Agencia Española de Protección de Datos

12
Ene

Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

12
Ene

Empresas de transporte y mensajería, ¿encargados o responsables del tratamiento?

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

 

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

17
Abr

Los canales de denuncia interna o whistleblowing

¿ES POSIBLE EN ESPAÑA IMPLANTAR CANALES DE DENUNCIA ANÓNIMOS PARA EL CUMPLIMIENTO DE POLÍTICAS DE RESPONSABILIDAD PENAL CORPORATIVA?

Actualmente, los denominados canales de denuncia interna (en inglés, whistleblowing) se están poco a poco implantando en las empresas como elementos fundamentales para el cumplimiento de las políticas de responsabilidad penal corporativa. Su inclusión en los programas de compliance permiten a la empresa eximirse de responsabilidad penal por los delitos cometidos por su personal en beneficio de la empresa. De esta manera, la posibilidad de comunicar o denunciar por empleados o terceros los hechos ilícitos realizados por otros compañeros o trabajadores de la empresa, deviene como un elemento clave en las políticas de responsabilidad penal corporativa.

Uno de los grandes problemas que se ha suscitado alrededor de estos instrumentos, incluso con aparentes contradicciones en el panorama institucional, es acerca de la admisibilidad de denuncias que no provengan de una fuente identificada, es decir, denuncias de carácter anónimo.

La Agencia Española de Protección de Datos se pronunció acerca de la cuestión en su Informe jurídico 128/2007 y, sorprendentemente y en contra del Dictamen del Grupo de Trabajo del art. 29 (al que haremos mención), se muestra partidaria de un sistema donde únicamente se admitan denuncias identificadas, es decir, una aparente prohibición de estimar y considerar estudiar e investigar denuncias que procedan de fuente anónima, ya que, bajo sus palabras, ello “no perjudicaría la operatividad del sistema, al deber quedar claramente planteada la conclusión de que los datos del denunciante en modo alguno podrían ser transmitidos al denunciado con ocasión del ejercicio del derecho de acceso”.

Desde este momento, la AEPD marcó su disconformidad con el criterio seguido por el Grupo de Trabajo del art. 29 en el Dictamen 1/2006 en relación a la protección de datos en los sistemas internos de denuncias de irregularidades (publicado en febrero de 2006). En esta resolución, el grupo se postula a favor de la configuración de los canales de denuncia interna bajo la posición de la identificación de los denunciantes y la absoluta garantía de confidencialidad que sobre esos datos habría de aplicarse. Como punto en común, queda absolutamente claro que ambas instituciones se muestran partidarias de que el sistema de denuncias internas sea configurado para que las misivas vengan identificadas. No obstante, es claramente discernible la divergencia de opiniones en cuanto a la admisibilidad de denuncias de carácter anónimo.

El GT29, en un tono ciertamente más realista y acorde al funcionamiento empresarial actual, reconoce que las denuncias anónimas son una realidad y que no pueden ser rechazadas de pleno como modus operandi general del responsable del sistema de denuncias. Ello no obsta, para que sobre la presentación de denuncias anónimas no deba aplicarse una debida precaución, enfocada enfoca en el examen de la entidad de los hechos denunciados en aras de valorar la conveniencia de su investigación. Esta precaución implicará que los hechos denunciados deberán tenerse en consideración en función de los efectos adversos que su veracidad pueda representar, sin perder de vista el hecho de su presentación por persona no identificada. Como proyección de la debida cautela que ha de guardarse con las denuncias anónimas, debemos tener en cuenta una serie de criterios y actuaciones del responsable que deben influir a la hora de evaluar la denuncia:

  1. En primer lugar y como requisito imprescindible, deben cumplirse una serie de especificaciones de carácter general aplicables a todo canal de denuncias, tales como: suficiente divulgación del sistema y debida información a los trabajadores (en correlación con el art. 64 del Estatuto de los Trabajadores); facilidad de acceso al sistema; proporcionalidad a la hora de estimar la admisión e investigación de las denuncias; documentación suficiente del sistema, así como catalogación de los comportamientos que se consideran irregulares y las consecuencias de su incumplimiento, en estricta relación con las normas legales y reglamentarias aplicables y otros documentos internos de normas éticas en el entorno de la empresa y garantía por parte del responsable del canal de que no existirán represalias contra los denunciantes.
  1. El canal de denuncias ha de verse respaldado por la dirección de la empresa o entidad creadora, así como configurarse de tal modo que no se fomente la denuncia anónima. Ello podría cumplirse si, por ejemplo, la empresa no anuncia que el sistema admite estas denuncias.
  1. Es importante que la persona(s) u órganos encargados del canal de denuncias informen al denunciante acerca de la protección y confidencialidad de su información personal durante todas las etapas del proceso e incluso a la conclusión del mismo. En añadido, estos datos deberán ser cancelados en un plazo razonable, el cual se viene entendiendo como dos meses tras la conclusión de la investigación. Si a pesar de las informaciones acerca de la confidencialidad ofrecida, el denunciante desea mantener el anonimato, la denuncia podría admitirse en base a más criterios aquí enunciados.
  1. Una consideración de buena práctica sería elaborar un catálogo interno, solo conocido por el responsable del buzón, de qué clase de denuncias anónimas podrían llegar a admitirse, por afectar a materias más sensibles para la empresa (como actos de comunicación de secretos comerciales, fraudes a la empresa de importante cuantía…). Si bien es importante que esta clase de catálogos no fueran conocidos por los sujetos afectados a posibles denuncias en el canal.
  1. Del mismo modo, una investigación fraccionada en dos momentos claramente diferenciables sería una prueba de la debida precaución a adoptar ante denuncias anónimas. En primer lugar, podría llevarse una primera investigación desde una perspectiva más limitada y confidencial para observar indicios de la posible comisión de la infracción, para luego, en caso de obtener pruebas indiciarias suficientes, llevar a cabo una investigación exhaustiva y obtener aquellas pruebas que permitan enjuiciar la culpabilidad o inocencia del denunciado respecto de los hechos comunicados y supuestamente ilícitos.
  1. En último lugar, un importante refuerzo para la “legalidad interna” de las denuncias anónimas consistiría en el establecimiento por parte de la dirección y organización del canal de modo interno que las denuncias anónimas podrían servir –atendiendo a los criterios aquí reseñados- como medio de investigación siempre que no accedan como prueba de cargo a un futurible proceso penal, laboral ante instancias administrativas o judiciales, sin perjuicio de que otros medios probatorios obtenidos de una hipotética investigación y que acrediten el incumplimiento denunciado anónimamente sí puedan tener este valor probatorios en tales procesos administrativos o judiciales.

Resulta importante señalar que, en la práctica judicial, ya se ha admitido el despido procedente de un empleado que engañó a la dirección de recursos humanos solicitando una excedencia especial para “cuidar a familiares octogenarios” empleando ese tiempo, en realidad, en un ingreso en prisión al que había sido condenado (véase la STSJ Canarias, Sala de lo Social, nº 552/2016, de 22/06/2016). Gracias a una denuncia anónima en el Buzón Ético de su empresa, pudo iniciarse una investigación que efectivamente cumplió en las cautelas anteriormente reflejadas: transmisión de la denuncia confidencialmente a determinados órganos empresariales cumpliendo el protocolo de investigación del sistema, reuniones informativas con el denunciado, en pro de estimar una aparente veracidad de los hechos. Es decir, se toman las debidas cautelas para obtener pruebas indiciarias o con carácter más concluyente de que ha podido existir infracción para luego realizar una investigación más exhaustiva incoando expediente al trabajador para la averiguación del alcance de los hechos y, por ende, poder depurar la posible culpabilidad o inocencia del denunciado.

Con esta sentencia, se pone de manifiesto que el criterio mantenido por la AEPD de no estimar ni admitir denuncias anónimas no supone vulnerar el derecho a la protección de datos a la hora de ejecutar medidas disciplinarias sobre circunstancias averiguadas agracias a una denuncia no identificada. El punto clave se hallará, entonces, en la debida cautela y precaución a seguir por los órganos empresariales encargados de la investigación y las posibilidades de defensa que se le permitan al denunciado de aportar aquello que demuestre lo infundado de las sospechas.

 

Carlos de Jorge Pérez

Abogado DPO&itlaw, S.L.

t. @carlosdejp1

 

30
Ene

Acceso a ficheros de solvencia patrimonial y créditos por terceras partes no aportantes

¿Es posible acceder a ficheros de Solvencia Patrimonial y Crédito sin constituirse en una entidad aportante de deuda?

Efectivamente ello es posible al amparo de la normativa de protección de datos, jurisprudencia de los tribunales españolas y la Doctrina de la Agencia Española de Protección de Datos.

Si bien actualmente en el Sector de la Recuperación de deuda en España existen ficheros sobre solvencia patrimonial y crédito que únicamente facilitan información a las entidades participantes del fichero, nada impide según la normativa de protección de datos que pueda realizarse consultas a los ficheros de solvencia sin que sea necesario tener la condición de entidad participante.

En este sentido, cualquier entidad distinta de la Aportante al Fichero de solvencia patrimonial y crédito podrá realizar dicha consulta siempre y cuando se realice cumpliendo con los requisitos del artículo 42 del Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007.

Esto es: solo se podrán consultar los ficheros de este tipo cuando se precise enjuiciar la solvencia económica del afectado. Se considerará que concurre esta circunstancia en los siguientes supuestos:

  1. Que el afectado mantenga con el tercero algún tipo de relación contractual que aún no se encuentre vencida.
  2. Que el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio.
  3. Que el afectado pretenda contratar con el tercero la prestación de un servicio de facturación periódica.

Por lo tanto por el mero hecho de poseer un interés legítimo sin la condición de entidad participante, y cumpliendo con los requisitos anteriormente enumerados se podrá consultar el fichero de solvencia patrimonial.

Igualmente y apoyando esta postura, nos encontramos con el informe 0280/2012 de la Agencia Española de Protección de Datos. En dicho informe se recoge los fundamentos jurídicos del mencionado artículo 42 del Reglamento estableciendo la posibilidad, de forma indirecta, de los acreedores de acceder a los ficheros de solvencia sin necesidad del consentimiento del afectado y sin necesidad de pertenencia al fichero para el Acreedor que consulta.

Por último muy significativa resulta la Sentencia del Tribunal Supremo 267/2014 de 21 de mayo de 2014 para apoyar nuestra argumentación, la cual señala en su Fundamento Jurídico Octavo, la no necesidad del consentimiento del deudor para la inclusión de la deuda en los ficheros de solvencia patrimonial y crédito, así como la posibilidad de consulta por cualquier tercero que satisfaga un interés legítimo.

Por tanto visto lo anterior podemos concluir que siempre y cuando se den los requisitos del artículo 42 del RD 1720/2007 cualquier entidad podrá realizar consultas sobre los ficheros pertinentes sin necesidad de ser Entidad Participante del mismo.

 

Fernando Mª Ramos Suárez
Socio Director

12
May

La nueva Ley de Telecomunicaciones

El pasado 10 de mayo se aprobó la nueva Ley de Telecomunicaciones

http://www.boe.es/boe/dias/2014/05/10/pdfs/BOE-A-2014-4950.pdf

Con la Ley de Telecomunicaciones se pretende  garantizar el cumplimiento de los objetivos de la Agenda Digital para Europa, asegurando un marco regulatorio claro y estable que fomente la inversión, proporcione seguridad jurídica y elimine las barreras que dificultaban el despliegue de redes, así como dotar de un mayor grado de competencia en el mercado.

Se procede por tanto a una simplificación administrativa eliminando licencias y autorizaciones  para determinadas categorías de instalaciones con el objetivo final de facilitar el despliegue de redes y la prestación de servicios de comunicaciones electrónicas.

El objeto de la Ley no se limita a la regulación de las comunicaciones electrónicas si no que aborda de forma general el régimen de telecomunicaciones no limitándose a los aspectos propios de los operadores de telecomunicaciones como las licencias servicio universal etc. En este sentido la ley aborda cuestiones como la conservación de datos, interceptación de la telecomunicaciones, evaluación y conformidad de equipos o aparatos etc.

Los aspectos destacables de la Ley de Telecomunicaciones son a mi juicio los siguientes:

  • Se regula la interceptación de las telecomunicaciones autorizadas.
  • Obligación de los operadores de servicios de comunicaciones electrónicas de notificar a la Agencia de Protección de Datos y abonados de los supuestos de violación de datos personales.
  • Conservación de datos. Se modifica la Ley 25/2007 a través de la disp. Final cuarta identificándose a los agentes facultados a los que se podrá ceder la información y estableciéndose un plazo de 7 días para comunicar la información.
  • Se regulan los derechos de los usuarios de los servicios, información, medio de pago, servicios de emergencia, facturación detallada etc..
  • Comunicaciones no solicitadas: derecho a no recibir llamadas automáticas sin intervención humana, oponerse a recibir llamadas no deseadas con finalidad comercial sin consentimiento previo.
  • Datos de tráfico: cancelación de los mismos o se hagan anónimos cuando ya no sean necesarios para la transmisión de la comunicación. Uso de los datos de tráfico para finalidad comercial sin consentimiento previo informado.
  • Datos de Localización: únicamente pueden ser tratados si son anónimos o  existe consentimiento informado previo.

Por otro lado se excluye expresamente la regulación de los contenidos difundidos a través de servicios de comunicación audiovisual y la prestación de servicios sobre las redes de telecomunicaciones que no constituyan el transporte de señal a través de dichas redes. Estos últimos son objeto de regulación por la Ley  34/2002 de 11 de julio de servicios de la sociedad de la información y comercio electrónico

A este respecto merece la pena destacar la modificación a través de la disposición final segunda de la LSSI para la regulación de las cookies y criterios para la modulación de las sanciones. En este sentido los aspectos más destacables de la modificación de la LSSI son:

  • Se modifica la obligación de incluir la palabra PUBLI en el envío de información comercial.
  • En los supuestos de envío de comunicaciones comerciales por correo electrónico a clientes con relación contractual previa, se establece la obligación de garantizar el derecho de oposición a través de una dirección de correo electrónico.
  • Se suprime la obligación respecto de las cookies, de la acción expresa en la instalación para otorgar el consentimiento.
20
Jul

Notificación de violación de datos personales en un plazo de 24 horas

Desde el próximo 25 de agosto será obligatorio para los proveedores de servicios de comunicaciones electrónicas disponibles para el público  notificar los casos de violación de datos personales en un plazo de 24 horas.

Desde la entrada en vigor de la  Directiva 2002/58/CE, se imponía a los proveedores de servicios de comunicaciones electrónicas disponibles al público el deber de notificar a la autoridad nacional competente todos los casos de violación de datos personales (en el caso de España, a la Agencia Española de Protección de Datos).

Dada la diversidad existente en las normativas nacionales respecto a cómo y cuándo comunicar estas notificaciones se publicó el Reglamento (UE) Nº 611/2013 de la Comisión, de 24 de Junio de 2013, por el que obliga a los proveedores  a notificar en un plazo de 24 horas los casos de violación de datos personales a la autoridad nacional competente con la información que se indica en el anexo de este Reglamento (en supuestos de especial complejidad la información a facilitar podrá completarse en un plazo de tres días). Esta obligación entrará en vigor el próximo 25 de agosto.

Además, esta norma obliga a que en los supuestos en los que la violación de datos personales pueda afectar negativamente a los datos personales o a la intimidad de un abonado o particular, el proveedor deberá notificar a estos de dicha violación. Esta notificación no será necesaria cuando el proveedor haya probado a satisfacción de la autoridad nacional competente que ha aplicado las medidas tecnológicas de protección convenientes y que estas se han aplicado a los datos afectados por la violación de seguridad. Las medidas de protección de estas características serían aquellas que conviertan los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos (encriptación). Complementariamente, la Comisión podrá publicar una lista indicativa de las medidas tecnológicas de protección convenientes.

Esta obligación podría extenderse a todos los responsables de tratamiento en caso de aprobarse el contenido de la actual propuesta de Reglamento europeo en materia de protección de datos.

12
Abr

Tramitar mal una baja de correo comercial es motivo de sanción

En una reciente resolución, la Agencia Española de Protección de Datos ha sancionado a una compañía que, por un error en la tramitación, se continuaron enviando comunicaciones comerciales a un destinatario que había solicitado la baja para la recepción de este tipo de correos. El envío de veintiún correos durante el mes y medio posterior a esta solicitud se considera spam, y ha supuesto una sanción de treinta y tres mil euros, al considerar la Agencia que la circunstancia de que este hecho derivase de un error durante el proceso de cambio del sistema empleado para la gestión de este tipo de bajas no es justificación suficiente para eximir de responsabilidad al remitente.

La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que modifica varios artículos de la LSSI, introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, la necesidad de contar con el consentimiento previo del destinatario para el envío de correo electrónico con fines comerciales.  De  este  modo,  cualquier  envío  de  comunicaciones  publicitarias  o promocionales  por correo  electrónico  u  otro  medio  de  comunicación  electrónica equivalente queda supeditado a la prestación previa del  consentimiento, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.

Por  lo  tanto,  una  vez  se procede a confirmar dicha solicitud de baja se estima  que los correos comerciales posteriores carecen del consentimiento del afectado para su envío, motivo por el cual su remisión constituye  una vulneración por parte de dicha sociedad a la prohibición contenida en el artículo 21.1 de la LSSI de enviar  comunicaciones comerciales por correo electrónico que previamente no hayan sido autorizadas o solicitadas por  el destinatario de las mismas.

Este tipo de resoluciones sancionadoras de la AEPD, pone de manifiesto la importancia de realizar una gestión eficiente del envío de comunicaciones comerciales electrónicas, siendo fundamental contar con procedimientos adecuados de gestión que permitan, en todo momento, mantener actualizadas nuestras bases de datos respecto de aquellos clientes o potenciales clientes que solicitaron las correspondientes bajas de envío de comunicaciones comerciales electrónicas.

3
Abr

Régimen sancionador del uso de videocámaras en el ámbito laboral

La Agencia Española de Protección de Datos (AEPD) y los Tribunales de lo Social a través de su actividad jurisprudencial, han proporcionado seguridad jurídica en una actividad en continua expansión: La utilización de videocámaras, y en particular su uso para la verificación del cumplimiento de las obligaciones laborales. En el artículo, presentamos una imagen general del actual marco jurídico español en el sector de la videovigilancia.

La AEPD ha llevado a cabo 365 actuaciones en el 2.008 relacionadas con el ámbito de la vigilancia mediante cámaras de seguridad, lo que supone un incremento del 196% respecto al año anterior.

En los últimos meses, la actividad sancionadora de la AEPD ha incidido particularmente en los sectores del comercio, la hostelería y la seguridad privada. Frecuentemente, hay un elemento común en las sanciones: La ubicación de dispositivos de videovigilancia que enfocan a la vía pública.

El criterio de la AEPD, y de los Tribunales de lo Social, para conceder su permiso a la ubicación de cámaras de videovigilancia es el de la proporcionalidad. Dicho principio supone que se pueden utilizar estos sistemas cuando otras medidas de prevención, protección y seguridad, de naturaleza física o lógica, que no requieran captación de imágenes resulten claramente insuficientes o inaplicables en relación con los fines legítimos mencionados anteriormente. (por ejemplo, la utilización de puertas blindadas para combatir el vandalismo, la instalación de puertas automáticas y dispositivos de seguridad, sistemas combinados de alarma, sistemas mejores y más potentes de alumbrado nocturno en las calles, etc.)

La utilización de Dispositivos de Videovigilancia en el Ámbito Laboral

El ámbito laboral es uno donde el uso de videocámaras ha generado mayor controversia, pues se contraponen dos derechos: el derecho a la intimidad personal, refrendado por el artículo 18 de la Constitución y desarrollado por la LO 1/1982, y el Estatuto de los Trabajadores que en su artículo 20.3 faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Una sentencia relevante al respecto es la relativa a la procedencia de un despido, fundamentado en unas grabaciones hechas por una videocámara no notificada, donde se clarifican los criterios de los tribunales españoles para el uso de videocámaras en el entorno laboral.

El empresario contrató los servicios de una agencia de investigación privada porque sospechaba de la conducta de sus trabajadoras. La agencia dispuso tres videocámaras, que posteriormente recogieron las grabaciones que constituyeron la prueba del despido procedente. La trabajadora impugnó la prueba de la grabación por no constar el conocimiento de las trabajadoras ni la autorización judicial para el uso de videocámaras.

El Tribunal fundamentó la procedencia del despido en los siguientes fundamentos jurídicos:

a) No consta que las cámaras de vídeo invadieran terreno personal porque se colocaron en lugares del centro de trabajo no amparados por la privacidad, y con el único fin de acreditar unos hechos indemostrables con otros medios de prueba. (Por tanto, no se vulneran los bienes jurídicos de la intimidad y la privacidad del artículo 18 de la Constitución española)

b) El Tribunal expone que el derecho a la intimidad no es absoluto y que el Estatuto de los Trabajadores atribuye al empresario la facultad de adoptar las medidas oportunas para verificar el cumplimiento del trabajador de sus obligaciones laborales. Se señala que la constitucionalidad de cualquier medida restrictiva de un derecho fundamental depende del juicio de proporcionalidad, cuyos requisitos son: idoneidad, necesidad y proporcionalidad en sentido estricto

c) El Tribunal argumenta respecto de la alegación por la trabajadora de la de la vulneración de la Instrucción 1/2006 de la AEPD sobre vigilancia “…que carecen de sustento, al igual que la cita del Instrucción 1/2006 de 8 de noviembre de la Agencia Española de Protección de Datos y Ley Orgánica 15/1999, pues mal podría servir a los fines pretendidos si la instalación de cámaras se anuncia en la entrada o sitio visible del establecimiento”

Por lo tanto, de la Sentencia se desprende que la instrucción 1/2006 de la AEPD no supone un impedimento para la facultad del empresario de ubicar dispositivos de videovigilancia para la verificación del cumplimiento de los deberes laborales, siempre que la colocación de las mismas no vulnere la intimidad y su utilización sea proporcionada.

1
Mar

Más vigilancia para los sistemas de videovigilancia

Según datos de la AEPD, durante el pasado año el número de videocámaras inscritas en el Registro General de Protección de Datos pasaron de 5000 a 15.500 . El incremento exponencial en el número de videocámaras, la falta de regulación en la materia y la evidente dificultad a la hora de aplicar la Ley Orgánica de Protección de Datos de carácter personal al tratamiento efectuado a través de estos sistemas de captación de imagen, ha dado lugar a la publicación por la Agencia de Protección de una interesante guía en la que se hace un análisis en profundidad de este tipo de ficheros y se establecen las pautas de actuación que deberán de regir estos tratamientos de datos.

La guía hace un importante esfuerzo por delimitar la aplicación la Ley Orgánica al tratamiento de imágenes y establece que los principios vigentes en materia de protección de datos personales deberán de aplicarse al uso de cámaras, videocámaras y a cualquier medio técnico análogo que capte y/o registre, conserve o almacene imágenes de personas físicas identificadas o identificables, ya sea con fines de videovigilancia o cualquier otro como el control de trabajadores.

Aunque, sin duda, recomendamos la lectura de la guía no nos resistimos a hacer un adelanto de las propuestas de la Agencia sobre cómo deben de tratarse y captarse las imágenes:

  • Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos
  • Debe informarse sobre la captación y/o grabación de las imágenes (en este sentido, la Instrucción 1/2006 aporta en sus Anexos modelos de cartel informativo y de cláusula informativa para entregar al titular de los datos que lo solicite)
  • El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista medio menos invasivo.
  • Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos.
  • Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible par ala finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
  • En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico.
  • Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron (en todo caso, la Instrucción 1/2006 fija un plazo máximo de un mes y en los casos en que las imágenes sean captadas a otros efectos, se someterán a la legislación específica aplicable).

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies