Entradas

Las denuncias internas dentro de la lopd

El nuevo sistema previsto por la ley contribuye al cumplimiento de la normativa.

Según información del diario económico “Cinco Días”, la nueva Ley Orgánica de Protección de Datos (LOPDGDD) que vio la luz el día 5 de diciembre del pasado año 2018, bajo la denominación “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales”, es algo más que una continuación del Reglamento, tiene sus propias novedades.

Una de ellas se refiere a la figura  del Delegado de protección de datos, que, aunque recogido ya en el Reglamento General de Protección de Datos, es preciso que cuente con unas cualidades determinadas para poder desarrollar unas funciones concretas.

Básicamente, se trata de tener experiencia suficiente en la protección de los datos personales. La nueva ley española determina que los colegios profesionales y sus consejos generales deben proceder a designar su delegado de protección de datos e inscribirlo en el registro habilitado a tal efecto en la Agencia Española de Protección de Datos, organismo público responsable de velar por el cumplimiento de esta materia.

Otra de las novedades, en concreto, es el artículo 24 de la nueva LOPD, que trata del sistema de información de denuncias internas.

El sistema de información de denuncias internas ha sido introducido en la nueva LOPD por la propia Agencia Española de Protección de Datos para facilitar la responsabilidad proactiva de las personas jurídicas en el cumplimiento de la normativa de protección de datos.

Con el objetivo de prevenir la comisión de delitos relacionados con esta materia, para exonerar la responsabilidad penal de aquellas entidades que mostrasen suficiente diligencia, ya se trata de uno de los derechos fundamentales reconocidos en la Constitución española para los ciudadanos.

La implantación de este sistema es de carácter voluntario, pero aconsejable, dado que se trata de una medida técnica y organizativa a través de la cual se ponen en conocimiento de la propia organización, las posibles infracciones de la normativa de protección de datos, tanto desde su propio seno, por parte de cualquiera de los miembros que lo integran, como por parte de terceros (el caso de los encargados del tratamiento de los datos personales).

Para favorecer esta colaboración es indispensable que la organización informe previamente a empleados, miembros de la directiva y terceros de la implantación del sistema de información de denuncias internas.

Todo ello garantizando la confidencialidad de la identidad del denunciante, permitiendo realizar la denuncia de forma anónima y restringiendo el acceso, dentro y fuera de la organización, a la información que dicha denuncia aporte.

Este sistema es un mecanismo de ayuda para el delegado de protección de datos en el desarrollo de sus funciones, sobre todo, en la supervisión del cumplimiento de la normativa y de las políticas de privacidad implantadas, en la concienciación dentro de la organización e incluso como un punto relevante en la formación para su personal.

La importancia de llevar el sistema de información de denuncias internas como una de las instrucciones para el encargado en el contrato de tratamiento de datos personales por parte de terceros y por cuenta del responsable.

Con estas medidas, se consigue hacer tanto a los empleados y miembros de la directiva como a terceros fieles aliados, en la lucha contra el uso fraudulento de los datos.

La ley de protección de datos, los medios y el derecho de rectificación

Según informa el diario “El País”, la ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada en el Senado, ha incorporado artículos que podrían afectar a la libertad de expresión.

Dentro de los derechos que conlleva la ley está el derecho de rectificación, que no solo atenderá a la información veraz, sino que también afectará a los contenidos que atenten contra el derecho al honor y la intimidad.

A través del artículo 85, la ley establece que los responsables de redes sociales, plataformas digitales y servicios equivalentes ejecutarán protocolos para garantizar el derecho de rectificación, “en particular en relación con los contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz”.

Lo que implica que los medios de comunicación digitales deberán atender las solicitudes de rectificación contra ellos y además deberán publicar en sus archivos digitales un aviso aclaratorio que ponga de manifiesto que “la noticia original no refleja la situación actual del individuo”.

En la ley de protección de datos se extiende a los comentarios que los usuarios puedan efectuar en las páginas web, de tal manera que los medios son responsables de sus propios contenidos y también de los que generan los usuarios. “Este es un asunto latente en la UE y habilita a los medios a ejercer una rectificación si los usuarios atacan el honor de una persona”.

Aplicar esta medida obligará a los medios a contratar servicios de pre-moderación si quieren evitar una avalancha de peticiones de rectificación.

Para algunos expertos, la ley de española se ha extralimitado al incorporar aspectos que no están contemplados en el reglamento comunitario. La regulación más polémica es la que permite a los partidos políticos crear perfiles de los ciudadanos y etiquetarlos según su ideología.

Para intentar rebajar la tensión, la directora de la Agencia Española de Protección de Datos, Mar España, anunció que este Organismo será “extremadamente vigilante y riguroso”. Según la interpretación de la Agencia, la ley “no permitirá a los partidos realizar perfiles con datos ideológicos, sexuales, religiosos o de otro tipo” a partir del rastro que dejen los ciudadanos en las redes sociales.

El senado aprueba la nueva lopd con artículos muy polémicos

Según informa el diario digital “El Confidencial”, el Senado ha aprobado la nueva LOPD con unos artículos muy polémicos y con un añadido propuesto por el Gobierno que, finalmente, Podemos llevará al Tribunal Constitucional.

La nueva Ley de Protección de Datos Personales y Garantía de los Derechos Digitales, su denominación completa, se acaba de convertir en uno de los proyectos con más consenso de la legislatura.

Pese a que en todo el texto hay aspectos que no gustan a especialistas, tanto ellos como las asociaciones que luchan por la libertad de expresión en la red han centrado su pelea en cuatro artículos que, por un lado, pueden cambiar tu forma de usar internet y por otro, harán que los políticos tengan libertad para espiar todos tus perfiles en la red sin barrera alguna.

Estos puntos son el 85, el 93, el 94 y, por último, el 58 bis (un añadido muy importante para el consenso).

El artículo 58 bis (el que finalmente recurrirá Podemos) es un punto que al principio no estaba contemplado, que modifica nada más y nada menos que la Ley Orgánica del Régimen Electoral General. Para blindar que los partidos políticos puedan hacer algo que ninguna otra empresa o institución puede.

Una vez recabada la información, podrán crear bases de datos ideológicas tomando la información pública y mandar ‘spam’ sin que pase como información comercial. Y para que sea legal solo necesitarán tener unas garantías básicas no especificadas por el momento, para poder hacer todo esto.

El 58 bis es un artículo clave, pero lejos de ser el único peligro, los otros tres puntos pueden tener más recorrido. En el apartado 85 es una forma de legislar el derecho de rectificación que se salta el control judicial y choca con la Ley de Derecho de Rectificación.

La actual Ley de Derecho de Rectificación garantiza el amparo judicial de la libertad de información.

El medio no estará obligado a retirarla, pero deberá colocar a la vista un aviso en rojo que muestre que ese contenido no refleja la situación actual del individuo.

Los artículos 93 y 94, son dos párrafos encargados de legislar sobre el derecho al olvido, estos dos artículos no solo endurecen algo tan delicado como el derecho al olvido, sino que van contra la norma comunitaria que llegó con el RGPD.

La nueva ley separa el derecho al olvido en dos espacios: los motores de búsqueda por un lado, y las redes sociales o servicios equivalentes por otro. Y establece que «toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información».

En relación al artículo 58 bis, y ante el revuelo generado, la Agencia Española de Protección de Datos (AEPD) ha publicado un comunicado en el que niega que la nueva LOPD permita crear bases de datos con perfiles ideológicos y políticos o deje la puerta abierta al envío de propaganda electoral sin consentimiento.

El texto del Proyecto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas. Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos. El Proyecto sólo permite, conforme al Considerando 56 del RGPD, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales.

Pese a estas aclaraciones, y a haber dado su visto bueno a la norma en todas las votaciones anteriores, Podemos, como decimos, ha anunciado que recurrirá la ley y la llevará hasta el Constitucional al considerar que va contra la Carta Magna. Está prohibido el tratamiento de datos personales que revelen las opiniones políticas.

protección en la videovigilancia y derecho a la seguridad

Seguridad y Protección en la Videovigilancia

La captación y/o el tratamiento de imágenes con fines de seguridad y protección en la videovigilancia es una práctica muy extendida en nuestra sociedad. Generalmente persigue garantizar la seguridad de los bienes y las personas, o bien se utiliza en entornos empresariales con la finalidad de verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Ambas finalidades constituyen bienes valiosos dignos de protección jurídica, pero sometidos al cumplimiento de ciertas condiciones. La utilización de medios técnicos para la vigilancia repercute sobre los derechos de las personas lo que obliga a fijar unas garantías de la protección en la videovigilancia.

La videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Ahora bien, cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD).

La aplicación de la Ley Orgánica a estos sistemas plantea cierto grado de dificultad en todos los ámbitos. Por una parte, el responsable debe ser capaz de identificar si el uso que hace de las videocámaras cumple los objetivos de seguridad y protección en la videovigilancia para cumplir lo estipulado por la ley.

En distintas sentencias el Tribunal Constitucional ha establecido que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos, como la definición de los principios y garantías que deben aplicarse.

La Agencia Española para la Protección de Datos, publicó una Guía de Videovigilancia

El concepto de dato personal incluye las imágenes cuando se refieran a personas identificadas o identificables. Por ello, los principios vigentes en materia de protección de datos personales deben aplicarse al uso de cámaras, videocámaras y a cualquier medio técnico análogo, que capte y/o registre imágenes, ya sea con fines de vigilancia u otros en los supuestos en que:

• Exista grabación, captación, transmisión, conservación, o almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real o un tratamiento que resulte de los datos personales relacionados con aquéllas.

Para que se pueda utilizar un sistema de esta naturaleza no basta con que éste reúna los requisitos técnicos que lo permitan funcionar. Debe existir legitimación para la protección en la videovigilancia. Esto ocurrirá cuando:

• Se cuente con el consentimiento del titular de los datos personales (imágenes de guarderías por los padres, o en el desarrollo de investigaciones científicas).

• Una norma con rango de Ley exima del consentimiento, como en los casos previstos por la Ley de Seguridad Privada o en el del artículo 20 del Estatuto de los Trabajadores.

• Si la legislación vigente impone algún requisito adicional éste deberá cumplirse.

Por otra parte, existen casos en los que no procede aplicar la LOPD:

• Así, no se aplica al tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.

• Al tratamiento de imágenes por los medios de comunicación en el ejercicio legítimo de los derechos que les confiere el artículo 20 de la Constitución Española, como en la emisión de un informativo de televisión o la edición de un periódico.

Sin perjuicio de las previsiones específicas de la Ley Orgánica 4/1997, de 4 de agosto por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares públicos, a estos tratamientos se les aplica supletoriamente la LOPD en aspectos como la creación de ficheros mediante disposición de carácter general publicada en un diario oficial.

Por otro lado, el uso de las instalaciones de cámaras y videocámaras debe seguir ciertas reglas que rigen todo el proceso desde su captación, almacenamiento, reproducción hasta su cancelación.

El responsable deberá tener en cuenta los siguientes principios:

• Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.

• Debe informarse sobre la captación y/o grabación de las imágenes.

• Si el sistema de videovigilancia genera un fichero el responsable deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma. Esto ocurrirá siempre que exista algún tipo de grabación. En caso de tratarse de ficheros de titularidad pública deberá procederse primero a su creación mediante disposición de carácter general publicada en el correspondiente diario oficial conforme a lo establecido en el artículo 20 LOPD para posteriormente proceder a su inscripción.

• El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo.

• Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos.

• Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico.

Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron, y en todo caso nunca por un período superior a un mes, conforme señala el artículo 6 de la Instrucción 1/2006, de 8 DE Noviembre, sobre videovigilancia.

Hay sistemas que no registran imágenes y por ello la Instrucción 1/2006 de la AEPD, señala que no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real. Por ejemplo, los circuitos cerrados de televisión controlados mediante visualización en pantalla. Sin embargo, esto no exime del cumplimiento del resto de deberes establecido por la LOPD.

Pero hay más casos y cada caso tiene su tratamiento, para lo que será necesario consultar con un experto de la seguridad y protección en la videovigilancia. Por ejemplo, el acceso a edificios y salas de juego, a entidades financieras,  cámaras con acceso a la vía pública, cámaras conectadas a internet en entornos escolares y menores,  espacios públicos de uso privado como taxis y otros usos relacionados con la seguridad videocámaras de las fuerzas y cuerpos de seguridad.

expareja

Sanción de Protección de Datos a un Autónomo

Sanción de Protección de Datos a un Autónomo. Nos encontramos muchas veces que en el campo de la Protección de Datos las sanciones redactadas en la ley parecen cuanto menos idílicas y que nunca llegan a materializarse. Nada más lejos de la realidad, y en este caso lo vamos a ver en las carnes de un autónomo.

Este caso inició con la modificación (por parte de un agente de seguros) de una póliza a petición de una clienta, cuyo tomador era el exmarido de ésta. Esto, se realizó basándose en la confianza del cliente que le dijo que disponía del consentimiento de su expareja y que le interesaba para beneficiarse de bonificaciones en el seguro.

Esta información no era cierta y el exmarido tuvo una penalización en su seguro fruto de un siniestro de su exmujer, por lo que averiguó la triquiñuela de su exesposa y la denunció a la Agencia Española de Protección de Datos.

La Agencia consideró que la agente de seguros, a pesar de que entendía que había sido engañada, realizó la operación sin cerciorarse si realmente disponía del consentimiento y la sancionó por no disponer del mismo.

Esta cuestión, conllevó una elevada cuantía de la multa, de 6.000 euros, ya que la agente de seguros no cumplía con ninguna de las exigencias de la Ley de Protección de Datos, ya que pensaba que eso era responsabilidad de las compañías de seguros.
La sancionada, además de no tener declarado su fichero de clientes en la Agencia de Protección de Datos, nunca cumplió con el deber de informar a sus clientes cuando le contrataban seguros.

Desde Equal Protección de Datos, siempre recomendamos tener realizada la adaptación de su empresa o negocio a la Ley. Hemos visto en este caso que las sanciones, en muchas ocasiones, pueden llegar por los casos menos esperados, sin embargo, suponiendo un gran coste para nuestro negocio.