.

En conclusión…

Aunque hablamos de un cambio normativo reciente en nuestro ordenamiento, el debate en torno a este tema ya lleva tiempo sobre la mesa en Europa, y también aquí, y claramente no termina con este cambio, sino que esperemos que se reavive. Y ojala, esperemos que no necesitemos el TJUE mediante, lleguemos a un punto de encuentro que beneficie a todas las partes, y no que solo explote a una.

Y tú, ¿qué opinas sobre esto? Te invitamos a participar en nuestra sección de comentarios, o en nuestros perfiles en redes sociales. Y sobre todo a recordar, tú vales muchísimo, tus datos valen muchísimo, y los de tus amigos, conocidos y familiares; no los regales, no los expongas, no te descuides.

/0 Comentarios/por

La autoridad de control noruega decide no usar Facebook

Facebook y protección de datos

En el artículo de hoy, vamos a hablar de una decisión sin precedentes, tomada por la Autoridad de Control de Noruega, en relación al uso de Facebook, la valoración de los riesgos que ello implica y la importancia de la protección de datos en este ámbito.

Cuando se tratan datos personales, uno de los principios que hemos de cumplir, a tenor de lo dispuesto en el art. 13 RGPD, es el derecho a la información del interesado; en otras palabras, comunicarle quién va a tratar sus datos, con qué fines, durante cuánto tiempo… Como parte de este derecho, en el contenido del mismo, hay que notificarle al interesado si el tratamiento va a implicar alguna transferencia internacional de datos personales.

¿Qué son las transferencias internacionales de datos?

Aunque muchos ya estamos familiarizados con el término y con sus implicaciones, una transferencia internacional de datos es el fenómeno que se produce cuando tiene lugar un tratamiento de datos personales más allá de los límites de la Unión Europea.

Esto puede suceder con independencia de que nuestras sedes y nuestros servicios se ubiquen dentro del espacio europeo, si es que se da el caso de que trabajamos con algún proveedor, o usamos algún recurso, procedente del exterior. Tal es el caso, por ejemplo, de WhatsApp, MailChimp, Youtube, Microsoft o, para el supuesto que hoy planteamos, Facebook.

Todas las plataformas mencionadas nos suenan, y de sobra, porque están más que implementadas en nuestro día a día. Eso hace que las veamos como algo cotidiano, de uso común y, aparentemente, sin mayores factores a tener en cuenta.

No obstante, lo que ocurre con las transferencias internacionales de datos es que, si bien la Unión Europea está considerada como un entorno seguro, en materia de confidencialidad y privacidad, y entendemos que el marco normativo europeo ofrece la suficiente protección a la información, no se puede decir lo mismo de otros espacios. Y ahí es dónde está el quid de la cuestión.

La decisión de la Autoridad de Control noruega sobre Facebook

La razón que motiva la elaboración de este artículo es, precisamente, una decisión muy curiosa que acaba de tomar la Autoridad de Control noruega, en relación al uso de Facebook. Decisión que, hasta donde sabemos -como la propia entidad ha destacado- no había sido tramitada, hasta ahora, de la forma en que este órgano lo ha hecho, por lo que fija un precedente.

La historia comienza cuando esta entidad -que sería la equivalente a nuestra AEPD, solo que en el país nórdico- se planteó la creación de un perfil o página oficial en Facebook, a fin de utilizarla como vía de comunicación con los usuarios que accedieran a la misma.

Hasta ahí, todo normal: prácticamente cualquier organismo, público o privado, nacional o internacional, cuenta con perfiles oficiales en Facebook u otras redes sociales.

La diferencia en la actuación de la autoridad noruega radica en que, con anterioridad a la toma de la decisión, decidieron desarrollar una evaluación de riesgos relativa a las implicaciones de la misma; es decir: tomar en consideración los riesgos que la apertura de dicha página podría conllevar, así como los efectos en los derechos de protección de datos de los interesados.

