13
May

LA AEPD ADVIERTE SU PREOCUPACIÓN ANTE LA TOMA DE TEMPERATURA COMO MEDIDA PARA PREVENIR LA COVID-19

Tras cerca de dos meses en confinamiento a causa de la crisis sanitaria por el coronavirus, España comienza su camino hacia la “nueva normalidad”. Si bien la declaración del estado de alarma obligó a frenar casi la totalidad de la actividad económica y social, la vuelta a la “normalidad” y la reapertura de establecimientos y centros de trabajo presenta grandes retos a los que debemos enfrentarnos para evitar un repunte en los contagios.

Así, la desescalada y la vuelta a los centros de trabajo llevan a las empresas a plantearse qué medidas adoptar para prevenir la presencia de la COVID-19 en sus establecimientos, y parece que la opción por la que más se están decantando es la toma de temperatura, tanto al personal como a los clientes.

¿Cómo afecta esta medida a la protección de datos?

Si volvemos la vista atrás, concretamente al 13 de marzo de 2020, nos encontraremos con el documento FAQ sobre el COVID-19 publicado por la Agencia Española de Protección de Datos (AEPD) en el que responde a diversas consultas planteadas sobre el tratamiento de datos personales relativos a la salud durante la crisis del coronavirus.

En este documento vemos como ante la pregunta de si “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” la AEPD muestra su conformidad y considera que esta medida está relacionada con la vigilancia de la salud de los trabajadores y, en virtud de la Ley de Prevención de Riesgos Laborales (LPRL), es obligatoria para el empleador.

No obstante, matiza que, en todo caso “el tratamiento de los datos obtenidos a partir de las tomas de temperatura debe respetar la normativa de protección de datos y, por ello y entre otras obligaciones, debe obedecer a la finalidad específica de contener la propagación del coronavirus, limitarse a esa finalidad y no extenderse a otras distintas, y mantenidos no más del tiempo necesario para la finalidad para la que se recaban”.

Con la postura favorable de la AEPD para aplicar esta medida en el ámbito laboral, no solo las empresas comenzaron a implantarla para prevenir nuevos contagios de COVID-19 entre sus trabajadores, sino que, al parecer, esta práctica se está extendiendo como una medida de control de acceso en numerosos tipos de establecimientos, incluidos espacios públicos, lo que está impidiendo que las personas puedan acceder si presentan una determinada temperatura.

A consecuencia de ello, la AEPD emitió el pasado 30 de abril un comunicado pronunciándose sobre la toma de temperatura por parte de los centros de trabajo y otros establecimientos, en el que muestra su preocupación por el aumento de estas actuaciones, ya que “suponen una injerencia particularmente intensa en los derechos de los afectados”, al afectar a datos relativos a la salud de las personas que se están realizando sin el criterio previo de las autoridades sanitarias. Se trata, por tanto, de un tratamiento de datos sensibles que deben respetar en todo caso los principios de legalidad, limitación de la finalidad y exactitud de los datos.

En dicho comunicado la AEPD indica que la base legitimadora de este tratamiento de datos no puede ser el consentimiento de los interesados, pues este no sería libre. Por el contrario, entiende que la base jurídica podría ser, en el ámbito laboral, la obligación legal de los empleadores de garantizar la seguridad y salud de los trabajadores. En otros ámbitos se podría plantear la existencia de intereses generales como es la protección de la salud pública, pero descarta por completo la utilización del interés legítimo como base legitimadora en virtud del artículo 9.2 del RGPD y al entender que “el impacto de este tipo de tratamientos sobre los derechos, libertades e intereses de los afectados haría que ese interés legítimo no resultara prevalente con carácter general”.

¿Cómo se debe hacer y quién está habilitado para realizar la toma de temperatura?

Esta es una de las grandes dudas que se plantean en estos momentos las empresas. Retomando la pregunta “¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?” del documento FAQ sobre el COVID-19 de la AEPD, vemos como se indica que esta medida “debería ser realizada por personal sanitario”.

En este sentido, la LPRL establece en su artículo 22.6, en relación a la vigilancia de la salud que: “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada”.

Por otra parte, el artículo 9.3 del RGPD establece que “los datos de salud podrán tratarse para fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad […] o por cualquier otra persona sujeta también a la obligación de secreto […]”.

El reciente comunicado de la AEPD de 30 de abril incide en este aspecto al determinar que “los equipos de medición que se empleen deben ser los adecuados para poder registrar con fiabilidad los intervalos de temperatura que se consideren relevantes” y que el personal que los emplee debe reunir “los requisitos legalmente establecidos y estar formado en su uso”, si bien no establece cuáles son esos requisitos legales.

Por lo tanto, esta medida únicamente se puede realizar por personal cualificado, si bien la AEPD no establece cuáles son los requisitos que debe cumplir este personal y qué debemos considerar como personal “cualificado”, por lo que nos planteamos si debe ser necesariamente personal sanitario o puede realizarse por personal que haya recibido formación específica sobre el uso de los equipos de medición.

En estos momentos, y a la espera de que las autoridades sanitarias se posicionen y determinen si esta medida es lícita y, en su caso, indique la forma de proceder al respecto, entendemos que es recomendable someter al personal a obligación de secreto profesional y formarla en el uso de la herramienta y el procedimiento a seguir.

El último pronunciamiento de la AEPD respecto al uso de dispositivos como cámaras térmicas para registrar la temperatura fue el pasado 5 de mayo en el documento “El uso de las tecnologías en la lucha contra el COVID19”, en el que establecía que la recogida de estos datos solo puede entenderse “como parte de un tratamiento mayor, y no se puede tomar un dato de salud de una persona y tratarlo espontáneamente por cualquier gestor de un lugar público simplemente porque crea que es lo mejor para sus clientes o usuarios”, ya que en estos casos “tendremos un riesgo de discriminación, estigmatización y tal vez difusión pública de datos de salud”. Por último, y respecto al ámbito laboral, insiste en que la toma de temperatura sea utilizada dentro de un marco de tratamiento más extenso y que, en todo caso, se respeten los derechos y libertades que promueve el RGPD.

En conclusión, si bien la normativa de protección de datos no puede suponer un obstáculo para adoptar las medidas necesarias de prevención contra la COVID-19, debemos tenerla presente y valorar la eficacia y necesidad de las mismas así como la posibilidad de adoptar alternativas menos lesivas para los derechos y libertades de los afectados. Según advierten las autoridades sanitarias, existe un porcentaje de personas que son asintomáticas y que, por tanto, no presentan altas temperaturas pero pueden contagiar, o personas que presentan altas temperaturas por causas ajenas al coronavirus, lo que pone en duda la eficacia de esta medida.

Es por ello necesario que las autoridades sanitarias se pronuncien sobre la pertinencia de estas medidas que están cada vez más presentes en nuestro día a día.  

Alina Nastasache
Consultora en Derecho TIC y Protección de Datos



13
May

Activos Virtuales: Las Recomendaciones del GAFI para Mitigar el Riesgo del Blanqueo de Capitales y la Financiación del Terrorismo

En octubre del año 2018 y ante el imparable aumento de actividades financieras que involucran activos virtuales, el Grupo de Acción Financiera Internacional (GAFI) actualizó su Recomendación 15 sobre Nuevas Tecnologías para incorporar dentro de su ámbito de aplicación los activos virtuales y los servicios financieros relacionados.

Posteriormente, en junio de 2019, el GAFI adoptó formalmente el texto de la nueva Nota Interpretativa de la modificación de la Recomendación 15 para aclarar las indicaciones relacionadas con los activos virtuales. Junto a ésta publicó una actualización de la “Guía para un enfoque basado en el riesgo para los activos virtuales y los proveedores de servicios de activos virtuales”, basada en el documento de orientación que había publicado en 2015, con el fin de facilitar a países y proveedores de servicios de activos virtuales (PSAV) a comprender sus obligaciones en materia de en materia de prevención del blanqueo de capitales y de la financiación del terrorismo y a implementar de forma efectiva los requisitos que el GAFI aplica a este sector.

Así, el GAFI insta a los países a que regulen las actividades financieras que involucran activos virtuales y pone de manifiesto el riesgo que presentan respecto a la lucha contra el blanqueo de capitales y la financiación del terrorismo (PBC/FT, AML/CTF, por sus siglas en inglés).

¿Por qué las actividades financieras que involucran activos virtuales presentan riesgo de blanqueo de capitales y financiación del terrorismo?

Porque las actividades con activos virtuales facilitan, por sus características intrínsecas, un mayor anonimato y, por tanto, dificultan la identificación y verificación de la identidad del cliente, lo que las convierte en una herramienta idónea para ser utilizadas en actividades ilícitas. Como bien indica el GAFI en la mencionada Guía: “Los activos virtuales y los servicios financieros relacionados tienen el potencial de estimular la innovación financiera y la eficiencia y mejorar la inclusión financiera, pero también crean nuevas oportunidades para que delincuentes y terroristas blanqueen sus ganancias o financien sus actividades ilícitas”.

Por ello, al suponer mayores riesgos de blanqueo de capitales y de financiación del terrorismo, se precisa de la aplicación de medidas reforzadas de diligencia debida.

¿Cuáles son las recomendaciones del GAFI respecto a los activos virtuales?

En síntesis, el GAFI recomienda a los países que sigan las siguientes pautas: evaluar y mitigar los riesgos asociados con actividades relacionadas con activos virtuales; otorgar licencias o registrar proveedores de servicios relacionados y someterlos a supervisión o monitorización, implementar sanciones y otras medidas de cumplimiento cuando los proveedores de servicios relacionados fallen al cumplir con sus obligaciones en PBC/FT.

A continuación, analizaremos algunas de las recomendaciones más relevantes a efectos de prevención en relación con las actividades que involucran el uso de activos virtuales.

  1. Evaluación y mitigación de los riesgos asociados a las actividades con activos virtuales

El GAFI insta a que los países apliquen un enfoque basado en el riesgo para garantizar que las medidas para luchar contra el blanqueo de capitales y la financiación del terrorismo sean proporcionales a los riesgos identificados en sus respectivas jurisdicciones.

Así mismo, se recomienda que los países creen políticas a corto y largo plazo, debido a que el sector de los activos virtuales se encuentra en continua evolución.

Además, deben exigir a los PSAV que identifiquen, evalúen y adopten medidas efectivas para mitigar los riesgos asociados con el suministro o la participación en actividades relacionadas con activos virtuales o con la oferta de productos o servicios asociados a los mismos.

  1. Licencia o registro

Se debe exigir a los PSAV que, como mínimo, tengan licencia o estén registrados en las jurisdicciones donde se crean con el fin de poder realizar una supervisión efectiva de los mismos. Además, el GAFI apunta que las jurisdicciones anfitrionas puedan exigir este requisito de licencia o registro a los PSAV que operen desde su jurisdicción u ofrezcan productos y/o servicios a clientes dentro de la misma.

Se requiere la adopción de medidas adecuadas y la aplicación de las sanciones correspondientes en el caso de personas físicas o jurídicas que lleven a cabo operaciones de activos virtuales sin la licencia o registro.

No es preciso que un país imponga sistemas de registro independientes en el caso de las instituciones financieras previamente autorizadas o registradas, pues ya están sujetas a todas las obligaciones recomendadas por el GAFI.

  1. Supervisión o Monitorización

Los PSAV deben estar sujetos a sistemas efectivos de supervisión y control para garantizar el cumplimiento de los requisitos nacionales sobre PBC/FT.

En este sentido, la autoridad de control de cada país llevará a cabo una supervisión desde un enfoque basado en el riesgo, y deberá contar con poderes suficientes para garantizar el cumplimiento por parte de los PSAV, con inclusión de un régimen inspector y sancionador disuasorio de índole civil, penal o administrativo aplicable a los mismos y a sus Órganos de administración y dirección.

  1. Medidas preventivas

Los países y los sujetos obligados deben diseñar procesos que permitan el cumplimiento de sus obligaciones de Diligencia Debida para cumplir con las Recomendaciones del GAFI y sus legislaciones nacionales. La aplicación de medidas de diligencia debida permite la identificación y conocimiento del cliente, incluidos los beneficiarios de las transferencias, así como del titular real o beneficiario último con carácter previo al inicio de la relación de negocio o a la realización de cualesquiera operaciones.

Adicionalmente, los países han de incluir entre dichas medidas la obtención de información adicional sobre el cliente y el propósito e índole de la relación de negocio, así como la obtención de información sobre el origen de los fondos, la motivación de las transacciones previstas o realizadas y la realización de un seguimiento continuado de la relación de negocio.

Se establece un umbral cuantitativo a partir del cual los PSAV deberán aplicar medidas de diligencia debida para todo tipo de transacciones con activos virtuales, incluyendo transacciones ocasionales por encima de 1.000 EUR/USD.

Asimismo, son de aplicación otros requisitos como la verificación de inclusión en listas de sanciones y la aplicación de contramedidas financieras como la congelación y bloqueo de fondos y la prohibición de transacciones con las personas y entidades designadas.

Por el elevado nivel de riesgo que comportan las distintas formas de intercambio entre criptomonedas y dinero fiduciario o de curso legal y otros activos virtuales, así como los servicios de custodia  y/o administración que permiten su control, la participación y la prestación de servicios financieros asociados su comercio y otros riesgos inherentes a los mismos como el carácter pseudónimo o anónimo de las transacciones y los pagos recibidos de terceros no conocidos, el GAFI insta a los países a  adoptar medidas reforzadas de diligencia debida como:

  1. comprobar la información aportada por el cliente relativa a su identidad, como el número de su documento de identidad, contrastándolo con bases de datos de terceros u otras fuentes fiables;
  2. rastrear la dirección IP del cliente; y
  3. buscar en Internet cualquier información complementaria que permita corroborar la coherencia de la actividad del cliente con su perfil de transaccional, respetando siempre la legislación aplicable en materia de protección de datos.

Otra importante medida preventiva es que los PSAV tengan sistemas de gestión de riesgos apropiados para determinar si los clientes o titulares reales son personas con responsabilidad pública (PRPs o PEPs) o familiares o allegados de las mismas y, si por lo tanto, se han de reforzar las medidas de diligencia debida.

Por otra parte, los países se deben asegurar de que los PSAV conserven todos los registros de transacciones y medidas de diligencia debida al menos durante cinco años, de tal manera que las transacciones individuales puedan ser reconstruidas quedando esta información a disposición las autoridades competentes. Estos registros incluirán, por ejemplo: información relacionada con la identificación de los intervinientes, las claves públicas y direcciones o cuentas empleadas (o identificadores equivalentes), naturaleza y fecha de las transacciones y cantidades transferidas.

  1. Transparencia de las personas jurídicas

Al considerar que los PSAV pueden ser tanto personas físicas como personas jurídicas, se recuerda a los países que deben adoptar las medidas adecuadas para evitar el uso indebido de las mismas.

Además, se requiere que los países se aseguren de que los proveedores de servicios también evalúen y mitiguen sus riesgos de BC/FT e implementen la gama completa de medidas preventivas siguiendo las Recomendaciones del GAFI.

Por último, no hay que olvidar la necesaria coordinación con las autoridades pertinentes para garantizar la compatibilidad de los requisitos necesarios a efectos de PBC/FG con las normas de protección de datos, privacidad y disposiciones similares.  

El GAFI, en la Declaración pública sobre activos virtuales y proveedores relacionados de 21 de junio de 2019, hace un llamamiento a todos los países para que adopten medidas para la implementación de sus Recomendaciones en el contexto de las actividades relacionadas con los activos virtuales y reconoce que “la amenaza del uso delictivo y terrorista de los activos virtuales es grave y urgente”. Por ello, el GAFI ha informado que supervisará la implementación de los nuevos requisitos por parte de países y proveedores de servicios y realizará una revisión anual en junio de 2020.

En España, por el momento, la Autoridad competente (SEPBLAC o Banco de España) no se ha pronunciado sobre el Sector de las Criptomonedas o Activos Virtuales, ni se ha transpuesto la 5ª Directiva AML, cuyo plazo finalizaba el pasado 10 de enero de 2020 (art. 4 de la directiva) y que, si bien no incluye los Activos Virtuales, prevé la inclusión de los Exchagers o Plataformas de Cambio de Monedas Virtuales dentro del ámbito de aplicación de la Cuarta Directiva de Blanqueo 4AMLD.

La situación en la que nos encontramos actualmente respecto a este sector en España es que no se permite el Registro del Representante de Prevención de los Proveedores de Servicios de Monedas o Activos Virtuales, alegando que no se encuentran dentro del ámbito de aplicación de la Normativa Española de Blanqueo de Capitales (art. 2 de la Ley 10/2010 de Prevención de Blanqueo).

Podemos concluir que España tiene varias tareas pendientes en cuanto a la regulación de las criptomonedas: además de adoptar las medidas necesarias que incorporen las Recomendaciones del GAFI respecto a los Activos Virtuales, está obligada a modificar la normativa relativa al Blanqueo de Capitales para incluir dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.

No obstante, si ya se preveía un retraso considerable para la modificación de dichas normas como venía siendo habitual, la crisis en la que nos encontramos provocada por la COVID-19 no hace sino aumentar la sensación de inseguridad ante el vacío legal existente en el sector. En estos momentos, se hace especialmente necesario un pronunciamiento al respecto de la Autoridad Competente.

Alina Nastasache y Gonzalo de la Cruz
DPO&itlaw, S.L.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies