12
Abr

Tramitar mal una baja de correo comercial es motivo de sanción

En una reciente resolución, la Agencia Española de Protección de Datos ha sancionado a una compañía que, por un error en la tramitación, se continuaron enviando comunicaciones comerciales a un destinatario que había solicitado la baja para la recepción de este tipo de correos. El envío de veintiún correos durante el mes y medio posterior a esta solicitud se considera spam, y ha supuesto una sanción de treinta y tres mil euros, al considerar la Agencia que la circunstancia de que este hecho derivase de un error durante el proceso de cambio del sistema empleado para la gestión de este tipo de bajas no es justificación suficiente para eximir de responsabilidad al remitente.

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que modifica varios artículos de la LSSI, introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, la necesidad de contar con el consentimiento previo del destinatario para el envío de correo electrónico con fines comerciales.  De  este  modo,  cualquier  envío  de  comunicaciones  publicitarias  o promocionales  por correo  electrónico  u  otro  medio  de  comunicación  electrónica equivalente queda supeditado a la prestación previa del  consentimiento, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.

Por  lo  tanto,  una  vez  se procede a confirmar dicha solicitud de baja se estima  que los correos comerciales posteriores carecen del consentimiento del afectado para su envío, motivo por el cual su remisión constituye  una vulneración por parte de dicha sociedad a la prohibición contenida en el artículo 21.1 de la LSSI de enviar  comunicaciones comerciales por correo electrónico que previamente no hayan sido autorizadas o solicitadas por  el destinatario de las mismas.

Este tipo de resoluciones sancionadoras de la AEPD, pone de manifiesto la importancia de realizar una gestión eficiente del envío de comunicaciones comerciales electrónicas, siendo fundamental contar con procedimientos adecuados de gestión que permitan, en todo momento, mantener actualizadas nuestras bases de datos respecto de aquellos clientes o potenciales clientes que solicitaron las correspondientes bajas de envío de comunicaciones comerciales electrónicas.

5
Abr

La geolocalización y la normativa de Protección de Datos

Hoy en día muchas empresas utilizan los avances tecnológicos para el control de las herramientas de trabajo facilitadas a sus trabajadores. Entre dichas medidas, en la actualidad está en auge el uso de herramientas de geolocalización, de manera que el empresario pueda georeferenciar y conocer la localización, tanto de bienes propiedad de la empresa, como de trabajadores.

El problema jurídico  al que  nos enfrenamos con el uso de este tipo de herramientas, es que el acceso que se realiza a  los datos de geolocalización se considera como un tratamiento de datos de carácter personal, por lo que le será de plena aplicación la aplicación la normativa de protección de datos.

La primera definición de datos de localización viene establecida por la Directiva 2002/58/CE, que en su artículo 2, define los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”, definición que se recoge igualmente en el artículo 64.b) del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.

Dado que los datos de localización se refieren siempre a una persona física identificada o identificable, constituyen un tratamiento de datos personales que no necesitaría consentimiento del trabajador ya que dicho tratamiento se realiza para la gestión de la relación laboral, por tanto no sería necesario solicitar el consentimiento para dicho tratamiento de datos aunque sí sería necesario informarle del mismo conforme el art.5 de la LOPD. En este sentido, se debe poner especial atención por parte del empresario en aquellos casos en los que la geolocalización revele información no concerniente a la actividad laboral, y evitar así la  vulneración del derecho fundamental de sus trabajadores en materia de protección de datos,. Sería por tanto de suma importancia realizar un tratamiento de datos  conforme al principio de proporcionalidad desarrollado en el artículo 4.1 de la Ley Orgánica de Protección de Datos (LOPD), es decir que los mismos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido.

En relación con el dercho fundamental a la protección de datos en  laSentencia 186/2001 del Tribunal Supremo, se establece que ningún derecho fundamental es absoluto “pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél deba de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho”. En dicho sentido, la misma sentencia indica que “…el artículo 20 del Estatuto de los Trabajadores, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales…”. Así mismo, indica que dicha facultad debe producirse, lógicamente, dentro del debido respeto a la dignidad del trabajador.

El Tribunal Constitucional además ha venido manteniendo que la limitación de los derechos fundamentales del trabajador por parte de las facultades empresariales sólo puede derivarse del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho. Además, indica que la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la observancia estricta del principio de proporcionalidad, que no será vulnerado si cumple los siguientes requisitos:

  1. Juicio de idoneidad: si la medida es susceptible de conseguir el objetivo propuesto.
  2. Juicio de necesidad: si es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  3. Juicio de proporcionalidad en sentido estricto: si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Para determinación de la proporcionalidad del tratamiento de los datos de localización de los empleados, debe analizarse caso por caso, valorando las distintas situaciones concretas a las que se enfrenta el empresario para determinar si se justifica el tratamiento. De acuerdo con este principio, se entiende que bajo ningún concepto la empresa debe recoger datos de localización de un empleado fuera de la jornada laboral, debiéndose dotar a los equipos y vehículos susceptibles de georeferenciación, de un sistema que permita la desactivación de la función de su localización para supuestos de uso con fines privados.

Así mismo, hay que tener en cuenta que los datos de localización de los empleados deberán conservarse tanto tiempo como se considere oportuno en función de la finalidad que se haya dado como justificación para dicho tratamiento.

Por último, en relación con las medidas de seguridad aplicables a los datos de localización, al tratarse de datos responsabilidad de operadores que prestan servicios de comunicaciones electrónicas disponibles al público o que explotan redes públicas de comunicaciones electrónicas, además de las medidas de seguridad de nivel básico y medio, deberá aplicarse la medida de seguridad de nivel alto del artículo 103 del Reglamento de desarrollo de la LOPD. Es decir, será necesario implantar un registro de accesos a dichos datos, de manera que de cada intento de acceso se guarde, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado y en el caso de que haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Como conclusión, podemos indicar que el tratamiento de datos de geolocalización estará justificado siempre y cuando dicho tratamiento sea proporcionado a la finalidad que lo motiva, no obstante lo anterior será necesario analizar caso por caso, para comprobar que no existe una medida menos restrictiva para la consecución del fin que motiva su establecimiento.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies