Entradas

La Agencia Española de Protección de datos ha sancionado con 3000 Euros a una empresa debido al envío de publicidad por correo electrónico sin contar con el consentimiento del destinatario de la publicidad.

En el procedimiento sancionador PS/00434/2021, el reclamante inicia el proceso contactando con la autoridad de control, indicando estar recibiendo comunicaciones comerciales no solicitadas procedentes de la empresa reclamada a través de su dirección de e-mail, a pesar de haber hecho uso del enlace contenido en los mismos para cancelar la suscripción y respondido a uno de los mensajes solicitando la detención de los envíos.

La agencia traslado la reclamación a la parte reclamada sin recibir respuesta, por lo que se admitió a trámite dicha reclamación, iniciándose finalmente procedimiento sancionador por presunto incumplimiento del artículo 21.1 de la LSSI.

¿Qué nos dice el artículo 21.1 de la LSSI?


1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de
correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
dirección.

Por otra parte, el artículo 22.1 de la LSSI establece que:

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de
su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que
hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
incluyan dicha dirección.

La AEPD multa debido al envío de comunicaciones comerciales no deseadas

La Agencia, tras valorar la documentación aportada por el reclamante, considera que ha sido vulnerada la Ley en materia de protección de datos, calificándose la infracción como leve, pudiendo ser sancionada con multa de hasta 30.000 Euros.

Teniendo en cuenta los artículos 39bis y 40 de la LSSI en relación a la moderación de las sanciones y la graduación de la cuantía de las sanciones respectivamente, la autoridad de control decide sancionar con 3000 Euros a la empresa reclamada, poniendo de manifiesto las siguientes circunstancias agravantes :

a) La existencia de intencionalidad, debido a la falta de diligencia como integrante del elemento subjetivo de la culpabilidad, al ser enviados tres e-mails
comerciales sin consentimiento del reclamante y a pesar de que este se dirigió a la empresa solicitando que no se detuvieran dichos envíos y recordándole que el
tratamiento de sus datos debía contar con su consentimiento.

b) Plazo de tiempo durante el que se haya venido cometiendo la infracción, puesto que la entidad se ha reiterado en la conducta, continuando en el envío de las
citadas comunicaciones entre el 07/01/2021 y 16/04/2021 a pesar de la solicitud manifestada anteriormente.

Como vemos es realmente sencillo poder ser sancionado por no cumplir con la Ley en materia de protección de datos, haciéndose fundamental contar con un servicio que permita que nuestra empresa este totalmente adaptada al RGPD, la LOPD y a la ya mencionada LSSI.

Equal, Abogados protección de datos en Madrid.

La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

La AEPD multa a Amazon

La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

Adapta tu empresa o entidad a la LOPD, abogados expertos.

El segundo martes de cada Febrero se celebra el Día de la Internet segura, siendo el lema de está edición «juntos por una internet mejor». Se trata de un evento internacional   promovido por la red INSAFE/INHOPE, contando con el apoyo de la Comisión Europea, celebrado con el fin de concienciar acerca de la necesidad de dar un uso responsable, respetuoso y seguro de la tecnología, siendo fundamental la toma de conciencia de los riesgos que supone navegar por la red para niños y adolescentes.

En España, el Instituto Nacional de Ciberseguridad (INCIBE), celebra el #DíaDeInternetSegura con distintos eventos y talleres, centrados en la identificación de amenazas y riesgos a la hora de navegar, haciendo especial hincapié en el enorme riesgo que suponen las redes sociales para los menores. Puedes ver la agenda aquí.

Desde Equal, al estar íntimamente relacionada la navegación segura con la protección de datos, nos gustaría compartir un decálogo de buenas prácticas a la hora de usar Internet tanto en nuestra vida personal como profesional :

1. No responda ni haga clic a correos electrónicos de remitentes que no conoce.

2. Las contraseñas de sus dispositivos han de ser cambiadas de forma regular, evitando usar la misma en diversas cuentas o dispositivos.

3. Use contraseñas complejas, con un mínimo de 8 caracteres, conteniendo mayúsculas, minúsculas, números y caracteres especiales.

4. No deje sus redes sociales abiertas en equipos a los que pueda acceder otra persona en su ausencia.

5. A la hora de publicar contenido en redes sociales es fundamental configurar las opciones de privacidad de nuestras cuentas.

6. No compartamos todo lo que recibamos, es preciso analizar y verificar la veracidad de la información antes de difundirla.

7. No acepte en redes sociales a personas que no conoce.

8. Publicar todo lo que hacemos, lugares a los que vamos, es algo a evitar, dicha información puede ser usada por delincuentes.

9. Evite intercambiar material audiovisual íntimo a través de Internet. suponen un riesgo, dichos contenidos posibilitan poder recibir ciberacoso o grooming.

10. Máxima precaución a la hora de tener encuentros con personas que haya conocido en entornos digitales, siempre existe la posibilidad de que sea un perfil falso.

Hablando de riesgos, ¿acaso no es arriesgado no tener adaptada tu empresa o entidad a la LOPD?, las sanciones que impone la AEPD son cuantiosas, por no hablar de la mala imagen que percibirán sus clientes.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

En 2006, el Comité de Ministros del Consejo de Europa decidió poner en marcha el Día de la Protección de Datos, que se celebra cada año el 28 de enero.

El Día de la Protección de Datos se celebra a nivel mundial y se llama el «Día de la Privacidad» fuera de Europa. El 28 de enero de 2022 se celebró la 16ª edición del Día de la Protección de Datos, su objetivo es concienciar sobre el derecho a la protección de datos. El Consejo de Europa, iniciador de esta importante celebración, sigue desempeñando un papel de liderazgo fomentando y dando a conocer las iniciativas que se llevan a cabo en esta ocasión.

Este día marca el aniversario de la firma del Convenio 108, el Convenio mundial de protección de datos. Durante más de 40 años, el Convenio 108 ha influido y dado forma a la protección de la privacidad y la protección de datos en Europa y más allá. Su versión modernizada (conocida como Convención 108+) seguirá haciéndolo.

El objetivo principal de este día es educar al público sobre los desafíos de la protección de datos e informar a las personas sobre sus derechos y cómo ejercerlos. En esta perspectiva, el Premio Stefano Rodotà, instituido por el Comité del Convenio 108, premia proyectos de investigación académicos innovadores y originales en el campo de la protección de datos.

Desde Equal Protección de Datos queremos difundir e informar de la importancia que tiene en materia de protección de datos el conocimiento por parte de toda la ciudadanía de los derechos en relación a la protección de datos personales :

Derechos de Acceso, rectificación y supresión

El derecho de acceso está regulado en el artículo 15 de la LOPD y en los artículos 27 al 30 del Real Decreto 1720/2007. Este derecho permite al interesado obtener información sobre sus datos de carácter personal que trata un responsable del fichero, sobre su origen y sobre las comunicaciones de los mismos. El plazo de contestación es de 1 mes, y este puede ser denegado en caso de que se haya ejercido en los 12 meses anteriores, cuando lo prevea la ley o cuando sea solicitado por una persona distinta del afectado.

El derecho de rectificación está regulado en el artículo 16 de la LOPD y en los artículos 31 al 33 del Real Decreto 1720/2007. Este es el derecho del afectado a que se modifiquen los datos que resulten inexactos o incompletos. El plazo de contestación es de 10 días y cabe destacar que si los datos hubieran sido cedidos previamente, el responsable ha de comunicar la rectificación al cesionario en el plazo de 10 días.

El derecho de supresión es muy parecido al de rectificación, tal es así que se encuentra regulado en los mismos artículos que el anterior. Este es el derecho que tiene el afectado a solicitar la supresión de los datos que resulten inadecuados o excesivos.

Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de tus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

  • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
  • Si se retira el consentimiento prestado a la persona responsable.
  • Si te has opuesto al tratamiento de tus datos personales siempre que se den las siguientes situaciones
    • El tratamiento se basaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
    • A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles.
  • Si tus datos personales han sido tratados ilícitamente
  • Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique a la persona responsable del tratamiento
  • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).

Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

Derechos de oposición, de limitación al tratamiento y de portabilidad

El derecho de oposición se encuentra regulado en los artículos 35 y 36 del Real Decreto 1720/2007 y consiste en la facultad que posee el titular de los datos para dirigirse al responsable del fichero y requerirle para que deje de tratar sus datos de carácter personal en los siguientes supuestos: cuando se están tratando sus datos personales sin su consentimiento; cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad o prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión basada únicamente en un tratamiento automatizado de sus datos. El plazo de contestación es de 10 días y decir que el responsable del fichero deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho a oposición.

El derecho de limitación al tratamiento, consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

Puedes solicitar la suspensión del tratamiento de tus datos:

  • Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
  • Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos

Solicitar al responsable la conservación tus datos:

  • Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso
  • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones

El derecho a la portabilidad se crea de cara a reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Derecho a no ser objeto de decisiones individuales automatizadas

El derecho a no ser objeto de decisiones individuales automatizadas pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.

Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo,  situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.

No obstante, este derecho no será aplicable cuando:

  • Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
  • El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente

No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.

  • Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

Derecho de información

Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.

Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:

  • Se te facilite una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan tus datos personales.
  • Y, por otra parte, se te remita el resto de las información, en un medio más adecuado para su presentación, compresión y, si se desea, archivo.

La información a facilitar por capas o niveles sería la siguiente:

1.ª Capa: Información básica (resumida)

  • La identidad del responsable del tratamiento
  • Una descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese
  • La base jurídica del tratamiento
  • Previsión o no de cesiones. Previsión o no de transferencias a terceros países
  • Referencia al ejercicio de derechos

 2.ªCapa:  Información adicional (detallada)

  • Datos de contacto del responsable. Identidad y datos del representante (si existiese). Datos de contacto del delegado de protección de datos (si existiese).
  • Descripción ampliada de los fines del tratamiento. Plazos o criterios de conservación de los datos. Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Destinatarios o categorías de destinatarios. Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado. Derecho a reclamar ante la Autoridad de Control.

Datos no obtenidos directamente de ti

En el supuesto en que tus datos personales no hayan sido obtenidos directamente de ti, se te facilitará, además de la información indicada anteriormente:

En la información básica (1ª capa, resumida):

  • la fuente (procedencia) de los datos

Y en la información adicional (2ª capa, detallada):

  • la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
  • la categoría de datos que se traten

Esta información se te facilitará dentro de un plazo razonable, a más tardar en un mes, salvo que:

  • Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado
  • Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez

Desde Equal Protección de datos nos encargamos de que tu empresa o entidad cumpla con El RGPD y la LOPD, llevando a cabo una adaptación total de tu negocio en materia de protección de datos. Somos Abogados expertos, déjate asesorar y evita sanciones.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

Multas anteriores

Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

La situación en España

La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

Según información del diario “La Razón”, esta semana entra en vigor el Decreto Ley de protección social que busca poner fin a la precariedad laboral, y que incluye la obligación por parte de las empresas de que sus empleados fichen. El Gobierno considera que si el trabajador hace más horas que lo que marca la ley se está contribuyendo a la precarización del mercado laboral.

Por ello se ha modificado el Estatuto de los Trabajadores para establecer la obligación de registrar el inicio y fin de la jornada laboral. Se trata de garantizar el cumplimiento horario y también facilitar el control del mismo por parte de la Inspección. Las empresas tendrán dos meses para adaptarse al registro horario desde su publicación en el BOE.

Según la Encuesta de Población Activa (EPA) del cuarto trimestre de 2018, 797.000 trabajadores realizan horas extra en sus trabajos y el 48% de ellos declaran no cobrarlas.

Según el informe de IWG, sin embargo, la normativa va en contra de lo que pide la sociedad actual: más flexibilidad, conciliación, no el “presencialismo”.

El nuevo escenario laboral se aleja del modelo tradicional de jornada de 8 horas sentados en una silla de una oficina. Los datos obtenidos en su encuesta global, entre más de 15.000 personas de 80 nacionalidades diferentes, reflejan que las nuevas formas de trabajo ofrecen a las personas la libertad de decidir dónde, cuándo y cómo trabajar.

Según informa el portal Pymes y Autónomos, el incumplimiento del registro de la jornada dará lugar a sanciones al modificarse la Ley de infracciones en el Orden Social. Se impondrán multas de entre 626 y 6.250 euros para las empresas. En el caso de encontrar múltiples incumplimientos de la norma, que afecten a diferentes trabajadores, se impone una sola sanción.

El registro de jornada debe incluir de forma obligatoria el horario de entrada y de salida de cada trabajador. La forma de realizar dicho registro queda a discreción de la empresa, que deberá consultar con los representantes de los empleados. No todos tendrán que hacerlo de la misma manera, ya que un teletrabajador no acudirá a la oficina para fichar, pero igualmente deberá registrar el inicio de su jornada.

Más documentos a conservar para la mayoría de las empresas y un sistema más que mantener. Porque no basta con habilitar un modelo de fichaje, sino que luego hay que sacar informes y contrastar que todo el mundo ha fichado la entrada y la salida.

El trabajo flexible ha ayudado al 77% de las empresas a ser más productivas y exitosas. Por este motivo, el 62% de las compañías a nivel mundial ya tienen políticas de flexibilidad, lo que se traduce en que cerca de la mitad de los empleados ya pasan 2,5 días a la semana de media fuera de sus oficinas centrales.

La flexibilidad aumenta la satisfacción de los trabajadores al ayudarles a conciliar su vida personal y laboral. Desde la reducción de los tiempos de desplazamiento al trabajo y el estrés que estos generan, a una mejor organización de las cargas familiares, la flex

ibilización de las horas de trabajo se postula como el pilar de la conciliación.

Sin embargo, el estudio también recoge la dificultad de cambiar una cultura laboral mucho más rígida que ha sido la norma habitual durante mucho tiempo. Y precisamente es España quien lidera la tabla de países con mayor resistencia al cambio, con más de dos tercios de responsables de negocio que han expresado sus dudas a la hora de cambiar hacia un modelo de trabajo más flexible.

Según informa el diario “ABC”, para evitar ser rastreado en campaña electoral, el ciudadano puede oponerse a que los partidos políticos usen sus datos personales, así como a recibir propaganda.

Basta decir “no quiero que me sigan mandando propaganda, a través del mismo mecanismo que utilizó el partido en su primer mensaje y guardar la copia que lo justifique”, explica a la Agencia Efe, un abogado experto en privacidad.

Pero más allá de la propaganda electoral en cuentas digitales, lo que preocupa especialmente a los juristas de la nueva normativa en vigor desde diciembre, recurrida ante el Tribunal Constitucional (TC), es que los partidos puedan crear bases de datos con la información de los ciudadanos para elaborar perfiles ideológicos y personalizar los mensajes. Esto deriva, recordemos, de la Disposición Final Tercera la nueva Ley de Protección de Datos, que incluye un  nuevo artículo 58 bis en la Ley electoral General.

La Agencia Española de Protección de Datos (AEPD) ya ha delimitado cómo deberán aplicar la ley los partidos, que no podrán hacer perfiles ideológicos, para garantizar la privacidad.

Asimismo, en esta información se proporcionan unas pautas para evitar que usen nuestros datos personales, los partidos políticos.

El primer paso, es solicitar el derecho de acceso a nuestros datos, y de supresión de los mismos. Existen formularios elaborados por juristas especializados en protección de datos y organizaciones de defensa de derechos digitales fácilmente accesibles en internet en los que se exponen los argumentos legales por los que el ciudadano puede solicitar estas garantías. Este solo tiene que rellenar el documento, firmarlo y enviarlo al partido o partidos.

En segundo lugar, es actuar frente a la propaganda postal, ya que no admite envíos «personalizados» en el sentido de propaganda basada en «perfiles ideológicos» o datos personales vinculados a opiniones políticas, pero sí generalistas. Para evitarla en el buzón de casa se solicitará al Instituto Nacional de Estadística (INE) que no proporcione nuestros datos del censo electoral a los partidos. También se podrá hacer la gestión directamente con los partidos. En ese caso se podrá elegir de quiénes desea recibir información y de quiénes no.

También, como tercer paso, el ciudadano puede inscribirse en la denominada «Lista Viernes», una iniciativa social inspirada en la «Lista Robinson» que ya existe para evitar la publicidad comercial, pero, en el nuevo caso dirigida a quienes no quieren que sus datos sean usados para propaganda electoral por vía digital. La idea es presionar a los partidos a que la consulten antes de enviar la propaganda electoral y excluyan a los ciudadanos que se hayan apuntado en ella.

Asimismo, podemos denunciar ante la Agencia Española de Protección de Datos (AEPD), en el caso de que los partidos políticos nos sigan mandando propaganda electoral tras habernos opuesto.

Por último, podemos ejercer nuestro derecho de oposición a que nos sigan mandando propaganda electoral una vez recibida. En el caso de la vía digital los partidos deberán incluir al final del mensaje con la propaganda un mecanismo gratuito y de fácil acceso tipo: si no quieres recibir más mensajes como este, haz clic aquí.

Según informa el diario digital “El Confidencial”, la compañía que dirige Mark Zuckerberg lleva tres años captando a voluntarios que quieran “cederle” el acceso total a sus teléfonos a cambio de una pequeña compensación económica.

La noticia la ha publicado el medio especializado Techcrunch, que explica cómo unos jóvenes que querían vender su información a la compañía de Mark Zuckerberg solo tenían que instalar en sus teléfonos una ‘app’ de la marca llamada Facebook Research (iOS y Android). Al hacerlo, daban acceso a este programa de VPN a todos sus datos, con esta instalación Facebook conseguía desde su actividad diaria en internet hasta el contenido de sus mensajes privados.

Para conseguir a estos voluntarios, Facebook, a través de terceros como uTest, Applause o BetaBound lanza campañas de publicidad en diferentes redes como Instagram centradas en jóvenes que busquen ganar algo de dinero vendiendo su información. Estos adolescentes solo tendrían que clicar en uno de esos anuncios para registrarse y abrir la puerta a la Red social. Pese a que el nombre de la matriz no aparece por ninguna parte, los de Zuckerberg han confirmado la existencia de este programa ‘de investigación’ al que llaman ‘Proyecto Atlas’.

En estos últimos años se ha convertido en uno de los debates más encarnizados de internet: ¿cuánto vale nuestra privacidad, nuestros datos personales? La lucha por la privacidad en la red ha llevado a las principales tecnológicas a replantearse sus modelos de negocio, pero estas nunca nos dejarán de sorprender. Ahora sabemos que Facebook lleva tres años pagando unos 20 dólares al mes a distintos voluntarios de entre 13 y 35 años por el acceso total a sus teléfonos móviles.

Según información de “Cinco Días”, no solo somos responsables de la información que recopila nuestra web, sino también del “plug in” de terceros.

El caso tuvo su origen cuando una empresa alemana de comercio electrónico que insertó en su página web el botón “Me gusta” de Facebook. De esta manera, cuando un usuario accedía a la página de la empresa, se transfería automáticamente a Facebook información del usuario (su dirección IP y la secuencia del navegador), con independencia de que se pulsara el mencionado botón o de si el usuario tuviera cuenta en la red social.

En sus conclusiones, el Abogado General del Tribunal de Justicia de la Unión Europea determinó la corresponsabilidad del dueño de la página web que inserta plug-in que genera la recogida y transmisión de datos personales del usuario, pero matiza que esa responsabilidad conjunta debe limitarse a aquellas operaciones respecto de las cuales decide efectivamente de manera conjunta sobre los medios y los fines del tratamiento de los datos personales.

Esto significa que sobre un responsable (conjunto) del tratamiento recae la responsabilidad de la operación o de la serie de operaciones en relación con las cuales comparta o determine los fines y los medios en lo que respecta a una determinada operación de tratamiento.

En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores o posteriores de la cadena de tratamiento de los datos, los fines o medios de las cuales no esté en condiciones de determinar.

En cuanto a la legitimidad del tratamiento de datos personales sin el consentimiento del usuario de la página web, el Abogado General recuerda que dicho tratamiento es lícito conforme a la Directiva cuando se cumplen tres requisitos acumulativos: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para satisfacer ese interés legítimo y, tercero, que no deban prevalecer los derechos y libertades fundamentales del interesado en la protección de los datos.

Por último, las conclusiones del Abogado General del TJUE apuntan a que el Tribunal declarará que el consentimiento del usuario de la página web se ha de prestar, en su caso, al administrador de ésta que ha insertado el contenido de un tercero. De igual manera, la obligación de facilitar al usuario de la página web la información mínima se impone al administrador de la misma.

En una entrevista publicada en “El País” a Jannis Kallinikos, actualmente profesor en el Grupo de Sistemas de Información e Innovación del Departamento de Administración de la Escuela de Economía y Ciencias Políticas de Londres (LSE) y es considerado uno de los mayores expertos la información tecnológica y cultura mediada por software, “los usuarios se juegan más que la privacidad cuando ceden información personal.”

Cada vez que instalamos una aplicación en el móvil o cada vez que “leemos y aceptamos” las condiciones de una página web, nos exponemos a ceder datos personales a una organización. Lo hacemos voluntariamente, según los términos legales, pero ni los expertos saben realmente las consecuencias de estas acciones.

Jannis Kallinikos estudia el impacto que tiene la difusión tecnológica de información en las organizaciones y en la sociedad.

Kallinikos habló de los datos digitales como una nueva realidad, no un mero reflejo o registro de lo que hay en el mundo físico. Así como ejemplo indicó que un simple like de Facebook, indica aprobación de una imagen u otro contenido, pero también es un significado para un contexto muy específico que no existía antes.

También pone el ejemplo del Data mining, o minería de datos, donde se buscan relaciones entre la información, pero relaciones que solo existen porque esa información se ha generado y almacenado. Los datos que se extraen no representan exactamente algo que existe ahí fuera.

La revolución de la nueva industria digital, entonces, no se debe solo a la cesión y el análisis de datos personales. Según Kallinikos, pasa primero por generar esa información: una nueva realidad.

Ante la pregunta sobre si la generación masiva de datos personales supone un problema ético, respondió que, pese a que el de privacidad es el problema que más se discute, hay otros. Uno de ellos es que se utilizan los datos para describir a las personas de formas que desconocen. Ya no es solo que yo no doy mi permiso, es que esa información volverá a mí para influir en mis decisiones, hasta el punto en el que puedo actuar de formas que no habría hecho si no se hubiesen recogido mis datos.

Por ejemplo, un sistema de recomendación de viajes, basado en mi ubicación y en los sitios que han visitado personas con gustos similares, me va a sugerir destinos. Puede parecer inocente, pero la producción de esa información es compleja, y quizás yo visite esos lugares y haga cosas que no habría hecho, o incluso podría morir en uno de esos lugares. Esto es un problema ético que no es exactamente de privacidad.

Asimismo, fue preguntado si la gente confía más en el big data que en su propio criterio para tomar decisiones, respondiendo que, a veces, no contemplan ya sus propios pensamientos. En muchas ocasiones no hacen la comparación entre lo recomendado y su decisión: se dejan llevar por las sugerencias.

Los sistemas ofrecen soluciones que los usuarios no contemplarían solos, y si el proceso se repite, las personas acaban más vacías, más planas. Esto también parece un problema ético. Es un problema de conocimiento, de calidad de vida, de democracia, pero de ética también.

En la mayoría de los casos, “no tienes ni idea de dónde acabarán tus datos, ya que muchas de esas operaciones no son públicas. Lo que te queda es una sensación de intranquilidad generalizada, pero aceptas igualmente.”

Por último, indicó que los sistemas que procesan y comparan información se volverán más complejos y estratificados. Como usuarios, tendremos acceso solo a las interfaces preciosas, pero no podremos imaginar, incluso no querremos imaginar, en muchos casos, lo que hay detrás.

Según informa el diario “El País”, la ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada en el Senado, ha incorporado artículos que podrían afectar a la libertad de expresión.

Dentro de los derechos que conlleva la ley está el derecho de rectificación, que no solo atenderá a la información veraz, sino que también afectará a los contenidos que atenten contra el derecho al honor y la intimidad.

A través del artículo 85, la ley establece que los responsables de redes sociales, plataformas digitales y servicios equivalentes ejecutarán protocolos para garantizar el derecho de rectificación, “en particular en relación con los contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz”.

Lo que implica que los medios de comunicación digitales deberán atender las solicitudes de rectificación contra ellos y además deberán publicar en sus archivos digitales un aviso aclaratorio que ponga de manifiesto que “la noticia original no refleja la situación actual del individuo”.

En la ley de protección de datos se extiende a los comentarios que los usuarios puedan efectuar en las páginas web, de tal manera que los medios son responsables de sus propios contenidos y también de los que generan los usuarios. “Este es un asunto latente en la UE y habilita a los medios a ejercer una rectificación si los usuarios atacan el honor de una persona”.

Aplicar esta medida obligará a los medios a contratar servicios de pre-moderación si quieren evitar una avalancha de peticiones de rectificación.

Para algunos expertos, la ley de española se ha extralimitado al incorporar aspectos que no están contemplados en el reglamento comunitario. La regulación más polémica es la que permite a los partidos políticos crear perfiles de los ciudadanos y etiquetarlos según su ideología.

Para intentar rebajar la tensión, la directora de la Agencia Española de Protección de Datos, Mar España, anunció que este Organismo será “extremadamente vigilante y riguroso”. Según la interpretación de la Agencia, la ley “no permitirá a los partidos realizar perfiles con datos ideológicos, sexuales, religiosos o de otro tipo” a partir del rastro que dejen los ciudadanos en las redes sociales.

Según información del diario económico “Cinco Días”, la Comisión de Justicia del Congreso, y posteriormente el Pleno de 18 de octubre, han aprobado los pertinentes trámites del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los derechos digitales.

La negociación no ha sido precisamente sencilla y ha obligado a encajar muchas sensibilidades. Los expertos exigían la simplificación de un Proyecto ciertamente complejo en origen. Las autoridades autonómicas demandaban el respeto de su marco competencial y el diseño de un modelo coordinado y armónico.

El proceso de información pública y el trámite de enmiendas pusieron de manifiesto los problemas e inconsistencias que acompañan a todo Proyecto de Ley. Y para introducir complejidad en la ecuación, se ha abordado la inserción de un título dedicado a la garantía de los derechos digitales.

Por otra parte, se ha modificado profundamente el Estatuto de la Agencia Española de Protección de Datos apostando por un modelo de comisionado parlamentario. La presidencia será propuesta por el Gobierno y ratificada por el Congreso atendiendo a criterios de mérito y capacidad y acompañada por un adjunto escogido de igual modo. El esfuerzo ha sido sin duda ímprobo y el resultado meritorio.

El impacto en nuestro Derecho y economía de esta norma, es muy importante, estamos asistiendo al nacimiento de un conjunto de normas que deberían ayudarnos a introducirnos en el proceso de la transformación digital.

No sólo se trata de tener en cuenta el Reglamento General de Protección de Datos, la LOPD, o la Ley de seguridad de las redes y sistemas de información. Debemos estar muy atentos a la gestación de los reglamentos e-Privacy y e-evidence, a la revisión de la Directiva sobre reutilización de datos del sector público, o a una posible nueva norma sobre uso de datos.

Pueden destacarse aspectos muy significativos de la nueva LOPD: videovigilancia, relaciones laborales y controles empresariales, sistemas de denuncias internas, ampliación de los supuestos de nombramiento de un delegado de protección de datos, mantenimiento de los ficheros Robinson y del deber de bloqueo, clarificación del régimen sancionador, desconexión digital, derechos de los menores, entre otros.

Pero sin duda, existe un elemento nuclear que afecta al conjunto de la norma: nuestra privacidad.

En España la garantía del derecho fundamental a la protección de datos y el compromiso de los poderes públicos en dotar de relevancia y protección a este derecho se mantiene y profundiza. Ello implica que tanto el sector público, como el privado, deben rediseñar sus procesos pensando en privacidad.

El futuro de la transformación digital implica un compromiso compartido en el diseño de la privacidad que implique a los sectores y se oriente a la definición de objetivos viables para los derechos y para la digitalización.