Las conclusiones de la autoridad noruega sobre Facebook

Una vez elaborada la correspondiente evaluación de riesgos, la citada Autoridad de Control, llegó a una serie de conclusiones en relación al uso de Facebook que, de forma resumida, te contamos:

  1. En primer lugar, el órgano determinó que, de proceder a la apertura de dicha página, no estarían cumpliendo, o al menos no de forma íntegra, con el art. 26 RGPD, que regula la corresponsabilidad en el tratamiento de datos personales.
  2. Por otra parte, también estimaron que el contenido del acuerdo estándar a suscribir con Facebook no tenía el carácter adecuado.
  3. Así mismo, la autoridad afirmó no estar segura de poder garantizar cómo se trataría la información de los usuarios que interactuaron con su página o con sus publicaciones (por ejemplo, dando “Me gusta”). Saber qué información se guardaría o durante cuánto tiempo escaparía totalmente fuera de su control.
  4. Por último -y, desde luego, no por ello menos importante- la autoridad también entendió, realizada dicha evaluación, que el riesgo asociado al tratamiento de datos personales de los usuarios a través de Facebook era demasiado alto, y que podría afectar a sus derechos y libertades.

Como no te habrá costado adivinar por las conclusiones extraídas, la Autoridad de Control noruega ha decidido no proceder a la apertura de una página en Facebook.

La relevancia de la decisión

Como comentábamos, por la información de que disponemos, es una decisión sin precedentes. Y no nos referimos a la decisión de no abrir un perfil en Facebook, sino a la realización de esa evaluación de riesgos previa.

Por lo que sabemos, y por los datos con que la propia Autoridad de Control noruega cuenta, es la primera vez que una organización procede de esta forma antes de efectuar tal acción. Sin duda, una decisión muy interesante, que abre la puerta a muchos planteamientos e inquietudes en este ámbito.

Tal y como indicamos unas líneas más arriba, estas tecnologías están totalmente implantadas en nuestra vida, y sería idealista tratar de ignorar su uso. Pero no por ello deberíamos olvidar los riesgos a que puede quedar expuesta la información personal cuando no se salvaguarda correctamente, o con las suficientes garantías.

La Autoridad de Control noruega considera que ha sido un paso dado en la buena dirección, y que probablemente la realización de estas acciones sería muy apropiada por parte de otras organizaciones y negocios. Y no podemos evitar coincidir con este criterio.

¿Y tú? ¿Usas las redes sociales como parte de tu actividad?

Si quieres saber más sobre esta decisión, te invitamos a leer la noticia que nos inspiró para escribir este post.

/0 Comentarios/por

Certificado COVID para acceso a establecimientos y RGPD

,

Este artículo sobre el certificado Covid como requisito obligatorio, establecido por el Gobierno de Canarias el pasado 21/07/21, para acceder a espacios públicos cerrados y actividades varias, ventajosamente a día de hoy (29/07/21) está modificado respecto a su idea inicial, que no era otra que dar recomendaciones a los obligados a cumplir la medida para reducir al mínimo el impacto en derechos y libertades de sus clientes, amigos y conocidos.

La medida ha sido suspendida cautelarmente, suponemos -aún no es público el fallo- que por lo desproporcionado de su aplicación, en tanto que era discriminatoria y limitaba derechos fundamentales de los ciudadanos. En todo caso ya que este post lo publicamos antes de conocer la suspensión, hemos decidido mantenerlo con variaciones, para información general.

¿Qué es el certificado covid?

El certificado COVID es un certificado digital que entró en funcionamiento, en todo el territorio de la Unión Europea, el pasado 1 de julio de 2021, y mediante el cual, la persona titular puede acreditar de forma oficial que:

  1. Ha sido vacunada contra la COVID-19
  2. Superó la enfermedad
  3. Se ha sometido recientemente a una prueba diagnóstica, con resultado negativo.

Es un documento gratuito que las personas que cumplan alguno de los requisitos anteriores pueden solicitar a las autoridades competentes de su país, en el caso de España, el Ministerio de Sanidad. El documento se puede obtener de forma sencilla a través de internet, y tiene como objetivo principal facilitar la movilidad de personas y la seguridad sanitaria dentro del territorio de la Unión.

En el momento de su entrada en funcionamiento las autoridades de la Unión fueron muy tajantes en recordar que “el certificado es un derecho, no una obligación”, por tanto, este artículo tiene como fin, intentar paliar los posibles efectos negativos que pueda tener tanto para interesados como para responsables RGPD, de la medida Canaria de exigir el certificado para otros fines.

Certificado Covid como medida de control de acceso a espacios públicos en Canarias

El pasado 26 de julio de 2021, el Gobierno de Canarias, publicaba una orden en el Boletín Oficial de la Comunidad Autónoma, donde indicaba que era necesario que, en aquellas islas que se encuentraban en las situaciones sanitarias denominadas Fase 3 y 4,  (actualmente, Gran Canaria, Fuerteventura, Tenerife y La Palma), se requeriría el certificado covid a cualquier persona mayor de edad que encajara en alguno de los siguientes supuestos:

  • Que acceda o permanezca en el interior de establecimientos de hostelería y restauración (Fases 3 y 4)
  • Que acuda a cualquier actividad cultural en cines, teatros, auditorios y en espacios culturales estables (Fase 4)
  • Que realice cualquier actividad física y deportiva no federada en zonas interiores de instalaciones y centros deportivos (Fase 4)
  • Que acceda o permanezca en establecimientos y locales de juego y apuestas (Fase 4)

Como era evidente, se trataba de medidas que afectaban a un abanico bastante amplio de las actividades que realizamos día a día y de los espacios a los que accedemos o acudimos, por lo que su importancia es innegable.

Antecedentes e implicaciones negativas de la medida

El antecedente de esta medida está en Francia, donde desde hace unos días el certificado covid es obligatorio para estas actividades y otras tantas. La cuestión es que en ese país existen mecanismos para obligar a vacunarse, mientras que en España sigue siendo voluntario.

Por tanto, desde el punto de vista de muchos juristas exigir el certificado covid así, podía ser una medida discriminatoria ya que la vacuna no es obligatoria, y porque algunos colectivos todavía no pueden acceder a ella, y por tanto vulneraba los derechos de libertad de elección y circulación de los interesados. Nuestra primera redacción de este post decía «Muy seguramente a día de hoy esta medida ya habrá sido recurrida por algún colectivo, con lo que en breve veremos si se mantiene o no su aplicación». Y justo hace unos minutos (29/07/21 16:00) conocimos la noticia que el Tribunal Superior de Justicia de Canarias suspendía cautelarme dicha iniciativa.

Ya hace unos días fuentes de la AEPD mostrarón su preocupación por el uso desproporcionado e injustificado de lo que un documento que está estrictamente relacionado con datos de salud. Aunque a su vez en informes anteriores sobre la pandemia ha indicado que la protección de datos no debe ser un freno en la lucha de las autoridades contra el virus.

Por su parte, el Comité Europeo de las Regiones, en un reciente informe, ha insistido en que el uso del certificado covid “no debe incurrir en un trato discriminatorio hacia personas no vacunadas, y siempre garantizando el derecho a la protección de datos

Ok a lo anterior pero había una orden que cumplir. ¿Cómo hacerlo limitando el impacto negativo en los derechos de los interesados?

Ya nos libramos de esta, pero y si no, ¿qué hubieramos tenido que hacer para cumplir con la orden, a la espera de la respuesta de los Tribunale

  • No almacenar información no necesaria (incluido el certificado)
  • Limitar la información y documentos que se solicitan, y en particular, que se almacenan
  • Formar al personal
  • Aplicar medidas de seguridad adecuadas

Para concluir…

Evidentemente, como ya hemos dicho, vivimos en una realidad sometida a constante cambio, y es algo que tenemos que tener muy en cuenta, pues es posible que en los próximos días dispongamos de más información acerca de esta u otras prácticas. Por ello, este artículo es susceptible de sufrir modificaciones y actualizaciones, así que, ¡mejor permanecer atentos!

Esperamos que hayas disfrutado de la lectura y hayas encontrado la respuesta a tus preguntas. Si no es así, no dudes en dejarnos un comentario o en contactar con nosotros: estaremos encantados de echarte una mano.

/0 Comentarios/por

Comprobar tu privacidad en Facebook

, , ,

Saber controlar y más aún comprobar la información que publicamos en nuestro perfil es importante para tener una navegación más segura en la red. Continuamente  exponemos nuestras vidas sin tener conocimiento de quién puede ver nuestras cosas. Para evitar sufrir alguna clase de acoso cibernético las redes sociales viven en constante evolución. Cada avance viene acompañado de mejoras en la seguridad que buscan generar confianza a sus usuarios a la hora de navegar en la red. Estás mejoras son herramientas de fácil alcance para que los usuarios configuren su privacidad.

Herramientas de seguridad

Facebook por su parte no se queda atrás y añade una herramienta para facilitar la administración de privacidad de nuestros datos. Teniendo en cuenta que esta red venía siendo criticado por dificultar el acceso a las configuraciones de privacidad; decide darle a los usuarios una nueva opción a fin de que con solo tres pasos se pueda revisar con quien compartimos las publicaciones, la información de las aplicaciones vinculadas y los datos de perfil.

En este blog tenemos como fin mostrarte cómo y cuál es la manera más segura de configurar nuestra cuenta de Facebook haciendo uso de esta nueva opción de comprobación. Sin embargo te dejamos el link de la página de servicio de ayuda de Facebook donde puedes encontrar más información sobre esta nueva herramienta.

Comprobar y Configurar

Para hacer uso de esta nueva herramienta realiza los siguientes pasos:

1: Da click en el icono en forma de pregunta situado en la parte superior derecha de la página de inicio

2 : Se desplegará una ventana emergente, como segundo paso debes seleccionar “Comprobación de la configuración de privacidad”

3 : En este paso se abrirá una nueva ventana. Como primera configuración tendrás que elegir quién verá los contenidos que publicas. Todo el mundo (“Público”). Sólo los amigos (“Amigos”) o personas determinadas (“Personalizado”).  Te aconsejamos en este caso que elijas “Amigos”. Así solo los que tengas agregados voluntariamente sabrán acerca de tus intereses.

4 : El siguiente paso reside en configurar qué tipo de público puede leer la información de tu perfil. Entre las opciones a configurar tenemos el empleo que tienes, la formación académica, la ciudad donde vives, tu numero de teléfono, correo electrónico entre otros.

Aquí te aconsejamos que dejes tu correo electrónico configurado para que sólo tus contactos puedan verlo. La  información que requiere de ubicaciones geográficas es netamente personal y te sugerimos que lo mantegas en privado.

5: El quinto y último paso hace referencia a las aplicaciones vinculadas con Facebook. Consiste en elegir quién ve las aplicaciones conectadas al perfil del usuario y los contenidos que éstas publican automáticamente, ejemplo. “Spotify” o “Instagram”. Para este caso te recomendamos que elijas la opción “Solo yo”. Así mantienes tus conexiones con otras aplicaciones en privado.

Por último confirmas todos los cambios anteriormente realizados. Sólo debes seleccionar la opción de “Finalizar” que se encuentra en la parte inferior derecha del recuadro.

Conclusiones

Cabe mencionar que en cada uno de los apartados, la plataforma facilita un acceso directo a un panel de configuración más amplio. Esto con el fin de hacer una configuración más completa sobre nuestros datos. Tiene que ser de nuestro interés mantener la privacidad de nuestros datos a salvo. Comprobar la configuración de privacidad no nos tarda más de 5 minutos  y si las aplicaciones generan éstas opciones que mejor que emplearlas y hacer buen uso de ellas.

/0 Comentarios/por