Protección de datos

13
May

Excepciones en el Contexto de Transferencias Internacionales de Datos

Dentro de los aspectos que trata el RGPD en el capítulo V, el movimiento internacional de datos, es un supuesto que se está produciendo con más frecuencia de lo que pensamos en nuestra sociedad, motivado fundamentalmente por la frecuencia en la contratación por parte de las empresas de los servicios en la nube, el almacenamiento de archivos con empresas extranjeras como DROPBOX, GOOGLE DRIVE, así como los tradicionales servicios de hosting, correo electrónico y plataforma de comercio electrónico con empresas extranjeras que ofrecen servicios económicamente más rentables. Todo ello convierte a las transferencias internacionales de datos en un elemento clave para la correcta prestación de servicios en una sociedad globalizada.

En este sentido, conforme la normativa de protección de datos para realizar correctamente los movimientos internacionales es necesario que la transferencia se base en una decisión de adecuación (lista de países) o mediante garantías adecuadas, y si éstas no son posibles, se podría aplicar alguna de las excepciones previstas en el artículo 49 del RGPD.

Para analizar a fondo dichas excepciones, es necesario tener en cuenta tanto lo señalado en el RGPD, como lo establecido por las directrices del Comité Europeo de Protección de Datos. En este sentido, entendemos que, en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia internacional de datos personales se podrá realizar a un tercer país o a una organización internacional solo bajo ciertas condiciones, garantizando un nivel de protección a las personas físicas. Entre las excepciones al principio general, tomando en cuenta lo mencionado en el artículo 49 del RGPD, tenemos:

  1. el interesado da su consentimiento a la transferencia propuesta, para que sea válida:
    1. el consentimiento deberá ser específico para la transferencia de datos en particular o para un conjunto de transferencias
    2. el consentimiento debe ser informado, en particular sobre los posibles riesgos de la transferencia.
  2. la transferencia sea necesaria para la ejecución de un contrato o para la ejecución de medidas precontractuales, se podrá aplicar cuando:
    1. Solo para transferencias que sean ocasionales, que no sean repetitivas y que sean necesarias, conexión estrecha y sustancial entre la transferencia y los propósitos del contrato.
      1. Prueba de necesidad: requiere una conexión estrecha y sustancial entre la transferencia de datos y los propósitos del contrato.
      2. Transferencias ocasionales: hay que determinar si es una transferencia es ocasional o no y que no ocurran regularmente dentro de una relación estable, puesto que se consideraría sistemática y repetida, por lo que excedería un carácter ocasional.
  3. la transferencia sea necesaria para la celebración o ejecución de un contrato, será válida cuando:
    1. Necesidad de la transferencia de datos y la celebración del contrato, debe existir un vinculo estrecho y sustancial, las mismas deben ser ocasionales y no repetitivas.
  4. la transferencia sea necesaria por razones importantes de interés público, se podrá invocar:
    1. Solo sobre interés púbicos reconocidos en el derecho de la unión o en el derecho del estado miembro.
    2. No aplica cuando se solicite la transferencia por una autoridad de un tercer país, deberá existir un acuerdo o tratado internacional.
    3. Por entidades privadas
  5. la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, se puede aplicar:
    1. Reclamo legal, independientemente si se tratada de un procedimiento judicial, administrativo o extrajudicial, esto es solo para reclamos presentes no para posibles o futuros.
    2. Necesidad de la transferencia de datos, finalidad explícita y que sea ocasional y no repetitiva.
  6. la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando:
    1. Los datos deben ser transferidos cuando el interesado, que está fuera de la UE necesita atención médica urgente y el exportador de datos debe proporcionar los mismos. Aplica también a la integridad física de una persona.
    2. Relacionado con el interés individual del interesado o con el interés de otra persona.
    3. El interesado no puede dar su consentimiento.
  7. la transferencia se realice desde un registro público, siempre y cuando:
    1. El registro debe estar acorde con la legislación de la UE o de los estados miembros.
    2. Intención de proporcionar información al público, registro abierto al público o a cualquier persona que demuestre interés legítimo.
    3. No aplica a registro privados.
    4. No se puede incluir la totalidad de los datos personales
  8. la transferencia es necesaria para los intereses legítimos imperiosos, si:
    1. No aplica ninguna de las excepciones del artículo 49.1 RGPD.
    2. Intereses legítimos convincentes, esenciales para el exportador de los datos.
    3. No repetitivo.
    4. Número limitado de interesados
    5. Equilibrio entre el interés legítimo imperioso y los derechos de los interesados.
    6. Aplicar salvaguardas para minimizar riesgos
    7. Informar a la AEPD y a los interesados.

Por último, en virtud de lo mencionado y teniendo en cuenta que existen varias excepciones en las que pueden ampararse las empresas para poder realizar movimientos internacionales de datos, es muy importante identificar el escenario y el contexto en las que se las va a realizar, existiendo particularidades en las que se puede aplicar cada una, lo que definirá cual es la aplicable a cada caso. Sin embargo, la excepción que suele utilizarse más es la relativa a las transferencias necesarias para la ejecución o celebración de un contrato, puesto que, en la mayoría de los casos, el movimiento internacional se va a realizar con el objetivo de cumplir con las obligaciones contraídas con el interesado. Un claro ejemplo lo tenemos en el movimiento internacional de datos que hace una agencia de viajes de sus clientes a los hoteles donde se van a hospedar, o en aquellos supuestos en los que el cliente solicita a un banco realizar un pago a una cuenta de otro banco en un país extranjero, siendo por tanto necesario en ambos casos transferir los datos del cliente a la empresa extranjera que prestará el servicio. Para que se apliquen correctamente estos supuestos, es necesario que las transferencias sean ocasionales y que exista una conexión estrecha y sustancial entre movimiento y los propósitos del contrato.

No debemos olvidar que, la utilización de las excepciones descritas anteriormente, solo podrán ser aplicadas ante la ausencia de los mecanismos incluidos en los artículos 45 y 46 del RGPD, las mismas son exenciones al principio general de transferencias, de que los datos personales solo pueden transferirse a terceros países si estos proporcionan un nivel adecuado de protección o si se han establecido salvaguardas apropiadas, esto permitirá a los interesados disfrutar de derechos efectivos y de garantías fundamentales.


Carlos Mogrovejo Riofrío

10
May

Actualización por el COMITÉ EUROPEO DE PROTECCIÓN DE DATOS (EDPB) de las directrices sobre el consentimiento online

El pasado 6 de mayo de 2020 el Comité Europeo de Protección de Datos (EDPB por sus siglas en ingles) publicó la Guidelines 05/2020 en la que actualiza la Guidelines WP259 t rev.01 del 10 de abril de 2018 sobre el consentimiento online.

¿Qué novedades trae? A tenor de lo que dicen los expertos, el informe no aporta ninguna novedad relevante, solamente aclara algunas cuestiones sobre las formas de obtener el consentimiento del usuario al navegar por una página web y uno de sus criterio no es coincidente con el de nuestra Agencia Española de Protección de Datos (AEPD)

El informe confirma que el usuario, cuando ve aviso sobre las cookies, si continúa navegando por la web, no supone haber prestado su consentimiento. Se necesita una acción explícita de aceptación. La acción de desplazamiento o deslizamiento (scroll) por la página, hacer clic en un contenido de la página, o simplemente cerrar el aviso (el típico clic en X), no significa que la voluntad del usuario sea la de haber aceptado las cookies. Volveremos a ello después.

Un ejemplo para que la acción del consentimiento sea clara y afirmativa, sería indicar al usuario que “si desliza esta barra hacia la izquierda, acepta el uso de la información X para el propósito Y. Repita el movimiento para confirmar” (pág. 18, 85). De esta manera se consigue un consentimiento inequívoco del usuario.

Igualmente, aclara que las “cookie walls” (aquellas que expulsan al usuario de la web si no aceptan las cookies) son ilegales, pues este tipo de mecanismo supone que el consentimiento obtenido de esta manera no puede considerarse otorgado libremente. Esta práctica tampoco permite la retirada del consentimiento y, en opinión de la EDPB, no debe utilizarse.

En noviembre de 2019, la AEPD publicó la “Guía sobre el uso de las cookies”. Sobre el asunto manifiesta que “A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación” (pág. 21). Es decir, la AEPD establecía un criterio contrario al publicado por la EDPB y, además, no coincidente con el fallo de la Sentencia del Tribunal Superior de Justicia de la Unión Europea (Gran Sala), de 1 de octubre de 2019, en el asunto C-673/17 (caso Planet49 GmbH) al declarar, entre otras cuestiones, que la exigencia de una “manifestación” de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo; es decir, que el consentimiento haya sido dado “de forma inequívoca” por el interesado.

A fecha de redactar estas breves líneas, la AEPD todavía no había publicado en su página web referencia alguna a la publicación de la “Guidelines 05/2020” de la EDPB. ¿Lo publicará a la vez que modifique su criterio?


Redacción DPO&itlaw

14
Abr

GUÍA CORONAVIRUS Recomendaciones en materia de protección de datos [Pandemia COVID-19]

Ante la situación excepcional que nos está tocando vivir causada por la pandemia de la COVID-19, el equipo de trabajo de DPO&it law continúa prestando todos sus servicios profesionales con normalidad. A través de la presente nota informativa, DPO&it law ha recopilado una serie de recomendaciones que, bajo el formato de preguntas y respuestas, pretenden aclarar aquellas dudas relacionadas con la protección de datos de carácter personal que ha suscitado en la empresa la situación excepcional provocada por el CORONAVIRUS.

Antes de proceder a dicho desarrollo conviene aclarar, que la Agencia Española de Protección de Datos (AEPD) ha emitido un informe de su Gabinete Jurídico (Ref. 0017/2020) aclarando, con carácter general, que la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni que por el momento dicha medida ha sido adoptada.

EN EL ÁMBITO DE PREVENCIÓN DE RIESGOS LABORALES

  • ¿Necesita la empresa el consentimiento del trabajador para el tratamiento de los datos personales de los trabajadores afectados por el COVID-19?
    No, ya que conforme a la normativa sanitaria, laboral y en particular de Prevención de Riesgos Laborales (PRL) la empresa podrá tratar los datos del personal necesarios para garantizar la salud de los afectados y la del resto del personal, adoptando las medidas necesarias para evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.

    Siguiendo el documento publicado por el Ministerio de Sanidad denominado: “Procedimiento de actuación para los Servicios de Prevención de Riesgos Laborales (SPRL) frente a la exposición al SARS-CoV-2” en el que establece:
    “El servicio sanitario del SPRL debe evaluar la presencia de PERSONAL TRABAJADOR ESPECIALMENTE SENSIBLE en relación a la infección de coronavirus SARS‐CoV‐2, establecer la naturaleza de especial sensibilidad de la persona trabajadora y emitir informe sobre las medidas de prevención, adaptación y protección. Para ello, tendrá en cuenta la existencia o inexistencia de unas condiciones que permitan realizar el trabajo sin elevar el riesgo propio de la condición de salud de la persona trabajadora.

    Con la evidencia científica disponible a fecha 23 de marzo de 2020 y ratificada a 8 de abril de 2020, el Ministerio de Sanidad ha definido como grupos vulnerables para COVID‐19 las personas con
    diabetes, enfermedad cardiovascular, incluida hipertensión, enfermedad hepática crónica, enfermedad pulmonar crónica, enfermedad renal crónica, inmunodeficiencia, cáncer en fase de tratamiento activo, embarazo y mayores de 60 años. Para calificar a una persona como especialmente sensible para COVID‐19, debe aplicarse lo indicado en el párrafo anterior”.
    Al respecto, DPO&it law ha preparado dos modelos de escritos para ayudar a la empresa al cumplimiento de dichas obligaciones.
    • Un primer documento para remitir a los proveedores que subcontraten servicios aportando personal con acceso a las instalaciones, así como a las empresas de trabajo temporal -ETT- cuyos servicios también deben ser prestados en las instalaciones de la empresa (Modelo a proveedores y ETT COVID-19).
    • Un segundo documento para remitir al personal de la empesa (Modelo PRL trabajadores COVID-19).
  • ¿Puede informar la empresa a todos los trabajadores de quien ha sido afectado por el COVID-19?
    Si en su empresa se ha dado algún caso de contagio por el coronavirus COVID-19, esta información puede proporcionarse al personal de la empresa sin identificar a la persona afectada a fin de mantener su privacidad. En todo caso, podría ser proporcionada al personal de la empresa, y en concreto al personal que haya podido tener contacto, si el trabajador presta de forma voluntaria su consentimiento para revelar dicha información. En cualquier caso, esta información podrá transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.
  • ¿Se puede solicitar información relacionada con el COVID-19 al personal o a terceros que acceden a la empresa?
    En principio está justificada la solicitud de información sobre síntomas o factores de riesgos sin necesidad de pedir su consentimiento explícito, si bien, ésta ha de responder al principio de proporcionalidad, resultando contrario al principio de minimización de datos la utilización de cuestionarios extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
  • Si el trabajador está en su domicilio bajo el “permiso retribuido recuperable” y se contagia por el COVID-19, ¿tiene la obligación de comunicarlo a la empresa?
    Ante una baja laboral por enfermedad, el trabajador no tiene la obligación de comunicar a la empresa el motivo. Sin embargo, en el caso de haberse contagiado por el COVID-19, sí está obligado a comunicárselo a la empresa para que ésta pueda adoptar las medidas oportunas de cara a proteger la salud del resto de los trabajadores.

    Igualmente, si el trabajador está aislado por posible contagio del COVID-19 pero no está diagnosticado como tal, también tiene la obligación de comunicarlo a la empresa.
  • ¿Se puede tomar la temperatura a las personas trabajadoras y terceros que acceden a la empresa?
    Aunque esta función debería recaer en el personal sanitario de la empresa, si ésta carece de ese personal, esta función podría realizarse,  por el personal de seguridad debiendo respetar la confidencialidad del dato obtenido y su finalidad deberá limitarse exclusivamente a evitar la propagación del COVID-19 y durante el tiempo estrictamente necesario. Además el personal de seguridad se encuentra sometido por el art 30.10 de la Orden INT/318/2011 de 1 de febrero sobre personal de seguridad privada, a una rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones.
  • ¿Debo mantener abierta la empresa?
    El Real Decreto-ley 10/2020, de 29 de marzo establece un “permiso retribuido recuperable” para trabajadores por cuenta ajena que no presten servicios esenciales, con el fin de reducir la movilidad de la población en el contexto de la lucha contra el coronavirus, de aplicación para trabajadores que no tengan suspendido su contrato o puedan continuar prestando servicios a distancia.
    La empresa debe mantenerse abierta si se trata de un servicio esencial y puede continuar la actividad empresarial si ésta no es considerada esencial, pero se puede realizar a distancia, aquella actividad que no exija desplazamiento de los trabajadores.
    En la Orden SND/307/2020, 30 de marzo, se adjunta un modelo de declaración responsable a emitir para los trabajadores por cuenta ajena que no deban acogerse al “permiso retribuido recuperable” recogido en el citado Real Decreto-ley.

EN EL ÁMBITO DEL TELETRABAJO

Una de las medidas más utilizadas por las empresas para seguir desempeñando sus labores profesionales ha sido adoptar sistemas de teletrabajo, debido a las restricciones de movimiento adoptadas por diferentes Decretos del Gobierno de España, así como por recomendaciones previas a estas prohibiciones de diferentes organismos y autoridades.

Aspectos jurídicos del teletrabajo:

  1. ¿Puede obligarse al trabajador a realizar teletrabajo?
    Por norma general no se puede, pues esto conllevaría una modificación de las condiciones de trabajo no recogida en el contrato de trabajo. La medida debería por tanto ser pactada entre el trabajador y la empresa de forma voluntaria, y formalizada por escrito. Sin embargo, dada esta situación excepcional, el Real Decreto-Ley 8/2020, de 17 de marzo, establece en su artículo 5 el carácter preferente del trabajo a distancia, estableciendo que deberán tomarse las medidas oportunas para mantener la actividad, siempre que ello sea técnica y razonablemente posible, y el esfuerzo de adaptación necesario no resulte desproporcionado. Además, establece que en todo caso el teletrabajo debe ser prioritario frente a la cesación temporal o la reducción de la actividad.
  2. ¿Puede el trabajador exigirlo?
    Como norma general, el trabajador tampoco puede exigirlo, debe ser una medida pactada entre empresario y trabajador. Sin embargo, como ya hemos indicado, el Real Decreto-ley 8/2020, de 17 de marzo, establece las medidas dirigidas a mantener la actividad económica, entre las que se encuentra el trabajo a distancia, el cual, como se ha dicho anteriormente, deberá ser prioritario frente a la cesación temporal o reducción de la actividad. Además, para facilitarlo, se prevén medidas como, por ejemplo, la autoevaluación de prevención de riesgos laborales, en los términos previstos en el artículo 16 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgo Laborales. En definitiva, el trabajador podría exigirlo, pues debe ser una medida proporcionada y oportuna que la empresa debe adoptar, siempre y cuando la misma sea razonable y técnicamente posible, sin suponer un esfuerzo de adaptación desproporcionado. Puede acceder a un modelo de Autoevaluación de Riesgos en el siguiente enlace (Modelo de autoevaluación de Riesgos).
  3. ¿Puede monitorizarse el teletrabajo?
    En principio sí se podría, conforme lo establecido en el artículo 20.3 del Estatuto de los Trabajadores. En dicho artículo el empresario podrá adoptar las medidas que considere oportunas de vigilancia y control, dentro de los límites que marca la legislación en protección de datos y el respeto a los Derechos Fundamentales de los trabajadores. Conforme a reiterada jurisprudencia de nuestro Tribunal Supremo y el TEDH, el empleador deberá emitir el juicio de proporcionalidad para el control laboral del trabajador, estableciendo que la medida es idónea, necesaria y proporcional a la medida de control establecida (Sentencia de la Sala Cuarta del Tribunal Supremo de 8 de Febrero de 2018), debiendo a su vez comunicar previamente al trabajador y la implantación de dicha medida, identificando la posibilidad y alcance de la fiscalización empresarial. Además deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores. Por otro lado, como se estableció por el TEDH en el caso Barbulescu (caso Barbulescu vs. Rumania, STEDH de 5 de Septiembre de 2017) a los efectos de calificar la supervisión del empleador como adecuada se deberán tener en cuenta los siguientes factores:
    1. el grado de intromisión del empresario.
    2. la concurrencia de legítima razón empresarial justificativa de la monitorización.
    3. la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo.
    4. el destino dado por la empresa al resultado del control.
    5. la previsión de garantías para el trabajador.
      Todo parece por tanto indicar, que en el presente supuesto excepcional el empresario tiene la justificación necesaria para realizar una vigilancia y control del teletrabajo, a través de la monitorización del mismo, ya que la medida de control es necesaria, adecuada y proporcional, siempre y cuando el grado de intromisión no supere los factores marcados por el TEDH y la misma sea comunicada a los representantes sindicales..
  4. ¿Debe realizarse el registro de jornada laboral preceptivo?
    Si, ya que este registro es obligatorio. El registro diario de jornada, exigible en todo caso, deberá ponderarse y globalizarse a efectos de control y contabilización del tiempo de trabajo efectivo en dichas secuencias superiores a la diaria. En este sentido conviene resaltar, que existen excepciones para el personal con relaciones laborales de carácter especial y para trabajadores con un régimen específico o particular en materia de registro de jornada. Por último deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores.

