Protección de Datos

26
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos (actualizado)

Tras la publicación el pasado 10 de Noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, desde DPO&itlaw, hemos pasado a documento Word el Proyecto de Reforma LOPD y comparado con el anterior documento publicado en la Consulta Pública.
Publicamos en DPO&itlaw en Documento word el Proyecto de Reforma LOPD en dos versiones:

 

 

Versión Completa en Word con hipervínculos en el índice y con control de cambios respecto a la última versión del Ministerio de Justicia.

 

Versión Completa en Word con hipervínculos en el índice.

 

Esperamos sea de utilidad

1
Jul

Actualización del Anteproyecto de Ley Orgánica de Protección de Datos

El Ministerio de Justicia abre el periodo de información pública al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal.

 

La descarga de la nueva versión del texto del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra aquí ()

 

Os hemos incluido la nueva versión v2 en Word con control de cambios para que podamos ir apreciando los cambios que va introduciendo el Legislador en su trámite parlamentario. Para el acceso al la versión 2 descargar aquí ( descargar documento ).

 

La información sobre los trámites de audiencia e información pública se encuentran aquí.

Esperemos os sea de utilidad.

 

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017 (versión 2)

Descargar documento

 

 

 

27
Jun

Principales Novedades del Anteproyecto de Ley Orgánica de Protección de Datos

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

 

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

 

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

 

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

 

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

 

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

  1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

  1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
    1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
    2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
  2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  1. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

  1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
  2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
    No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
    Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.
  1. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

  1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
  2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.
  1. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

  1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
  2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
  3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
  4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.
  1. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
    1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
    2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
    3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
    4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
    5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
    7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
    8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
    9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
    10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
    11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
    13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
    14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
    15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
  1. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

  1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
    1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
    2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
    3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
    4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
    5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
    6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.


Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

 

29
Abr

DPO&IT Law participó en el II Congreso de la Abogacía Madrileña

Fernando Ramos Suárez, socio director de DPO & IT Law, participó como ponente en la mesa redonda donde se trataron las novedades que incorpora el Nuevo Reglamento de Protección de Datos, dentro del II Congreso de la Abogacía Madrileña.

En la mesa de protección de datos para abogados se abordaron las novedades del Reglamento Europeo de Protección de Datos que serán de aplicación a partir de mayo de 2018 y su aplicación práctica al entorno de los despachos de abogados. Los mesa estaba formada por:

El evento tuvo una gran afluencia y gran demanda entre el público asistente al Congreso. Así lo atestigua la imagen instantánea tomada por la abogada Paloma Llaneza y colgada en su twitter personal.

16
Dic

El Parlamento y el Consejo de la Unión Europea aprueban el 15 de diciembre de 2015 el Reglamento de Protección de datos (actualizada)

Entrada actualizada el día 12 de enero de 2016 con los enlaces a los textos aprobados publicados:

El 15 de diciembre se ha alcanzado un acuerdo en el Parlamento Europeo y el Consejo, sobre el Reglamento Europeo de Protección de Datos (RPD) que inició la Comisión Europea en enero de 2012.

El RPD pondrá fin al mosaico de normas de protección de datos que existe actualmente en la UE.

El Reglamento General de Protección de Datos permitirá a los ciudadanos europeos  un mayor control sobre el tratamiento que terceros realicen sobre sus datos personales. Al mismo tiempo, permitirá a las empresas obtener el máximo provecho de las oportunidades del mercado único digital mediante la reducción de la burocracia y mayor confianza del consumidor en el mercado digital.

La nueva normativa permitirá a los ciudadanos europeos:

  • Un mejor acceso del ciudadano a sus datos personales: las personas tendrán más información sobre cómo se tratan sus datos y esta información debe estar disponible en una forma clara y comprensible;
  • Derecho a la portabilidad de datos: el ciudadano europeo podrá transferir sus datos personales entre los distintos proveedores de servicios, sin necesidad de volver a introducir sus datos;
  • Derecho al olvido: Siempre que no existan motivos legítimos para mantener el tratamiento de datos, el ciudadano europeo tendrá el derecho a que sus datos sean borrados;
  • Derecho a conocer quiebras en las seguridad: Las empresas deberán notificar a la Autoridades Nacionales de Protección de Datos ( en nuestro caso la Agencia Española de Protección de Datos) las quiebras de seguridad que afecten al tratamiento de datos personales.

Por otro lado al unificar las normas europeas permitirá a las empresas:

  • Un continente, una sola ley: El reglamento establecerá un único conjunto de reglas que supondrá para las empresas que quieran hacer negocios en Europa una mayor sencillez de cumplimiento de dicha normativa.
  • Una ventanilla única: las empresas sólo tendrán que hacer frente a una Autoridad única de supervisión.
  • Aplicación de la normativa a las Empresas Extranjeras: las empresas con sede fuera de Europa tendrán que aplicar las mismas reglas cuando ofrezcan servicios en la UE.
  • Enfoque basado en el riesgo: la normativa permitirán la adecuación de la empresa en función del riesgo en el tratamiento.
  • Normativa adecuada para la innovación: el reglamento garantizará la integración de la protección de datos en productos y servicios desde las primeras etapas del desarrollo (Protección de Datos por diseño). Se promocionarán las técnicas para anonimizar o  disociar el datos personal, para una mayor protección de la privacidad.

La reforma de la protección de datos va a estimular el crecimiento económico mediante la reducción de costes y la burocracia para las empresas europeas, especialmente para las pequeñas y medianas empresas (PYME) que se beneficiarán de:

  • No serán necesarias las notificaciones a las Autoridades de Supervisión: Las formalidades para las notificaciones a las autoridades de control desaparecen.
  • Limitaciones al ejercicio de derechos de Acceso infundados o excesivos: cuando las solicitudes de derechos de acceso son manifiestamente infundadas o excesivas, las PYMEs podrán cobrar una cuota por facilitar dicho acceso.
  • Los Responsables de Protección de Datos: las PYMEs están exentas de la obligación de designar a un Responsable de protección de datos en la medida en que el tratamiento de datos no sea su actividad principal.
  • Evaluaciones de Impacto: las PYMEs no tendrá obligación de realizar una evaluación del impacto en materia de protección de datos a menos que exista un riesgo elevado para el tratamiento.

En definitiva, existirá una mayor protección de datos para los ciudadanos europeos, ya que todo  tratamiento de datos realizado en la Unión Europea deberá respetar los principios de necesidad, proporcionalidad y legalidad. Además el cumplimiento de dichos principios estará supervisado por las Autoridades Nacionales de Control de Protección de Datos, así como por los correspondientes órganos judiciales.

Próximos pasos

Tras el acuerdo político alcanzado por el Parlamento y el Consejo, los textos finales serán adoptados formalmente por el Parlamento Europeo y el Consejo a principios de 2016, existiendo a partir de entonces con un periodo de transición de dos años para el efectivo cumplimiento de la normativa.  Durante dicho periodo la Comisión trabajará en estrecha colaboración con las Autoridades nacionales de Protección de Datos de los Estados miembros para garantizar una aplicación uniforme de la nueva normativa en la Unión Europea.

5
Abr

La geolocalización y la normativa de Protección de Datos

Hoy en día muchas empresas utilizan los avances tecnológicos para el control de las herramientas de trabajo facilitadas a sus trabajadores. Entre dichas medidas, en la actualidad está en auge el uso de herramientas de geolocalización, de manera que el empresario pueda georeferenciar y conocer la localización, tanto de bienes propiedad de la empresa, como de trabajadores.

El problema jurídico  al que  nos enfrenamos con el uso de este tipo de herramientas, es que el acceso que se realiza a  los datos de geolocalización se considera como un tratamiento de datos de carácter personal, por lo que le será de plena aplicación la aplicación la normativa de protección de datos.

La primera definición de datos de localización viene establecida por la Directiva 2002/58/CE, que en su artículo 2, define los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”, definición que se recoge igualmente en el artículo 64.b) del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.

Dado que los datos de localización se refieren siempre a una persona física identificada o identificable, constituyen un tratamiento de datos personales que no necesitaría consentimiento del trabajador ya que dicho tratamiento se realiza para la gestión de la relación laboral, por tanto no sería necesario solicitar el consentimiento para dicho tratamiento de datos aunque sí sería necesario informarle del mismo conforme el art.5 de la LOPD. En este sentido, se debe poner especial atención por parte del empresario en aquellos casos en los que la geolocalización revele información no concerniente a la actividad laboral, y evitar así la  vulneración del derecho fundamental de sus trabajadores en materia de protección de datos,. Sería por tanto de suma importancia realizar un tratamiento de datos  conforme al principio de proporcionalidad desarrollado en el artículo 4.1 de la Ley Orgánica de Protección de Datos (LOPD), es decir que los mismos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido.

En relación con el dercho fundamental a la protección de datos en  laSentencia 186/2001 del Tribunal Supremo, se establece que ningún derecho fundamental es absoluto “pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél deba de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho”. En dicho sentido, la misma sentencia indica que “…el artículo 20 del Estatuto de los Trabajadores, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales…”. Así mismo, indica que dicha facultad debe producirse, lógicamente, dentro del debido respeto a la dignidad del trabajador.

El Tribunal Constitucional además ha venido manteniendo que la limitación de los derechos fundamentales del trabajador por parte de las facultades empresariales sólo puede derivarse del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho. Además, indica que la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la observancia estricta del principio de proporcionalidad, que no será vulnerado si cumple los siguientes requisitos:

  1. Juicio de idoneidad: si la medida es susceptible de conseguir el objetivo propuesto.
  2. Juicio de necesidad: si es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  3. Juicio de proporcionalidad en sentido estricto: si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Para determinación de la proporcionalidad del tratamiento de los datos de localización de los empleados, debe analizarse caso por caso, valorando las distintas situaciones concretas a las que se enfrenta el empresario para determinar si se justifica el tratamiento. De acuerdo con este principio, se entiende que bajo ningún concepto la empresa debe recoger datos de localización de un empleado fuera de la jornada laboral, debiéndose dotar a los equipos y vehículos susceptibles de georeferenciación, de un sistema que permita la desactivación de la función de su localización para supuestos de uso con fines privados.

Así mismo, hay que tener en cuenta que los datos de localización de los empleados deberán conservarse tanto tiempo como se considere oportuno en función de la finalidad que se haya dado como justificación para dicho tratamiento.

Por último, en relación con las medidas de seguridad aplicables a los datos de localización, al tratarse de datos responsabilidad de operadores que prestan servicios de comunicaciones electrónicas disponibles al público o que explotan redes públicas de comunicaciones electrónicas, además de las medidas de seguridad de nivel básico y medio, deberá aplicarse la medida de seguridad de nivel alto del artículo 103 del Reglamento de desarrollo de la LOPD. Es decir, será necesario implantar un registro de accesos a dichos datos, de manera que de cada intento de acceso se guarde, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado y en el caso de que haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Como conclusión, podemos indicar que el tratamiento de datos de geolocalización estará justificado siempre y cuando dicho tratamiento sea proporcionado a la finalidad que lo motiva, no obstante lo anterior será necesario analizar caso por caso, para comprobar que no existe una medida menos restrictiva para la consecución del fin que motiva su establecimiento.

18
Mar

El Nuevo Reglamento de Protección de datos y la batalla europea de los lobbies

La Nueva regulación sobre Protección de datos desarrollada por la Unión Europea, tendrá una aplicación directa sobre las todas las organizaciones europeas y extranjeras con sede en Europa, o aquellas que pese a no tener sede en Europa deseen que sus productos y servicios tengan como destinatario al ciudadano Europeo.  Se pretende por tanto lograr una armonización de la normativa de protección de datos tanto en los Países de la Unión como en aquellos países extranjeros que deseen comercializar sus productos y servicios en los estados de la Unión.

Esta nueva normativa de protección de datos, supone para la empresa europea la introducción e implantación de normas internas de gobierno corporativo enfocadas a la gestión de riesgos y el cumplimiento en materia de protección de datos. Conceptos como Accountability, Privacy by design, Privacy by Default and Privacy Impact Asessment implican una reconsideración interna de los procesos empresariales, los cuales deberán incluir aspectos sobre privacidad y protección de datos para un correcto cumplimiento de la Nueva normativa europea.

Aspectos tan novedosos como el delegado de Protección de Datos, la necesidad de realizar consultas previas a la Autoridad de Protección de Datos, las certificaciones orientadas a la privacidad, las notificaciones de violaciones de seguridad, el derecho al olvido, la portabilidad de datos, así como otros cambios sustanciales en el ámbito de aplicación y procedimiento sancionador suponen un verdadero cambio estructural del negocio, que implicará una adecuada preparación y concienciación de la empresa. Aquellos países como España, en donde existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS y RLOPD), o Francia y Alemania, en donde también existe una concienciación sobre la privacidad y derecho a la protección de datos, estarán mejor preparados para la absorción de dicha normativa e implantación nacional.

La propuesta del reglamento fue publicada por la Comisión el pasado 25 de enero de 2012. Actualmente la regulación se encuentra en proceso de revisión por el parlamento Europeo y el Consejo, proceso que puede durar hasta el año 2014-2015. Durante dicho proceso se están produciendo distintas aportaciones como por ejemplo la del  Eurodiputado Jan Philipp Albrecht que presentó un informe con 350 modificaciones para adoptar medidas más estrictas a las previamente propuestas por la Comisión.  También a considerar las enmiendas introducidas por Articulo 29 Working Party que aportan un mayor fortalecimiento de la normativa de protección de datos.

Al otro lado del Atlántico la reacción no se ha hecho esperar. Empresas del sector TIC como Amazon, eBay y American Chamber of Commerce entre otros, están introduciendo a través de lobbies distintas propuestas de modificación de la normativa propuesta. El escándalo ha saltado recientemente por la queja del Europe v Facebook grupe, que denuncia la introducción de dichas enmiendas por los parlamentarios europeos palabra por palabra.

Recientemente diplomáticos Estadounidenses han declarado la propuesta europea como una normativa de colonialismo europeo o guerra de comercio, ya que la misma debe ser cumplida no sólo por las organizaciones europeas sino por cualquier organización no europea que trate datos personales  de ciudadanos europeos para la comercialización de productos y servicios.

Lo que sí parece claro es que el proceso de reforma es imparable y en palabras de la Vicepresidenta de la Comisión Viviane Reading, en el segundo congreso anual de Cloud Computing celebrado el pasado 7 de marzo

La Guerra de los lobbies por tanto no ha hecho más que empezar en la tramitación de la nueva normativa de protección de datos, el conflicto de intereses está servido, sólo queda esperar y comprobar quién habrá conseguido incorporar sus enmiendas que o bien dulcifiquen determinadas medidas propuestas como el derecho al olvido, el consentimiento expreso o bien consigan un mayor fortalecimiento de la protección de datos como un derecho  fundamental del ciudadano europeo.

 

9
May

Recomendación de la Comisión Europea respecto del uso de aplicaciones RFID

La Comisión Europea ha publicado este mes de mayo una Recomendación a propósito del uso de aplicaciones apoyadas en la identificación por radiofrecuencia. La Comisión muestra su preocupación por la problemática relativa a la protección de datos que este tipo de tecnología de identificación, de uso cada vez mas masivo, pueda conllevar, y que podría agravarse en el futuro por no tomar medidas a tiempo para limitar y controlar la forma en que los desarrolladores y usuarios de este tipo de tecnología tratan y acceden a los datos.

Las RFID son las siglas inglesas (Radio-Frequency IDentification) de denominación genérica de los sistemas que mediante ondas de radio permiten la identificación  (mediante un número de serie único) de un objeto o persona de forma inalámbrica. Un caso común del uso de este tipo de tecnología son las tarjetas identificativas que en muchos centros de trabajo se utilizan para controlar el acceso y la hora de entrada de los empleados en sus instalaciones.

Para la Comisión el problema para la privacidad reside en que, en no pocas ocasiones, entre la información que transmite el dispositivo se encuentran datos referentes a la esfera personal de su titular, y estos pueden ser recabados por terceros, sin conocimiento ni consentimiento de su portador, por el simple hecho de encontrarse en un radio de acción en que los datos son “legibles” por un dispositivo de recepción.

Para evitar estos efectos perniciosos del avance de la tecnología, la Comisión ha publicado estas recomendaciones, por las que se pretende que los fabricantes y desarrolladores tengan en cuenta estos peligros y adapten los dispositivos de forma que los usuarios puedan, entre otras cuestiones, disponer de la opción de activar y desactivar las posibilidad de identificación, así como que en el momento de su adquisición sean informados de las características del producto y se le ofrezca la posibilidad de deshabilitar dicha función, facilitando que sean los titulares de los datos personales los que determinen si quieren o no comunicar sus datos, tal como requiere la Directiva Europea que rige en la materia.

Además de esta recomendación, la comisión ha publicado una serie de “preguntas frecuentes”, para que el ciudadano de la Unión pueda resolver sus dudas sobre las interrogantes que estas cuestiones le pudiesen plantear.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies