Ley de trabajo a distancia y protección de datos

Tras la regulación “de urgencia” de octubre del pasado año 2020 ante la proliferación del teletrabajo, provocado en gran medida por la pandemia que aún sufrimos, se hacía necesaria una normativa más precisa que reforzara la regulación de derechos y obligaciones en este ámbito.

Con ese objetivo ha entrado en vigor la nueva Ley 10/2021, de 9 de julio, de trabajo a distancia que regula esta modalidad de prestación laboral que, más que el hecho de trabajar desde el domicilio, como se podía entender hasta no hace mucho, viene a ampliar el concepto para considerar “teletrabajo” a aquella prestación laboral en remoto, pudiendo estar el trabajador en cualquier lugar, siendo el criterio común no dónde está, sino donde no está a la hora de desarrollar su trabajo: esto es, el trabajador que no está en el centro de trabajo de la empresa.

Recordemos, no obstante, que el teletrabajo ya venía regulado, si bien no desarrollado suficientemente, desde luego, en el Estatuto de los Trabajadores o en el Acuerdo Marco Europeo sobre Teletrabajo de 16 de julio de 2002, que lo definió ya en ese año como “forma de organización y/o de realización del trabajo, con el uso de las tecnologías de la información, en el marco de un contrato o de una relación de trabajo, en la que un trabajo, que hubiera podido ser realizado igualmente en los locales del empleador, se efectúa fuera de estos locales de manera regular”.

No es, por tanto, un concepto nuevo, pero sí se ha incrementado, como decimos, de manera exponencial a consecuencia de la pandemia.

Pero al margen de las cuestiones de índole puramente laboral o del favorecimiento que supone para la conciliación de la vida personal y familiar, es innegable que al amparo de esta situación ya normalizada a día de hoy existen una serie de derechos asociados que entroncan de manera clara con la protección de datos. Así, el derecho a la intimidad, el uso de las herramientas y dispositivos digitales puestos a disposición del trabajador por la empresa, la proliferación de brechas de seguridad y la adecuada respuesta ante las mismas (por parte del trabajador y de la empresa) o el derecho a la desconexión digital están vinculadas directamente con esta normativa del teletrabajo, y las empresas deben ser muy cuidadosas en su cumplimiento.

La normativa que en materia de protección de datos aparece vinculada es extensa, pero fundamentalmente se resume en:

  • Artículo 18 Constitución Española: garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen, además de la inviolabilidad del domicilio y el secreto de las comunicaciones.
  • Artículo 8.4 del Estatuto de los Trabajadores: regula la aplicación de la normativa de protección de datos en el tratamiento del contenido de los contratos.
  • Artículo 20 bis del Estatuto de los Trabajadores: regula el derecho de los trabajadores a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el ya archiconocido RGPD.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, de gran importancia en este ámbito, pues es pionera al ser la primera norma que recogió expresamente los derechos relacionados con el uso de dispositivos digitales en el ámbito laboral y, muy en particular, el derecho a la desconexión digital.

En cuanto a RECOMENDACIONES a tener en cuenta en materia de protección de datos, hay que indicar que la empresa, como Responsable del Tratamiento, adquiere una gran responsabilidad en el respeto a la normativa, pero también los trabajadores adquieren ciertas obligaciones, que vendrán contempladas en los acuerdos de trabajo a distancia en función de sus tareas en la empresa.

Entre las recomendaciones a tener en cuenta vamos a destacar las que la propia Agencia Española de Protección de Datos ha difundido:

A) Para las empresas (Responsables del tratamiento)

– Definir una política de protección de la información para situaciones de movilidad, que se recogerá en el acuerdo de trabajo a distancia con el trabajador.

– Optar por proveedores de servicio con garantías suficientes. Para evitar soluciones de teletrabajo que no ofrezcan garantías y puedan dar lugar a la exposición de datos de su personal.

– Restringir el acceso a la información. Se configurarán los perfiles o niveles de acceso a los recursos y a la información según los roles de cada empleado.

– Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad. 

– Monitorizar los accesos realizados a la red corporativa desde el exterior. Se establecerán sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en acceso remoto y movilidad, y se comunicarán a la autoridad de control y/o a los interesados las brechas de seguridad que afecten a datos personales.

 Gestionar racionalmente la protección de datos y la seguridad. Se establecerán las medidas y garantías en las políticas a partir de un análisis de riesgos que evalúe la proporcionalidad entre los beneficios a obtener del trabajo a distancia y el impacto potencial de ver comprometido el acceso a información de carácter personal.

B) Para los trabajadores que prestan sus servicios laborales a distancia

 Respetar la política de protección de la información en movilidad definida por la empresa

– Proteger el dispositivo utilizado en movilidad y el acceso al mismo. Se evitará la conexión en lugares públicos y redes Wifi abiertas no seguras; se protegerán los mecanismos de autentificación mediante certificados, contraseñas, tokens, sistemas de doble factor, etc.

– Garantizar la protección de la información que se está manejando. Se minimizará la entrada y salida de documentación en soporte papel; se destruirá la documentación desechada; no se dejará a la vista ningún soporte de información en el lugar donde desarrolle el teletrabajo; etc.

 Guardar la información en los espacios de red habilitados. Se evitará almacenar la información generada durante la situación de movilidad en el propio dispositivo utilizado, siendo preferible el uso de recursos de almacenamiento compartido o en la nube proporcionados por la empresa.

– Si hay sospecha de que la información ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad. Se notificarán estas anomalías al responsable, sin dilación y a la mayor brevedad posible, a través de los canales definidos al efecto. Recordemos que, según recoge el RGPD, tan sólo hay un plazo de 72 horas para notificar a la Agencia este tipo de brechas de seguridad que comprometan información con datos de carácter personal.

En todo caso, por su especial relevancia prestamos especial atención a dos cuestiones fundamentales, reguladas en particular en la Protección de datos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD):

  • El derecho a la intimidad y a la protección de datos (artículo 17 Ley 10/2021, de 9 de julio, de trabajo a distancia y 87 LOPDGDD): La empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad del trabajador, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
  • La mencionada “desconexión digital” (artículo 18 Ley 10/2021, de 9 de julio, de trabajo a distancia y 88 LOPDGDD) : Se recoge expresamente que el personal en teletrabajo tienen derecho a la desconexión digital fuera de su horario de trabajo. La Ley del Teletrabajo lleva a cabo un desarrollo mayor que la LOPDGDD, ampliando su regulación, estableciendo que es obligación de la empresa, para garantizar esa desconexión digital, la limitación del uso de los medios tecnológicos de comunicación empresarial y de trabajo durante los periodos de descanso, así como el respeto a la duración máxima de la jornada y a cualesquiera límites y precauciones en materia de jornada que dispongan la normativa legal o convencional aplicables.

Asimismo, es necesario elaborar, previa audiencia de la representación de las personas trabajadoras, una política interna dirigida a los trabajadores, incluidas los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Por último, es importante destacar que toda esta nueva regulación que incrementa las obligaciones a tener en cuenta por la empresa no implica que no conserve sus “facultades de organización, dirección y control empresarial en el trabajo a distancia”, lo cual se regula expresamente en los arts. 20 a 22 de la nueva Ley del teletrabajo.

El artículo 20 establece que el personal laboral en modalidad de teletrabajo deberá cumplir las instrucciones que haya establecido la empresa en el marco de la legislación sobre protección de datos, previa participación de la representación legal de los trabajadores.

Igualmente, estos trabajadores deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia.

El art. 21, sobre condiciones e instrucciones de uso y conservación de equipos o útiles informáticos, remite a la negociación colectiva; y el art. 22 cierra este capítulo, ordenando las facultades de control empresarial:

  • La empresa podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluida la utilización de medios telemáticos, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

En definitiva, es necesario analizar e implementar en cada empresa la política en materia de protección de datos, haciéndola compatible y complementando la nueva legislación sobre teletrabajo con pleno respeto al RGPD, LOPDGDD y resto de normativa aplicable.

La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.

AEPD Sanciona a la COPE por no gestionar la instalación de cookies correctamente

La Agencia Española de Protección de Datos ha sancionado a la cadena Cope por no gestionar de manera correcta, tal y como marca la LOPD y el RGPD, la instalación de cookies en los dispositivos utilizados por los visitantes de la web www.cope.es. La sanción asciende a 2000 Euros.

Las sanciones impuestas por una incorrecta gestión del consentimiento de instalación de cookies están aumentando, por experiencia propia podemos afirmar que actualmente las webs que cumplen la normativa son una excepción.

El uso de fórmulas de consentimiento tácito, el no permitir decidir al usuario que cookies pueden ser instaladas en su equipo, la redacción de una política de cookies incompleta e incluso la no existencia de banner de aviso de instalación de cookies es algo con lo que nos encontramos día a día.

Por todo ello de manera gratuita realizamos un análisis del estado del consentimiento de instalación de cookies en tu web https://equalprotecciondedatos.com/cookies-gratis/

El Sello de calidad de Protección de Datos. La ISO 27701

El Reglamento General de Protección de Datos (RGPD) ya preveía, desde el comienzo, la posibilidad de que las empresas, en el marco del principio de responsabilidad proactiva que la norma comunitaria exige, pudiesen acudir a sistemas de certificación que ayudasen a demostrar dicho cumplimiento en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.

Así, el artículo 24.3 establece:

La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por otro lado, el artículo 42.1 indica que:

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.”

Pues bien, derivado de ello y como complemento a las ya conocidas Normas ISO 27001 y 27002 de Seguridad de la Información surgió la ISO 27701 de gestión de la privacidad. Esta norma es una Guía para las organizaciones que quieran cumplir con los requisitos del RGPD y otros sobre privacidad de datos. La ISO 27701, también conocida como Sistema de Gestión de la Información Confidencial (SGIC) proporciona un marco de trabajo para que los controladores y procesadores de la Información Personal Identificable gestionen la información confidencial. Dichos sistemas de gestión de la información confidencial también se denominan “sistemas de gestión de la información personal.”

