Entradas

E-mail marketing, mailing… son varios los términos que podemos utilizar para referirnos a la misma actividad: envío de publicidad directa.
Pongamos que acabas de inaugurar tu empresa y necesitas darte a conocer; o quizás ya estás en pleno rendimiento y necesitas seguir fidelizando, o vas a organizar algún evento o algo ¿cómo haces la promoción?.

Evidentemente, están las alternativas de toda la vida: un anuncio en el periódico, el panfleto, una valla publicitaria… pero seguro que no son las primeras que te vienen a la mente. Muy probablemente hayas pensado en redes sociales, una lista de difusión en WhatsApp o un correo masivo. Y, de ahí, la razón de ser de este post.

¿Qué entendemos por mailing o e-mail marketing?

El e-mail marketing incluye todas aquellas técnicas de marketing directo de que hace uso una empresa o profesional para conseguir visibilidad, incremento en las ventas o promoción; en definitiva: una forma de hacer publicidad. Principalmente, se desarrolla a través de correo electrónico, pero también hay otros recursos, como el SMS, WhatsApp, Telegram u otras apps de mensajería instantánea.

Hace un tiempo, publicamos un artículo con claves para combinar el uso de redes WiFi y el cumplimiento del RGPD. Ahora haremos lo propio, pero esta vez con el mailing.

E-mail marketing y consentimiento: todo lo que necesitas saber


El consentimiento juega un papel fundamental en el marco de la protección de datos, y no podía ser menos en el tema que nos trae aquí hoy. La LSSI, en su art. 21.1, es muy clara, indicando que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. ¿Quiere esto decir que, para hacer envío de publicidad o promociones, debo contar con el consentimiento de la persona? Efectivamente, así es. Pero sigue leyendo, que te contamos más…

Consentimiento vs. interés legítimo en el envío de publicidad


Aunque muchos creen que para tratar datos sí o sí hace falta el consentimiento, esto no es correcto, y en esta área tenemos un ejemplo claro. Si seguimos leyendo el art. 21 de la LSSI, veremos que tenemos la posibilidad de remitir comunicaciones publicitarias a usuarios o clientes con los que ya tenemos una relación comercial, siempre que la comunicación tenga relación con el producto o servicio contratado por éste. Así, la LSSI entiendo que esa relación comercial te legitima para hacer esos envíos sin necesidad de requerir consentimiento alguno.

En definitiva, lo importante es contar con las legitimaciones adecuadas para tratar los datos. Puede ser consentimiento (lo usado mayoritariamente) o el interés legítimo, si se cumple con todas sus condiciones.

Derecho a darse de baja de las comunicaciones comerciales

¿Todo claro hasta aquí? Por si acaso, hagamos un repaso:

  • Si tienes una relación comercial con alguien, podrás enviarle publicidad sin necesidad de requerir su consentimiento, siempre y cuando sea relacionada con el producto o servicio que ha contratado.
  • Si una persona te ha dado su consentimiento para enviarle publicidad, puedes hacerlo, con independencia de que sea tu cliente o no.
  • En el caso del interés legítimo, el derecho es de oposición, y deberá darse en todo momento, desde el inicio de la recogida de los datos.

Es muy importante recordar que, sea cual sea el caso, la persona es totalmente libre de darse de baja de esas comunicaciones en cuanto lo desee, sin necesidad de justificación alguna, de forma sencilla, clara y gratuita.

Algunas pautas para tener buenas políticas de e-mail marketing

Si, efectivamente, haces uso de mailing, es importante que apliques lo siguiente:

  • Analizar la concreta situación de la persona a la que pretendes contactar y ver en qué condiciones puedes hacerlo.
  • De ser preciso, solicitar su consentimiento, y nunca enviarle nada si no cuentas con él previamente.
  • Garantizar sus derechos en todo momento, especialmente el derecho de oposición, o a darse de baja de las comunicaciones comerciales.
  • Ser transparente y disponer de información para los usuarios sobre para qué vas a usar sus datos y qué contenidos tienes intención de enviarles.
  • Vigila lo que envías y cómo lo haces. Hay algunas comunicaciones que, aunque inicialmente pueden no parecer promocionales, sí lo son. Tal es el caso de felicitaciones de cumpleaños o de Navidad. Y, si pretendes hacer uso de envíos masivos, no olvides habilitar siempre la casilla de copia oculta. ¡Privacidad ante todo!.
  • OJO: Si la legitimación utilizada es la del interés legítimo, hay que consultar la Lisa Robinson y verificar que nuestro interesado no esté en dicha lista de exclusión publicitaria. Si esta, no podemos enviarle publicidad salvo autorización expresa.

Transferencias internacionales de datos y mailing


Una transferencia internacional es la situación que tiene lugar cuando se produce un flujo de información hacia o desde un territorio ubicado fuera del Espacio Económico Europeo. Dado que en Europa disponemos de las leyes más garantistas en materia de protección de datos, en otros lugares puede que la información no esté tan protegida, y por ello hay que tener cuidado con esto.

Aunque lo anterior pueda resultar extraño, ocurre frecuentemente, por ejemplo, cuando usamos Facebook, WhatsApp o MailChimp, que provienen de proveedores no europeos. ¿Cómo puedes actuar correctamente? Entre otros, siguiendo estos pasos:

  • Haz un barrido de los proveedores o recursos con los que trabajas e infórmate de dónde están ubicados o dónde guardan sus datos.
  • Si compruebas hay una transferencia internacional, busca información sobre cómo el proveedor va a proteger la información. Por ejemplo, puede que haya suscrito cláusulas contractuales tipo u otro mecanismo.
  • En cualquier caso, valora hasta qué punto es necesario que sigas haciendo uso de ese servicio. Si realmente no tiene utilidad para tu actividad, lo mejor es prescindir de él.
  • Como opción también puedes optar por usar servicios o trabajar con proveedores ubicados en Europa y que no transfieran datos internacionalmente. Por ejemplo, en este artículo tienes algunas alternativas a MailChimp, que cumplen con el RGPD.

Entonces, ¿mailing sí o no?

El mailing es un recurso muy útil y te animamos a seguir utilizándolo como forma de promocionar tu actividad, pero siempre de forma responsable y cumplidora. La aspiración de la protección de datos no es la de obstaculizar nuestro desarrollo profesional, sino la de compaginarlo con un uso seguro de la información y los derechos de los interesados. Y, como has podido ver, son muchas las formas de hacerlo.

De igual forma, si aún tienes dudas sobre esto, te animamos a ponerte en contacto con nosotros, que analizaremos tu caso y te asesoraremos en lo que necesites.

¿Pagarías con tus datos personales, como datos moneda? ¿se pueden considerar los datos personales un medio de pago? Quizá es una pregunta que nunca antes te hayas planteado, pero sobre todo porque deberíamos responder primero ¿qué entendemos por medio de pago? tarjetas de crédito y débito, transferencias, dinero en efectivo… Indudablemente, son muchas las opciones entre las que elegir, pero, ¿están los datos personales incluidos dentro de este grupo? pues casi, ósea sí, es decir… veamos:

Hace unos días, publicamos en nuestro blog un artículo referido a las novedades que trae consigo la nueva versión -en vigor desde el pasado 1 de enero de 2022- de la Ley General Para la Defensa de los Consumidores y Usuarios. Aunque, como ya contábamos en dicha publicación, muchos de los cambios afectan a las garantías y sus plazos, te adelantábamos que también había noticias en materia de protección de datos… ¡y vaya noticias! aquí venimos a contarlas porque tienen tela marinera.

Para que veas por donde vamos, recuerda, cuando en una plataforma te dicen que su uso es gratis, el precio es tu privacidad…

Modificación de la Ley de Defensa de Consumidores y Usuarios

Son varios los preceptos de esta norma que se han visto modificados con la publicación de la nueva versión de la misma y, sin desmerecer al resto de cambios, hay un artículo que nos llama poderosamente la atención, tanto como para dedicarle este artículo entero: el 59, en su apartado 4, y es debido a que en este artículo se establece cuál es el ámbito de aplicación de la Ley, y ojo a lo que dice, porque ahora se amplia a otro tipo de contratos online:

“los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales, salvo cuando los datos personales facilitados por el consumidor o usuario sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales objeto de un contrato de compraventa o de servicios o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En otras palabras: la Ley reconoce, de forma expresa y directa, y por primera vez en nuestro ordenamiento jurídico, que los datos personales constituyen un método de pago, y que hay relaciones contractuales que, de hecho, pueden sustentarse en el suministro de los mismos por parte del usuario hacia el empresario.

Pero tranquilos, o no… esto no se lo sacó de la manga nuestro legislador (que ya sabemos que a veces se emociona/n). Esto sale de la obligatoriedad de trasponer a nuestro derecho la Directiva europea 2019/770 de contenidos y servicios digitales.

La Directiva 2019/770 de contenidos y servicios digitales

La nueva versión de la Ley constituye una transposición de lo que ya reflejaba la Directiva 2019/770 de contenidos y servicios digitales. Grosso modo, te contamos algunos detalles importantes de la misma:

  • Es aplicable a todo contrato en virtud del cual un empresario suministra contenidos o servicios digitales al consumidor y éste paga o se compromete a pagar un precio. También es aplicable cuando el consumidor no paga un precio pero facilita o se compromete a facilitar datos personales al empresario
  • Establece obligaciones para el empresario en materia de falta de conformidad, reembolsos o incumplimiento de los suministros
  • Fija una serie de condiciones o criterios mínimos de cumplimiento en el marco de contenidos, servicios o derechos digitales. Cuando hablamos de servicios digitales, podemos incluir, por ejemplo, almacenamiento en la nube o redes sociales.
  • En caso de rescisión del contrato, el empresario debe cumplir con las obligaciones del RGPD. En determinadas condiciones, ha de abstenerse de usar los contenidos facilitados por el usuario y que no sean datos personales, y debe permitir al mismo recuperar esos contenidos sin impedimentos.

Los datos como medio de pago: implicaciones en la realidad

Pero, ¿en qué me afecta todo lo anterior? Aunque, hasta aquí, este parezca un artículo puramente jurídico, tiene claras consecuencias en la realidad. Lo que hace la normativa es venir a reconocer, de forma oficial, algo que ya venía apreciándose desde hace tiempo, y es que los datos personales pueden considerarse como una moneda de cambio.

Esto significa que cuando accedes a un servicio gratuito, como es el caso de Youtube, Facebook, Twitter o Spotify -quitando las versiones premium, claro- se puede entender que el precio que estás pagando por ese servicio son los datos personales que pones a disposición de la plataforma o proveedor.

Así, dejas de ser un simple usuario de la misma, y te conviertes en un consumidor, en una parte de una relación contractual existente entre ese proveedor y tú y, por tanto, en un sujeto protegido por la normativa de consumidores y usuarios. Esto supone un avance considerable en el marco de los derechos digitales y de nuestra seguridad jurídica como usuarios de estos recursos.

Además, se pone especial atención en determinar si, a la hora de suministrar tus datos, se te informó de forma clara, completa y comprensible, o si hubo algún tipo de abuso o desequilibrio que pudiera afectar a tus derechos e intereses

Retos para implementar el cambio requerido por la directiva

Claramente pese a que es el reconocimiento de una realidad, de facto hasta ahora, hay un problema, y es que todavía no se tiene claro el precio de los datos personales, podría ser mucho, podría ser poco, pero no está estandarizado, ni los datos de todos valen lo mismo. Además, justamente ahora mismo está en manos del TJUE una cuestión prejudicial lanzada por los tribunales de Luxemburgo, por Marx Schrems para que sea este alto tribunal quien decida si esto es posible en el caso de Facebook, y eso amigos, sentará la jurisprudencia de esta modalidad, lo malo es que en palacio las cosas van despacio…

Por otro lado, hasta ahora no se ha aplicado aunque se hace, así que para poder utilizar esta «metodología de pago» según se lee literalmente el artículo, se deben poner las condiciones claras, y en todo caso se debe respetar la normativa de protección de datos. Si tu empresa piensa en usarla, ánimo y suerte con la estrategia de cumplimiento antes, durante y después de la formalización del contrato, porque deberá estar embebida de privacidad por diseño y por defecto hasta en la medula de tu organización. Ojo, claramente no es imposible, solo hay que tener mucho cuidado, ser muy meticuloso y estricto.

Algunos datos interesantes… datos moneda, o el precio de las herramientas gratis.

Era de esperar que llegáramos hasta este punto, pues muchas veces no somos conscientes del precio que estamos pagando por determinados servicios cuando tenemos la sensación de no estar pagando ninguno en absoluto, por el sencillo hecho de que no hacemos aportación económica. Al final en estos casos, estamos dando acceso a nuestra esfera más privada, algo que tiene fuertes implicaciones éticas y esto puede acabar siendo intrusivo, por lo que es fundamental blindarle protección. En estos casos es donde se suele decir que el producto eres tú, o mejor, tus datos personales

Sin ir más lejos, con anterioridad a la Directiva, el Supervisor Europeo de Protección de Datos publicó una opinión un tanto crítica hacia ciertos aspectos de la misma. Por una parte, por considerar que no era apropiado referirse a “datos personales” en general, al identificarlos como medio de pago, pues sería más apropiado especificar a qué concretos datos nos referimos o pueden ser efectivamente considerados medio de pago; por otra, por el impacto que este hecho puede tener en los derechos y libertades fundamentales de las personas.

Pero ¿Y cuánto vale un dato personal, y quién lo dice?

Una anecdota para entenderlo:

Hace unos años, Jane Vertesi, profesora de Sociología de la Universidad de Princeton, decidió ocultar su embarazo en redes sociales e Interneten general, sin hacer ningún tipo de publicación al respecto, ni permitiendo que sus familiares, amigos o contactos lo hicieran, ni siquiera para felicitarla. Tampoco hizo ninguna compra on-line que tuviera relación con el embarazo, la maternidad o el bebé que estaba por llegar y, si se veía en la necesidad de ello, trataba de ocultar la información en la medida de lo posible.  ¿El motivo? Jane investigó y llegó a la conclusión de que, de media, en términos de marketing, un dato personal vale 10 centavos de dólar, pero el de una embarazada se multiplica hasta un dólar y medio… Y no estaba dispuesta a que ni ella ni su embarazo se convirtiesen en elementos rastreables a fin de generar negocio.  

En fin, Jane utilizo su método, pero hay miles de artículos hablando del valor de un dato personal, o includo de una identidad completa. Podríamos decir que depende de la calidad del dato, de la persona, de los tipos de datos, y de la rentabilidad asociada a estos puntos. Por eso uno de los retos es la definición del valor o de cómo definirlo. Poca cosa no es, y esperemos que no se tome a la ligera.

En conclusión…

Aunque hablamos de un cambio normativo reciente en nuestro ordenamiento, el debate en torno a este tema ya lleva tiempo sobre la mesa en Europa, y también aquí, y claramente no termina con este cambio, sino que esperemos que se reavive. Y ojala, esperemos que no necesitemos el TJUE mediante, lleguemos a un punto de encuentro que beneficie a todas las partes, y no que solo explote a una.

Y tú, ¿qué opinas sobre esto? Te invitamos a participar en nuestra sección de comentarios, o en nuestros perfiles en redes sociales. Y sobre todo a recordar, tú vales muchísimo, tus datos valen muchísimo, y los de tus amigos, conocidos y familiares; no los regales, no los expongas, no te descuides.

Facebook y protección de datos

En el artículo de hoy, vamos a hablar de una decisión sin precedentes, tomada por la Autoridad de Control de Noruega, en relación al uso de Facebook, la valoración de los riesgos que ello implica y la importancia de la protección de datos en este ámbito.

Cuando se tratan datos personales, uno de los principios que hemos de cumplir, a tenor de lo dispuesto en el art. 13 RGPD, es el derecho a la información del interesado; en otras palabras, comunicarle quién va a tratar sus datos, con qué fines, durante cuánto tiempo… Como parte de este derecho, en el contenido del mismo, hay que notificarle al interesado si el tratamiento va a implicar alguna transferencia internacional de datos personales.

¿Qué son las transferencias internacionales de datos?

Aunque muchos ya estamos familiarizados con el término y con sus implicaciones, una transferencia internacional de datos es el fenómeno que se produce cuando tiene lugar un tratamiento de datos personales más allá de los límites de la Unión Europea.

Esto puede suceder con independencia de que nuestras sedes y nuestros servicios se ubiquen dentro del espacio europeo, si es que se da el caso de que trabajamos con algún proveedor, o usamos algún recurso, procedente del exterior. Tal es el caso, por ejemplo, de WhatsApp, MailChimp, Youtube, Microsoft o, para el supuesto que hoy planteamos, Facebook.

Todas las plataformas mencionadas nos suenan, y de sobra, porque están más que implementadas en nuestro día a día. Eso hace que las veamos como algo cotidiano, de uso común y, aparentemente, sin mayores factores a tener en cuenta.

No obstante, lo que ocurre con las transferencias internacionales de datos es que, si bien la Unión Europea está considerada como un entorno seguro, en materia de confidencialidad y privacidad, y entendemos que el marco normativo europeo ofrece la suficiente protección a la información, no se puede decir lo mismo de otros espacios. Y ahí es dónde está el quid de la cuestión.

La decisión de la Autoridad de Control noruega sobre Facebook

La razón que motiva la elaboración de este artículo es, precisamente, una decisión muy curiosa que acaba de tomar la Autoridad de Control noruega, en relación al uso de Facebook. Decisión que, hasta donde sabemos -como la propia entidad ha destacado- no había sido tramitada, hasta ahora, de la forma en que este órgano lo ha hecho, por lo que fija un precedente.

La historia comienza cuando esta entidad -que sería la equivalente a nuestra AEPD, solo que en el país nórdico- se planteó la creación de un perfil o página oficial en Facebook, a fin de utilizarla como vía de comunicación con los usuarios que accedieran a la misma.

Hasta ahí, todo normal: prácticamente cualquier organismo, público o privado, nacional o internacional, cuenta con perfiles oficiales en Facebook u otras redes sociales.

La diferencia en la actuación de la autoridad noruega radica en que, con anterioridad a la toma de la decisión, decidieron desarrollar una evaluación de riesgos relativa a las implicaciones de la misma; es decir: tomar en consideración los riesgos que la apertura de dicha página podría conllevar, así como los efectos en los derechos de protección de datos de los interesados.

Las conclusiones de la autoridad noruega sobre Facebook

Una vez elaborada la correspondiente evaluación de riesgos, la citada Autoridad de Control, llegó a una serie de conclusiones en relación al uso de Facebook que, de forma resumida, te contamos:

  1. En primer lugar, el órgano determinó que, de proceder a la apertura de dicha página, no estarían cumpliendo, o al menos no de forma íntegra, con el art. 26 RGPD, que regula la corresponsabilidad en el tratamiento de datos personales.
  2. Por otra parte, también estimaron que el contenido del acuerdo estándar a suscribir con Facebook no tenía el carácter adecuado.
  3. Así mismo, la autoridad afirmó no estar segura de poder garantizar cómo se trataría la información de los usuarios que interactuaron con su página o con sus publicaciones (por ejemplo, dando “Me gusta”). Saber qué información se guardaría o durante cuánto tiempo escaparía totalmente fuera de su control.
  4. Por último -y, desde luego, no por ello menos importante- la autoridad también entendió, realizada dicha evaluación, que el riesgo asociado al tratamiento de datos personales de los usuarios a través de Facebook era demasiado alto, y que podría afectar a sus derechos y libertades.

Como no te habrá costado adivinar por las conclusiones extraídas, la Autoridad de Control noruega ha decidido no proceder a la apertura de una página en Facebook.

La relevancia de la decisión

Como comentábamos, por la información de que disponemos, es una decisión sin precedentes. Y no nos referimos a la decisión de no abrir un perfil en Facebook, sino a la realización de esa evaluación de riesgos previa.

Por lo que sabemos, y por los datos con que la propia Autoridad de Control noruega cuenta, es la primera vez que una organización procede de esta forma antes de efectuar tal acción. Sin duda, una decisión muy interesante, que abre la puerta a muchos planteamientos e inquietudes en este ámbito.

Tal y como indicamos unas líneas más arriba, estas tecnologías están totalmente implantadas en nuestra vida, y sería idealista tratar de ignorar su uso. Pero no por ello deberíamos olvidar los riesgos a que puede quedar expuesta la información personal cuando no se salvaguarda correctamente, o con las suficientes garantías.

La Autoridad de Control noruega considera que ha sido un paso dado en la buena dirección, y que probablemente la realización de estas acciones sería muy apropiada por parte de otras organizaciones y negocios. Y no podemos evitar coincidir con este criterio.

¿Y tú? ¿Usas las redes sociales como parte de tu actividad?

Si quieres saber más sobre esta decisión, te invitamos a leer la noticia que nos inspiró para escribir este post.

Este artículo sobre el certificado Covid como requisito obligatorio, establecido por el Gobierno de Canarias el pasado 21/07/21, para acceder a espacios públicos cerrados y actividades varias, ventajosamente a día de hoy (29/07/21) está modificado respecto a su idea inicial, que no era otra que dar recomendaciones a los obligados a cumplir la medida para reducir al mínimo el impacto en derechos y libertades de sus clientes, amigos y conocidos.

La medida ha sido suspendida cautelarmente, suponemos -aún no es público el fallo- que por lo desproporcionado de su aplicación, en tanto que era discriminatoria y limitaba derechos fundamentales de los ciudadanos. En todo caso ya que este post lo publicamos antes de conocer la suspensión, hemos decidido mantenerlo con variaciones, para información general.

¿Qué es el certificado covid?

El certificado COVID es un certificado digital que entró en funcionamiento, en todo el territorio de la Unión Europea, el pasado 1 de julio de 2021, y mediante el cual, la persona titular puede acreditar de forma oficial que:

  1. Ha sido vacunada contra la COVID-19
  2. Superó la enfermedad
  3. Se ha sometido recientemente a una prueba diagnóstica, con resultado negativo.

Es un documento gratuito que las personas que cumplan alguno de los requisitos anteriores pueden solicitar a las autoridades competentes de su país, en el caso de España, el Ministerio de Sanidad. El documento se puede obtener de forma sencilla a través de internet, y tiene como objetivo principal facilitar la movilidad de personas y la seguridad sanitaria dentro del territorio de la Unión.

En el momento de su entrada en funcionamiento las autoridades de la Unión fueron muy tajantes en recordar que “el certificado es un derecho, no una obligación”, por tanto, este artículo tiene como fin, intentar paliar los posibles efectos negativos que pueda tener tanto para interesados como para responsables RGPD, de la medida Canaria de exigir el certificado para otros fines.

Certificado Covid como medida de control de acceso a espacios públicos en Canarias

El pasado 26 de julio de 2021, el Gobierno de Canarias, publicaba una orden en el Boletín Oficial de la Comunidad Autónoma, donde indicaba que era necesario que, en aquellas islas que se encuentraban en las situaciones sanitarias denominadas Fase 3 y 4,  (actualmente, Gran Canaria, Fuerteventura, Tenerife y La Palma), se requeriría el certificado covid a cualquier persona mayor de edad que encajara en alguno de los siguientes supuestos:

  • Que acceda o permanezca en el interior de establecimientos de hostelería y restauración (Fases 3 y 4)
  • Que acuda a cualquier actividad cultural en cines, teatros, auditorios y en espacios culturales estables (Fase 4)
  • Que realice cualquier actividad física y deportiva no federada en zonas interiores de instalaciones y centros deportivos (Fase 4)
  • Que acceda o permanezca en establecimientos y locales de juego y apuestas (Fase 4)

Como era evidente, se trataba de medidas que afectaban a un abanico bastante amplio de las actividades que realizamos día a día y de los espacios a los que accedemos o acudimos, por lo que su importancia es innegable.

Antecedentes e implicaciones negativas de la medida

El antecedente de esta medida está en Francia, donde desde hace unos días el certificado covid es obligatorio para estas actividades y otras tantas. La cuestión es que en ese país existen mecanismos para obligar a vacunarse, mientras que en España sigue siendo voluntario.

Por tanto, desde el punto de vista de muchos juristas exigir el certificado covid así, podía ser una medida discriminatoria ya que la vacuna no es obligatoria, y porque algunos colectivos todavía no pueden acceder a ella, y por tanto vulneraba los derechos de libertad de elección y circulación de los interesados. Nuestra primera redacción de este post decía «Muy seguramente a día de hoy esta medida ya habrá sido recurrida por algún colectivo, con lo que en breve veremos si se mantiene o no su aplicación». Y justo hace unos minutos (29/07/21 16:00) conocimos la noticia que el Tribunal Superior de Justicia de Canarias suspendía cautelarme dicha iniciativa.

Ya hace unos días fuentes de la AEPD mostrarón su preocupación por el uso desproporcionado e injustificado de lo que un documento que está estrictamente relacionado con datos de salud. Aunque a su vez en informes anteriores sobre la pandemia ha indicado que la protección de datos no debe ser un freno en la lucha de las autoridades contra el virus.

Por su parte, el Comité Europeo de las Regiones, en un reciente informe, ha insistido en que el uso del certificado covid “no debe incurrir en un trato discriminatorio hacia personas no vacunadas, y siempre garantizando el derecho a la protección de datos

Ok a lo anterior pero había una orden que cumplir. ¿Cómo hacerlo limitando el impacto negativo en los derechos de los interesados?

Ya nos libramos de esta, pero y si no, ¿qué hubieramos tenido que hacer para cumplir con la orden, a la espera de la respuesta de los Tribunale

  • No almacenar información no necesaria (incluido el certificado)
  • Limitar la información y documentos que se solicitan, y en particular, que se almacenan
  • Formar al personal
  • Aplicar medidas de seguridad adecuadas

Para concluir…

Evidentemente, como ya hemos dicho, vivimos en una realidad sometida a constante cambio, y es algo que tenemos que tener muy en cuenta, pues es posible que en los próximos días dispongamos de más información acerca de esta u otras prácticas. Por ello, este artículo es susceptible de sufrir modificaciones y actualizaciones, así que, ¡mejor permanecer atentos!

Esperamos que hayas disfrutado de la lectura y hayas encontrado la respuesta a tus preguntas. Si no es así, no dudes en dejarnos un comentario o en contactar con nosotros: estaremos encantados de echarte una mano.

“Aceptar todas las cookies. Seguro que es una frase que te suena, ¿verdad? Pasamos mucho de nuestro tiempo conectados a Internet, sea desde casa, el trabajo, el móvil, la tablet…. Por ello, este post lo vamos a dedicar a explorar aspectos básicos sobre un elemento fundamental en la red, del que todos hemos oído hablar pero que, en muchas ocasiones, no llegamos a entender: las cookies.

Pero, ¿qué son las cookies? No, no nos hemos convertido de pronto, en un blog sobre cocina, lo nuestro sigue siendo la protección de datos. Cuando nos referimos, dentro del vasto universo de Internet, a las cookies, estamos hablando de archivos que se utilizan en las páginas web, para asegurar que las mismas funcionan correctamente, para analizar y registrar cómo se comporta el usuario que accede a ellas y cuáles son sus preferencias, o para mostrarle publicidad.

La cuestión es que ojala el tema de las cookies fuera tan simple, pero lo cierto es que todo lo que está relacionado con el tema publicitario online es ampliamente opaco y convulso, lleno de múltiples partes que explotan los datos, que recogen información y la mueven de un lado a otro, de ahí que su uso sea regulado, y que se limite su aplicación para proteger nuestros derechos, muchas veces no del titular de la web, sino de terceros propietarios de esas cookies o colaboradores de los mismos.

¿Qué debemos cumplir en materia de cookies si tenemos una web?

Si tienes o gestionas una web, o simplemente te preocupa el cumplimiento normativo en lo que a cookies respecta, hay algunos aspectos fundamentales a tener en cuenta:

  • Siempre se debe informar del uso de cookies y tecnologías similares. En este sentido la guía de la AEPD nos ayuda a diferenciar laS tipología de cookies según criterios basados en, la propiedad de la cookie, su finalidad o la duración.  También nos ayuda a identificar cuándo se pueden o no instalar, y qué legitimaciones utilizar. Nos indica los mínimos a informar, cómo, cuándo y dónde, etc. Total, que hay que contar al usuario todo, todo, y no guardarnos nada. Se puede informar de golpe o en dos capas. Esto último es lo que usan la mayoría de webs, por eso mayoritariamente encontramos una primera y una segunda capa de información: éstas son, respectivamente, el Aviso de Cookies y la Política de Cookies.
  • Instalación y legitimación. Como dijimos antes, hay varios tipos de cookies, y algunas de ellas requieren que se pida consentimiento para su instalación, o bien que se defina claramente la legitimación para el tratamiento de los datos recogidos a través de ellas.
  • Ojo con el consentimiento. Si la legitimación que aplica a la instalación de una cookie es el consentimiento (cookies analíticas o publicitarias), estas nunca deben instalarse cookies sin consentimiento previo del usuario para ello. En otras palabras, el usuario tiene que aceptar esas cookies antes de que eso ocurra. Y, por supuesto, si no se pronuncia al respecto, o las rechaza, tampoco deben instalarse ya que la falta de acción no es en ningún caso un consentimiento.
  • Eliminación. Las cookies en si no son lo relevante, lo critico son los datos personales que recogen, y como todo lo relativo al RGPD y la normativa de protección de datos, los datos deben ser eliminado en cuanto dejen de ser necesarios para la finalidad que fueron recabados, sabiendo que debe cumplirse el principio de limitación del plazo de conservación.
  • Gestor de cumplimiento de cookies. La mayoría de webs que ofrecen un aviso de cookies y la posibilidad de gestionar la instalación de las mismas, usan gestores de cookies que categorizan las cookies por finalidad, e incluso en algunos casos enseñan los terceros a los que facilitan los datos, y luego amplían la información a través de la política de cookies, que muestra al usuario la información ampliada a íntegra. Estos gestores no son obligatorios pero son la mejor baza para cumplir y gestionar las legitimaciones.
  • Otras obligaciones o puntos relevantes a tener en cuenta: Lo dicho, el tema cookies no es tan sencillo como nos gustaría y aunque a veces parece que es solo poner la política de cookies un banner molesto a la entrada de la web, no es ni de lejos eso.  Cuando en una web se instalan cookies, además de los puntos anteriores, otros temas relevantes a tener en cuenta son, entre otros, las transferencias internacionales de datos, la definición de la posición del titular de la web y sus corresponsables y encargados, finalidades reales de los tratamientos de datos. Etc.

Solo por recordar, además del cumplimiento de cookies, las webs deben cumplir con otra serie de cosas. Os lo contabamos en este post, y en este.

Recursos de apoyo para cumplir con las obligaciones sobre cookies

Las distintas autoridades de protección de datos de la UE han publicado, casi cada una, directrices sobre el cumplimiento en esta matería. Desde nuestro punto de vista las más relevantes son las de la autoridad francesa de protección de datos, CNIL, la de la autoridad Inglesa (ups, ya no son UE, pero siguen siendo muy útiles) el ICO, y claro, nuestra propia AEPD. Justo al ser nuestra Autoridad, aprovecharemos para hablar de su guía, que bueno, ha tenido versiones menos pacíficas y más criticadas, pero la actual es muy correcta y clara.

Guía de la AEPD sobre cookies

Tal es la importancia de las cookies en el panorama actual que la AEPD cuenta con una guía, que se actualiza periódicamente, dedicada en exclusiva a éstas. La última modificación de este recurso tuvo lugar en julio de 2020 y dio lugar a una serie de novedades fundamentales:

  1. El consentimiento no vale si no es explícito e inequívoco

Hasta ahora, se admitía la posibilidad de que diversas opciones frecuentemente usadas en los sitios web pudieran considerarse manifestaciones del consentimiento. Por ejemplo, fórmulas del estilo “Seguir navegando”, “Continuar con la navegación” o incluso el hecho de que el usuario continuara su visita por el sitio, sin más acción, o cerrara el ya mencionado aviso de cookies. Ahora, este criterio ha cambiado, y para que el consentimiento del usuario sea válido, ha de ser claro, expreso e inequívoco, sin lugar a dudas sobre la postura del usuario.

  • Eres libre, y que nadie (ni siquiera las cookies) diga lo contrario

Vale, quizás el título es algo dramático, pero el caso es que, en muchas ocasiones, tenemos la mala suerte de toparnos con webs que no nos permiten acceder a ciertos contenidos o funcionalidades si no hemos aceptado previamente las cookies. Vamos, que casi podríamos hablar de un “Club VIP para quienes aceptan todas las cookies sin ton ni son”, y eso sí es dramático. Por ello, esta también es una barrera que desaparece: cualquier usuario, sin importar cómo configura las cookies, debe poder acceder a todo el contenido de la web.

  • Libertad, sí, pero con límites

Efectivamente, la AEPD reconoce la libertad del usuario a elegir. Pero, pese a la eliminación de esas barreras o muros de cookies, sí que admite que, en algunos casos, la no aceptación pueda derivar en que el usuario no pueda acceder a la web, total o parcialmente. No obstante, esto requiere de dos condiciones adicionales:

  • Que el usuario quede correctamente informado de esta circunstancia
  • Que se le proporcione una alternativa de acceso que no requiera tal aceptación

Si estas novedades entraron en vigor el 31 de octubre de 2020. Entonces, ¿Qué sentido tiene publicar este artículo ahora?

En primer lugar, porque desde Dataseg creemos que todos tenemos derecho a conocer cómo funciona Internet y en qué medida podemos ver nuestros derechos y libertades afectados. En segundo lugar, porque desde esa fecha, venimos apreciando un cambio notable en los criterios a seguir, las resoluciones y las sanciones a aplicar por parte de la AEPD (hasta el 31/10/2020 la AEPD no había sancionado económicamente a ningún responsable por el uso de cookies, pero pasada esa fecha tenemos unos buenos e interesantes golpes); y ya. Finalmente. porque la campaña de súper Schrems a través de Noyb para perseguir a todas las webs de la UE por el tema cookies hace que nuestro interés por analizar los procedimientos publicados por a AEPD creciera y en nuestro próximo post, os contemos más sobre ello.

Así que, si te has quedado con ganas de más, podrás descubrirlo en nuestro próximo post…

La Agencia Española de Protección de Datos (AEPD) acaba de hacer pública una nueva versión de la Guía sobre Gestión de Riesgos y Evaluación de Impacto de Protección de Datos (EIPD).

Como viene siendo costumbre desde que comenzara su labor, y en su afán por orientar a responsables y encargados para lograr el cumplimiento normativo, la AEPD publica guías, informes y respuestas a consultas sobre diversos temas: relaciones laborales, videovigilancia y cookies entre otros.  

En esta ocasión, y con el fin de explicar el contenido y las novedades de la Guía, la AEPD organizó una jornada dedicada a la misma. Así, con este post, nuestro objetivo es el de resumir los aspectos tratados en dicha presentación y, con ello, los fundamentos y novedades esenciales de la nueva guía.

Antecedentes de la nueva Guía

La primera Guía sobre Gestión de Riesgos y EIPD se publicó en 2015 y supuso un hito en el marco europeo de protección de datos. El documento seguía la política de la AEPD de garantizar los derechos y libertades de los interesados y de dar soporte en el cumplimiento a encargados y responsable, para que éste sea eficaz y eficiente.

Aunque el instrumento continúa siendo, a día de hoy, extremadamente útil, lo cierto es que ya han transcurrido más de seis años desde su entrada en vigor, tiempo en el que han tenido lugar numerosos cambios, que han llevado a la necesidad de desarrollar un sistema más moderno y eficiente. A pesar de que la AEPD, constantemente responde a numerosas consultas planteadas por encargados y responsables, desarrollar este instrumento supone una solución más práctica, común y unificada. He ahí la razón de ser de la nueva guía: un recurso adaptado a la realidad actual, que respeta las previsiones del RGPD y la LOPDGDD.

Introducción a la nueva Guía sobre EIPD

Cualquier actividad de tratamiento que se pretenda llevar a cabo requiere, necesariamente, de un previo ejercicio de reflexión, que permita anticipar problemas y tomar decisiones objetivas y razonables. En otras palabras: gestión de riesgos. El riesgo es, precisamente, uno de los conceptos al que hace repetida referencia el RGPD y el objetivo de una correcta gestión de los riesgos y de la elaboración de una EIPD no es otro que el de garantizar los derechos y libertades de los interesados y el de identificar, evaluar y mitigar los riesgos relativos a aquellos. 

A fin de conseguir lo anterior, es fundamental que las organizaciones establezcan medidas técnicas y organizativas, adecuadas al objeto, ámbito y fines del tratamiento; pero no basta con crearlas: las medidas han de ser sometidas a seguimiento y revisadas periódicamente.

Además, una correcta gestión de riesgos exige que los sujetos no solo cumplan con lo anteriormente dispuesto, sino que sean capaces de demostrar este cumplimiento. Así, toda gestión de riesgos debe cumplir dos características fundamentales:

  • Eficiencia: el coste y el impacto de la gestión de riesgos y la correspondiente EIPD debe ser mínimo para la organización, otro de los motivos que ha dado lugar a la necesidad de publicar la nueva Guía.
  • Eficacia: la gestión de riesgos debe entenderse como un proceso vivo y documentado, nunca como un documento formal, estático e invariable.

Estructura de la nueva guía

El documento publicado por la AEPD presenta una estructura detallada y organizada, dentro de la cual podemos diferenciar, claramente, tres partes o secciones:

1. Fundamentos para la gestión de riesgos. Sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de EIPD, en el marco de la protección de datos.

2. Desarrollo metodológico básico. Sección más práctica, con orientaciones sobre cómo poner en marcha dicha gestión en la organización. Un punto fundamental consiste en recordar que la AEPD solo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.

3. EIPD. Entendiendo a la Evaluación de Impacto como un proceso global, y no como un momento o contenido concreto, que forma parte intrínseca de la gestión de riesgos. De hecho, la nueva guía ha ahondado aún más que la anterior en este concepto, de las siguientes formas:

  • Facilitando a los responsables una check-list que permite que puedan determinar, desde un punto de vista formal, si las consultas remitidas a la AEPD son completas.
  • Ayudando a los responsables en la implementación de procesos de gestión de riesgos.
  • Proporcionando las herramientas para servir de base para el establecimiento de procesos propios de la organización.

Novedades y puntos fuertes de la Guía sobre gestión de riesgos y EIPD

En este apartado, presentaremos y analizaremos algunos de los aspectos clave y de las mejoras que introduce la nueva Guía.

1. Elaboración de un listado de factores de riesgo

La AEPD, como resultado de un profundo ejercicio de síntesis, ha creado una relación de factores de riesgo, a tener en cuenta por los responsables del tratamiento. Esta relación, en cualquier caso, no tiene carácter limitativo, sino que abre la puerta a que cada responsable, desde su responsabilidad proactiva, identifique los factores de riesgo específicos para cada tratamiento llevado a cabo y, a partir de ahí:

  • Implemente medidas de seguridad orientadas a proteger los derechos de los interesados
  • Realice un análisis para prever las consecuencias de posibles brechas de seguridad
  • Analice los fallos en los sistemas de tratamiento de información y estudie las repercusiones en los derechos de los individuos

2. Nuevas recomendaciones para mitigar los riesgos

Además de lo anterior, la AEPD ha llevado a cabo una tarea adicional, consistente en ofrecer una serie de recomendaciones para mitigar dichos riesgos, desde cuatro niveles:

  • Mediante la implementación de cambios en el diseño del tratamiento
  • Con la aplicación de medidas de gobernanza y políticas de protección de datos, a fin de garantizar y proteger los derechos y libertades.
  • A partir de la puesta en marcha de medidas de privacidad desde el diseño
  • Haciendo uso de medidas de seguridad, específicamente orientadas a la protección de los derechos y libertades de los interesados.

3. Introducción de la herramienta “EVALUA_RIESGO RGPD”

Además de la Guía en sí, la AEPD ha aprovechado la ocasión para presentar una herramienta que la guía contempla: Evalúa Riesgo. Es un recurso diseñado para dar soporte a los responsables a la hora de determinar el nivel de riesgo que pueden suponer sus tratamientos.

Su funcionamiento consiste en que la herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable -que es quien debe asumir ese cometido- en dicha tarea.

Para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:

  1. Los fines del tratamiento
  2. Los tipos de datos tratados
  3. El ámbito y alcance del tratamiento
  4. La tipología de interesados
  5. Los factores técnicos y tecnologías empleados
  6. La existencia de bases de datos específicas
  7. Los efectos colaterales del tratamiento en los interesados
  8. La categoría o sector dónde trata los datos el responsable o encargado
  9. Las comunicaciones de datos llevadas a cabo
  10. El impacto de la potencial pérdida de confidencialidad y seguridad

Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.

Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.

Conclusiones

Hasta aquí, nuestro artículo dedicado a la gestión de riesgos, las EIPD, la guía que regula ambos conceptos y todas las novedades. Pero, ojo, solo por el momento: siguiendo ese criterio de que estos son procesos vivos y cambiantes, la AEPD ya ha adelantado que los instrumentos presentados hoy forman parte de las muchas actuaciones y trabajos futuros que se desarrollarán a partir de ahora.

Todo apunta a que, de aquí en adelante, nos encontraremos con un panorama cambiante, con actualización de los formatos conocidos, prestación de más ayudas a responsables y encargados, introducción de nuevas herramientas y demás. No en vano justo ayer, 30 de junio de 2021 la Autoridad Francesa de Protección de Datos publicó su herramienta de elaboración de EIPDs V.3. Un gran recurso que en conjunto con este presentado por la AEPD nos vendrán muy bien a todos los actores en el ecosistema de privacidad.

Es indispensable recordar que, por mucho que la AEPD facilite la gestión, son los responsables del tratamiento quienes tienen en sus manos la carga de realizarla correctamente, y de estar al tanto de cambios y novedades, a fin de garantizar los derechos y libertades de los interesados, que es lo primordial.

Desde Dataseg, continuamos al pie del cañón para estar al tanto de todas las actualizaciones, novedades y asuntos de interés, a fin de mantenerte informado. Y, si quieres saber más, siempre puedes ponerte en contacto con nosotros.

Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.

En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.

Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.

  • Contenido de este post:
  • (1) COVID y protección de datos ¿No es más importante la salud?
  • (2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
    • Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
    • Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
    • ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
    • ¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
  • (3) Conclusiones.
  • (4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.

COVID y protección de datos ¿No es más importante la salud?

Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.

La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

RGPD UE 2016/679

Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.

Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.

1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?

  • Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
  • NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:

El fichaje con huella dactilar será sustituido por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Orden SND/388/2020, de 3 de mayo

2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?

Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.

Pero así por facilitar un resumen, la Agencia Española de Protección de Datos a través del Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos que publicó el 30/04/2020, ha establecido las «líneas rojas» dejando claro que:

  1. La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
  2. Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
  3. Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
  4. Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
  5. Debe ser tomada por personal cualificado para ello.
  6. En cuanto a las legitimaciones para el tratamiento:
    1. La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
    2. No es aplicable el interés legítimo.
    3. En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
    4. En otros casos podría aplicarse el interés público.
  7. La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.

3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?

Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:

Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:

Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).

[Pero ojo]

La información a solicitar debería responder al principio de proporcionalidad y limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.

AEPD en sus Preguntas frecuentes sobre COVID

Y todavía más ojo, que en el informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, publicado el 13/3/2020, dice la AEPD:

Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.

También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.

4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.

Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:

  1. Busquen proveedores profesionales y cumplidores.
  2. Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
  3. Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
  4. Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
  5. Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.

En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.

(3) Conclusiones.

Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.

Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.

(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
  • 26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
  • 8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.

Control de temperatura y protección de datos: El control de temperatura para frenar la expansión del COVID, es una de las medidas estrella de esta «nueva normalidad» en la que, vayamos a donde vayamos, estamos viendo como, o nos apuntan a la frente con un termómetro de infrarojos, o en nuestro caso, nos preguntan «¿Se puede instalar una cámara de videotermica? ¿Puedo obligar a mi personal a tomarse la temperatura al iniciar la joranda?» etc. Total, que el empresario o profesional/autónomo se termina preguntando si debe instalar un sistema de control de temperatura, o si puede, si le toca, lo que sea… Pues señores, como casi todo en derecho: DEPENDE.

Y diréis, ¿De qué depende? pues depende de qué es lo que vas a hacer, cómo lo vas a hacer, para qué lo vas a hacer, qué legitimación tienes para hacerlo, y por supuesto, de que todas las respuesta que salgan a estas preguntas, encajen dentro de los margenes y líneas rojas pintadas por la AEPD en la documentación, que sobre el COVID, control de temperatura y protección de datos ha publicado hasta el momento. «Fácil».

Contenido de este post:

  1. ¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?
  2. Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.
  3. Toma de temperatura en el ámbito laboral
  4. Toma de temperatura a clientes y visitantes
  5. Recomendaciones en caso de querer/»deber» aplicar esta medida.
  6. Conclusiones.

¿Qué ha publicado la AEPD sobre COVID, control de temperatura y protección de datos?

Pues bastante. Con sus admiradores y detractores, como siempre, pero desde nuestro punto de vista, con una premisa muy sólida y correcta:

La aplicación de la toma de temperatura como medida de control epidemiológica depende de la autoridad sanitaria competente, en este caso del Ministerio de Sanidad

Referencia: TODOS los documentos y comunicados publicados por la AEPD en relación a Covid19

En concreto ha publicado los siguientes materiales informativos en donde se menciona la toma de temperatura:

  • 12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
  • 12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
  • 30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
  • 7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.

Del conjunto de ellos se desprende claramente que la toma de temperatura como un medio de control epidemiológico, no de debe ser usado a la ligera, y siempre debe estar sujeto a un análisis profundo sobre la idoneidad, proporcionalidad, eficacia, y que no exista un medio menos intrusivo para conseguir el objetivo deseado.

Resumen de los puntos comunes de los documentos publicados por la AEPD en relación a la toma de temperatura y protección de datos.

  • «…este tipo de operación supone un tratamiento de datos personales…»
  • «…Este tratamiento … supone una injerencia particularmente intensa en los derechos de los afectados…»
  • «.en los controles … en espacios públicos, … una eventual denegación de acceso … estaría desvelando a terceros … que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus…»
  • «…dependiendo del contexto … las consecuencias de una posible denegación de acceso pueden tener un importante impacto para la persona afectada…»
  • «…La aplicación de estas medidas y el correspondiente tratamiento de datos requeriría la determinación previa que haga… el Ministerio de Sanidad … hay personas asintomáticas…a fiebre no siempre es uno de los síntomas presentes… (se debe evaluar) hasta qué punto estas medidas podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas…»
  • «…Este tratamiento debe basarse en una causa legitimadora de las previstas en la legislación de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD)…»
    • No puede ser por regla general el consentimiento.
    • Entorno laboral: «…la posible base jurídica podría encontrarse en la obligación que tienen los empleadores de garantizar la seguridad y salud de las personas trabajadoras a su servicio en los aspectos relacionados con el trabajo…»
    • «…La utilización del interés legítimo … como base legitimadora quedaríaexcluida…»
  • «…En todo caso, los afectados siguen manteniendo sus derechos de acuerdo con el RGPD y siguen siendo de aplicación las demás garantías que el Reglamento establece…»
    • Información a los trabajadores, clientes o usuarios …en particular si se va a producir una grabación y conservación de la información.
    • Conservación: «…En principio, y dadas las finalidades del tratamiento, este registro y conservación no debieran producirse, salvo que pueda justificarse suficientemente ante la necesidad de hacer frente a eventuales acciones legales derivadas de la decisión de denegación de accesos…»

En el estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad, la AEPD reiteró que :

… manifiesta su preocupación por el uso de estos dispositivos (cámaras térmicas) y la necesidad de contar con el criterio previo de las autoridades sanitarias antes de proceder a su instalación. Alerta de un posible riesgo de discriminación, de difusión pública de datos de salud y de crear una falsa sensación de seguridad que facilite el contacto con personas realmente infectadas.

Toma de temperatura en el ámbito laboral

La AEPD entiende que el empresario tiene una obligación de control y preservación de la salud dentro del ámbito de trabajo. Por tanto puede implementar medidas destinadas a medir la temperatura del personal, e incluso, en previsión de la seguridad de los empleados, de quienes accedan a las instalaciones de su empresa, negocio o despacho. Pero cuidadín, no hay cheque en blanco, todo debe analizarse.

Pero, ¿hasta qué punto es necesario o conveniente esto? Hay que tener en cuenta que hay personas que, pese a padecer COVID-19, son asintomáticas. Por tanto, la fiebre no es un factor indicativo, que nos pueda orientar plenamente. Además, la temperatura corporal puede estar elevada por muchas otras razones, distintas a estar infectado con COVID por lo que es posible elegir y optar por otras medidas más adecuadas y efectivas.
Hay que destacar que la AEPD indica que la toma de la temperatura en el ámbito laboral debe ser en coordinación con el equipo de prevención de riesgos, y debe ser realizado por personal cualificado.

Es importante, en todos los casos, cumplir con la normativa y garantizar los derechos y libertades de los interesados, así que en función de la actividad de tratamiento realizada es posible que sea preciso llevar a cabo una EIPD (Evaluación de Impacto en la Protección de Datos) previa, y en todos los casos, informar conforme el art. 13 RGPD, si corresponde, y cumplir con los principios de limitación del tratamiento, y plazos de conservación. De estos últimos habla la AEPD diciendo que no debería conservarse los datos, salvo que se pueda justificar plenamente el motivo de la conservación -dicho como lo han dicho, no guardéis los datos si aplicáis esta medida

Toma de temperatura a clientes y visitantes

Muchos son los colegios profesionales y consejos profesionales que recomiendan hacer triages y tomar la temperatura de los pacientes o clientes, o visitantes. Es importante tener claro que en tanto no sea una medida expedida por el Ministerio de Sanidad, NO es una obligación legal aplicar estas medidas.

En la Orden SND/388/2020, de 3 de mayo, por la que se establecen las condiciones para la apertura al público de determinados comercios y servicios, y la apertura de archivos, así como para la práctica del deporte profesional y federado. (ENLACE) se definen con claridad las obligaciones a aplicar durante el procesos de desescalada y apertura de comercios, despachos y otros de cara al público. Esto SI es obligatorio, y no incluye ni toma de temperatura, ni triages concretos.

Hay que tener especial atención en la toma de temperatura en lugares públicos para evitar discriminación, daños a los interesados, y exposición de datos a terceros no autorizados.

Si implanta esta medida, limite la exposición del cliente facilitando la toma de la temperatura en zonas privadas, o incluso, el auto test.

Recomendaciones en caso de plantearse la aplicación de esta medida

Dejando claro que cada situación debe analizarse caso por caso, que entendemos que hay medidas más idóneas, y por supuesto, que hay/habrá casos en que se considere que es la «única/mejor» opción, le dejamos unas recomendaciones, básicas, por si se plantea la aplicación de la toma de temperatura como medida de control contra el COVID:

  1. Evalue qué tratamiento realmente es el que va a realizar. Si es un tratamiento automatizado, o manual, si realmente recoge datos o no, si los conserva, o no (por ejemplo no es un tratamiento automatizado, pero hay cámaras de seguridad grabando… ), etc.
  2. Busque opciones menos invasivas en en ámbito privado y más eficaces contra el virus.
  3. Evalue el impacto en la protección de datos y derechos de los interesados. Que no necesariamente, es hacer una Evaluación de impacto (EIPD) formal y completa, en todos los casos. Evaluar caso a caso, recordad.
  4. Aplique los principios de proporcionalidad, limitación del tratamiento y la conservación, información y transparencia, legitimidad, seguridad y confidencialidad, y sobre todo, el sentido común.
  5. No se deje llevar por lo que hacen los demás. Cada caso es un mundo, cada uno ha analizado, o debería haber analizado el suyo… y claro que hay quien lo hace mal, no lo haga usted también.

En conclusión

La toma de temperatura no es la medida más eficaz, y hasta la fecha (ojo, que igual mañana nos toca editar y cambiar esto) no es obligatorio implantarla, es mejor aplicar otras opciones menos invasivas y seguramente más eficaces, distanciamiento social, medios de protección física, medidas de higiene, etc.

Ahora bien, si por lo que sea se decanta o debe implantar esta medida, recuerde consultar con su DPO, o su empresa o asesoría de protección de datos a modo de definir las medidas que corresponden aplicar, y así garantizar no solo el cumplimiento de la normativa, sino ayudar a proteger de manera adecuada los derechos y libertades de los interesados, y los suyos propios.

Más información sobre otras medidas relacionadas con COVID y protección de datos en nuestro post: COVID y protección de datos en la desescalada

El contrato de protección de datos es un acuerdo que deben formalizar las empresas o profesionales, con aquellos proveedores que les prestan servicios. Será obligatorio si la prestación de los servicios requiere acceso directo o indirecto a datos personales.

La obligación de este contrato está en el artículo 28 del Reglamento General de Protección de Datos -en adelante RGPD-, así como el artículo 33, de la nueva Ley de protección de datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales – en adelante LOPD o LOPDGDD indistintamente-.

En este artículo le contaremos:

  1. Generalidades sobre  el contrato de protección de datos
    1. ¿Cuál es el nombre correcto, o cómo debemos llamarlo?
    2. ¿Qué es el contrato de protección de datos?
    3. 1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.
    4. ¿Qué características debe tener? Forma, medio y modo de formalización.
    5. ¿Quién debe facilitar el documento?
    6. ¿Qué persona debe firmar el documento?
  2. ¿Cuáles son las partes?
    1. ¿Quién es el responsable y quién el encargado de tratamiento?
    2. OJO: Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.
  3. ¿Qué contenido mínimo debe tener el contrato?
  4. Otros contenidos frecuentes, y algunos a los que hay que estar atento.
  5. Consecuencias de no formalizar el contrato de protección de datos.
  6. Beneficios. Además de cumplir con el RGPD y la LOPD.

1. Generalidades sobre el contrato de protección de datos

1.1. ¿Cuál es el nombre correcto o cómo debemos llamarlo? 

Es importante saber que no hay un nombre único, y siempre que cumplan con el RGPD y la nueva LOPD, todos los nombres son correctos.

El nombre ha variado tanto como ha evolucionado la normativa de protección de datos. También tanto como profesionales deciden poner nombres «personalizados». Algunas de las variantes más conocidas son:

  1. Contrato o acuerdo de encargo de tratamiento de datos.
  2. Contrato de tratamiento de datos por cuenta de terceros.
  3. Contrato de acceso a datos por cuenta de terceros.

1.2. ¿Qué es el contrato de protección de datos?

El RGPD lo define como un «contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable«.

Total, que como ya dijimos antes, es un documento a formalizar entre las partes de una prestación de servicios, en las que el proveedor trate datos personales de los que sea responsable el cliente.

1.3. No es un documento nuevo, ya en la LOPD 15/1999 existía.

Pues eso, que el artículo 12 de la LOPD 15/99 ya exigía su formalización. La cuestión es que no era tan exigente con los prestadores de servicio con lo es el artículo 28 RGPD. Luego, si además le sumamos los añadidos del artículo 33 de la nueva LOPD 3/2018, se puede decir que los encargados/proveedores tendrán mucho más que hacer, y por lo que responder.

1.4. Formato, medio y modo de formalización.

1.4.1 Es un acuerdo que debe constar por escrito. Artículo 28.9 RGPD.

Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. Y debe estar por escrito. En este caso no valen los acuerdos verbales.

1.4.2. Puede ser físico o electrónico. Artículo 28.9 RGPD.

Puede estar en soporte físico, es decir en papel. También puede estar en formato electrónico.

1.4.3. Puede ser aceptado o firmado por medios electrónicos.

Si el acuerdo escrito puede estar en soporte electrónico, queda claro que también puede ser aceptado por ese medio. La firma electrónica será sin duda la reina, pero no será la única forma de aceptación.

1.4.4. Se podrá aceptar mediante marcado de casillas.  Siempre que se guarden los logs necesarios para trazar la voluntad de las partes y los datos asociados al acto del acuerdo.

También podrán tenerse como válidas otras formas de aceptación, por ejemplo mediante un correo electrónico en el que se acepte el contenido. Entre otros.

1.5. ¿Quién debe facilitar el documento?

El documento es obligación de ambas partes, aunque quien tiene la obligación principal de escoger un prestador que cumpla la LOPD y el RGPD, y formalizar el acuerdo previamente a la prestación de los servicios es el responsable.

Aún así, cualquiera de las partes puede facilitarlo, siempre que queden plasmadas las instrucciones del responsable, es decir el cliente; también las particularidades de la prestación del servicio y las medidas de seguridad, o incluso medidas de apoyo al responsable que debe cumplir en encargado (el proveedor).

Total, que en primer lugar debería ser un documento facilitado por el responsable, pero si no, debería como mínimo ayudar a configurar el contenido y la forma. En definitiva, no debe ser un contenido impuesto por el proveedor, en propio beneficio.

1.6. ¿Qué persona debe firmar el documento?

El contrato debe ser firmado o aceptado por una persona con capacidad de vincular a la empresa o empresario individual, con su proveedor. Puede ser el propietario o titular, administrador, gerente, o cualquier otra persona con capacidad para realizar la vinculación, bien por motivos del cargo que ostenta o porque lo haga por encargo de un superior.

2. ¿Cuáles son las partes? ¿Quién es el responsable y quién el encargado del tratamiento?

2.1 Definiciones

El Reglamento General de Protección de Datos tiene las siguiente definiciones, que en sí son bastante claras:

Artículo 4 RGPD:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;

8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

2.2. ¿Quién soy yo?

Depende de la posición que ostente en cada momento. Así en plan rápido:

  • El responsable suele ser el cliente de la prestación del servicio. 
  • El encargado suele ser el prestador/proveedor de servicios.
  • También existe el subencargado: el proveedor que presta servicios al encargado, y durante los cuales tiene o podría tener acceso a los datos de los que es responsable jurídicamente, el responsable.

2.3. Si usted es responsable, tiene la obligación de SOLO contratar encargados que cumplan con la normativa de protección de datos.

OJO: El artículo 28.1. dice textualmente (y su inclumplimiento es una infracción grave de la LOPD 3/2018):

El responsable «…elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

3. ¿Qué contenido mínimo debe tener el contrato?

El contrato de protección de datos tiene un contenido mínimo definido por el artículo 28 RGPD, en particular su número 3. Si un contrato no lo tiene todo, podemos decir que o no es válido, o está incompleto.

Ahora bien, la nueva LOPD 3/2018, incluye algunas aclaraciones que deberán ser tenidas en cuenta durante el desarrollo y finalización del contrato.

3.1 El contrato debe contener conforme a lo que dispone el artículo 28 del RGPD lo siguiente:

  1. Objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga.
  2. Tipo de datos personales tratados
  3. Categorías de interesados de los que el encargado tratará datos directa o indirectamente.
  4. Obligaciones y derechos del responsable.
  5. Reglas para la subcontratación de servicios.
  6. Las obligaciones del encargado. Estas se listan de forma particular, y son:
    1. Tratar los datos solo siguiendo instrucciones del responsable
    2. Garantizar que el personal que tratará los datos está formada en protección de datos y respetará el deber de confidencialidad.
    3. Aplicará las medidas de seguridad técnicas y organizativas que resulten de la evaluación de riesgos que le corresponde.
    4. No acudirá a otro encargado sin informar y ser autorizado por el responsable.
    5. Asistir al responsable en el ejercicio de derechos (o no, según contrato).
    6. ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36.
    7. Suprimir o devolver los datos personales una vez finalice la prestación de los servicios. Con excepciones según obligaciones legales.
    8. Poner a disposición del responsable información para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.

3.2. Otros contenidos frecuentes, y algunos a los que hay que estar atento.

La AEPD tiene una guía con directrices para elaborar contratos entre responsables y encargados, y contiene una plantilla que está siendo muy utilizada y que contiene contenidos adicionales tales como:

  1. La obligación de llevar el registro de actividades de tratamiento que se realizan como encargado.
  2. Una lista de medidas de seguridad conforme el art. 32 RGPD
  3. Toda la información sobre violaciones y brechas de seguridad
  4. Obligaciones del responsable: en las que incluye la realización de las Evaluaciones de impacto en la privacidad cuando sean necesarias, la supervisión del encargado, etc.
  5. Destino de los datos, en los que se incluye la opción de pasarlos a otros encargados.

5. ¿Qué consecuencias tiene no formalizar el contrato de protección de datos?

La no formalizacion del acuerdo de encargo de tratamiento de datos es infracción de la normativa de protección de datos. En España esta tipificada en la nueva LOPDgdd como:

Infracciones grave. Artículo 73:

«j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…»

«k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD»

«l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.» (Subcontratación)

m) La infracción por un encargado de lo dispuesto en el RGPD y en la LOPD, al determinar los fines y los medios del tratamiento…»

Infracción muy grave. Art. 74:

«j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…»

«k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo (varios)»

6. Beneficios. Además de cumplir con el RGPD y la LOPD.

El contrato de protección de datos no solo da cumplimiento a la normativa en cuestión, además es una forma de definir las responsabilidades entre las partes.