2. El Teletrabajo en la política RGPD.

La adopción del teletrabajo no puede suponer una quiebra en el cumplimiento de la normativa en materia de protección de datos, adquiriendo si cabe mayor importancia en esta situación de especial vulnerabilidad en la que nos encontramos.

En este contexto, debemos tener en cuenta varios aspectos a la hora de adecuar nuestras políticas de protección de datos a la nueva forma de trabajo a distancia adoptada por la empresa.

  1. Registro de Actividades
    Si el teletrabajo no está previsto en el funcionamiento normal de la empresa, no estará incluido en el Registro de Actividades del Tratamiento, por lo que éste debe ser completado incluyendo este nuevo tratamiento o Registro de Actividad de Tratamiento de datos.

    Deberá por tanto incluirse este nuevo tratamiento, además de actualizar otros documentos y anexos de la política de privacidad de la empresa para que esté recogido este nuevo tratamiento, incluida, en su caso, el Informe de aproximación al Riesgo, o la Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
  2. Notificación de brechas de seguridad de los datos personales durante el estado de alarma
    La situación de especial vulnerabilidad que estamos atravesando aumenta la probabilidad de sufrir una brecha de seguridad de los datos personales. La suspensión de los plazos administrativos establecida por el Real Decreto 463/2020, de 14 de marzo, nos lleva a plantearnos si sigue la obligación de notificar las brechas de seguridad producidas en el seno de una organización.

    Esta duda ha sido resuelta por la AEPD, determinando que la suspensión de los plazos administrativos no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificar ante la AEPD y los interesados.

    Por lo tanto, los responsables y encargados del tratamiento deben seguir cumpliendo con sus obligaciones, debiendo notificar las brechas de seguridad en el plazo de 72 horas a la Autoridad de Control, que se podrá realizar de forma telemática a través de la sede electrónica de la AEPD.
  3. Información Adicional a los empleados
    El teletrabajo no puede ni debe ser excusa para dejar de cumplir determinadas normas y deberes por parte de los empleados, que deberán seguir las mismas medidas de seguridad que desde la empresa, por lo que resultaría conveniente recordar determinados aspectos:
    1. Deber de confidencialidad.
    2. Política de uso de dispositivos electrónicos, siempre que exista.
    3. Características de las redes a las que se pueden conectar.
    4. Uso compartido de los dispositivos.
    5. Posibilidad o no de instalar programas. En definitiva, debe garantizarse, en la medida de lo posible, el mismo nivel de seguridad que existía antes de incorporar el teletrabajo.
  4. ¿Qué ocurre con los contratos de encargado de tratamiento de profesionales autónomos?
    Normalmente, los profesionales autónomos suelen trabajar con el equipo y la red de la empresa desde las instalaciones de la empresa, debiendo suscribir el correspondiente contrato de encargado de tratamiento.

    Al adoptar el teletrabajo, la situación puede variar, siendo necesario realizar nuevos contratos de encargado de tratamiento para garantizar la confidencialidad, la seguridad y el adecuado cumplimiento en materia de protección de datos.

    Así, podemos encontrarnos en diferentes escenarios:
    • Profesionales autónomos con equipo y red de la empresa, pero siendo necesario trasladar el equipo a su propio domicilio. En este supuesto no será preciso firmar un nuevo contrato de encargado de tratamiento, pero deberá contar con la correspondiente autorización de la empresa para trasladar el equipo.
    • Profesionales autónomos con equipo propio y red de empresa. En este caso sí será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
    • Profesionales autónomos con equipo y red propio. En este caso también será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
      En cualquiera de los escenarios descritos, no hay que olvidar el cumplimiento de las funciones y obligaciones del personal de la empresa, además de todas las normas en materia de protección de datos que garanticen el mismo nivel de seguridad presente en la empresa antes de la crisis sanitaria provocada por la COVID-19.
  5. Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
    Las implicaciones que tiene el teletrabajo en la Política de Medidas de Seguridad RGPD dependerá del modelo de teletrabajo adoptado por cada empresa, en concreto, si los sistemas de información con los que se trabaja a distancia son proporcionados por la empresa o, por el contrario son propiedad del trabajador, es decir si se adopta el modelo BYOD (Bring Your Own Device, Trae Tu Propio Dispositivo):
    1. Sistemas de Información aportados por la empresa: la empresa proporciona a los trabajadores los ordenadores y demás dispositivos necesarios para realizar el teletrabajo. Es necesario en estos casos implantar medidas técnicas y organizativas necesarias para garantizar la seguridad en el tratamiento de datos personales, ya sean medidas organizativas determinadas por normas preestablecidas (normas de uso de herramientas informáticas, política de funciones y obligaciones en protección de datos etc.) o medidas técnicas adoptadas específicamente para los casos concretos por el departamento de informática (instalación de VPNs, usuarios y contraseñas, restricciones de acceso a documentos o carpetas, registros de accesos, etc.). Este modelo de Teletrabajo afecta por tanto al tratamiento de datos y debe realizarse la correspondiente modificación del Registro de Actividades del Tratamiento, incluyendo el teletrabajo como un nuevo tratamiento de datos personales. Por otro lado, dado que el tratamiento de datos no se encuentra en la política de privacidad de la empresa, deberá comunicarse el mismo o a los empleados, en cumplimiento del Deber de información. Puede acceder a un modelo de Andenda al Contrato de trabajo que incluye todas las previsiones legales para poder redactar el mismo (Modelo de Adenda al Contrato de trabajo para Teletrabajo) sí como al modelo de comunicación a empleados en materia de protección de datos. (Modelo de comunicación Teletrabajo RGPD empleados).
    2. Bring Your Own Device (BYOD): el trabajador utiliza el ordenador y otros dispositivos de su propiedad para realizar el teletrabajo. En determinados casos las empresas no pueden proporcionar a sus trabajadores dispositivos para poder realizar teletrabajo, por lo que se autoriza a que se utilicen los dispositivos de los propios empleados para realizar el trabajo desde casa. Es importante, tener en cuenta, que si esta posibilidad no se encontraba regulada a la hora de establecer la relación laboral, no puede ser de obligado cumplimiento, si el trabajador se niega a utilizar sus propios dispositivos. De la misma manera que cuando se utilizan dispositivos de la empresa, el trabajo a distancia no puede suponer un incumplimiento de la normativa en protección de datos. Esta situación provoca un problema añadido, ya que es probable que para garantizar la seguridad de los datos deban realizarse determinadas operaciones en los dispositivos del trabajador que requieren el consentimiento de éste último, como por ejemplo la instalación de VPNs, bases de datos, antivirus etc. Además, este modelo de teletrabajo entraña otra serie de riesgos como la falta de actualizaciones de seguridad, ausencia controles de seguridad del Sistema Operativo, falta de cifrado etc. Si bien no es del todo recomendable implantar este tipo de modalidad de trabajo a distancia, el empresario puede verse abocado al uso de los sistemas de información del empleado por no disponer de otras soluciones y por tanto evitar así la cesación temporal, ERTE o despido. Al igual que en el anterior modelo es necesario incluir el tratamiento de datos en la política de privacidad de la empresa, y por tanto comunicarse el mismo o a los empleados. Puede acceder en el siguiente enlace a un modelo de Adenda al Contrato de Trabajo que incluye todas las previsiones legales para poder realizar teletrabajo bajo la modalidad BYOD (Modelo de Adenda al Contrato de trabajo para Teletrabajo BYOD) así como al modelo de comunicación a empleados en materia de protección de datos (Modelo de comunicación Teletrabajo RGPD empleados BYOD). Por último es recomendable que en estos supuestos exista una Política de Uso de Dispositivos Propios en el Trabajo. Puede acceder en el siguiente enlace a un modelo de política de uso de  Dispositivos Propios en el Trabajo (Modelo de Política de uso de Dispositivos Propios).
  6. ¿Es necesario realizar una evaluación de impacto?
    Sí, en los supuestos en los que se monitorice el teletrabajo por el empresario se deberá realizar una Evaluación de Impacto en Protección de Datos, puesto que el derecho a la privacidad del trabajador se ve sometido al control del empresario y, por tanto, a una evaluación del rendimiento del trabajo conforme establece el artículo 28.2 d) de la LOPDGDD. Por lo tanto, es recomendable analizar los riesgos existentes y adaptar las medidas técnicas y organizativas necesarias para garantizar la privacidad del trabajador y el cumplimiento de la normativa en materia de protección de datos.

Listado de modelos

  1. [DOC.1] Modelo PRL a proveedores y ETT COVID-19.
  2. [DOC.2] Modelo PRL a trabajadores.
  3. [DOC.3] Modelo Autoevaluación de riesgos del TELETRABAJO en caso de coronavirus COVID-19.
  4. [DOC.4] Modelo Adenda al contrato trabajo para TELETRABAJO.
  5. [DOC.5] Modelo Adenda al contrato trabajo para TELETRABAJO (BYOD).
  6. [DOC.6] Modelo comunicacion a empleados TELETRABAJO (BYOD).
  7. [DOC.7] Modelo comunicacion a empleados TELETRABAJO.
  8. [DOC.8] Modelo Politica BYOD.
20
Mar

La tecnología en la crisis sanitaria del coronavirus: ¿Cómo se realiza el tratamiento de los datos personales?

Tras la declaración del Estado de Alarma el 14 de marzo, la lucha para frenar el coronavirus (COVID-19) se refuerza en España con la primera herramienta tecnológica en formato web: www.coronamadrid.com, que pronto contará con una versión APP en IOS y Android que se denominará COVIDAPP.

Se trata de una plataforma que lanzó la Comunidad de Madrid, el principal foco de infección en España, y que permite realizar una autoevaluación del estado de salud de los ciudadanos (mayores de 16 años) en función de sus síntomas, facilitando instrucciones y recomendaciones sobre el COVID-19. De esta manera se pretende ayudar a evitar el actual colapso del sistema sanitario y las líneas de atención telefónicas de la Comunidad de Madrid.

Uno de los aspectos que más preocupa o inquieta con este tipo de plataformas es el tratamiento de los datos de carácter personal que nos solicitan para poder acceder o, en este caso, realizar la autoevaluación.

Entre los datos que se recogen (nombre y apellidos, número de teléfono móvil -incluye un proceso de verificación de identidad con el teléfono móvil-, DNI / NIE, fecha de nacimiento, correo electrónico, dirección completa y código postal y género), parece que el más controvertido desde que se hizo pública la plataforma es la geolocalización. Si acudimos a la Política de Privacidad de la plataforma, nos indica que “en el momento de la realización de las autoevaluaciones, se guardará tu localización GPS, siempre bajo tu autorización, para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento”.

Según continúa explicando la Política de Privacidad de la plataforma, estos datos son estrictamente necesarios por razones de interés público ante la actual pandemia del COVID-19.

Ante la creciente preocupación por el tratamiento de los datos personales durante la crisis del coronavirus, el pasado 12 de marzo, la AEPD se pronunció al respecto a través de un informe, estableciendo que la recogida de los datos personales cuya finalidad sea salvaguardar los intereses esenciales en el ámbito de la salud está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas, tal y como determina el artículo 6.1. e) y d) del RGPD.

En la misma línea, el 16 de marzo emitió el Comité Europeo de Protección de Datos una declaración sobre el tratamiento de datos personales, en la que recuerda que las normas de protección de datos no deben obstaculizar las medidas adoptadas por la pandemia del coronavirus, siempre que estas sean necesarias, apropiadas y proporcionadas.

Ante una situación de crisis como la que estamos atravesando, no solo en España sino en el resto de los países, ya sea en mayor o menor medida, se hacen necesarias actuaciones que pueden limitar la esfera de nuestra vida privada para asegurar y garantizar bienes jurídicos superiores, en este caso el derecho a la vida y a la salud colectiva, por lo que las normas de protección de datos no pueden ser una barrera para salvaguardar estos derechos, siempre que sean proporcionadas y adecuadas respecto a una situación tan excepcional como la actual.

Por último, debemos actuar con precaución ante la proliferación de numerosas páginas web y apps no oficiales que ofrecen servicios de autoevaluación respecto al coronavirus, suplantando en ocasiones al Ministerio de Sanidad, como ha podido constatar la AEPD, que ha advertido del riesgo de proporcionar datos personales a estas plataformas.

No debemos olvidar que, en ningún caso, estas plataformas pueden sustituir al servicio médico o de atención de urgencias o de prescripción de tratamiento farmacológicos, y que solamente pretenden ofrecer una orientación a los ciudadanos y evitar el colapso del sistema sanitario.


Alina Nastasache
Consultor en Derecho TIC y Protección de Datos

27
Feb

Análisis a la Ley de Ciberseguridad ¿Qué supone su aplicación?

La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

¿A qué entidades se aplica la Ley de Ciberseguridad?

  1. Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
  2. Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
  3. Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
  4. Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.

¿A qué entidades NO se aplica la Ley de Ciberseguridad?

  1. Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  2. Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Qué supone la aplicación de la Ley de Ciberseguridad?

1. Obligaciones de seguridad

  1. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  2. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
  3. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

2. Obligación de notificar y resolver incidentes

Se impone la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios. En cuanto a los proveedores de servicios digitales, esta obligación se aplicará cuando se tenga acceso a la información necesaria para valorar el impacto de un incidente. También se prevé la posibilidad de realizar notificaciones voluntarias de aquellas entidades que presten servicios esenciales pero no les sea de aplicación la Ley de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el incidente.

La importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

  1. El número de usuarios afectados por la perturbación del servicio esencial.
  2. La duración del incidente.
  3. La extensión o áreas geográficas afectadas por el incidente.
  4. El grado de perturbación del funcionamiento del servicio.
  5. El alcance del impacto en actividades económicas y sociales cruciales.
  6. La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
  7. El daño a la reputación.

Es importante recordar que esta obligación no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo que se acredite mala fe en su actuación.

La autoridad competente podrá decidir informar de modo directo al público o a terceros potencialmente interesados sobre el incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

Existe obligación de resolver los incidentes de seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí mismos los incidentes (art. 28.1).

Si la notificación de incidentes o su gestión, análisis o resolución requiere comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

3. Supervisión

Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. También se puede requerir auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. Posteriormente, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo (art. 32.2).

La autoridad competente solo inspeccionará el cumplimiento de estas obligaciones de los servicios digitales cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia (art. 33.1).

¿Qué sucede si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador

Los responsables serán los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de la Ley de Ciberseguridad.

Son infracciones muy graves, cuya comisión implica una sanción de multa de 500.001 hasta 1.000.000 euros:

  1. La falta de adopción de medidas para subsanar las deficiencias detectadas (artículos 32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y no se hubieran atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
  2. El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos (a partir del segundo incumplimiento) en el servicio.
  3. No tomar las medidas necesarias para resolver los incidentes (artículo 28.1) cuando éstos tengan un efecto perturbador significativo.

Son infracciones graves cuya comisión implica una sanción de multa de 100.001 hasta 500.000 euros:

  1. El incumplimiento de las instrucciones referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
  2. La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
  3. El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
  4. La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
  5. Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
  6. Poner obstáculos a la realización de auditorías por la autoridad competente.

Son infracciones leves cuya comisión implica una sanción de multa de hasta 100.000 euros o amonestación:

  1. El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
  2. La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
  3. No facilitar la información que sea requerida sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
  4. No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
  5. No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
  6. La falta de notificación de los sucesos o incidencias para los que exista obligación de notificación en virtud del del artículo 19.2.
  7. No completar la información que debe reunir la notificación de incidentes o no remitir el informe justificativo sobre la imposibilidad de reunir la información.
  8. No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el BOE y en el sitio de Internet de la autoridad competente.

Las sanciones se establecerán teniendo en cuenta los siguientes criterios:

  1. El grado de culpabilidad o la existencia de intencionalidad.
  2. La continuidad o persistencia en la conducta infractora.
  3. La naturaleza y cuantía de los perjuicios causados.
  4. La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
  5. El número de usuarios afectados.
  6. El volumen de facturación del responsable.
  7. La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  8. Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Se podrá acordar, en lugar de iniciar el procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el plazo que se determine, acredite la adopción de las medidas correctoras que resulten pertinentes, cuando concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave o que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de las infracciones previstas.

Si el apercibimiento no fuera atendido en el plazo determinado, procederá la apertura del procedimiento sancionador. NO podrán ser objeto de apercibimiento las infracciones leves previstas en los apartados c, d y e, así como la infracción grave por proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otra parte, NO se impondrán sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido, o cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.

Dña. Alina Nastasache

31
Ene

Participamos en el Curso Superior de Protección de Datos de la ETJ Law & Business School

Durante el próximo 2 de abril, participaremos con la ponencia «Los sujetos intervinientes: deberes y responsabilidad. Régimen de Infracciones y Sanciones» en el Curso Superior de Protección de Datos de la Escuela de Técnica Jurídica Law & Business School, perteneciente a la Universidad Rey Juan Carlos.

Dentro de la ponencia que impartirá Fernando Ramos Suárez, Socio Fundador en DPO&itlaw, se abordarán temas como:

  • El responsable del tratamiento: posición, deberes, responsabilidad.
  • El encargado del tratamiento: contrato de encargado del tratamiento y posibilidad de subcontratación
  • Usuarios: deberes de los usuarios.
  • Régimen de infracciones y sanciones.

 

Más información:

www.etj.es

 

12
Ene

Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

12
Ene

Empresas de transporte y mensajería, ¿encargados o responsables del tratamiento?

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

 

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

26
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos (actualizado)

Tras la publicación el pasado 10 de Noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, desde DPO&itlaw, hemos pasado a documento Word el Proyecto de Reforma LOPD y comparado con el anterior documento publicado en la Consulta Pública.
Publicamos en DPO&itlaw en Documento word el Proyecto de Reforma LOPD en dos versiones:

 

 

Versión Completa en Word con hipervínculos en el índice y con control de cambios respecto a la última versión del Ministerio de Justicia.

 

Versión Completa en Word con hipervínculos en el índice.

 

Esperamos sea de utilidad

20
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos  que adaptará la normativa de protección de datos española al Reglamento General de Protección de datos RGPD 2016/679 el cual introducen determinados derechos y obligaciones para la regulación del derecho fundamental a la protección de datos. Estas novedades del RGPD las podéis ver en nuestro área RGPD que estamos habilitando en  DPO&itlaw para una mejor comprensión del mismo.
 
Podéis acceder al Proyecto de Ley Publicado por el Ministerio de justicia a través del siguiente enlace.
Está prevista su aprobación para antes de mayo del 2018, y que por tanto coincida con la aplicación directa del RGPD, la cual está prevista para el 25 de mayo de 2018.
Estaremos expectantes al desarrollo y debate del Proyecto de Ley en el Parlamento, y os iremos informando de todas las novedades.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies