Entradas

NUEVA LEGISLACIÓN REGISTRO HORARIO: FICHAR AL ENTRAR Y AL SALIR DEL TRABAJO

Según información del diario “La Razón”, esta semana entra en vigor el Decreto Ley de protección social que busca poner fin a la precariedad laboral, y que incluye la obligación por parte de las empresas de que sus empleados fichen. El Gobierno considera que si el trabajador hace más horas que lo que marca la ley se está contribuyendo a la precarización del mercado laboral.

Por ello se ha modificado el Estatuto de los Trabajadores para establecer la obligación de registrar el inicio y fin de la jornada laboral. Se trata de garantizar el cumplimiento horario y también facilitar el control del mismo por parte de la Inspección. Las empresas tendrán dos meses para adaptarse al registro horario desde su publicación en el BOE.

Según la Encuesta de Población Activa (EPA) del cuarto trimestre de 2018, 797.000 trabajadores realizan horas extra en sus trabajos y el 48% de ellos declaran no cobrarlas.

Según el informe de IWG, sin embargo, la normativa va en contra de lo que pide la sociedad actual: más flexibilidad, conciliación, no el “presencialismo”.

El nuevo escenario laboral se aleja del modelo tradicional de jornada de 8 horas sentados en una silla de una oficina. Los datos obtenidos en su encuesta global, entre más de 15.000 personas de 80 nacionalidades diferentes, reflejan que las nuevas formas de trabajo ofrecen a las personas la libertad de decidir dónde, cuándo y cómo trabajar.

Según informa el portal Pymes y Autónomos, el incumplimiento del registro de la jornada dará lugar a sanciones al modificarse la Ley de infracciones en el Orden Social. Se impondrán multas de entre 626 y 6.250 euros para las empresas. En el caso de encontrar múltiples incumplimientos de la norma, que afecten a diferentes trabajadores, se impone una sola sanción.

El registro de jornada debe incluir de forma obligatoria el horario de entrada y de salida de cada trabajador. La forma de realizar dicho registro queda a discreción de la empresa, que deberá consultar con los representantes de los empleados. No todos tendrán que hacerlo de la misma manera, ya que un teletrabajador no acudirá a la oficina para fichar, pero igualmente deberá registrar el inicio de su jornada.

Más documentos a conservar para la mayoría de las empresas y un sistema más que mantener. Porque no basta con habilitar un modelo de fichaje, sino que luego hay que sacar informes y contrastar que todo el mundo ha fichado la entrada y la salida.

El trabajo flexible ha ayudado al 77% de las empresas a ser más productivas y exitosas. Por este motivo, el 62% de las compañías a nivel mundial ya tienen políticas de flexibilidad, lo que se traduce en que cerca de la mitad de los empleados ya pasan 2,5 días a la semana de media fuera de sus oficinas centrales.

La flexibilidad aumenta la satisfacción de los trabajadores al ayudarles a conciliar su vida personal y laboral. Desde la reducción de los tiempos de desplazamiento al trabajo y el estrés que estos generan, a una mejor organización de las cargas familiares, la flex

ibilización de las horas de trabajo se postula como el pilar de la conciliación.

Sin embargo, el estudio también recoge la dificultad de cambiar una cultura laboral mucho más rígida que ha sido la norma habitual durante mucho tiempo. Y precisamente es España quien lidera la tabla de países con mayor resistencia al cambio, con más de dos tercios de responsables de negocio que han expresado sus dudas a la hora de cambiar hacia un modelo de trabajo más flexible.

Cómo evitar injerencias políticas en tus datos personales

Según informa el diario “ABC”, para evitar ser rastreado en campaña electoral, el ciudadano puede oponerse a que los partidos políticos usen sus datos personales, así como a recibir propaganda.

Basta decir “no quiero que me sigan mandando propaganda, a través del mismo mecanismo que utilizó el partido en su primer mensaje y guardar la copia que lo justifique”, explica a la Agencia Efe, un abogado experto en privacidad.

Pero más allá de la propaganda electoral en cuentas digitales, lo que preocupa especialmente a los juristas de la nueva normativa en vigor desde diciembre, recurrida ante el Tribunal Constitucional (TC), es que los partidos puedan crear bases de datos con la información de los ciudadanos para elaborar perfiles ideológicos y personalizar los mensajes. Esto deriva, recordemos, de la Disposición Final Tercera la nueva Ley de Protección de Datos, que incluye un  nuevo artículo 58 bis en la Ley electoral General.

La Agencia Española de Protección de Datos (AEPD) ya ha delimitado cómo deberán aplicar la ley los partidos, que no podrán hacer perfiles ideológicos, para garantizar la privacidad.

Asimismo, en esta información se proporcionan unas pautas para evitar que usen nuestros datos personales, los partidos políticos.

El primer paso, es solicitar el derecho de acceso a nuestros datos, y de supresión de los mismos. Existen formularios elaborados por juristas especializados en protección de datos y organizaciones de defensa de derechos digitales fácilmente accesibles en internet en los que se exponen los argumentos legales por los que el ciudadano puede solicitar estas garantías. Este solo tiene que rellenar el documento, firmarlo y enviarlo al partido o partidos.

En segundo lugar, es actuar frente a la propaganda postal, ya que no admite envíos «personalizados» en el sentido de propaganda basada en «perfiles ideológicos» o datos personales vinculados a opiniones políticas, pero sí generalistas. Para evitarla en el buzón de casa se solicitará al Instituto Nacional de Estadística (INE) que no proporcione nuestros datos del censo electoral a los partidos. También se podrá hacer la gestión directamente con los partidos. En ese caso se podrá elegir de quiénes desea recibir información y de quiénes no.

También, como tercer paso, el ciudadano puede inscribirse en la denominada «Lista Viernes», una iniciativa social inspirada en la «Lista Robinson» que ya existe para evitar la publicidad comercial, pero, en el nuevo caso dirigida a quienes no quieren que sus datos sean usados para propaganda electoral por vía digital. La idea es presionar a los partidos a que la consulten antes de enviar la propaganda electoral y excluyan a los ciudadanos que se hayan apuntado en ella.

Asimismo, podemos denunciar ante la Agencia Española de Protección de Datos (AEPD), en el caso de que los partidos políticos nos sigan mandando propaganda electoral tras habernos opuesto.

Por último, podemos ejercer nuestro derecho de oposición a que nos sigan mandando propaganda electoral una vez recibida. En el caso de la vía digital los partidos deberán incluir al final del mensaje con la propaganda un mecanismo gratuito y de fácil acceso tipo: si no quieres recibir más mensajes como este, haz clic aquí.

Facebook paga por tener todos tus datos

Según informa el diario digital “El Confidencial”, la compañía que dirige Mark Zuckerberg lleva tres años captando a voluntarios que quieran “cederle” el acceso total a sus teléfonos a cambio de una pequeña compensación económica.

La noticia la ha publicado el medio especializado Techcrunch, que explica cómo unos jóvenes que querían vender su información a la compañía de Mark Zuckerberg solo tenían que instalar en sus teléfonos una ‘app’ de la marca llamada Facebook Research (iOS y Android). Al hacerlo, daban acceso a este programa de VPN a todos sus datos, con esta instalación Facebook conseguía desde su actividad diaria en internet hasta el contenido de sus mensajes privados.

Para conseguir a estos voluntarios, Facebook, a través de terceros como uTest, Applause o BetaBound lanza campañas de publicidad en diferentes redes como Instagram centradas en jóvenes que busquen ganar algo de dinero vendiendo su información. Estos adolescentes solo tendrían que clicar en uno de esos anuncios para registrarse y abrir la puerta a la Red social. Pese a que el nombre de la matriz no aparece por ninguna parte, los de Zuckerberg han confirmado la existencia de este programa ‘de investigación’ al que llaman ‘Proyecto Atlas’.

En estos últimos años se ha convertido en uno de los debates más encarnizados de internet: ¿cuánto vale nuestra privacidad, nuestros datos personales? La lucha por la privacidad en la red ha llevado a las principales tecnológicas a replantearse sus modelos de negocio, pero estas nunca nos dejarán de sorprender. Ahora sabemos que Facebook lleva tres años pagando unos 20 dólares al mes a distintos voluntarios de entre 13 y 35 años por el acceso total a sus teléfonos móviles.

El contenido de terceros también nos afecta

Según información de “Cinco Días”, no solo somos responsables de la información que recopila nuestra web, sino también del “plug in” de terceros.

El caso tuvo su origen cuando una empresa alemana de comercio electrónico que insertó en su página web el botón “Me gusta” de Facebook. De esta manera, cuando un usuario accedía a la página de la empresa, se transfería automáticamente a Facebook información del usuario (su dirección IP y la secuencia del navegador), con independencia de que se pulsara el mencionado botón o de si el usuario tuviera cuenta en la red social.

En sus conclusiones, el Abogado General del Tribunal de Justicia de la Unión Europea determinó la corresponsabilidad del dueño de la página web que inserta plug-in que genera la recogida y transmisión de datos personales del usuario, pero matiza que esa responsabilidad conjunta debe limitarse a aquellas operaciones respecto de las cuales decide efectivamente de manera conjunta sobre los medios y los fines del tratamiento de los datos personales.

Esto significa que sobre un responsable (conjunto) del tratamiento recae la responsabilidad de la operación o de la serie de operaciones en relación con las cuales comparta o determine los fines y los medios en lo que respecta a una determinada operación de tratamiento.

En cambio, esa persona no puede ser considerada responsable ni de las fases anteriores o posteriores de la cadena de tratamiento de los datos, los fines o medios de las cuales no esté en condiciones de determinar.

En cuanto a la legitimidad del tratamiento de datos personales sin el consentimiento del usuario de la página web, el Abogado General recuerda que dicho tratamiento es lícito conforme a la Directiva cuando se cumplen tres requisitos acumulativos: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para satisfacer ese interés legítimo y, tercero, que no deban prevalecer los derechos y libertades fundamentales del interesado en la protección de los datos.

Por último, las conclusiones del Abogado General del TJUE apuntan a que el Tribunal declarará que el consentimiento del usuario de la página web se ha de prestar, en su caso, al administrador de ésta que ha insertado el contenido de un tercero. De igual manera, la obligación de facilitar al usuario de la página web la información mínima se impone al administrador de la misma.

Dónde acaban nuestros datos

En una entrevista publicada en “El País” a Jannis Kallinikos, actualmente profesor en el Grupo de Sistemas de Información e Innovación del Departamento de Administración de la Escuela de Economía y Ciencias Políticas de Londres (LSE) y es considerado uno de los mayores expertos la información tecnológica y cultura mediada por software, “los usuarios se juegan más que la privacidad cuando ceden información personal.”

Cada vez que instalamos una aplicación en el móvil o cada vez que “leemos y aceptamos” las condiciones de una página web, nos exponemos a ceder datos personales a una organización. Lo hacemos voluntariamente, según los términos legales, pero ni los expertos saben realmente las consecuencias de estas acciones.

Jannis Kallinikos estudia el impacto que tiene la difusión tecnológica de información en las organizaciones y en la sociedad.

Kallinikos habló de los datos digitales como una nueva realidad, no un mero reflejo o registro de lo que hay en el mundo físico. Así como ejemplo indicó que un simple like de Facebook, indica aprobación de una imagen u otro contenido, pero también es un significado para un contexto muy específico que no existía antes.

También pone el ejemplo del Data mining, o minería de datos, donde se buscan relaciones entre la información, pero relaciones que solo existen porque esa información se ha generado y almacenado. Los datos que se extraen no representan exactamente algo que existe ahí fuera.

La revolución de la nueva industria digital, entonces, no se debe solo a la cesión y el análisis de datos personales. Según Kallinikos, pasa primero por generar esa información: una nueva realidad.

Ante la pregunta sobre si la generación masiva de datos personales supone un problema ético, respondió que, pese a que el de privacidad es el problema que más se discute, hay otros. Uno de ellos es que se utilizan los datos para describir a las personas de formas que desconocen. Ya no es solo que yo no doy mi permiso, es que esa información volverá a mí para influir en mis decisiones, hasta el punto en el que puedo actuar de formas que no habría hecho si no se hubiesen recogido mis datos.

Por ejemplo, un sistema de recomendación de viajes, basado en mi ubicación y en los sitios que han visitado personas con gustos similares, me va a sugerir destinos. Puede parecer inocente, pero la producción de esa información es compleja, y quizás yo visite esos lugares y haga cosas que no habría hecho, o incluso podría morir en uno de esos lugares. Esto es un problema ético que no es exactamente de privacidad.

Asimismo, fue preguntado si la gente confía más en el big data que en su propio criterio para tomar decisiones, respondiendo que, a veces, no contemplan ya sus propios pensamientos. En muchas ocasiones no hacen la comparación entre lo recomendado y su decisión: se dejan llevar por las sugerencias.

Los sistemas ofrecen soluciones que los usuarios no contemplarían solos, y si el proceso se repite, las personas acaban más vacías, más planas. Esto también parece un problema ético. Es un problema de conocimiento, de calidad de vida, de democracia, pero de ética también.

En la mayoría de los casos, “no tienes ni idea de dónde acabarán tus datos, ya que muchas de esas operaciones no son públicas. Lo que te queda es una sensación de intranquilidad generalizada, pero aceptas igualmente.”

Por último, indicó que los sistemas que procesan y comparan información se volverán más complejos y estratificados. Como usuarios, tendremos acceso solo a las interfaces preciosas, pero no podremos imaginar, incluso no querremos imaginar, en muchos casos, lo que hay detrás.

La ley de protección de datos, los medios y el derecho de rectificación

Según informa el diario “El País”, la ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada en el Senado, ha incorporado artículos que podrían afectar a la libertad de expresión.

Dentro de los derechos que conlleva la ley está el derecho de rectificación, que no solo atenderá a la información veraz, sino que también afectará a los contenidos que atenten contra el derecho al honor y la intimidad.

A través del artículo 85, la ley establece que los responsables de redes sociales, plataformas digitales y servicios equivalentes ejecutarán protocolos para garantizar el derecho de rectificación, “en particular en relación con los contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz”.

Lo que implica que los medios de comunicación digitales deberán atender las solicitudes de rectificación contra ellos y además deberán publicar en sus archivos digitales un aviso aclaratorio que ponga de manifiesto que “la noticia original no refleja la situación actual del individuo”.

En la ley de protección de datos se extiende a los comentarios que los usuarios puedan efectuar en las páginas web, de tal manera que los medios son responsables de sus propios contenidos y también de los que generan los usuarios. “Este es un asunto latente en la UE y habilita a los medios a ejercer una rectificación si los usuarios atacan el honor de una persona”.

Aplicar esta medida obligará a los medios a contratar servicios de pre-moderación si quieren evitar una avalancha de peticiones de rectificación.

Para algunos expertos, la ley de española se ha extralimitado al incorporar aspectos que no están contemplados en el reglamento comunitario. La regulación más polémica es la que permite a los partidos políticos crear perfiles de los ciudadanos y etiquetarlos según su ideología.

Para intentar rebajar la tensión, la directora de la Agencia Española de Protección de Datos, Mar España, anunció que este Organismo será “extremadamente vigilante y riguroso”. Según la interpretación de la Agencia, la ley “no permitirá a los partidos realizar perfiles con datos ideológicos, sexuales, religiosos o de otro tipo” a partir del rastro que dejen los ciudadanos en las redes sociales.

Protección de datos, el valor actual de la privacidad

Según información del diario económico “Cinco Días”, la Comisión de Justicia del Congreso, y posteriormente el Pleno de 18 de octubre, han aprobado los pertinentes trámites del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los derechos digitales.

La negociación no ha sido precisamente sencilla y ha obligado a encajar muchas sensibilidades. Los expertos exigían la simplificación de un Proyecto ciertamente complejo en origen. Las autoridades autonómicas demandaban el respeto de su marco competencial y el diseño de un modelo coordinado y armónico.

El proceso de información pública y el trámite de enmiendas pusieron de manifiesto los problemas e inconsistencias que acompañan a todo Proyecto de Ley. Y para introducir complejidad en la ecuación, se ha abordado la inserción de un título dedicado a la garantía de los derechos digitales.

Por otra parte, se ha modificado profundamente el Estatuto de la Agencia Española de Protección de Datos apostando por un modelo de comisionado parlamentario. La presidencia será propuesta por el Gobierno y ratificada por el Congreso atendiendo a criterios de mérito y capacidad y acompañada por un adjunto escogido de igual modo. El esfuerzo ha sido sin duda ímprobo y el resultado meritorio.

El impacto en nuestro Derecho y economía de esta norma, es muy importante, estamos asistiendo al nacimiento de un conjunto de normas que deberían ayudarnos a introducirnos en el proceso de la transformación digital.

No sólo se trata de tener en cuenta el Reglamento General de Protección de Datos, la LOPD, o la Ley de seguridad de las redes y sistemas de información. Debemos estar muy atentos a la gestación de los reglamentos e-Privacy y e-evidence, a la revisión de la Directiva sobre reutilización de datos del sector público, o a una posible nueva norma sobre uso de datos.

Pueden destacarse aspectos muy significativos de la nueva LOPD: videovigilancia, relaciones laborales y controles empresariales, sistemas de denuncias internas, ampliación de los supuestos de nombramiento de un delegado de protección de datos, mantenimiento de los ficheros Robinson y del deber de bloqueo, clarificación del régimen sancionador, desconexión digital, derechos de los menores, entre otros.

Pero sin duda, existe un elemento nuclear que afecta al conjunto de la norma: nuestra privacidad.

En España la garantía del derecho fundamental a la protección de datos y el compromiso de los poderes públicos en dotar de relevancia y protección a este derecho se mantiene y profundiza. Ello implica que tanto el sector público, como el privado, deben rediseñar sus procesos pensando en privacidad.

El futuro de la transformación digital implica un compromiso compartido en el diseño de la privacidad que implique a los sectores y se oriente a la definición de objetivos viables para los derechos y para la digitalización.

Un delito menor puede justificar el acceso a datos personales

Según informa el diario económico “Cinco Días”, las autoridades públicas podrán acceder a datos personales en el marco de una investigación de un delito que no tenga especial gravedad, si dicha injerencia no resulta grave.

El Tribunal de Justicia de la Unión Europea, en respuesta a una cuestión sobre la aplicación de  la Directiva sobre la privacidad y las comunicaciones electrónicas, ha indicado que el acceso de las autoridades públicas a datos personales almacenados por los proveedores de servicios de comunicaciones electrónicas en el marco de una investigación de un delito que no tenga una especial gravedad, se puede hacer.

El Tribunal reconoce que el acceso a datos que permitan identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído, sus nombres, apellidos e incluso sus direcciones, constituye una injerencia en sus derechos fundamentales a la vida privada y a la protección de datos, consagrados en la Carta. Sin embargo, considera que dicho acceso no resulta tan grave como para que deba limitarse a la lucha contra la delincuencia grave.

De este modo, el Tribunal Europeo responde a la cuestión planteada por la Audiencia Provincial de Tarragona respecto a la adopción de la decisión del juez instructor, en virtud de las alternativas dadas por la legislación española, para determinar el nivel de gravedad de un delito respecto del cual se autoriza la conservación y la cesión de los datos personales.

El caso que propició la respuesta del Tribuna europeo, fue a raíz de la investigación de un robo con violencia de una cartera y un teléfono móvil, para la cual la Policía Judicial solicitó al Juzgado de Instrucción que le concediera acceso a los datos personales o de filiación de los usuarios de los números de teléfono activados desde el teléfono sustraído durante un período de doce días desde la fecha del robo.

La sentencia europea señala que la Directiva sobre la privacidad y las comunicaciones electrónicas enumera objetivos que pueden justificar una norma nacional que regule el acceso de las autoridades públicas a estos datos y establezca de ese modo una excepción al principio de confidencialidad de las comunicaciones electrónicas. El Tribunal de Justicia observa que la Directiva no limita el objetivo de la prevención, investigación, descubrimiento y persecución de delitos a la lucha contra los delitos graves, sino que se refiere a los delitos en general.

En otra sentencia, se referían solo a delitos graves, pero se ha aclarado, que en ese caso era porque afectaba a los derechos fundamentales.

Por tanto, conforme al principio de proporcionalidad, una injerencia grave sólo puede estar justificada en este ámbito por el objetivo de luchar contra la delincuencia que a su vez también deba calificarse de grave. En cambio, cuando la injerencia no es grave, dicho acceso puede estar justificado por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general.

Protección de datos: recogida de datos

El  artículo 8. Párrafo 1º, del Reglamento General de Protección de Datos (“Principios relativos a la calidad de los datos”) establece que “Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. “

Con el término “licitud” hablamos de un concepto jurídico indeterminado que implica el cumplimiento de las prescripciones normativas en el tratamiento de datos, tales como la veracidad de los datos, legitimidad de los fines del tratamiento, adopción de las medidas de seguridad, cumplimiento de los deberes de conservación, información, consentimiento, que conlleva una calidad de los datos que se manejan y la legitimación por parte del que los trata.

Los datos personales deben ser tratados de acuerdo con este principio de licitud.

Pero este tratamiento lícito se basa en el cumplimiento de una misión de interés público, o en el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o que sea necesario su uso para la ejecución de un contrato en el que el interesado sea parte, o para la aplicación de medidas precontractuales adoptadas a petición del interesado, siempre que el interesado haya dado su consentimiento de forma inequívoca.

También si es necesario para proteger los intereses esenciales del interesado.

Por tanto, el tratamiento de datos personales ha de ser necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero a los que comuniquen los datos.

Asimismo, se establece que la persona pueda acceder a dichos datos que se tratan para asegurarse la exactitud de los mismos y que se están tratando conforme a ese principio que dirige la nueva ley y reglamento del tratamiento de sus datos personales.

Los datos deben ser lícitos, los fines también y el interesado debe disfrutar del derecho de acceso. Por lo tanto, además de una finalidad legítima debe cumplirse con el deber de información.

Para mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad, los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Por último, los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.

Reglamento general de protección de datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) es una normativa europea sobre protección de datos personales que afecta, entre otros, a pymes y autónomos.

Es de obligado cumplimiento y ya está en vigor, pero aún estamos a tiempo para no ser sancionados.

Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD). Una legislación europea que entró en vigor el pasado 25 de mayo de 2016 pero que ha dado estos 2 años de plazo para que todos los obligados a su normativa se adaptaran a su articulado.

El RGPD recoge el derecho a la protección de datos personales y control sobre el uso que personas físicas, jurídicas y organismos públicos hacen de los mismos.

Todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembros, están obligados a su cumplimiento.

El RGPD se aplica en todo el territorio de la Unión Europea (UE), el Reino Unido (tras su salida del espacio comunitario en 2019) y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.

En España existe una normativa propia sobre Protección de Datos de Carácter Personal, la Ley Orgánica 15/1999, de 13 de diciembre, conocida por LOPD. En su articulado se establecen medidas para proteger y garantizar el derecho a la intimidad de quienes nos facilitan sus datos a diario.

La nueva normativa europea, RGPD, lo que ha hecho es aglutinar y unificar las legislaciones estatales de todos los países miembro de la Unión Europea para que exista una norma global y unificadora sobre el tema.

El siguiente paso es que los propios estados legislen, especificando y adaptando sus leyes a este RGPD. En España ya hay un proyecto de Ley para adaptarse a esta normativa europea, que  derogará la actual LOPD y ampliará el RGPD.

El RGPD se articula en base a unos principios básicos:

  • Hay que conseguir la información de forma clara y sencilla para el que nos proporcione los datos.
  • Los datos, además tienen que utilizarse para el fin previamente establecido y mantenerse actualizados y almacenados garantizando su seguridad.
  • El tratamiento de los datos siempre tiene que ser lícito y por eso tiene que cumplir con determinadas condiciones como tener el consentimiento expreso del interesado para poder utilizarlos.
  • Los datos no pueden salir del Espacio Económico Europeo y si van a salir, tienen que observarse en el envío las garantías suficientes para la correcta protección de los mismos.

El RGPD exige una responsabilidad proactiva. Es decir, que la normativa la disposición de adaptarte de manera garantizable a las reglas, derechos y garantías que ordena en su articulado.

Su efecto sancionador solo se pone en marcha cuando sucede la infracción.

Hay que designar un Delegado de Protección de Datos (DPD) si tu negocio o empresa tiene como objetivo el tratamiento de datos sensibles (por la propia naturaleza de tu actividad o para poder desarrollar la misma) o si tratas datos a gran escala.

Hay que elaborar un Registro de Actividades de Tratamiento teniendo en cuenta para qué van a ser utilizados los datos.

Hay que Realizar un Análisis de Riesgos con el que estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que hace la empresa con los datos personales que maneja (qué tipo de datos maneja, en qué contexto se mueven y los elementos más relevantes que intervienen en ellos).

Hay que hacer una Evaluación de Impacto mediante la que analizar las medidas de salvaguarda que tiene la empresa o el autónomo implementadas para salvaguardar los datos en caso de sufrir una fuga de información y/o cometer una infracción.

En nuestro país hay una tipología de infracciones, entre infracciones leves, graves o muy graves, en el caso de la norma europea solo se indica que habrá que atender al caso particular y estudiar, para establecer la sanción.

Las circunstancias que influyen son la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, las medidas adoptadas por el responsable del tratamiento de los datos para minimizar los daños. Así como, el grado de responsabilidad del responsable del tratamiento de los datos en la infracción, el grado de cooperación con la autoridad de control o la categoría de los datos de carácter personal afectados.

Las infracciones que se contemplan pueden llegar a alcanzar entre los 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global de la actividad del autónomo o empresa.

Esta normativa europea no solo contempla obligaciones, sino que también regula los derechos que puede exigir cada empresa o autónomo a otros autónomos y pymes con respecto a sus datos personales:

Derecho a conocer: para qué van a ser usados tus datos y hasta cuándo, y de qué modo, se van a conservar.

  • Derechos a solicitar al responsable la suspensión del tratamiento de tus datos, la limitación de su uso, la defensa de estos o su portabilidad a otro proveedor.ç
  • Derecho a rectificar tus datos cuando sean inexactos o estén incompletos.
  • Derecho a suprimir tus datos por el tratamiento ilícito de los mismos, porque desaparezca la finalidad para la que fueron recabados o cuando revoques tu consentimiento.
  • Derecho a la oposición al tratamiento de tus datos por motivos personales o cuando el objetivo del tratamiento sea el marketing directo.
  • Además, por primera vez se regula el derecho al olvido con el que se podrá eliminar el rastro por completo, o parte de él, de Internet.

Una juez anula el fichero con datos personales de la Guardia Urbana

Según informa” La Vanguardia”, una Juez anula el fichero con datos personales de la Guardia Urbana que creó el Ayuntamiento de Barcelona tras avalar su «incompetencia» sobre el registro de estos datos, una vulneración de la Ley de Protección de Datos, y la falta de negociación con los sindicatos implicados.

El Juzgado Contencioso-Administrativo número 13 de Barcelona estima un recurso de la Federación de Empleados de Servicios Públicos de UGT de Cataluña contra el Ayuntamiento de Barcelona por la creación del fichero informatizado «Gestió de la Unitat de Deontologia i Afers Interns de la Guardia Urbana».

La base de datos fue aprobada por el Ayuntamiento en abril de 2017 con la finalidad, según recoge la sentencia e informa EFE, de gestionar procedimientos de información reservada a funcionarios e investigación de hechos constitutivos de infracción, así como procedimientos sancionadores y quejas ciudadanas o peticiones de entidades competentes, sobre los servicios prestados por la Guardia Urbana.

La información que incluía era de carácter personal sobre los miembros de la policía, como datos identificativos, profesionales, personales, sociales, comerciales, de trabajo y económicos, y también información «especialmente protegida» como su ideología, afiliación sindical, religión y creencias, salud, origen étnico, vida sexual y violencia de género.

También se incluían datos de carácter personal de miembros de las policías locales catalanas, de los Mossos d’Esquadra, o de alumnos del Instituto de Seguridad Pública de Cataluña.

La Autoridad Catalana de Protección de Datos (APCD) dio el visto bueno a la creación de este fichero, que fue rechazada por sindicatos de policías y varios grupos municipales, algunos de los cuales llegaron a interponer denuncias, según recoge esta sentencia, aunque todas fueron archivadas hasta ahora.

La magistrada sostiene que el ayuntamiento de Barcelona «no es competente» para la creación de tal fichero, que tampoco «se cumplió con la preceptiva negociación colectiva» respecto la creación de este, y que se vulnera la Ley Orgánica de Protección de Datos (LOPD).

En concreto, en su denuncia, la federación de la UGT alegó la incompetencia del ayuntamiento para «elaborar un registro de su Policía local», lo que el juez ha avalado tras considerar que no «existe norma alguna» que atribuya al ayuntamiento la competencia «para recoger la totalidad» de estos datos.

Además, la UGT aseguró que ni los sindicatos ni la Junta de Personal de la GUAB fueron informados o incluidos en la creación del archivo, lo que infringía «el derecho a la negociación colectiva».

La magistrada también avala la vulneración de la LOPD tras considerar que «no se respeta el límite» de la recogida y tratamiento de datos personales y privados de los miembros de la Guardia Urbana y que no existe «proporcionalidad» ni son «adecuados con las finalidades previstas» para el fichero.

En concreto, la LOPD contempla el tratamiento y registro de datos de esta naturaleza cuando «son necesarios para la prevención de un peligro real» o para la «represión de infracciones penales», cuando resultan «absolutamente» necesarios para una investigación concreta.

Visibilidad para los datos positivos de los deudores

Según informa el diario “El País”, muchos expertos en Derecho presionan para que los registros de solvencia patrimonial contengan datos positivos de los deudores.

Los ficheros de incumplimiento, o ficheros de morosos, permiten a las entidades de crédito conocer la existencia de deudas impagadas y les alertan de los deudores que pueden suponer un riesgo para ellas mismas y para la estabilidad del sistema.

La información negativa, que circula con facilidad entre los bancos, conlleva la exclusión del acceso a préstamos de las personas que han dejado deudas pendientes.

La misma facilidad la información positiva, aquélla que avala la reputación financiera de una persona al informar sobre su buen comportamiento de pago, introduciría competencia en el mercado y permitiría a los deudores cumplidores obtener créditos en mejores condiciones.

En el sistema español, los datos que comparten las entidades para evaluar la solvencia de quienes solicitan un crédito son, fundamentalmente, los contenidos en los ficheros de morosos Asnef (gestionado por la estadounidense Equifax), Badexcug (de la británica Experian) y RAI (solo para personas jurídicas). El fichero del Banco de España contiene datos positivos y negativos, pero el acceso es mucho más restringido. En otros países, como los anglosajones y algunos de la UE, sin embargo, los bancos comparten por igual tanto la información positiva como la negativa.

Tras estudiar en profundidad el modelo estadounidense, se clasifica a los solicitantes de crédito en excelentes, muy buenos, buenos, razonables y subprime (es decir, de alto riesgo).

La diferencia en el tipo de interés de, por ejemplo, una tarjeta de crédito concedida a un cliente excelente o uno subprime puede ser de hasta 10 puntos, algo que solo es posible si las entidades manejan una información completa que permite ajustar el coste del crédito a la prima de riesgo real del potencial cliente, a más riesgo, mayor será el tipo de interés.

Los datos negativos aisladamente considerados ofrecen una imagen limitada de la solvencia del deudor. Por ejemplo, un impago puntual no tiene por qué traducirse en una ausencia de voluntad de devolver el crédito o en la incapacidad de asumir préstamos y, a la inversa, una persona que no está en un fichero de morosos pero que tiene asumidos varios créditos o préstamos personales en distintas entidades, puede ser un insolvente de libro.

En España, el debate en torno a cómo ha de articularse este intercambio de información entre entidades financieras y cómo debe examinarse la solvencia de quien solicita un préstamo, se ha acrecentado con motivo de la tramitación de dos proyectos de ley que pueden modificar la actual regulación: la Ley Orgánica Protección de Datos y la Ley de Crédito Inmobiliario. En la primera de esas normas se halla el principal obstáculo para que puedan compartirse los datos positivos con la misma facilidad que los negativos, ya que otorga un tratamiento distinto a unos y otros. Así, mientras la utilización de los buenos requiere el consentimiento expreso de su titular, los negativos no, por entenderse que existe un interés legítimo superior: el buen funcionamiento del sistema financiero.

La nueva Ley Orgánica de Protección de Datos, que está prevista que se apruebe antes de que acabe el año, suaviza el régimen actual y ya no exige el consentimiento expreso del titular respecto de los datos favorables.