Coronavirus

13
May

LA AEPD ADVIERTE SU PREOCUPACIÓN ANTE LA TOMA DE TEMPERATURA COMO MEDIDA PARA PREVENIR LA COVID-19

Tras cerca de dos meses en confinamiento a causa de la crisis sanitaria por el coronavirus, España comienza su camino hacia la “nueva normalidad”. Si bien la declaración del estado de alarma obligó a frenar casi la totalidad de la actividad económica y social, la vuelta a la “normalidad” y la reapertura de establecimientos y centros de trabajo presenta grandes retos a los que debemos enfrentarnos para evitar un repunte en los contagios.

Así, la desescalada y la vuelta a los centros de trabajo llevan a las empresas a plantearse qué medidas adoptar para prevenir la presencia de la COVID-19 en sus establecimientos, y parece que la opción por la que más se están decantando es la toma de temperatura, tanto al personal como a los clientes.

¿Cómo afecta esta medida a la protección de datos?

Si volvemos la vista atrás, concretamente al 13 de marzo de 2020, nos encontraremos con el documento FAQ sobre el COVID-19 publicado por la Agencia Española de Protección de Datos (AEPD) en el que responde a diversas consultas planteadas sobre el tratamiento de datos personales relativos a la salud durante la crisis del coronavirus.

En este documento vemos como ante la pregunta de si “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” la AEPD muestra su conformidad y considera que esta medida está relacionada con la vigilancia de la salud de los trabajadores y, en virtud de la Ley de Prevención de Riesgos Laborales (LPRL), es obligatoria para el empleador.

No obstante, matiza que, en todo caso “el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban”.

Con la postura favorable de la AEPD para aplicar esta medida en el ámbito laboral, no solo las empresas comenzaron a implantarla para prevenir nuevos contagios de COVID-19 entre sus trabajadores, sino que, al parecer, esta práctica se está extendiendo como una medida de control de acceso en numerosos tipos de establecimientos, incluidos espacios públicos, lo que está impidiendo que las personas puedan acceder si presentan una determinada temperatura.

A consecuencia de ello, la AEPD emitió el pasado 30 de abril un comunicado pronunciándose sobre la toma de temperatura por parte de los centros de trabajo y otros establecimientos, en el que muestra su preocupación por el aumento de estas actuaciones, ya que “suponen una injerencia particularmente intensa en los derechos de los afectados”, al afectar a datos relativos a la salud de las personas que se están realizando sin el criterio previo de las autoridades sanitarias. Se trata, por tanto, de un tratamiento de datos sensibles que deben respetar en todo caso los principios de legalidad, limitación de la finalidad y exactitud de los datos.

En dicho comunicado la AEPD indica que la base legitimadora de este tratamiento de datos no puede ser el consentimiento de los interesados, pues este no sería libre. Por el contrario, entiende que la base jurídica podría ser, en el ámbito laboral, la obligación legal de los empleadores de garantizar la seguridad y salud de los trabajadores. En otros ámbitos se podría plantear la existencia de intereses generales como es la protección de la salud pública, pero descarta por completo la utilización del interés legítimo como base legitimadora en virtud del artículo 9.2 del RGPD y al entender que “el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general”.

¿Cómo se debe hacer y quién está habilitado para realizar la toma de temperatura?

Esta es una de las grandes dudas que se plantean en estos momentos las empresas. Retomando la pregunta “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” del documento FAQ sobre el COVID-19 de la AEPD, vemos como se indica que esta medida “debería ser realizada por personal sanitario”.

En este sentido, la LPRL establece en su artículo 22.6, en relación a la vigilancia de la salud que: “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada”.

Por otra parte, el artículo 9.3 del RGPD establece que “los datos de salud podrán tratarse para fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad […] o por cualquier otra persona sujeta también a la obligación de secreto […]”.

El reciente comunicado de la AEPD de 30 de abril incide en este aspecto al determinar que “los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes” y que el personal que los emplee debe reunir “los requisitos legalmente establecidos y estar formado en su uso”, si bien no establece cuáles son esos requisitos legales.

Por lo tanto, esta medida únicamente se puede realizar por personal cualificado, si bien la AEPD no establece cuáles son los requisitos que debe cumplir este personal y qué debemos considerar como personal “cualificado”, por lo que nos planteamos si debe ser necesariamente personal sanitario o puede realizarse por personal que haya recibido formación específica sobre el uso de los equipos de medición.

En estos momentos, y a la espera de que las autoridades sanitarias se posicionen y determinen si esta medida es lícita y, en su caso, indique la forma de proceder al respecto, entendemos que es recomendable someter al personal a obligación de secreto profesional y formarla en el uso de la herramienta y el procedimiento a seguir.

El último pronunciamiento de la AEPD respecto al uso de dispositivos como cámaras térmicas para registrar la temperatura fue el pasado 5 de mayo en el documento “El uso de las tecnologías en la lucha contra el COVID19”, en el que establecía que la recogida de estos datos solo puede entenderse “como parte de un tratamiento mayor, y no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios”, ya que en estos casos “tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud”. Por último, y respecto al ámbito laboral, insiste en que la toma de temperatura sea utilizada dentro de un marco de tratamiento más extenso y que, en todo caso, se respeten los derechos y libertades que promueve el RGPD.

En conclusión, si bien la normativa de protección de datos no puede suponer un obstáculo para adoptar las medidas necesarias de prevención contra la COVID-19, debemos tenerla presente y valorar la eficacia y necesidad de las mismas así como la posibilidad de adoptar alternativas menos lesivas para los derechos y libertades de los afectados. Según advierten las autoridades sanitarias, existe un porcentaje de personas que son asintomáticas y que, por tanto, no presentan altas temperaturas pero pueden contagiar, o personas que presentan altas temperaturas por causas ajenas al coronavirus, lo que pone en duda la eficacia de esta medida.

Es por ello necesario que las autoridades sanitarias se pronuncien sobre la pertinencia de estas medidas que están cada vez más presentes en nuestro día a día.  

Alina Nastasache
Consultora en Derecho TIC y Protección de Datos



13
May

Activos Virtuales: Las Recomendaciones del GAFI para Mitigar el Riesgo del Blanqueo de Capitales y la Financiación del Terrorismo

En octubre del año 2018 y ante el imparable aumento de actividades financieras que involucran activos virtuales, el Grupo de Acción Financiera Internacional (GAFI) actualizó su Recomendación 15 sobre Nuevas Tecnologías para incorporar dentro de su ámbito de aplicación los activos virtuales y los servicios financieros relacionados.

Posteriormente, en junio de 2019, el GAFI adoptó formalmente el texto de la nueva Nota Interpretativa de la modificación de la Recomendación 15 para aclarar las indicaciones relacionadas con los activos virtuales. Junto a ésta publicó una actualización de la “Guía para un enfoque basado en el riesgo para los activos virtuales y los proveedores de servicios de activos virtuales”, basada en el documento de orientación que había publicado en 2015, con el fin de facilitar a países y proveedores de servicios de activos virtuales (PSAV) a comprender sus obligaciones en materia de en materia de prevención del blanqueo de capitales y de la financiación del terrorismo y a implementar de forma efectiva los requisitos que el GAFI aplica a este sector.

Así, el GAFI insta a los países a que regulen las actividades financieras que involucran activos virtuales y pone de manifiesto el riesgo que presentan respecto a la lucha contra el blanqueo de capitales y la financiación del terrorismo (PBC/FT, AML/CTF, por sus siglas en inglés).

¿Por qué las actividades financieras que involucran activos virtuales presentan riesgo de blanqueo de capitales y financiación del terrorismo?

Porque las actividades con activos virtuales facilitan, por sus características intrínsecas, un mayor anonimato y, por tanto, dificultan la identificación y verificación de la identidad del cliente, lo que las convierte en una herramienta idónea para ser utilizadas en actividades ilícitas. Como bien indica el GAFI en la mencionada Guía: “Los activos virtuales y los servicios financieros relacionados tienen el potencial de estimular la innovación financiera y la eficiencia y mejorar la inclusión financiera, pero también crean nuevas oportunidades para que delincuentes y terroristas blanqueen sus ganancias o financien sus actividades ilícitas”.

Por ello, al suponer mayores riesgos de blanqueo de capitales y de financiación del terrorismo, se precisa de la aplicación de medidas reforzadas de diligencia debida.

¿Cuáles son las recomendaciones del GAFI respecto a los activos virtuales?

En síntesis, el GAFI recomienda a los países que sigan las siguientes pautas: evaluar y mitigar los riesgos asociados con actividades relacionadas con activos virtuales; otorgar licencias o registrar proveedores de servicios relacionados y someterlos a supervisión o monitorización, implementar sanciones y otras medidas de cumplimiento cuando los proveedores de servicios relacionados fallen al cumplir con sus obligaciones en PBC/FT.

A continuación, analizaremos algunas de las recomendaciones más relevantes a efectos de prevención en relación con las actividades que involucran el uso de activos virtuales.

  1. Evaluación y mitigación de los riesgos asociados a las actividades con activos virtuales

El GAFI insta a que los países apliquen un enfoque basado en el riesgo para garantizar que las medidas para luchar contra el blanqueo de capitales y la financiación del terrorismo sean proporcionales a los riesgos identificados en sus respectivas jurisdicciones.

Así mismo, se recomienda que los países creen políticas a corto y largo plazo, debido a que el sector de los activos virtuales se encuentra en continua evolución.

Además, deben exigir a los PSAV que identifiquen, evalúen y adopten medidas efectivas para mitigar los riesgos asociados con el suministro o la participación en actividades relacionadas con activos virtuales o con la oferta de productos o servicios asociados a los mismos.

  1. Licencia o registro

Se debe exigir a los PSAV que, como mínimo, tengan licencia o estén registrados en las jurisdicciones donde se crean con el fin de poder realizar una supervisión efectiva de los mismos. Además, el GAFI apunta que las jurisdicciones anfitrionas puedan exigir este requisito de licencia o registro a los PSAV que operen desde su jurisdicción u ofrezcan productos y/o servicios a clientes dentro de la misma.

Se requiere la adopción de medidas adecuadas y la aplicación de las sanciones correspondientes en el caso de personas físicas o jurídicas que lleven a cabo operaciones de activos virtuales sin la licencia o registro.

No es preciso que un país imponga sistemas de registro independientes en el caso de las instituciones financieras previamente autorizadas o registradas, pues ya están sujetas a todas las obligaciones recomendadas por el GAFI.

  1. Supervisión o Monitorización

Los PSAV deben estar sujetos a sistemas efectivos de supervisión y control para garantizar el cumplimiento de los requisitos nacionales sobre PBC/FT.

En este sentido, la autoridad de control de cada país llevará a cabo una supervisión desde un enfoque basado en el riesgo, y deberá contar con poderes suficientes para garantizar el cumplimiento por parte de los PSAV, con inclusión de un régimen inspector y sancionador disuasorio de índole civil, penal o administrativo aplicable a los mismos y a sus Órganos de administración y dirección.

  1. Medidas preventivas

Los países y los sujetos obligados deben diseñar procesos que permitan el cumplimiento de sus obligaciones de Diligencia Debida para cumplir con las Recomendaciones del GAFI y sus legislaciones nacionales. La aplicación de medidas de diligencia debida permite la identificación y conocimiento del cliente, incluidos los beneficiarios de las transferencias, así como del titular real o beneficiario último con carácter previo al inicio de la relación de negocio o a la realización de cualesquiera operaciones.

Adicionalmente, los países han de incluir entre dichas medidas la obtención de información adicional sobre el cliente y el propósito e índole de la relación de negocio, así como la obtención de información sobre el origen de los fondos, la motivación de las transacciones previstas o realizadas y la realización de un seguimiento continuado de la relación de negocio.

Se establece un umbral cuantitativo a partir del cual los PSAV deberán aplicar medidas de diligencia debida para todo tipo de transacciones con activos virtuales, incluyendo transacciones ocasionales por encima de 1.000 EUR/USD.

Asimismo, son de aplicación otros requisitos como la verificación de inclusión en listas de sanciones y la aplicación de contramedidas financieras como la congelación y bloqueo de fondos y la prohibición de transacciones con las personas y entidades designadas.

Por el elevado nivel de riesgo que comportan las distintas formas de intercambio entre criptomonedas y dinero fiduciario o de curso legal y otros activos virtuales, así como los servicios de custodia  y/o administración que permiten su control, la participación y la prestación de servicios financieros asociados su comercio y otros riesgos inherentes a los mismos como el carácter pseudónimo o anónimo de las transacciones y los pagos recibidos de terceros no conocidos, el GAFI insta a los países a  adoptar medidas reforzadas de diligencia debida como:

  1. comprobar la información aportada por el cliente relativa a su identidad, como el número de su documento de identidad, contrastándolo con bases de datos de terceros u otras fuentes fiables;
  2. rastrear la dirección IP del cliente; y
  3. buscar en Internet cualquier información complementaria que permita corroborar la coherencia de la actividad del cliente con su perfil de transaccional, respetando siempre la legislación aplicable en materia de protección de datos.

Otra importante medida preventiva es que los PSAV tengan sistemas de gestión de riesgos apropiados para determinar si los clientes o titulares reales son personas con responsabilidad pública (PRPs o PEPs) o familiares o allegados de las mismas y, si por lo tanto, se han de reforzar las medidas de diligencia debida.

Por otra parte, los países se deben asegurar de que los PSAV conserven todos los registros de transacciones y medidas de diligencia debida al menos durante cinco años, de tal manera que las transacciones individuales puedan ser reconstruidas quedando esta información a disposición las autoridades competentes. Estos registros incluirán, por ejemplo: información relacionada con la identificación de los intervinientes, las claves públicas y direcciones o cuentas empleadas (o identificadores equivalentes), naturaleza y fecha de las transacciones y cantidades transferidas.

  1. Transparencia de las personas jurídicas

Al considerar que los PSAV pueden ser tanto personas físicas como personas jurídicas, se recuerda a los países que deben adoptar las medidas adecuadas para evitar el uso indebido de las mismas.

Además, se requiere que los países se aseguren de que los proveedores de servicios también evalúen y mitiguen sus riesgos de BC/FT e implementen la gama completa de medidas preventivas siguiendo las Recomendaciones del GAFI.

Por último, no hay que olvidar la necesaria coordinación con las autoridades pertinentes para garantizar la compatibilidad de los requisitos necesarios a efectos de PBC/FG con las normas de protección de datos, privacidad y disposiciones similares.  

El GAFI, en la Declaración pública sobre activos virtuales y proveedores relacionados de 21 de junio de 2019, hace un llamamiento a todos los países para que adopten medidas para la implementación de sus Recomendaciones en el contexto de las actividades relacionadas con los activos virtuales y reconoce que “la amenaza del uso delictivo y terrorista de los activos virtuales es grave y urgente”. Por ello, el GAFI ha informado que supervisará la implementación de los nuevos requisitos por parte de países y proveedores de servicios y realizará una revisión anual en junio de 2020.

En España, por el momento, la Autoridad competente (SEPBLAC o Banco de España) no se ha pronunciado sobre el Sector de las Criptomonedas o Activos Virtuales, ni se ha transpuesto la 5ª Directiva AML, cuyo plazo finalizaba el pasado 10 de enero de 2020 (art. 4 de la directiva) y que, si bien no incluye los Activos Virtuales, prevé la inclusión de los Exchagers o Plataformas de Cambio de Monedas Virtuales dentro del ámbito de aplicación de la Cuarta Directiva de Blanqueo 4AMLD.

La situación en la que nos encontramos actualmente respecto a este sector en España es que no se permite el Registro del Representante de Prevención de los Proveedores de Servicios de Monedas o Activos Virtuales, alegando que no se encuentran dentro del ámbito de aplicación de la Normativa Española de Blanqueo de Capitales (art. 2 de la Ley 10/2010 de Prevención de Blanqueo).

Podemos concluir que España tiene varias tareas pendientes en cuanto a la regulación de las criptomonedas: además de adoptar las medidas necesarias que incorporen las Recomendaciones del GAFI respecto a los Activos Virtuales, está obligada a modificar la normativa relativa al Blanqueo de Capitales para incluir dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.

No obstante, si ya se preveía un retraso considerable para la modificación de dichas normas como venía siendo habitual, la crisis en la que nos encontramos provocada por la COVID-19 no hace sino aumentar la sensación de inseguridad ante el vacío legal existente en el sector. En estos momentos, se hace especialmente necesario un pronunciamiento al respecto de la Autoridad Competente.

Alina Nastasache y Gonzalo de la Cruz
DPO&itlaw, S.L.

25
Abr

Guía de buenas prácticas en centros de trabajo

El pasado 11 de abril, el Ministerio de Sanidad del Gobierno de España publicó una «Guía de buenas prácticas en centros de trabajo» para prevenir los contagios de la COVID-19. Está dirigida a todas las personas trabajadoras cuya actividad se considera no esencial que se reincorporaron a su centro de trabajo y no han podido quedarse en su domicilio teletrabajando.

La guía recoge las medidas más esenciales de higiene y distancia interpersonal para aplicar antes, durante y después de la asistencia al centro de trabajo.

 Buenas prácticas en los centros de trabajo

14
Abr

GUÍA CORONAVIRUS Recomendaciones en materia de protección de datos [Pandemia COVID-19]

Ante la situación excepcional que nos está tocando vivir causada por la pandemia de la COVID-19, el equipo de trabajo de DPO&it law continúa prestando todos sus servicios profesionales con normalidad. A través de la presente nota informativa, DPO&it law ha recopilado una serie de recomendaciones que, bajo el formato de preguntas y respuestas, pretenden aclarar aquellas dudas relacionadas con la protección de datos de carácter personal que ha suscitado en la empresa la situación excepcional provocada por el CORONAVIRUS.

Antes de proceder a dicho desarrollo conviene aclarar, que la Agencia Española de Protección de Datos (AEPD) ha emitido un informe de su Gabinete Jurídico (Ref. 0017/2020) aclarando, con carácter general, que la normativa de protección de datos personales, en tanto que, dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni que por el momento dicha medida ha sido adoptada.

EN EL ÁMBITO DE PREVENCIÓN DE RIESGOS LABORALES

  • ¿Necesita la empresa el consentimiento del trabajador para el tratamiento de los datos personales de los trabajadores afectados por el COVID-19?
    No, ya que conforme a la normativa sanitaria, laboral y en particular de Prevención de Riesgos Laborales (PRL) la empresa podrá tratar los datos del personal necesarios para garantizar la salud de los afectados y la del resto del personal, adoptando las medidas necesarias para evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población.

    Siguiendo el documento publicado por el Ministerio de Sanidad denominado: “Procedimiento de actuación para los Servicios de Prevención de Riesgos Laborales (SPRL) frente a la exposición al SARS-CoV-2” en el que establece:
    “El servicio sanitario del SPRL debe evaluar la presencia de PERSONAL TRABAJADOR ESPECIALMENTE SENSIBLE en relación a la infección de coronavirus SARS‐CoV‐2, establecer la naturaleza de especial sensibilidad de la persona trabajadora y emitir informe sobre las medidas de prevención, adaptación y protección. Para ello, tendrá en cuenta la existencia o inexistencia de unas condiciones que permitan realizar el trabajo sin elevar el riesgo propio de la condición de salud de la persona trabajadora.

    Con la evidencia científica disponible a fecha 23 de marzo de 2020 y ratificada a 8 de abril de 2020, el Ministerio de Sanidad ha definido como grupos vulnerables para COVID‐19 las personas con
    diabetes, enfermedad cardiovascular, incluida hipertensión, enfermedad hepática crónica, enfermedad pulmonar crónica, enfermedad renal crónica, inmunodeficiencia, cáncer en fase de tratamiento activo, embarazo y mayores de 60 años. Para calificar a una persona como especialmente sensible para COVID‐19, debe aplicarse lo indicado en el párrafo anterior”.
    Al respecto, DPO&it law ha preparado dos modelos de escritos para ayudar a la empresa al cumplimiento de dichas obligaciones.
    • Un primer documento para remitir a los proveedores que subcontraten servicios aportando personal con acceso a las instalaciones, así como a las empresas de trabajo temporal -ETT- cuyos servicios también deben ser prestados en las instalaciones de la empresa (Modelo a proveedores y ETT COVID-19).
    • Un segundo documento para remitir al personal de la empesa (Modelo PRL trabajadores COVID-19).
  • ¿Puede informar la empresa a todos los trabajadores de quien ha sido afectado por el COVID-19?
    Si en su empresa se ha dado algún caso de contagio por el coronavirus COVID-19, esta información puede proporcionarse al personal de la empresa sin identificar a la persona afectada a fin de mantener su privacidad. En todo caso, podría ser proporcionada al personal de la empresa, y en concreto al personal que haya podido tener contacto, si el trabajador presta de forma voluntaria su consentimiento para revelar dicha información. En cualquier caso, esta información podrá transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias.
  • ¿Se puede solicitar información relacionada con el COVID-19 al personal o a terceros que acceden a la empresa?
    En principio está justificada la solicitud de información sobre síntomas o factores de riesgos sin necesidad de pedir su consentimiento explícito, si bien, ésta ha de responder al principio de proporcionalidad, resultando contrario al principio de minimización de datos la utilización de cuestionarios extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
  • Si el trabajador está en su domicilio bajo el “permiso retribuido recuperable” y se contagia por el COVID-19, ¿tiene la obligación de comunicarlo a la empresa?
    Ante una baja laboral por enfermedad, el trabajador no tiene la obligación de comunicar a la empresa el motivo. Sin embargo, en el caso de haberse contagiado por el COVID-19, sí está obligado a comunicárselo a la empresa para que ésta pueda adoptar las medidas oportunas de cara a proteger la salud del resto de los trabajadores.

    Igualmente, si el trabajador está aislado por posible contagio del COVID-19 pero no está diagnosticado como tal, también tiene la obligación de comunicarlo a la empresa.
  • ¿Se puede tomar la temperatura a las personas trabajadoras y terceros que acceden a la empresa?
    Aunque esta función debería recaer en el personal sanitario de la empresa, si ésta carece de ese personal, esta función podría realizarse,  por el personal de seguridad debiendo respetar la confidencialidad del dato obtenido y su finalidad deberá limitarse exclusivamente a evitar la propagación del COVID-19 y durante el tiempo estrictamente necesario. Además el personal de seguridad se encuentra sometido por el art 30.10 de la Orden INT/318/2011 de 1 de febrero sobre personal de seguridad privada, a una rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones.
  • ¿Debo mantener abierta la empresa?
    El Real Decreto-ley 10/2020, de 29 de marzo establece un “permiso retribuido recuperable” para trabajadores por cuenta ajena que no presten servicios esenciales, con el fin de reducir la movilidad de la población en el contexto de la lucha contra el coronavirus, de aplicación para trabajadores que no tengan suspendido su contrato o puedan continuar prestando servicios a distancia.
    La empresa debe mantenerse abierta si se trata de un servicio esencial y puede continuar la actividad empresarial si ésta no es considerada esencial, pero se puede realizar a distancia, aquella actividad que no exija desplazamiento de los trabajadores.
    En la Orden SND/307/2020, 30 de marzo, se adjunta un modelo de declaración responsable a emitir para los trabajadores por cuenta ajena que no deban acogerse al “permiso retribuido recuperable” recogido en el citado Real Decreto-ley.

EN EL ÁMBITO DEL TELETRABAJO

Una de las medidas más utilizadas por las empresas para seguir desempeñando sus labores profesionales ha sido adoptar sistemas de teletrabajo, debido a las restricciones de movimiento adoptadas por diferentes Decretos del Gobierno de España, así como por recomendaciones previas a estas prohibiciones de diferentes organismos y autoridades.

Aspectos jurídicos del teletrabajo:

  1. ¿Puede obligarse al trabajador a realizar teletrabajo?
    Por norma general no se puede, pues esto conllevaría una modificación de las condiciones de trabajo no recogida en el contrato de trabajo. La medida debería por tanto ser pactada entre el trabajador y la empresa de forma voluntaria, y formalizada por escrito. Sin embargo, dada esta situación excepcional, el Real Decreto-Ley 8/2020, de 17 de marzo, establece en su artículo 5 el carácter preferente del trabajo a distancia, estableciendo que deberán tomarse las medidas oportunas para mantener la actividad, siempre que ello sea técnica y razonablemente posible, y el esfuerzo de adaptación necesario no resulte desproporcionado. Además, establece que en todo caso el teletrabajo debe ser prioritario frente a la cesación temporal o la reducción de la actividad.
  2. ¿Puede el trabajador exigirlo?
    Como norma general, el trabajador tampoco puede exigirlo, debe ser una medida pactada entre empresario y trabajador. Sin embargo, como ya hemos indicado, el Real Decreto-ley 8/2020, de 17 de marzo, establece las medidas dirigidas a mantener la actividad económica, entre las que se encuentra el trabajo a distancia, el cual, como se ha dicho anteriormente, deberá ser prioritario frente a la cesación temporal o reducción de la actividad. Además, para facilitarlo, se prevén medidas como, por ejemplo, la autoevaluación de prevención de riesgos laborales, en los términos previstos en el artículo 16 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgo Laborales. En definitiva, el trabajador podría exigirlo, pues debe ser una medida proporcionada y oportuna que la empresa debe adoptar, siempre y cuando la misma sea razonable y técnicamente posible, sin suponer un esfuerzo de adaptación desproporcionado. Puede acceder a un modelo de Autoevaluación de Riesgos en el siguiente enlace (Modelo de autoevaluación de Riesgos).
  3. ¿Puede monitorizarse el teletrabajo?
    En principio sí se podría, conforme lo establecido en el artículo 20.3 del Estatuto de los Trabajadores. En dicho artículo el empresario podrá adoptar las medidas que considere oportunas de vigilancia y control, dentro de los límites que marca la legislación en protección de datos y el respeto a los Derechos Fundamentales de los trabajadores. Conforme a reiterada jurisprudencia de nuestro Tribunal Supremo y el TEDH, el empleador deberá emitir el juicio de proporcionalidad para el control laboral del trabajador, estableciendo que la medida es idónea, necesaria y proporcional a la medida de control establecida (Sentencia de la Sala Cuarta del Tribunal Supremo de 8 de Febrero de 2018), debiendo a su vez comunicar previamente al trabajador y la implantación de dicha medida, identificando la posibilidad y alcance de la fiscalización empresarial. Además deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores. Por otro lado, como se estableció por el TEDH en el caso Barbulescu (caso Barbulescu vs. Rumania, STEDH de 5 de Septiembre de 2017) a los efectos de calificar la supervisión del empleador como adecuada se deberán tener en cuenta los siguientes factores:
    1. el grado de intromisión del empresario.
    2. la concurrencia de legítima razón empresarial justificativa de la monitorización.
    3. la inexistencia o existencia de medios menos intrusivos para la consecución del mismo objetivo.
    4. el destino dado por la empresa al resultado del control.
    5. la previsión de garantías para el trabajador.
      Todo parece por tanto indicar, que en el presente supuesto excepcional el empresario tiene la justificación necesaria para realizar una vigilancia y control del teletrabajo, a través de la monitorización del mismo, ya que la medida de control es necesaria, adecuada y proporcional, siempre y cuando el grado de intromisión no supere los factores marcados por el TEDH y la misma sea comunicada a los representantes sindicales..
  4. ¿Debe realizarse el registro de jornada laboral preceptivo?
    Si, ya que este registro es obligatorio. El registro diario de jornada, exigible en todo caso, deberá ponderarse y globalizarse a efectos de control y contabilización del tiempo de trabajo efectivo en dichas secuencias superiores a la diaria. En este sentido conviene resaltar, que existen excepciones para el personal con relaciones laborales de carácter especial y para trabajadores con un régimen específico o particular en materia de registro de jornada. Por último deberá ser comunicada dicha medida a los representantes sindicales con carácter previo a la ejecución de la misma para que emitan el correspondiente informe conforme lo dispuesto por el artículo 64 del Estatuto de los Trabajadores.

2. El Teletrabajo en la política RGPD.

La adopción del teletrabajo no puede suponer una quiebra en el cumplimiento de la normativa en materia de protección de datos, adquiriendo si cabe mayor importancia en esta situación de especial vulnerabilidad en la que nos encontramos.

En este contexto, debemos tener en cuenta varios aspectos a la hora de adecuar nuestras políticas de protección de datos a la nueva forma de trabajo a distancia adoptada por la empresa.

  1. Registro de Actividades
    Si el teletrabajo no está previsto en el funcionamiento normal de la empresa, no estará incluido en el Registro de Actividades del Tratamiento, por lo que éste debe ser completado incluyendo este nuevo tratamiento o Registro de Actividad de Tratamiento de datos.

    Deberá por tanto incluirse este nuevo tratamiento, además de actualizar otros documentos y anexos de la política de privacidad de la empresa para que esté recogido este nuevo tratamiento, incluida, en su caso, el Informe de aproximación al Riesgo, o la Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
  2. Notificación de brechas de seguridad de los datos personales durante el estado de alarma
    La situación de especial vulnerabilidad que estamos atravesando aumenta la probabilidad de sufrir una brecha de seguridad de los datos personales. La suspensión de los plazos administrativos establecida por el Real Decreto 463/2020, de 14 de marzo, nos lleva a plantearnos si sigue la obligación de notificar las brechas de seguridad producidas en el seno de una organización.

    Esta duda ha sido resuelta por la AEPD, determinando que la suspensión de los plazos administrativos no afecta a la obligación de notificar las quiebras de seguridad que afecten a datos personales, por lo que los responsables están obligados a notificar ante la AEPD y los interesados.

    Por lo tanto, los responsables y encargados del tratamiento deben seguir cumpliendo con sus obligaciones, debiendo notificar las brechas de seguridad en el plazo de 72 horas a la Autoridad de Control, que se podrá realizar de forma telemática a través de la sede electrónica de la AEPD.
  3. Información Adicional a los empleados
    El teletrabajo no puede ni debe ser excusa para dejar de cumplir determinadas normas y deberes por parte de los empleados, que deberán seguir las mismas medidas de seguridad que desde la empresa, por lo que resultaría conveniente recordar determinados aspectos:
    1. Deber de confidencialidad.
    2. Política de uso de dispositivos electrónicos, siempre que exista.
    3. Características de las redes a las que se pueden conectar.
    4. Uso compartido de los dispositivos.
    5. Posibilidad o no de instalar programas. En definitiva, debe garantizarse, en la medida de lo posible, el mismo nivel de seguridad que existía antes de incorporar el teletrabajo.
  4. ¿Qué ocurre con los contratos de encargado de tratamiento de profesionales autónomos?
    Normalmente, los profesionales autónomos suelen trabajar con el equipo y la red de la empresa desde las instalaciones de la empresa, debiendo suscribir el correspondiente contrato de encargado de tratamiento.

    Al adoptar el teletrabajo, la situación puede variar, siendo necesario realizar nuevos contratos de encargado de tratamiento para garantizar la confidencialidad, la seguridad y el adecuado cumplimiento en materia de protección de datos.

    Así, podemos encontrarnos en diferentes escenarios:
    • Profesionales autónomos con equipo y red de la empresa, pero siendo necesario trasladar el equipo a su propio domicilio. En este supuesto no será preciso firmar un nuevo contrato de encargado de tratamiento, pero deberá contar con la correspondiente autorización de la empresa para trasladar el equipo.
    • Profesionales autónomos con equipo propio y red de empresa. En este caso sí será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
    • Profesionales autónomos con equipo y red propio. En este caso también será necesario realizar un nuevo contrato de encargado del tratamiento que contemple la nueva situación y garantice la seguridad de los datos.
      En cualquiera de los escenarios descritos, no hay que olvidar el cumplimiento de las funciones y obligaciones del personal de la empresa, además de todas las normas en materia de protección de datos que garanticen el mismo nivel de seguridad presente en la empresa antes de la crisis sanitaria provocada por la COVID-19.
  5. Política de Medidas Técnicas y Organizativas de Seguridad en Protección de Datos.
    Las implicaciones que tiene el teletrabajo en la Política de Medidas de Seguridad RGPD dependerá del modelo de teletrabajo adoptado por cada empresa, en concreto, si los sistemas de información con los que se trabaja a distancia son proporcionados por la empresa o, por el contrario son propiedad del trabajador, es decir si se adopta el modelo BYOD (Bring Your Own Device, Trae Tu Propio Dispositivo):
    1. Sistemas de Información aportados por la empresa: la empresa proporciona a los trabajadores los ordenadores y demás dispositivos necesarios para realizar el teletrabajo. Es necesario en estos casos implantar medidas técnicas y organizativas necesarias para garantizar la seguridad en el tratamiento de datos personales, ya sean medidas organizativas determinadas por normas preestablecidas (normas de uso de herramientas informáticas, política de funciones y obligaciones en protección de datos etc.) o medidas técnicas adoptadas específicamente para los casos concretos por el departamento de informática (instalación de VPNs, usuarios y contraseñas, restricciones de acceso a documentos o carpetas, registros de accesos, etc.). Este modelo de Teletrabajo afecta por tanto al tratamiento de datos y debe realizarse la correspondiente modificación del Registro de Actividades del Tratamiento, incluyendo el teletrabajo como un nuevo tratamiento de datos personales. Por otro lado, dado que el tratamiento de datos no se encuentra en la política de privacidad de la empresa, deberá comunicarse el mismo o a los empleados, en cumplimiento del Deber de información. Puede acceder a un modelo de Andenda al Contrato de trabajo que incluye todas las previsiones legales para poder redactar el mismo (Modelo de Adenda al Contrato de trabajo para Teletrabajo) sí como al modelo de comunicación a empleados en materia de protección de datos. (Modelo de comunicación Teletrabajo RGPD empleados).
    2. Bring Your Own Device (BYOD): el trabajador utiliza el ordenador y otros dispositivos de su propiedad para realizar el teletrabajo. En determinados casos las empresas no pueden proporcionar a sus trabajadores dispositivos para poder realizar teletrabajo, por lo que se autoriza a que se utilicen los dispositivos de los propios empleados para realizar el trabajo desde casa. Es importante, tener en cuenta, que si esta posibilidad no se encontraba regulada a la hora de establecer la relación laboral, no puede ser de obligado cumplimiento, si el trabajador se niega a utilizar sus propios dispositivos. De la misma manera que cuando se utilizan dispositivos de la empresa, el trabajo a distancia no puede suponer un incumplimiento de la normativa en protección de datos. Esta situación provoca un problema añadido, ya que es probable que para garantizar la seguridad de los datos deban realizarse determinadas operaciones en los dispositivos del trabajador que requieren el consentimiento de éste último, como por ejemplo la instalación de VPNs, bases de datos, antivirus etc. Además, este modelo de teletrabajo entraña otra serie de riesgos como la falta de actualizaciones de seguridad, ausencia controles de seguridad del Sistema Operativo, falta de cifrado etc. Si bien no es del todo recomendable implantar este tipo de modalidad de trabajo a distancia, el empresario puede verse abocado al uso de los sistemas de información del empleado por no disponer de otras soluciones y por tanto evitar así la cesación temporal, ERTE o despido. Al igual que en el anterior modelo es necesario incluir el tratamiento de datos en la política de privacidad de la empresa, y por tanto comunicarse el mismo o a los empleados. Puede acceder en el siguiente enlace a un modelo de Adenda al Contrato de Trabajo que incluye todas las previsiones legales para poder realizar teletrabajo bajo la modalidad BYOD (Modelo de Adenda al Contrato de trabajo para Teletrabajo BYOD) así como al modelo de comunicación a empleados en materia de protección de datos (Modelo de comunicación Teletrabajo RGPD empleados BYOD). Por último es recomendable que en estos supuestos exista una Política de Uso de Dispositivos Propios en el Trabajo. Puede acceder en el siguiente enlace a un modelo de política de uso de  Dispositivos Propios en el Trabajo (Modelo de Política de uso de Dispositivos Propios).
  6. ¿Es necesario realizar una evaluación de impacto?
    Sí, en los supuestos en los que se monitorice el teletrabajo por el empresario se deberá realizar una Evaluación de Impacto en Protección de Datos, puesto que el derecho a la privacidad del trabajador se ve sometido al control del empresario y, por tanto, a una evaluación del rendimiento del trabajo conforme establece el artículo 28.2 d) de la LOPDGDD. Por lo tanto, es recomendable analizar los riesgos existentes y adaptar las medidas técnicas y organizativas necesarias para garantizar la privacidad del trabajador y el cumplimiento de la normativa en materia de protección de datos.

Listado de modelos

  1. [DOC.1] Modelo PRL a proveedores y ETT COVID-19.
  2. [DOC.2] Modelo PRL a trabajadores.
  3. [DOC.3] Modelo Autoevaluación de riesgos del TELETRABAJO en caso de coronavirus COVID-19.
  4. [DOC.4] Modelo Adenda al contrato trabajo para TELETRABAJO.
  5. [DOC.5] Modelo Adenda al contrato trabajo para TELETRABAJO (BYOD).
  6. [DOC.6] Modelo comunicacion a empleados TELETRABAJO (BYOD).
  7. [DOC.7] Modelo comunicacion a empleados TELETRABAJO.
  8. [DOC.8] Modelo Politica BYOD.
20
Mar

La tecnología en la crisis sanitaria del coronavirus: ¿Cómo se realiza el tratamiento de los datos personales?

Tras la declaración del Estado de Alarma el 14 de marzo, la lucha para frenar el coronavirus (COVID-19) se refuerza en España con la primera herramienta tecnológica en formato web: www.coronamadrid.com, que pronto contará con una versión APP en IOS y Android que se denominará COVIDAPP.

Se trata de una plataforma que lanzó la Comunidad de Madrid, el principal foco de infección en España, y que permite realizar una autoevaluación del estado de salud de los ciudadanos (mayores de 16 años) en función de sus síntomas, facilitando instrucciones y recomendaciones sobre el COVID-19. De esta manera se pretende ayudar a evitar el actual colapso del sistema sanitario y las líneas de atención telefónicas de la Comunidad de Madrid.

Uno de los aspectos que más preocupa o inquieta con este tipo de plataformas es el tratamiento de los datos de carácter personal que nos solicitan para poder acceder o, en este caso, realizar la autoevaluación.

Entre los datos que se recogen (nombre y apellidos, número de teléfono móvil -incluye un proceso de verificación de identidad con el teléfono móvil-, DNI / NIE, fecha de nacimiento, correo electrónico, dirección completa y código postal y género), parece que el más controvertido desde que se hizo pública la plataforma es la geolocalización. Si acudimos a la Política de Privacidad de la plataforma, nos indica que “en el momento de la realización de las autoevaluaciones, se guardará tu localización GPS, siempre bajo tu autorización, para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento”.

Según continúa explicando la Política de Privacidad de la plataforma, estos datos son estrictamente necesarios por razones de interés público ante la actual pandemia del COVID-19.

Ante la creciente preocupación por el tratamiento de los datos personales durante la crisis del coronavirus, el pasado 12 de marzo, la AEPD se pronunció al respecto a través de un informe, estableciendo que la recogida de los datos personales cuya finalidad sea salvaguardar los intereses esenciales en el ámbito de la salud está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas, tal y como determina el artículo 6.1. e) y d) del RGPD.

En la misma línea, el 16 de marzo emitió el Comité Europeo de Protección de Datos una declaración sobre el tratamiento de datos personales, en la que recuerda que las normas de protección de datos no deben obstaculizar las medidas adoptadas por la pandemia del coronavirus, siempre que estas sean necesarias, apropiadas y proporcionadas.

Ante una situación de crisis como la que estamos atravesando, no solo en España sino en el resto de los países, ya sea en mayor o menor medida, se hacen necesarias actuaciones que pueden limitar la esfera de nuestra vida privada para asegurar y garantizar bienes jurídicos superiores, en este caso el derecho a la vida y a la salud colectiva, por lo que las normas de protección de datos no pueden ser una barrera para salvaguardar estos derechos, siempre que sean proporcionadas y adecuadas respecto a una situación tan excepcional como la actual.

Por último, debemos actuar con precaución ante la proliferación de numerosas páginas web y apps no oficiales que ofrecen servicios de autoevaluación respecto al coronavirus, suplantando en ocasiones al Ministerio de Sanidad, como ha podido constatar la AEPD, que ha advertido del riesgo de proporcionar datos personales a estas plataformas.

No debemos olvidar que, en ningún caso, estas plataformas pueden sustituir al servicio médico o de atención de urgencias o de prescripción de tratamiento farmacológicos, y que solamente pretenden ofrecer una orientación a los ciudadanos y evitar el colapso del sistema sanitario.


Alina Nastasache
Consultor en Derecho TIC y Protección de Datos

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies