Entradas

¿Cómo cumplir con el RGPD cuando nos llega un currículum?

Cualquiera que gestiona un negocio o una empresa recibe, de cuando en cuando, un currículum, ya sea porque has abierto un proceso de selección, o porque alguien te lo entrega esporádicamente. Son situaciones que forman parte del día a día.

Todos tenemos claro qué es un currículum o CV: el documento que recoge la formación, experiencia y aptitudes profesionales de una persona. Y, por supuesto, muchos datos personales de su titular: su nombre y apellidos, su información de contacto, el lugar dónde vive y demás.

¿Ves por dónde vamos? Exacto: la recogida de un currículum implica, se mire por donde se mire, un tratamiento de datos personales sujeto a la normativa reguladora. Y, como es súper habitual y no siempre se hace del todo bien, hoy te damos algunas pautas y también respondemos dudas (y, de paso, desmontamos mitos).

El deber de información en la recogida de currículum

El RGPD es muy, muy claro en este sentido: cualquier tratamiento de datos personales -y, como ya hemos explicado, la recogida de currículum lo es- tiene que cumplir con una serie de mínimos. Entre ellos, garantizar que la persona recibe la información sobre cómo se van a tratar esos datos. En concreto, y como mínimo:

  • Quién va a tratar sus datos personales como responsable
  • Con qué finalidad se tratarán
  • Sobre qué base jurídica se sustenta el tratamiento
  • Durante cuánto tiempo se conservarán, o qué criterios se siguen para ello
  • A quién se comunicarán
  • Si se prevén transferencias internacionales de sus datos
  • Qué derechos reconoce el RGPD sobre dicha información

Pero, ¿Cómo y de qué forma tenemos que dar toda esa información?

Por regla general, la información deben proporcionarse en el momento en que se recogen los datos personales. ¿Cómo podemos aplicar esto cuando recogemos un CV? Hay varias maneras de hacerlo:

  • Formularios tipo “Trabaja con nosotros”. Son muy habituales, por ejemplo, en páginas web de empresa. Una manera de cumplir con lo descrito es incorporar la información sobre protección de datos al pie del mismo.
  • Plataformas, portales o similares. Si abres un proceso selectivo en alguno de estos espacios -sea tuyo propio o de un tercero- puedes proceder de la misma forma. También es muy habitual ver ofertas, por ejemplo, en redes sociales especializadas como LinkedIn, sobre la que ya te hablamos en un post anterior.
  • Recogida en mano o por correo electrónico. Si éste es tu caso, es recomendable que tengas un formulario informativo que entregues a la persona o bien que se lo envíes como respuesta, incluso automática, cuando te haga llegar su CV.

Entonces, ¿eso significa que puedo recoger currículum en mano?

Como te decíamos al inicio, aquí venimos a desmontar mitos y, desde que llegó el RGPD hace algunos años, hay uno muy extendido: el de que, por protección de datos, no se puede recoger un currículum en papel. Bueno, éste y todas sus variantes.

Y eso no es cierto: perfectamente puedes recoger un currículum en mano. Y no, no necesariamente tiene que ir en un sobre cerrado ni muchas otras cosas que se oyen por ahí, lo que sí tienes que asegurar es que cumples con el deber de informar en el momento de recibirlo. Por tanto, si alguien te entrega su currículum de manera presencial y quieres recogerlo, puedes, pero en el acto debes darle la información que ya te hemos explicado.

Esto no quiere decir que estés obligado a recoger un CV si alguien te lo quiere entregar en mano: tú eres dueño de tu negocio y decides cómo gestionarlo, por lo que si prefieres recibirlo por otra vía -o no recibirlo- puedes hacerlo.

Alguien te envía su CV y no lo quieres o no te interesa

Si no tienes activo un proceso de selección o en un determinado momento no te interesa recoger un CV, entonces no estarás tratando datos personales, por lo que no tienes que aplicar las obligaciones que hemos señalado.

Lo mismo ocurre en aquellos casos en que te llega un currículum por correo y lo eliminas sobre la marcha: no tienes que informar ni responder.

Lo que es importante que recuerdes es que siempre que conserves esa información, incluso aunque la dejes olvidada en tu bandeja de entrada o en un cajón -¡que NO debería!- sí que debes cumplir con los términos descritos.

¿Cuánto tiempo debo conservar la información de los candidatos?

No existe un plazo concreto de conservación de los datos asociados a un CV, si bien el RGPD insiste en que la información debe guardarse mientras sea necesaria para los fines de recogida.

Si estás amontonando papel y documentos sin justificación alguna, lo ideal es revisar periódicamente qué necesitas y qué no y destruir de forma efectiva aquello que ya no te hace falta.

Por si te es de utilidad, en el ámbito de la selección de personal, un plazo orientativo y muy utilizado para guardar la información es el de dos años, a contar desque que el currículum fue recibido. Transcurrido éste, mejor borrar.

Terceros intervinientes en la recogida de currículum

Hay que ser muy cuidadoso siempre que en un proceso de selección de personal intervienen terceros, para uno u otro fin.

Por ejemplo, si contratas a una empresa de selección o recurres a plataformas de búsqueda de profesionales, como comentamos anteriormente, es importante que valores bien a estos proveedores, asegurándote de que cumplen con los mínimos legales y de que tú respetas las obligaciones que la normativa impone para estos casos.

Lo mismo, si tienes en mente comunicar los datos de los candidatos a otras empresas o profesionales -algo habitual, por ejemplo, en grupos empresariales-, algo que también debe examinarse y siguiendo las pautas que marca la norma.

Éste es un tema muy extenso, complejo y que daría para otro post (o varios), pero la AEPD cuenta con una guía sobre relaciones laborales que es sencilla, útil y aclara muchas dudas.

Y, por supuesto, cuentas también con nuestras vías de contacto si necesitas atención especializada.

Consecuencias de incumplir el RGPD en el tratamiento de currículum

Como se suele decir: nunca pasa nada… hasta que pasa. Nuestra labor, como profesionales protección de datos es la de analizar los tratamientos y prever los posibles riesgos y consecuencias para evitar que repercutan negativamente en los derechos de las personas.

Volviendo al tema: ¿Qué puede pasar si no respetas los pasos que te hemos indicado? En ese caso, estarías en una situación de incumplimiento normativo, lo cual supone una infracción y puede llevar aparejada una sanción.

Por poner un ejemplo, hace un tiempo la AEPD sancionó a una empresa por no haber notificado a un candidato que habían recibido su currículum correctamente, así como por no haberle proporcionado la información que antes mencionábamos. El procedimiento terminó con una multa por cuantía de 2.000 euros.

/0 Comentarios/por

¿Podría un cliente acceder a nuestras comunicaciones internas?

Uno de los derechos que existen en el ámbito de la protección de datos es el derecho de acceso. Si bien el RGPD lo define muy bien, a veces surgen dudas sobre hasta dónde llega exactamente. Por ejemplo: ¿podría un cliente saber qué decimos sobre él en nuestros correos u otras comunicaciones de trabajo?

Cada vez es más frecuente -más aún desde el boom del teletrabajo- que usemos nuevas tecnologías en nuestras profesiones, incluso para comunicarnos con nuestros compañeros. Y muchas veces le restamos importancia, pues confiamos en que estamos en un entorno seguro y privado.

Pero, ¿y si nuestros clientes pudieran tener acceso a esas comunicaciones? Precisamente sobre esto se pronunció el Tribunal Federal de Justicia de Alemania, en una de sus resoluciones. En este post, analizamos la misma y te damos algunas recomendaciones para evitar riesgos.

El derecho de acceso: artículo 15, RGPD.

Como te contábamos, uno de los derechos (arts. 15 a 21) que reconoce el RGPD es el derecho de acceso. Sobre él, nos dice que es aquel que permite a una persona:

“obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen […]
Y, además, específica qué es lo que tenemos derecho a saber (o acceder):

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]

d) de ser posible, el plazo previsto de conservación de los datos personales […]

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles […].

Además, el RGPD también reconoce el derecho a saber si tus datos son objeto de alguna transferencia internacional de datos y bajo qué garantías. E incluso a obtener una copia de la información personal que tenga relación contigo.

Ampliación del derecho de acceso del interesado

Como ya te adelantábamos, en julio de 2021, el Tribunal Federal de Justicia de Alemania emitió una resolución muy importante en este sentido. ¿Por qué? Porque su decisión podría entenderse como una ampliación del derecho de acceso, de forma que abarcaría mucho más que lo que hasta ahora ha venido entendiéndose.

Primero, lo primero: los hechos que dieron lugar a la sentencia

Una persona demandó a su compañía aseguradora, solicitándole información sobre todos los datos personales suyos que tuviera. Aunque inicialmente se desestimó la demanda, dado que la compañía ya le había proporcionado información, el Tribunal Federal acabó dándole la razón al demandado, entendiendo que la compañía no había respondido adecuadamente a la solicitud

Los argumentos del Tribunal en su sentencia

El Tribunal considera que el derecho de acceso debe ser entendido en un sentido amplio y que no solo incluiría la información expresamente regulada en el RGPD. Así, abarcaría también información que conste en notas internas o tomadas a raíz de conversaciones telefónicas mantenidas con una persona.

Así mismo, el Tribunal entiende que el interesado tiene derecho a -valga la redundancia- ejercitar este derecho repetidamente, incluso aunque ya tuviera conocimiento de previa información o correspondencia.

¿Qué implica esta decisión?

Aunque se trate de una decisión emitida en Alemania, y pese a que la AEPD aún no ha publicado ninguna en este sentido, lo cierto es que debe ser muy tenida en cuenta. Uno de los objetivos del RGPD, como ya te contamos en este post, es precisamente el de unificar el marco normativo y la toma de decisiones en materia de protección de datos. En otras palabras: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.

Por ello, es necesario estar atentos a las decisiones que se dictan en otros Estados, porque probablemente anticipan lo que nuestras propias autoridades (la AEPD) acabarán decidiendo también.

¿Qué deberías tener en cuenta en tu empresa o trabajo?

Una decisión de este tipo, aplicada en el día a día de una empresa o profesional, podría implicar que, si una persona ejercita este derecho, podría llegar a acceder a toda la información que tengamos disponible sobre él: post-it, notas, correo electrónico y otras comunicaciones como aplicaciones de chat, siempre dentro de lo que es el ámbito de trabajo.

¿Lo mejor que podemos hacer? Ser respetuosos, profesionales y cuidadosos con la información personal que manejemos, en cualquier entorno. Es fácil que, especialmente si tenemos confianza con nuestros compañeros, se den situaciones en las que tendemos a relajarnos o adoptar un tono más informal, -todos lo hacemos- pero no debemos olvidarnos de que los datos que intercambiemos no solo son material de trabajo, sino lo que hagamos con ellos puede afectar a la persona que hay detrás.

Directrices del Comité Europeo de Protección de Datos

Además de todo lo que ya te hemos contado, el Comité Europeo de Protección de Datos también cuenta con unas directrices y pautas relativas al derecho de acceso. Aunque aún no está vigente el texto definitivo, hay puntos a destacar:

• El derecho de acceso es clave para proporcionar a la persona información suficiente, transparente y de fácil acceso sobre sus datos.

• Si bien facilita el ejercicio de los otros derechos de protección de datos, no es condición previa para poder ejercitarlos.

• Ante una solicitud de este tipo, es fundamental valorar: quién la hace, si va referida a datos personales, y si abarca todos o solo parte de los datos del interesado.

• Hay que garantizar que el acceso a los datos se hace de manera concisa, transparente e inteligible.

• Ningún derecho es absoluto, siempre hay limitaciones y restricciones. Tampoco puede servir para afectar a los derechos y libertades de otros.

• Por último, también recoge la posibilidad de que los responsables de tratamiento puedan rechazar o cobrar una tarifa razonable por solicitudes que consideren manifiestamente infundadas o excesivas. Eso sí, sin menoscabar los derechos gratuitos de los interesados.

Y, como somos buenos, cerramos con unos consejitos extra:

Si alguien ejercita sus derechos de protección de datos ante ti, es clave:

  1. Proporcionar una respuesta. Incluso aunque se deniegue el derecho, o no se reconozca ampliamente, sí o sí hay que responder.
  2. Responder en plazo. Un mes, desde que se ejercitó el derecho.
  3. No solo responder, sino hacerlo adecuadamente. Es decir, de forma íntegra, fundamentada y bien justificada

/0 Comentarios/por

Cumplir con la protección de datos en tu club de fútbol

Si has llegado hasta este artículo, muy probablemente tienes relación con algún club o equipo de fútbol. Ya sea porque eres uno de los jugadores, su presidente o incluso la persona que se asegura de que se cumpla con la protección de datos dentro del mismo, este post te interesa.

La protección de datos es una materia que aplica prácticamente en todos los ámbitos de nuestra vida, y el deportivo no es una excepción. Es importante saber qué papel juega la normativa en este sector y, por ello, en este artículo repasamos algunas recomendaciones básicas al respecto.

La protección de datos personales en España

En nuestro país, contamos con dos normas de referencia en protección de datos personales:

Ambas normas están en vigor desde el año 2018, pero aún nos encontramos con que, en algunos clubs, hay mucha tarea pendiente. Es importante que el club revise periódicamente su documentación y los cambios hechos en ella, para asegurar que se está cumpliendo con la normativa vigente.

Una pista sobre esto: la antigua ley de protección de datos existente en España era la LOPD 15/99. Esta norma ya no aplica y, sin embargo, todavía sigue apareciendo en muchos sitios (y esto está mal). Si encuentras alguna mención a ella en tus documentos o formularios, es una señal de que hay que ponerse al día.

El derecho de información en equipos y clubs de fútbol

Uno de los principales derechos protección de datos es el de información, el de saber qué ocurre con nuestros datos personales. Y es, al mismo tiempo, un deber, pues el club o equipo asume la obligación de proporcionar esa información a aquellos con quienes se relaciona.

Son muchas las vías a través de las que puede cumplirse con esto:

  • Formularios, sean en papel o en formato digital
  • Documentos de inscripción, preinscripción o similares
  • Contratos
  • Acuerdos de confidencialidad
  • Políticas de privacidad publicadas en web o portales del club
  • Licencias deportivas o similares
  • Bases legales de cursos o eventos organizados por el club

Lo importante es recordar que siempre que se recojan datos personales, hay que proporcionar información sobre su uso.

¿Por qué aplica la protección de datos a clubs y equipos de fútbol?

Un dato personal es cualquier información que nos sirve para identificar a una persona y su tratamiento exige cumplir con la normativa de protección de datos. Por ejemplo, un club trata datos de:

  • Los propios jugadores
  • Los entrenadores u otros colaboradores similares
  • Voluntarios
  • El Presidente, Vicepresidente y otros miembros de órganos de gobierno
  • Trabajadores del club
  • Proveedores del club
  • Muchos otros: alumnos inscritos en cursos, participantes en eventos o sorteos organizados por el club, etc.

Es importante tener esto en cuenta porque dentro de cada uno de esos grupos hay personas que tienen derechos en materia de privacidad, y el club debe velar por que se cumpla con la normativa en la relación con cada uno de ellos.

¿Puede el club acceder a datos de salud de sus jugadores?

Es razonable que un club de fútbol necesite acceder a determinada información sobre la salud de sus jugadores (o de otras personas implicadas). Esto sirve para comprobar que se encuentran en condiciones óptimas de salud, evitar incidentes y también para prevenir situaciones prohibidas, como el dopaje.

Los datos de salud entran dentro de los que la normativa considera “sensibles” o de categoría especial. Si ya de por sí hay que ser respetuoso con cualquier información sobre una persona, con este tipo de datos aún más.

Si bien el club puede acceder a datos de salud, es indispensable:

  • Tratar solo aquellos datos de salud que sean estrictamente necesarios y no cualesquiera otros
  • Procurar que sean conocidos únicamente por quien esté autorizado para ello, evitando el acceso de terceros
  • Aplicar medidas de seguridad que aseguren su protección y eviten su filtración
  • Cuando dejen de ser necesarios, valorar cómo se prescinde de ellos

¿Puede el club publicar información en web, RRSS y otros medios?

El fútbol es uno de los deportes más populares del mundo y que más interés despierta entre sus seguidores, que quieren estar al día sobre todo lo relacionado con su equipo. En este sentido, es lógico que aparezca información sobre el club y sus jugadores en página web, redes sociales y en medios de comunicación.

Si tu club tiene página web, es otro de los puntos en que aplica la normativa de protección de datos, pues debe estar adecuada y contar con sus textos y demás requisitos legales.

Si se va a publicar información o imágenes de los jugadores en redes, hay que valorar siempre qué es necesario publicar y qué no, es decir, qué cosas tienen realmente interés informativo. Es razonable que se haga pública información de interés para el club y sus seguidores, pero si hablamos de otros temas que salen de este estricto ámbito -por ejemplo, la vida personal de cada uno- siempre es conveniente valorar si tiene sentido darle difusión o no. O si, en su caso, hay obligación de ello, pues sabemos que a veces los clubes tienen que informar de sanciones, expulsiones u otras medidas de disciplina aplicadas a los jugadores.

Lo que hay que recordar es que, detrás la información, hay personas con derechos y siempre se pueden aplicar medidas para procurar su protección. Por ejemplo: si es posible, usar iniciales en lugar de un nombre completo. La protección de datos no está reñida con el derecho que todos tenemos a estar informados y recibir noticias. Y, por ello, hay formas de que coexistan

Menores de edad en equipos de fútbol

Todas las recomendaciones que hemos venido nombrando en este post aplican especialmente a los menores de edad, pues son mucho más vulnerables.

Cuando el club trate datos de menores de edad, también tiene que cumplir con el RGPD y la LOPDgdd, con aún más cuidado. Y esto aplica especialmente a algo ya comentado: las publicaciones en redes u otros medios. Por ejemplo, en 2021 la AEPD multó con 10.000 euros a un club deportivo por publicar fotos de una menor sin contar con autorización de ambos progenitores.

En protección de datos, cuando un niño alcanza la edad de 14 años, ya tiene derecho a consentir (con carácter general) sobre el tratamiento de sus datos personales. Si el niño es menor de 14, el consentimiento o autorizaciones necesariamente tendrá que venir de quienes tengan su patria potestad o tutela.

Relación con otros clubs o federaciones

En fútbol, es constante la relación entre equipos o incluso con federaciones o asociaciones deportivas. Y, como parte de esto, también es constante el intercambio de datos entre unos y otros.

Estas comunicaciones, en muchos casos, no solo están justificadas, sino que son necesarias para el normal desarrollo del equipo. Pero ello no quiere decir que pueda hacerse de cualquier manera: hay que ver qué se comunica, a quién, si hay que informar de ello, si hay que obtener un consentimiento, cómo se va a hacer, etc.

En cuanto a las federaciones o similares, puede ocurrir te exijan determinados requisitos de cumplimiento normativo o que tu club tenga que utilizar cláusulas, formularios u otros contenidos de protección de datos facilitados por éstas.

En Dataseg, asesoramos a alguna federación de futbol y estamos muy familiarizados con su funcionamiento y con el día a día de los clubs. Y precisamente sabemos que un solo artículo de nuestro blog, si bien es útil, no basta para hablar de todo lo que hace falta.

Si te preocupa que tu club de fútbol cumpla con la protección de datos, puedes contactar con nosotros para recibir asesoramiento a medida.

P.D. En este artículo nos hemos centrado en el fútbol, pero lo que aplica para éste, también lo hace para los demás deportes. Si lo tuyo es el baloncesto, el hockey o el tenis, también estamos a tu plena disposición.

/0 Comentarios/por

Protección de datos en ehealth e investigaciones científicas

El post de hoy se centra en un tema con muchísimas implicaciones y que requiere de sumo cuidado y atención: la protección de datos en investigaciones científicas y eHealth.

¿Qué tienen en común todas estas cosas entre sí? ¿Por qué importa la protección de datos? Recordemos que un dato personal es cualquier información que identifica -o hace identificable- a una persona. Y que, entre esa información, nos encontramos, por supuesto, con los datos de salud, que muchas veces hacen parte de trabajos de investigación, ensayos y desarrollos relacionados con eHealth.

Por todo ello, es fundamental entender cuándo estamos ante un tratamiento de datos, qué hay que cumplir y cómo hacerlo

¿Cuándo aplica la normativa de protección de datos a un proyecto de investigación?

En España, en cuanto a protección de datos, tenemos dos normas de referencia:

  • El Reglamento Europeo de Protección de Datos (RGPD)
  • La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDgdd)

Estas dos normas son de obligado cumplimiento siempre que tratemos información personal que pueda llegar a identificar a su titular.

En el ámbito de investigaciones y trabajos biomédicos principalmente deberemos tener en cuenta la Ley 41/2002 básica eguladora de la autonomía del paciente y la Ley 14/2007 de Investigación biomédica.

Si estamos desarrollando una solución de ehealth, o llevando a cabo un trabajo de investigación y manejamos datos personales, estamos sujetos a la normativa y toca cumplirla.

Un recordatorio a tener en cuenta: los datos, aun seudonimizados, continúan siendo datos personales. Por ejemplo, un número o código de empleado se puede contrastar con una base de datos y nos permite saber qué persona hay detrás del mismo. La seudonimización actúa, meramente, como una medida de seguridad, pero no evita la sujeción a la normativa. Nota: la sentencia reciente en el caso EU General Court in Case T-557/20, SRB v EDPS podemos apreciar una ligera variación que en algunos casos considera esta acción anonimización.

Datos de categoría especial: cuáles son y qué exige la normativa

El tema de la protección de datos en los ámbitos descritos tiene mucha importancia porque, por lo general, las investigaciones y trabajos de este tipo implican el tratamiento de datos de salud.

¿Y por qué es relevante esto? Porque ese tipo de datos se incluyen dentro de los que la norma llama sensibles o de categoría especial que, entre otros, son:

  • Datos genéticos
  • Datos biométricos dirigidos a identificar a una persona
  • Datos sobre salud

Si tu trabajo o investigación recae sobre alguna de las informaciones dadas, es indispensable que, antes de iniciarlo (o, si ya lo has hecho, de seguir avanzando), veas cómo cumplir la normativa.

Y es fundamental hacer esto porque, con carácter general, el tratamiento de datos sensibles está prohibido por norma, si bien hay excepciones que levantan esa prohibición. No entraremos en cada una de ellas, pero sí en algunas que pueden ser interesantes para el tema que aquí tratamos:

  • Que la persona haya dado su consentimiento
  • Que el tratamiento de esos datos sea necesario con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  • Por fines de medicina preventiva o laboral o interés público en el ámbito de la salud pública

Derecho de información de los participantes en el estudio

Como siempre decimos, la protección de datos no busca salvaguardar el “dato” como tal. La información, por sí misma, no tiene valor: lo que lo tiene es la persona que hay detrás de ella.

Uno de los derechos más elementales en protección de datos -y que es, a su vez, un deber- es el de información: el derecho que tiene la persona a saber, de forma transparente, sencilla y clara, qué se hace con sus datos personales.

En una investigación o trabajo de este tipo, es primordial:

  • Proporcionar al interesado la información sobre el tratamiento de datos
  • Con carácter general, esta obligación la tiene que cumplir la Universidad o centro docente de que se trate, a través de sus investigadores, docentes o similares.
  • En un estudio en que participen menores de 14 años, se informará a sus representantes. Con menores de edad mayores de 14 años, la información se adaptará para que sea accesible a estos.

El consentimiento y otras bases jurídicas aplicables

Siempre que sea posible, en un trabajo o investigación, lo preferible será evitar tratar datos personales. Pero, si es necesario tratarlos, es indispensable que se haga bien, y una parte fundamental de esto es buscar una base legal adecuada.

La base jurídica más conocida para el tratamiento de datos personales es el consentimiento, pero no es la única que existe. Sin embargo, para los trabajos de investigación, especialmente si implican datos sensibles, con carácter general será la más adecuada, lo que supone que tendrá que ser obtenido de los participantes (En la Ley 14/2007 es la que recoge la Ley como base legitimadora).

¿Qué características tiene que tener el consentimiento?

  • Inequívoco, en el sentido de ser una clara acción afirmativa
  • Libre, prestado sin coacción o condiciones, voluntariamente
  • Recogido de forma clara, sencilla
  • Capaz de ser probado
  • Revocable, pudiendo ser retirado en cualquier momento

En cualquier caso, como hemos dicho, no es el consentimiento lo único que nos habilita para tratar datos personales, pues el RGPD contempla (art. 6) otras opciones. Así, en un trabajo o investigación, podríamos llegar entender que existe un interés público o incluso una relación contractual. Pero todo esto hay que analizarlo caso por caso, con un equipo especializado, y antes de empezar a trabajar.

Antes, durante y después del proyecto: cómo cumplir la normativa

Como pautas generales de cumplimiento para cada fase del proyecto, desde su comienzo a su fin, te damos algunos tips clave:

Antes del proyecto

En protección de datos, hay un concepto de vital importancia, que es el de “privacidad desde el diseño”, según el cual los tratamientos de datos hay que diseñarlos y preverlos antes de empezar a llevarlos a cabo, y no al revés.

En un proyecto o investigación, debes plantearte qué quieres hacer, si lo que vas a hacer implica tratamiento de datos personales o no y cómo vas a asegurar que ese tratamiento se desarrolle de forma cumplidora. Una forma de hacer esto es valorando el riesgo y potencial impacto que el proyecto puede suponer para los derechos de los participantes.

Durante el proyecto

Es fundamental que, mientras el proyecto se desarrolla, te asegures de cumplir todas las obligaciones y recomendaciones que hemos venido dando. Por ejemplo, y con especial importancia, brindando información a los participantes y recogiendo -puede ser mediante formulario- los consentimientos necesarios.

Monitorizar continuamente el entorno interno y externo de la organización es otro paso a aplicar, así como ser consciente de los cambios en la normativa. También, aplicar medidas de prevención, de formación y de recuperación ante ataques e involucrar a todos los intervinientes, a fin de que cada uno de ellos esté haciendo lo correcto para proteger la privacidad de los usuarios mientras se desarrolla el proyecto.

Si surge cualquier incidente o cambio, es necesario estar preparado para darle una respuesta. Y estas obligaciones deben perdurar y mantenerse estables mientras se desarrolla el mismo.

Después del proyecto

Las obligaciones de privacidad y confidencialidad contraídas no terminan una vez el proyecto o investigación ha concluido, pues permanecen vigentes. Debes asegurarte de que todo aquello que se ha hecho para cumplir no caiga en saco roto una vez que la investigación finaliza.

También es el momento idóneo para ver qué ocurre con los datos que ya no necesitas: si debes o no debes conservar algo, si has de devolver información, si tienes que destruirla (y, en su caso, de qué manera).

Todo proyecto y todo tratamiento de datos es un mundo, por lo que, caso por caso, tocará analizar y definir lo que sea necesario.

Medidas de seguridad sobre los datos personales

Es preciso disponer de medidas y sistemas de seguridad que aseguren, sobre todo, medios robustos de comunicación y transmisión de los datos personales. Es fundamental analizar qué herramientas o requisitos necesitamos para asegurar que la información personal que cae en nuestras manos está segura.

Esto pasa por exigir la firma de acuerdos de confidencialidad, evaluar la seguridad de los sistemas informáticos, controlar los accesos y privilegios o a quién se le envía información. Y, a nivel privacidad, hay dos instrumentos básicos que la norma regula:

  • El análisis de riesgos: implica evaluar el riesgo que la acción llevada a cabo supone en cuanto a privacidad. Pasa por describir el propio tratamiento, identificar cuáles son los factores de riesgo y el nivel del mismo, determinar la forma de tratarlo y las concretas medidas de control a aplicar.
  • La evaluación de impacto: esta acción no es obligatoria en todos los tratamientos de datos, pero sí en algunos de ellos, por lo que es necesario identificar si tu trabajo requiere de la misma o no. Te adelantamos que, si tu proyecto o investigación implica datos de salud o biomédicos, esta evaluación es obligatoria.

¿Lo anterior te deja con más dudas que antes de empezar a leer? Es normal, dado que este ámbito es muy complejo, y hay muchas preguntas que tener en cuenta. Podríamos dedicarle muchos artículos al tema, pero también puedes preguntarnos lo que necesites.

Datos de salud y tecnología: eHealth y la vigilancia sobre los usuarios

Entendemos por “eHealth” o “eSalud” cualquier atención o vigilancia de la salud enfocada desde la aplicación de tecnologías de la comunicación o la información.

Un teléfono móvil, por ejemplo, permite acceder prácticamente a cualquier información sobre la vida de su portador. Y, evidentemente, no nos comportamos igual cuando sabemos que nos vigilan, vigilancia que, además, nos hace vulnerables.

No entraremos en exceso en este tema, pues también tiene lo suyo. Pero sí es fundamental saber que un proyecto de estas características, sí o sí, debe cumplir con las acciones y mínimos recogidos en este artículo. Y, más allá de ello, no hay que olvidar que al mismo tiempo que se resuelve un problema o desafío médico, se hace frente a un desafío desde el punto de vista de la privacidad: son conceptos que, inevitablemente, van de la mano.

Hay mucha tecnología que permite hacer que ambas ideas coexistan y funcionen; lo que hemos de lograr es buscar soluciones que ofrezcan respuestas transparentes y proporcionales e ir construyendo, progresivamente, una cultura de protección de la privacidad.

Mantener la información de la persona protegida y asegurar su confidencialidad es fundamental, especialmente si hay riesgo de que esa información sea usada para estigmatizarla o discriminarla.

Antes de irnos, te dejamos este enlace, en el que puedes consultar todo lo que la AEPD ha publicado sobre investigación sanitaria y ensayos clínicos.

/0 Comentarios/por

Protección del denunciante en la Administración pública y entidades dependientes

,

La recién llegada ley “whistleblowing” ha generado mucho revuelo en las empresas, pero no hay que olvidar que también afecta a la Administración Pública. Esta nueva norma está dando mucho que hablar, tanto que en Dataseg ya hemos publicado dos artículos al respecto: un resumen de puntos clave y un post con sus implicaciones en protección de datos.

En esta nueva entrega, analizamos la ley desde el punto de vista de su impacto en el sector público, centrándonos en algunos aspectos que nos parecen fundamentales.

Entidades del sector público obligadas a tener un sistema de denuncias

Como ya te hemos contado en anteriores artículos, esta ley nace con el objetivo de obligar a determinadas entidades a contar con un sistema interno de denuncias, así como con el fin de proteger a quienes hagan uso del mismo.

¿A quiénes aplica esta obligación dentro del sector público? La norma es muy clara en este sentido, pues en su art. 13 señala que afecta a “todas las entidades que integran el sector público”. Por si acaso, la ley especifica:

• Administración General del Estado
• Administración de las Comunidades Autónomas
• Ciudades con estatuto de autonomía
• Administración Local
• Organismos y entidades públicas vinculadas o dependientes de la Administración
• Asociaciones y corporaciones en las que participen Administraciones y organismos públicos
• Autoridades administrativas independientes
• El Banco de España
• Entidades gestoras y servicios comunes de la Seguridad Social
Universidades públicas
Corporaciones de Derecho público
Fundaciones del sector público
Sociedades mercantiles con participación de capital público superior al 50%
• Órganos constitucionales o de relevancia constitucional

Es importante tener en cuenta este listado, dado que, desde la llegada de la ley -te recordamos que está en vigor desde el pasado 13 de marzo– se ha extendido mucho la idea de que solo aplica a empresas con más de 50 trabajadores.

Pero su alcance no queda ahí, por lo que si tu entidad encaja en lo indicado, es importante que tengas en cuenta que debes disponer del canal de denuncias.

¿Hay particularidades para alguna entidad pública?

La ley prevé una serie de particularidades, por ejemplo, para los municipios con menos de 10.000 habitantes, que pueden compartir el sistema de denuncias con otros municipios o administraciones de la Comunidad Autónoma.

También pueden hacer lo propio las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales y que tengan menos de cincuenta empleados, que podrían compartir su sistema con la Administración de que dependen.

Lo anterior, en todo caso, debe hacerse asegurando la independencia entre sistemas y la facilidad y transparencia para el ciudadano.

El DPO en el sistema de denuncias

Si bien la obligación e nombramiento del delegado de protección de datos que aparecía en el borrador de Ley para que quienes debieran cumplir esta normativa tuvieran también deben nombrar un DPO se eliminó de la Ley, sigue en sus considerandos. Además de lo anterior, el DPO una de las figuras con capacidad de acceso a los datos personales recogidos en el canal de denuncias.

Te recordamos que el DPO es una figura que existe en el marco de la protección de datos, fue creada por el RGPD, y se define como aquella persona o empresa que se asegura de que en una organización se cumple con la normativa reguladora. Trabaja de forma confidencial e independiente y tiene funciones de:

• Información y asesoramiento
Supervisión de cumplimiento normativo
• Asignación de responsabilidades
• Formación del personal
• Realización de auditorías
Cooperación con la autoridad de control

Este es uno de los servicios que prestamos desde Dataseg, así que puedes contactar con nosotros en caso de necesitar más información.

Cumplir con el Esquema Nacional de Seguridad

Por último, no queremos perder la oportunidad de recordarte la importancia del Esquema Nacional de Seguridad (ENS) para las entidades de la Administración Pública.

El ENS es una normativa que establece la política de seguridad el uso de medios electrónicos relacionados con la Administración Pública, con el fin de que la información, las comunicaciones, los servicios y los sistemas estén correctamente protegidos. Así, el ENS busca crear unas condiciones de confianza entre Administración y ciudadano, mediante el establecimiento de medidas de seguridad adecuadas.

Y es fundamental tener cumplir con el ENS en cualquier actuación que lleve a cabo la Administración en el ámbito electrónico, y ello incluye la creación y posterior gestión de los canales de denuncias, que deberán ajustarse a los criterios y requisitos mínimos de esta normativa.

/0 Comentarios/por

Te presentamos al DPO: qué es y cómo saber si debes nombrarlo

Algunos artículos atrás, te hablamos de la recién llegada “ley Whistleblowing” y, con ella, de la obligación para algunas entidades de nombrar un Delegado de Protección de Datos. Pero, hasta ahora, no hemos dedicado ninguno de nuestros posts a hablar precisamente de esta figura; el Delegado de Protección de Datos, también llamado DPO o DPD.

Como se suele decir: mejor tarde que nunca. Así que, aferrándonos a este dicho, hoy te hablamos de esta figura creada por el RGPD, sus funciones y si es obligatorio contar con uno o no.

Primero, lo primero: ¿qué es un Delegado de Protección de Datos?

Como ya te adelantábamos, el delegado de protección de datos, DPD o DPO, es una figura creada por el RGPD, que lo regula entre sus artículos 37 y 39. El DPO es la persona física o jurídica que se encarga de velar por que dentro de una organización se cumpla con la normativa de protección de datos y, para ello, supervisa todo lo relacionado con ella.

Ojo al dato: puede ser una persona física o jurídica, y puede formar parte, o no, de la organización. Por ejemplo; si tienes una empresa, puedes, a su vez, contratar a otra empresa o persona especializada para que sea el DPO de la tuya (éste, por ejemplo, es uno de los servicios que prestamos en Dataseg).

También es importante saber que, aunque hay muchos cursos, e incluso un examen oficial de certificación de DPO, no se exige que un delegado de protección de datos tenga ninguna formación específica; pero siempre es recomendable que tenga conocimientos jurídicos, dadas las características de su cargo.

¿Cuál es la función de un delegado de protección de datos?

El DPO es el “vigilante” de la protección de datos y de su cumplimiento dentro de una organización. Para ello, tiene asignadas unas funciones claras, que son:

  • Informar y asesorar sobre las obligaciones que, en virtud de la normativa vigente reguladora de la protección de datos, hay que cumplir
  • Supervisar ese cumplimiento. Para esto, el DPO puede asignar responsabilidades a otros sujetos, impartir formación, concienciar a los empleados e incluso realizar auditorías
  • Asesorar acerca de la realización de evaluaciones de impacto relativas a la protección de datos
  • Cooperar con la autoridad de control. En nuestro caso, la AEPD. Así como actuar como punto de contacto con ésta, por ejemplo, cuando hay consultas relativas al tratamiento de datos.

Aunque esas son las funciones que, en concreto, recoge el RGPD, evidentemente se abre un abanico de posibilidades; pues cualquier cuestión que tenga relación con protección de datos en la organización, debería pasar necesariamente por el conocimiento y supervisión previa del DPO.

¿Cuándo es obligatorio designar un DPO?

El RGPD recoge tres supuestos concretos en los que es preciso contar con esta figura:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de datos relativos a condenas e infracciones penales.

Pero, además, la LOPDgdd 3/2018 recoge una lista tasada de otras situaciones que requieren del nombramiento de un DPO. Son muchas, y no las enumeraremos todas, pero esta relación incluye, por ejemplo, a los colegios profesionales o los centros docentes. Puedes consultar el listado completo en el artículo 34 de la norma, que aquí enlazamos.

Y no podemos olvidarnos de la recién llegada Ley Whistleblowing, de la que ya te hemos hablado en artículos anteriores, que está en vigor desde el pasado 13 de marzo.

Esta nueva norma recoge la obligación, para un considerable número de entidades públicas y privadas, de contar con un canal interno de denuncias y de nombrar un delegado de protección de datos. Con carácter general, esta obligación afecta a:

  • Personas físicas o jurídicas con más de 50 trabajadores
  • Partidos políticos, sindicatos, organizaciones empresariales y fundaciones que manejen fondos públicos
  • Empresas en el ámbito de servicios, productos y mercados financieros; prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente
  • Todas las entidades que integran el sector público, aunque con excepciones para municipios, administraciones o entidades pequeñas.

Si piensas que tu organización puede encajar en alguno de los supuestos contemplados, es importante que revises si necesitas contar con un DPO.

¿Qué pasa si no cumplo con las normas que regulan la figura del DPO?

Tanto el RGPD como la LOPDgdd disponen de un marco sancionador, asociado a infracciones en materia de protección de datos, que se estructuran y clasifican conforme a su gravedad. De entre las diferentes situaciones que pueden darse en el panorama del incumplimiento normativo, hay algunas que se relacionan directamente con la figura del Delegado de Protección de Datos.

Infracciones relacionadas con la figura del DPO

Los artículos 73 y 74 de la LOPDgdd recogen que las siguientes infracciones relacionadas con la figura del DPO, con independencia del periodo de prescripción, podrán sufrir una multa administrativa de entre 0 y 10 millones de euros, o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (conforme el artículo 83.4)

  1. No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la AEPD cuando su nombramiento sea exigible (art. 74.p LOPDgdd). ¡Ojo! Tienes que tener este punto en cuenta: cuando designes un DPO, debes notificarlo a la AEPD para que conste en su registro.
  2. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento. (art. 73. LOPDgdd)
  3. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones (art. 73. LOPDgdd)

Hasta aquí nuestra presentación de esta figura que el RGPD creó hace ya unos años, y con la que todavía parece que, en algunos casos, no estamos del todo familiarizados.

Si te has quedado con dudas o necesitas un asesoramiento personalizado, te invitamos a ponerte en contacto con nosotros o a dejarnos un comentario.

¡Gracias por leernos y hasta la próxima!

/0 Comentarios/por

Cumplimiento web. Tratamiento de fotos y comentarios en la web

, ,

¿Puedo publicar fotos de mis clientes en Internet y redes sociales y tener un cumplimiento web adecuado? Quizás es algo que te has preguntado más de una vez ya que su uso ayuda a posicionar y generar visitas a tu web. En este post te damos las claves para que puedas utilizar las redes como lanzadera al mundo, a la par que cumples con la normativa de protección de datos.

Comentarios en blog, opiniones y valoraciones. Cumplimiento web

Es probable que, para dar a conocer tu negocio e interactuar con los usuarios, cuentes con un blog o con un espacio en el que estos puedan hacer valoraciones sobre tus servicios o dejarte comentarios. Si son espacios de terceros, como son las RRSS será responsabilidad de dicha red social cumplir con el RGPD. Si, por el contrario es espacio propio -por ejemplo, un blog o un libro de visitas en tu web- eres tú el responsable. ¿Cómo puedes hacer que sea un entorno seguro y cumplidor? Aquí tienes algunos consejos:

  • Pide solo los datos estrictamente necesarios para la finalidad perseguida. Si, por ejemplo, tienes un blog en que los usuarios pueden publicar su comentario, probablemente baste con disponer del comentario en sí y de un nombre y no será necesario nada más.
  • Proporciona la información del tratamiento de sus datos a los usuarios. En cada formulario en el que recojas datos debe aparecer la información básica sobre protección, y luego debes redirijir a la información adicional. ¿Un ejemplo práctico de esto? Lo tienes en nuestro formulario de contacto.
  • Si vas a usar los datos recogidos para otros fines, además del principal, debes informarlo y solicitar el consentimiento previo -si es necesario-. El cumplimiento web de los derechos y libertades de tus interesados debe ser una prioridad.

Fotos, vídeos y otro contenido audiovisual

Si quieres utilizar tu web o redes sociales para publicar contenido audiovisual en el que aparezcan tus clientes -u otras personas- presta atención:

  • Lo primero que debes hacer es solicitar el consentimiento de las personas afectadas. Nunca debes publicar una foto, vídeo o contenido similar de alguien si no cuentas con autorización previa para ello.
  • Puedes hacer uso de tecnologías como el pixelado de imágenes para evitar que se reconozca a las personas en el contenido publicado. Si no son identificables, no es necesario su consentimiento, pero has de ser muy cuidadoso con esto.
  • Cuando pidas permiso a la persona para publicar su imagen, no olvides informarla de qué uso le vas a dar. El derecho de información del art. 13 RGPD es una de las claves de la normativa de protección de datos. También es conveniente que reflejes esto en tu política de privacidad, términos de uso o similares.
  • Ten cuidado cuando trates con personas especialmente vulnerables, como los menores de edad. En este caso, necesitarás el consentimiento de sus representantes legales.
  • Las personas tienen derechos y, en consecuencia, son dueños de sus datos. Si alguien te pide que elimines una foto en la que aparece, debes seguir sus indicaciones.

Cómo gestionar las imágenes de trabajadores

En el caso de empleados, personal en prácticas, becarios y demás, debes aplicar todo lo ya dicho. Pero también hay algunos consejos que quizás podrían ayudarte a reforzar tu cumplimiento

  • Lo primero que tienes que recordar es que serán tus empleados, pero siguen siendo dueños de sus datos. Algunos datos relativos a su posición en tu empresa y la finalidad de la publicación podría ser posible publicar algunos datos sin cosentimiento; ahora bien, los contenidos con objeto promocional y del día a día, pueden requereir el consentimiento previo.
  • Puedes aprovechar documentos que regulan vuestra relación profesional para informarles del tratamiento de datos para estos fines. En los casos que se requiera su consentimiento, puedes hacerlo en ese momento, y a la hora de seleccionar los contenidos.
  • ¿Y si un trabajador abandona la empresa? Puede darse el caso de que un empleado con el que mantenías una relación laboral apareciera, en su momento, en un vídeo o foto de empresa. El solo hecho de que ya no forme parte de la empresa no es motivo para que tengas que borrar su imagen, puede seguir ahí; eso sí, si te lo pide, deberás proceder a hacerlo. En cualquier caso, siempre es conveniente que revises tus redes periódicamente, y compruebes si tiene sentido que determinados contenidos sigan publicados

En conclusión…

Una página web o un perfil en redes pueden convertirse en grandes aliados a la hora de promocionar un negocio, actividad o proyecto, pero todo tratamiento de datos en su ámbito debe cumplir la normativa correspondiente.

Es fundamental que dispongas de las medidas y pautas necesarias para garantizar los derechos digitales de las personas, y para cumplir con la normativa de protección de datos. Con los consejos que hemos puesto a tu disposición en este artículo, ya tienes parte del trabajo de cumplimiento web hecho. Pero también dispones de otros recursos interesantes, como la Guía de la AEPD sobre privacidad y seguridad en Internet y, por supuesto, con nuestra ayuda como profesionales en la materia.

/0 Comentarios/por

Reciclaje y RGPD: cumplir correctamente

,

¿Qué relación hay entre el reciclaje y la digitalización? A simple vista, puede parecer que no tienen relación alguna, pero van más de la mano de lo que creemos.

Muchas empresas se han sometido a procesos de transformación digital en los últimos años, dando lugar a cambios en su forma de trabajar y a que el papel, hasta ahora un gran aliado en el lugar de trabajo, quede relegado a un segundo plano, pues tendemos a optar por otras alternativas más cómodas, sostenibles y seguras.

Aun así, ¿sabías que, de media, un trabajador puede llegar a consumir hasta 60 kg de papel y cartón por año en la oficina? Por tanto, aunque con menos fuerza, el papel sigue estando ahí y, por eso, en este post, queremos contarte todos los aspectos que tienes que tener en cuenta para apostar por el reciclaje, la reutilización y la destrucción segura de los documentos que manejes, en cumplimiento con el RGPD y asegurando la protección de los datos que trates.

¿Cómo destruir o eliminar los datos correctamente?

Cuando hablamos de tratamiento de datos, nos referimos a cualquier operación o actividad que podamos llevar sobre ellos, desde la simple recogida, hasta la destrucción. Y, por ello, durante todo el ciclo de vida de esa información, y hasta el mismo momento en que la eliminemos, debemos adoptar medidas que aseguren su protección.

Hay muchas formas de destruir la documentación de forma segura, desde proceder a su queme hasta usar una destructora de papel (recomendamos esta última especialmente). También puedes hacerlo manualmente, pero siempre asegurándote de que no sea posible reconstruir fragmentos o identificar algún dato.

Conserva sólo aquello que necesites

Nuestra normativa de protección de datos es muy joven y, por ello, aunque fija criterios como el de limitación del plazo de conservación, que implica que los datos no pueden conservarse indefinidamente, no existen muchos plazos concretos de conservación en nuestro ordenamiento jurídico, pues no se ha actualizado en ese sentido. Pero es importante que recuerdes esa premisa: solo debes conservar la información si existe una justificación para ello.

Por ello, es conveniente que lleves a cabo una revisión periódica de los datos de que dispongan, a fin de determinar si debes borrarlos. Puede ser que aún los necesites para dar cumplimiento a tus obligaciones legales o contractuales, o por otras exigencias; pero, si no encuentras justificación de tipo alguno, lo mejor es no conservar esa información.

Busca proveedores que reciclen o destruyan de forma segura

Otra vía para implementar buenas políticas de reciclaje o destrucción segura de la documentación en tu organización, es colaborar con prestadores de servicio especializados en estas áreas. Son muchas las empresas que se dedican a la custodia de documentos, y también las hay que proceden a su transporte y destrucción segura, o a su reciclaje.

Has de tener en cuenta que, si contratas uno de estos servicios, ese prestador puede acceder, aun de forma indirecta, a datos que son de tu responsabilidad, por lo que debes ser precavido a la hora de seleccionarlos. En este sentido, puede resultar muy útil que el prestador contratado cuente con documentación acreditativa de que sus procesos y métodos de trabajo son seguros, por ejemplo, certificados como la UNE 15713, de destrucción segura de material confidencial.

Reciclaje y RGPD: aspectos importantes a tener en cuenta

Muchos espacios de trabajo disponen de un entorno en el que se almacenan folios reciclados. Es decir: papel que ya se ha utilizado para alguna función anterior pero que continúa estando en buen estado, por lo que se guarda para su reutilización. Si éste es tu caso, hay algunas recomendaciones que te serán muy útiles:

  • Antes de proceder al reciclaje o reutilización del material, examina bien su contenido
  • Si incluye datos personales, deberás implementar medidas para que los mismos no sean identificables, como su tachado, por ejemplo
  • Si lo anterior no resulta posible y los datos quedan a la vista, siempre es mejor proceder a la destrucción segura del documento. Esto es sumamente importante, e incluso hay una sanción de la AEPD a una abogada por reutilizar documentos que incluían información personal en el reverso
  • Preferiblemente, los folios reciclados debes usarlos para gestiones internas, anotaciones o similares, y no para finalidades que exijan que sean accesibles por terceros, tanto por limpieza y estética, como por seguridad.

Protocolo para un reciclaje seguro

Como siempre, para actuar de forma correcta en materia de protección de datos, lo mejor es prever los riesgos antes de pasar a la acción. Por ello, como buena práctica, te recomendamos que crees en tu organización un protocolo de reciclaje, reutilización y destrucción segura de los datos, y así ya dispondrás de pautas para saber cómo actuar.

Todo lo tratado en este post puede servirte de inspiración, pero como idea, algunos aspectos que podrías incluir en el mismo:

  • Qué documentos pueden reutilizarse y cuáles no
  • Cómo destruir la información de forma segura
  • Cómo manejar o qué uso dar a los documentos reciclados
  • Quién puede acceder a esos documentos
  • Cómo actuar ante una brecha de seguridad relacionada con lo anterior
  • Y, aunque no ha sido el tema principal del post, implementar medidas de destrucción segura de los archivos digitales. Por ejemplo, dispones de diversos programas y aplicaciones que pueden ser de mucha ayuda para ello.

Para ir cerrando…

Es enormemente positivo que cada vez sean más las organizaciones que optan por el reciclaje, pero no debemos olvidar el impacto que, como hemos visto, pueden tener estas prácticas en los datos y su protección. Asegúrate de disponer de las herramientas suficientes para tener métodos seguros, cumplidores y, sin duda, crearás un entorno más sostenible, a la par que evitas incumplimientos normativos. ¡Gracias por leer!

/0 Comentarios/por

E-mail marketing y RGPD: claves y recomendaciones

E-mail marketing, mailing… son varios los términos que podemos utilizar para referirnos a la misma actividad: envío de publicidad directa.
Pongamos que acabas de inaugurar tu empresa y necesitas darte a conocer; o quizás ya estás en pleno rendimiento y necesitas seguir fidelizando, o vas a organizar algún evento o algo ¿cómo haces la promoción?.

Evidentemente, están las alternativas de toda la vida: un anuncio en el periódico, el panfleto, una valla publicitaria… pero seguro que no son las primeras que te vienen a la mente. Muy probablemente hayas pensado en redes sociales, una lista de difusión en WhatsApp o un correo masivo. Y, de ahí, la razón de ser de este post.

¿Qué entendemos por mailing o e-mail marketing?

El e-mail marketing incluye todas aquellas técnicas de marketing directo de que hace uso una empresa o profesional para conseguir visibilidad, incremento en las ventas o promoción; en definitiva: una forma de hacer publicidad. Principalmente, se desarrolla a través de correo electrónico, pero también hay otros recursos, como el SMS, WhatsApp, Telegram u otras apps de mensajería instantánea.

Hace un tiempo, publicamos un artículo con claves para combinar el uso de redes WiFi y el cumplimiento del RGPD. Ahora haremos lo propio, pero esta vez con el mailing.

E-mail marketing y consentimiento: todo lo que necesitas saber


El consentimiento juega un papel fundamental en el marco de la protección de datos, y no podía ser menos en el tema que nos trae aquí hoy. La LSSI, en su art. 21.1, es muy clara, indicando que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. ¿Quiere esto decir que, para hacer envío de publicidad o promociones, debo contar con el consentimiento de la persona? Efectivamente, así es. Pero sigue leyendo, que te contamos más…

Consentimiento vs. interés legítimo en el envío de publicidad


Aunque muchos creen que para tratar datos sí o sí hace falta el consentimiento, esto no es correcto, y en esta área tenemos un ejemplo claro. Si seguimos leyendo el art. 21 de la LSSI, veremos que tenemos la posibilidad de remitir comunicaciones publicitarias a usuarios o clientes con los que ya tenemos una relación comercial, siempre que la comunicación tenga relación con el producto o servicio contratado por éste. Así, la LSSI entiendo que esa relación comercial te legitima para hacer esos envíos sin necesidad de requerir consentimiento alguno.

En definitiva, lo importante es contar con las legitimaciones adecuadas para tratar los datos. Puede ser consentimiento (lo usado mayoritariamente) o el interés legítimo, si se cumple con todas sus condiciones.

Derecho a darse de baja de las comunicaciones comerciales

¿Todo claro hasta aquí? Por si acaso, hagamos un repaso:

  • Si tienes una relación comercial con alguien, podrás enviarle publicidad sin necesidad de requerir su consentimiento, siempre y cuando sea relacionada con el producto o servicio que ha contratado.
  • Si una persona te ha dado su consentimiento para enviarle publicidad, puedes hacerlo, con independencia de que sea tu cliente o no.
  • En el caso del interés legítimo, el derecho es de oposición, y deberá darse en todo momento, desde el inicio de la recogida de los datos.

Es muy importante recordar que, sea cual sea el caso, la persona es totalmente libre de darse de baja de esas comunicaciones en cuanto lo desee, sin necesidad de justificación alguna, de forma sencilla, clara y gratuita.

Algunas pautas para tener buenas políticas de e-mail marketing

Si, efectivamente, haces uso de mailing, es importante que apliques lo siguiente:

  • Analizar la concreta situación de la persona a la que pretendes contactar y ver en qué condiciones puedes hacerlo.
  • De ser preciso, solicitar su consentimiento, y nunca enviarle nada si no cuentas con él previamente.
  • Garantizar sus derechos en todo momento, especialmente el derecho de oposición, o a darse de baja de las comunicaciones comerciales.
  • Ser transparente y disponer de información para los usuarios sobre para qué vas a usar sus datos y qué contenidos tienes intención de enviarles.
  • Vigila lo que envías y cómo lo haces. Hay algunas comunicaciones que, aunque inicialmente pueden no parecer promocionales, sí lo son. Tal es el caso de felicitaciones de cumpleaños o de Navidad. Y, si pretendes hacer uso de envíos masivos, no olvides habilitar siempre la casilla de copia oculta. ¡Privacidad ante todo!.
  • OJO: Si la legitimación utilizada es la del interés legítimo, hay que consultar la Lisa Robinson y verificar que nuestro interesado no esté en dicha lista de exclusión publicitaria. Si esta, no podemos enviarle publicidad salvo autorización expresa.

Transferencias internacionales de datos y mailing


Una transferencia internacional es la situación que tiene lugar cuando se produce un flujo de información hacia o desde un territorio ubicado fuera del Espacio Económico Europeo. Dado que en Europa disponemos de las leyes más garantistas en materia de protección de datos, en otros lugares puede que la información no esté tan protegida, y por ello hay que tener cuidado con esto.

Aunque lo anterior pueda resultar extraño, ocurre frecuentemente, por ejemplo, cuando usamos Facebook, WhatsApp o MailChimp, que provienen de proveedores no europeos. ¿Cómo puedes actuar correctamente? Entre otros, siguiendo estos pasos:

  • Haz un barrido de los proveedores o recursos con los que trabajas e infórmate de dónde están ubicados o dónde guardan sus datos.
  • Si compruebas hay una transferencia internacional, busca información sobre cómo el proveedor va a proteger la información. Por ejemplo, puede que haya suscrito cláusulas contractuales tipo u otro mecanismo.
  • En cualquier caso, valora hasta qué punto es necesario que sigas haciendo uso de ese servicio. Si realmente no tiene utilidad para tu actividad, lo mejor es prescindir de él.
  • Como opción también puedes optar por usar servicios o trabajar con proveedores ubicados en Europa y que no transfieran datos internacionalmente. Por ejemplo, en este artículo tienes algunas alternativas a MailChimp, que cumplen con el RGPD.

Entonces, ¿mailing sí o no?

El mailing es un recurso muy útil y te animamos a seguir utilizándolo como forma de promocionar tu actividad, pero siempre de forma responsable y cumplidora. La aspiración de la protección de datos no es la de obstaculizar nuestro desarrollo profesional, sino la de compaginarlo con un uso seguro de la información y los derechos de los interesados. Y, como has podido ver, son muchas las formas de hacerlo.

De igual forma, si aún tienes dudas sobre esto, te animamos a ponerte en contacto con nosotros, que analizaremos tu caso y te asesoraremos en lo que necesites.

/0 Comentarios/por

Nueva Guía para profesionales del sector sanitario de la AEPD. Cómo cumplir

, , ,

Como avanzábamos en nuestro último post sobre la nueva Guía para profesionales del sector sanitario. En este artículo, de carácter más práctico, resolvemos algunas de las dudas que pueden surgir a los profesionales sanitarios sobre el tratamiento de datos personales en su actividad.

¿Qué obligaciones hay en el ámbito sanitario en cuanto a la normativa de protección de datos?

1. Nombrar a un Delegado de Protección de Datos (DPO). La designación de un DPO es obligatoria cuando el tratamiento de datos sea por un organismo público y cuando se trate de centros obligados al mantenimiento de historias clínicas.

Aquellos que ejerzan su actividad de forma privada a título individual no están obligados. Pero, que no sea obligatorio no quiere decir que no pueda ser recomendable, en cualquier caso.

2. Evaluaciones de Impacto. Realizar una EIPD es obligatorio siempre que el tratamiento de datos personales suponga un alto riesgo para los derechos y libertades de los interesados. Si tienes dudas, la herramienta Evalúa Riesgo, puede ayudar a determinar si estás obligado a hacerla.

3. Registro de actividades del tratamiento. Cualquier tratamiento de datos hecho correctamente pasa por efectuar el correspondiente RAT.

Si el servicio sanitario lo presta una entidad pública, el inventario de los tratamientos de datos deberá hacerse público y accesible por medios electrónicos. Por ejemplo, a través de una página web.

4. Gestión de brechas de seguridad de los datos personales. El responsable, asesorado por su DPO, ha de saber qué brechas, vulneraciones o similares de datos personales tienen lugar y aplicar las medidas y garantías necesarias, minimizando el riesgo para los derechos y libertades de los interesados.

Para esto es siempre positivo disponer de un protocolo para la gestión de brechas, que permita anticiparse y prever cómo actuar antes el caso de que las mismas tengan lugar.

Historial clínico, ¿quién y cuándo se puede acceder a él?

El acceso a la historia clínica de los pacientes no puede hacerse de forma indiscriminada, sino que está limitado. Es decir, no cualquier profesional y ante cualquier circunstancia puede acceder, pues hay condiciones para ello.

Tanto los profesionales sanitarios, como los residentes o los centros sociosanitarios podrán acceder al historial siempre y cuando sea necesario para la atención sanitaria que se esté prestando y únicamente para el desempeño de sus funciones.

Hay ciertos supuestos en que este acceso debe hacerse de forma disociada, es decir, separando los datos identificativos de los datos clínicos, como ocurre en los estudios epidemiológicos, en investigaciones o con fines docentes.

Es fundamental que todo el personal de inspección, evaluación, sanitarios o autoridades, que accedan a historias clínicas guarde el deber de secreto. El solo hecho de ser un profesional sanitario no justifica que se pueda acceder a la información clínica de un paciente de forma indiscriminada; sólo en aquellos casos en que sea indispensable hacerlo

Responsabilidades por accesos indebidos a historias clínicas

Siguiendo con lo anterior, el acceso a historiales clínicos de forma injustificada puede acarrear responsabilidades penales, disciplinarias o administrativas, además de conllevar indemnizaciones. Recuerda: todo acceso a datos debe estar justificado.

Derechos de los pacientes, ¿pueden acceder a su historial clínico?

Los interesados tienen reconocidos en el ámbito sanitario sus derechos de protección de datos, aunque con algunas limitaciones concretas.

Por ejemplo, el derecho de supresión puede verse afectado porque la conservación de los datos es necesaria para la correcta atención sanitaria y por obligaciones legales y de interés público que hay que respetar.

Podrán suprimirse aquellos datos que carezcan de relevancia, pero no otros que sean fundamentales para el paciente y sus tratamientos, presentes o futuros.

En el caso de las historias clínicas, no está reconocido expresamente el acceso de los pacientes a estos documentos como tal, pero sí a recibir confirmación de si se están tratando o no sus datos personales y a determinada información asociada s su historia.

Ojo: este derecho no puede implicar acceso a datos de terceras personas o a anotaciones subjetivas de los sanitarios que pudieran constar en la historia.

Menores de edad, ¿quién ejercita sus derechos?

Los padres, madres, tutores o representantes tienen derecho a acceder a los datos relacionados con la historia clínica de los menores, en la medida en que son los responsables de su cuidado.

No obstante, a partir de los 14 años, se reconoce mayor autonomía a los menores. Si bien no desaparece ese derecho de los padres, nos encontramos con que el menor tiene derecho a ser informado de los asuntos que le conciernen en lo respectivo a su salud.

Esto posibilita que su opinión sea tenida en cuenta en todo a lo que respecta a diagnósticos, tratamientos y cualesquiera otros asuntos pudieran afectarle.

¿Cómo comunicarse adecuadamente con los pacientes?

Una de las dudas que pueden surgir a los profesionales sanitarios es la referida a cómo gestionar la comunicación con los pacientes, tanto cuando se encuentran físicamente en el centro, como cuando se realiza por teléfono, mensaje, correo electrónico u otros medios de forma que se respete su intimidad y la confidencialidad de sus datos.

Por ejemplo, a la hora de llamar a los pacientes a consulta es preferible evitar utilizar datos identificativos, como el nombre y apellidos, o el nombre completo de la persona, y optar en su lugar por métodos alternativos, como códigos numéricos o alfanuméricos que se reflejen en una pantalla, uso de iniciales del paciente o similares.

Si se va a llamar al paciente por su nombre, utilizaremos el nombre de pila y si es posible, en una sala donde los únicos que lo escuchen sean los pacientes de la misma consulta.

Evidentemente, son medidas que variarán mucho dependiendo de las posibilidades tecnológicas, de espacio y de recursos humanos de cada centro.

Por otra parte, cuando hablamos con un paciente por teléfono, por ejemplo para cancelar una cita, confirmarla o posponerla; son ellos los que preferentemente deben dar la información de la misma, y no a la inversa.

Es decir, que sea el propio paciente el que comunique los detalles; como son la fecha, hora y características de la cita, a fin de que el interlocutor los confirme, y no al revés.

Existen otros métodos de comunicación con los pacientes, como es el correo electrónico o los SMS. Son válidos, pero te recomendamos que priorices la atención presencial y telefónica en la medida de lo posible, y que reserves estos para aquellos casos en que sea indispensable, y siempre evaluando antes su uso y los riesgos asociados.

La comunicación a través de redes sociales y de aplicaciones de mensajería instantánea – WhatsApp, Telegram, etc. – Está altamente desaconsejada.

¿Podemos dar información a otra persona sobre el ingreso de un paciente?

Con carácter general, si no se ha obtenido consentimiento del paciente para facilitar esta información, no se debe proporcionar. En caso de que el paciente no esté capacitado para prestar este consentimiento, podrán hacerlo sus familiares. Como veremos a continuación, en el ámbito sanitario no siempre es sencillo que se pueda conceder un consentimiento.

En casos excepcionales, como urgencias, pacientes que se correspondan con personas desaparecidas o pacientes inconscientes, se podrá dar información a los familiares o allegados; tratando de verificar previamente que la persona es quien dice ser.

Se darán los detalles indispensables, y el número de habitación en su caso, sin indicar datos de salud mientras no sea necesario.

¿Se pueden colocar cámaras de videovigilancia en los centros sanitarios?

La colocación de cámaras en centros sanitarios está permitida, igual que lo está en otros espacios, tanto con fines de seguridad de las instalaciones como con otros; como puede ser el control laboral de los trabajadores.

No obstante, es cierto que hay que controlar el enfoque, ubicación y demás parámetros que afecten a las cámaras, a fin de evitar que capten zonas que, en el caso de los centros sanitarios, son especialmente sensibles, como consultas, quirófanos y demás. Con carácter general, deberán captar sólo zonas comunes.

Y, por supuesto, hay que tener en cuenta varios factores si existe videovigilancia, como la colocación de carteles que informen sobre su uso y, entre otros, la elaboración de los correspondientes registros de actividades.

Para terminar…

Y, hasta aquí, nuestros consejos y recomendaciones para el tratamiento de datos en el ámbito sanitario.

Esperamos que este artículo te haya ayudado a saber un poco más sobre el tema y que haya servido para contestar preguntas clave, si bien siempre puedes ponerte en contacto con nosotros para saber más. También te dejamos la Guía para profesionales sanitarios por si quieres ampliar la información.

/0 Comentarios/por