En muchas ocasiones, por desgracia, este el único documento que recoge de forma escrita y formal los servicios prestados, las obligaciones, y aunque parezca extraño, la responsabilidad y titularidad de los datos.

Para muchas pymes y profesionales cumplir con esta obligación es una salvaguarda ante sus prestadores de servicio que ahora ven como  el RGPD en su artículo 28 por fin exige a los encargados, más responsabilidad y definición de obligaciones.

Conclusiones

Formalizar el acuerdo de tratamiento de datos es una obligación legal de todos los responsables (empresas, ongs, asociaciones, comunidades de propietarios, profesionales, empresarios individuales, fundaciones, etc.) que subcontraten servicios durante los cuales el proveedor acceda a datos personales de su responsabilidad.

Por otro lado, su cumplimiento beneficia la formalización de acuerdos y responsabilidades de las partes, y es un punto de agarre y defensa entre las mismas.

En Dataseg te ofrecemos nuestro servicio de consultoría y asesoramiento en materia de protección de datos, estaremos encantados de echarle una mano con este y otros temas de su interés.

Los mitos sobre el RGPD (GDPR, si preferís sus siglas en inglés), rayos, truenos y centellas, no dejan de aparecer a medida que se acerca el 25 de mayo. Muchos de nuestros clientes nos llaman asustados por lo que un comercial, de dudosa ética le ha dicho para intentar venderle -bajo amenaza de multas millonarias- un producto/servicio que no necesita o que ya ha contratado.

También hay muchos bulos, noticias sueltas y no contrastadas, mesías de la LOPD que publican verdades a medias, medias mentiras, y otras veces exageraciones o vaguedades. Pese a que hay muy buenos artículos y muy buenos abogados, asesores, consultores, etc. que publican información clara, vemos necesario aclarar dudas, confusiones, y desechar mentiras.

Esperamos que este post ayude a que tengáis información más clara, así como fuentes a las que acudir en caso de duda.

Mito 1. El RGPD entró en vigor el 25 de mayo de 2018.

¡Falso! el Reglamento entró en vigor el 25 de mayo del año 2016, sí, como lo lee, del año 2016. Ahora bien, será exigible, y aplicable a partir del 25/05/2016 (Aquí mini resumen de los puntos clave del RGPD). Esto significa que ha estado en vigor todo este tiempo, aunque se aplazó la exigencia de su cumplimiento 2 años.

Entonces, ¿En qué nos afectará en realidad la llegada del 25/05/2018? Fácil, que a partir de ese día, todos los sujetos obligados al cumplimiento del RGPD, deben cumplirlo. No hay periodo de carencia, no hay unos meses después de esa fecha para adecuarse, el tiempo para adecuarse ha sido el transcurrido desde su aprobación hasta ahora.

Mentira 2. El GDPR obliga a todo el mundo a tener un Delegado de Protección de Datos

Otra vez, ¡Falso! El Reglamento no obliga que todos los Responsables o Encargados de tratamiento de los datos, nombren un Delegado de Protección de Datos – DPD (Más conocido como DPO por sus siglas en inglés).  Deben asignar un delegado de protección de datos, aquellos que cumplan, como mínimo, una de las siguientes opciones:

Artículo 37 RGPD:

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público…
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

Eso dice el Reglamento, aunque es cierto que el proyecto de Ley Orgánica de Protección de Datos 2018 (Aquí resumen de los puntos clave), trae supuestos más directos y desglozados. Ahora bien, hasta que no esté aprobado y publicado el texto íntegro de la Nueva Ley de Protección de Datos, los supuestos son los que dice el RGPD, ni más, ni menos.

En caso de duda se pueden consultar los artículos de la Agencia Española de Protección de Datos sobre el tema (aquí), o sus preguntas frecuentes (aquí) o las directrices del Grupo del Artículo 29 (aquí).

Pregunta del millón ¿Una farmacia necesita Delegado de Protección de Datos? ¡Pues depende! ¿De qué? Del volumen de datos, número de afectados o del alcance geográfico. Por ejemplo, no es lo mismo la única farmacia del pueblo, que una de 20 en un mismo pueblo.

Mentira 3. Todo el mundo debe llevar un “Registro de Actividades de Tratamiento”

¡Falso! Pues oiga, tampoco. Al igual que el punto anterior, y sin perjuicio de lo que exija la futura LOPD 2018, este registro solo deben realizarlo una serie de Responsables o Encargados.

No deberán llevar un Registro de actividades de tratamiento, aquellos a los que aplique la siguiente excepción establecida en el art. 30 del RGPD:

Artículo 30 RGPD

5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

Exageración 4. El RGPD hace que todos los Estados miembros de la UE exijan lo mismo en protección de datos.

Lamentablemente, ¡Falso!. Ya nos gustaría que ese principio y objetivo de la UE se hubiera alcanzado. No hubo consenso en todo el contenido del RGPD, y se dejó margen a los Estados para que regulasen internamente algunos puntos conflictivos, o muy “de país”.

Según Alejandro Padin (Garrigues), durante su comparecencia en el Congreso -en relación con el proyecto de Ley de Protección de datos 2018-, El RGPD obliga a los Estados a regular a nivel nacional entre 15 y 20 puntos, pero “permite” que regulen, o que se aplique el derecho nacional -si existe- hasta en 36 puntos más. Osea que podrían haber hasta más o menos 56 puntos de diferencia en la normativa de protección de datos de los Estados miembros de la UE.  Por lo que se ve en las leyes ya aprobadas (Francia y Alemania) y los proyectos de Ley en proceso, definitivamente no habrá homogeneidad.

Un ejemplo claro es lo relativo a la edad del consentimiento de los menores en el ámbito de la sociedad de la información. El RGPD establece la edad necesaria para consentir, en ese ámbito, en los 16 años, pero permite a los Estados poner una distinta -mínimo 13 años-. En España actualmente la edad para que los menores presten consentimiento son los 14 años, pero el proyecto de Ley de la nueva LOPD 2018, rebaja esa edad a 13 años (a ver cómo queda). El resto de Estados:

  • 13 años: Chipre, Letonia, Dinamarca, Suecia, Irlanda, Polonia, Noruega y Reino Unido.
  • 14 años: Austría y Bulgaría.
  • 15 años: Croacia.
  • 16 años: Alemanía, Hungría, Francia, Lituania, Luxemburgo, Reino Unido, Estonia, Holanda.

Mito 5. El 25 de mayo de 2018, dejará de aplicarse la LOPD 15/1999.

Sí, y no. Todo aquello en lo que la LOPD 15/99, sea contraría al RGPD, dejará de ser exigible y aplicará el RGPD. Ahora bien, todo aquello que no contravenga al RGPD, será en relación al Reglamento, «derecho del Estado», y en tal caso aplicará de forma complementaría.

Retomando el ejemplo de la edad del consentimiento de los menores, en caso de que la nueva Ley de protección de datos, no esté en vigor el 25/05/2018, la edad del consentimiento de los menores, en el ámbito de la Sociedad de la información, en España será 14 años, conforme nuestra LOPD 15/1999, y no de 16 años como establece el RGPD. Esta aclaración la hizo Agustín Fuentes, de la Agencia Española de Protección de Datos, durante su comparecencia en el Congreso con motivo de la tramitación de la nueva LOPD. La AEPD interpreta en sentido amplio la remisión del RGPD a «LEYES nacionales», y aunque la edad de 14 años se estableció mediante un Real Decreto será la que se aplique. 

En fin, que salvo que haya una nueva Ley de Protección de Datos, la actual no morirá el próximo 25/05/2018. Seguirá estando vigente en todo cuanto no contravenga al Reglamento Europeo de Protección de Datos.

Muchos mitos, pocas nueces

Las información está clara como el agua en el contenido del RGPD. No hay que creer inventos de vende humos, en caso de duda, hay que acudir a la fuente.

Si quiere información clara, acuda página del Grupo del artículo 29 -futuro Consejo UE de Protección de Datos-; a la página de la Agencia Española de Protección de Datos. En ellas encontrará información clara, concisa y apropiada. También, existen grandes profesionales, y empresas especializadas, que le podrán ayudar con la tarea de enfrentarse al RGPD.

Para más información, visite nuestros post relacionados:

1. Claves del Anteproyecto de Ley Orgánica de Protección de Datos (futura LOPD 2018)

2. Reglamento General de Protección de Datos ¿Qué es?, puntos más importantes a tener en cuenta.

3. Resumen1. 9AEPD. Primera parte de la sesión anual de la AEPD, especial sobre el RGPD.

4. Resumen2. 9AEPD. Segunda parte de la sesión anual de la AEPD 2017, especialmente dedicado al RGPD.