En comunión necesaria con las mencionadas ISO 27000 y 27001, pues previamente debe contarse con estas, la ISO 27701 da como resultado un SISTEMA DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACION (SGPI), estableciendo los requisitos para implementar, mantener ymejorar continuamente los procesos de privacidad en las empresas.

Se hace referencia en la norma al respeto a los principios del RGPD, el cumplimiento de las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, la evaluación de impacto, la notificación a la autoridad de control de posibles brechas de seguridad o la designación del Delegado de Protección de Datos (DPD) entre otros.

El propósito es ayudar a reducir el riesgo con respecto a los derechos de privacidad de los individuos y las organizaciones al mejorar un sistema de gestión de la seguridad de la información existente.

El hecho de disponer de este sistema de certificación será sin duda, una manera inmejorable de acreditar tanto a clientes como otras partes interesadas que la empresa ha implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad, actuando como garantía de dicho cumplimiento.

Desde el punto de vista del régimen sancionador en materia de privacidad, recogido en el RGPD y en las legislaciones nacionales, la obtención de este “sello de protección de datos” puede suponer una prueba al menos indiciaria de ese mencionado cumplimiento de la responsabilidad proactiva exigida, lo que sin duda ayudará en la defensa de los intereses de la empresa en caso de alguna actuación inspectora o denuncia.

Pero no solo debemos tenerlo en cuenta desde el punto de vista meramente de la acreditación del cumplimiento normativo de cara a las Autoridades de Control, sino que, quizá lo más importante, supone un valor añadido y un argumento de valor competitivo en un contexto como el actual de mercado digital, en el que si no existe una confianza mínima en el interesado sin duda no llevará a cabo operaciones que ahora mismo resultan imprescindibles para la supervivencia de las empresas. Se trata, por tanto, de un auténtico salto cualitativo para las empresas, que generará confianza y aumentará el “valor de marca” de la empresa que disponga de estos mecanismos de certificación.

Brecha de seguridad, Hackeo sufrido por Glovo

El pasado mes tuvimos conocimiento de un nuevo ciberataque, en esta ocasión a la empresa de reparto a domicilio Glovo, después de los sonadísimos al SEPE, Mapfre, Adeslas,  y un largo etcétera de empresas, grandes y pequeñas, que han sufrido los efectos devastadores, por diferentes motivos, de este tipo de incidentes de seguridad.

En concreto ya sabíamos que un grupo de hackers habían logrado acceder a las bases de datos completas de Glovo, lo que supone una brecha de seguridad grave, pero que ahora se ha acrecentado al poner a la venta en internet dichas bases de datos.

En concreto, según los hackers, los datos disponibles de los usuarios de la aplicación eran:

  • Nombre completo
  • Cumpleaños
  • Correo electrónico
  • Contraseña cifrada con SHA256
  • Número de teléfono
  • Dirección física
  • Código postal
  • Tarjeta de crédito, fecha de caducidad y CVC
  • DNI
  • IBAN de la cuenta bancaria

Pero el problema no termina ahí, pues también quedaron expuestos los siguientes datos de los repartidores:

  • Nombre completo
  • Email
  • Contraseña cifrada con SHA256
  • Método de transporte
  • Código postal
  • Dirección física
  • IBAN de la cuenta bancaria
  • DNI
  • Fecha de nacimiento
  • Foto del documento de identidad

Se trata, como decimos, de una brecha de seguridad grave de confidencialidad, con un claro riesgo, dado el tipo de datos que contenía, para los propios interesados afectados. De hecho, desde distintos medios se ha recomendado a los usuarios de la empresa de reparto a domicilio que cambien la contraseña e incluso cancelen la tarjeta de crédito, para evitar problemas mayores.

Como ya sabemos, cuando ocurre un incidente de este tipo el artículo 33 del RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.”

Asimismo, el artículo 34 del propio RGPD obliga también a notificar la brecha de seguridad a los interesados cuando “entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Parece que Glovo notificó a la Agencia la brecha de seguridad, pero omitiendo que entre la información comprometida se encontraban, por ejemplo, los datos de las tarjetas de crédito. Por tanto, la comunicación a la Autoridad de Control adolecía de al menos un error grave, al margen de que también, precisamente por esta circunstancia, habría que haber notificado a todos los interesados lo que había sucedido a los efectos de que cada usuario hubiera podido adoptar las medidas que entendiera necesarias a fin de evitar problemas.

El apartado 3 del mencionado artículo 33 del RGPD indica que solo no será necesaria esta comunicación si

  • a)El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
  •  b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1
  • c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados

Ninguna de estas circunstancias parece que se hayan producido en el presente caso, por lo que no existe excepción en la comunicación a los interesados, debiendo ahora permanecer atentos para ver las posibles consecuencias que en forma de sanción o de posibles reclamaciones de interesados pueda tener que afrontar la empresa de reparto a domicilio.  

Tercer Aniversario de la Entrada en Vigor del Nuevo RGPD

Se cumplen 3 años desde que comenzó a ser exigible la aplicación obligatoria del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, o más conocido como RGPD)

El Reglamento General de Protección de Datos es la principal norma europea en materia de privacidad. Es de aplicación directa para todos los países miembros de la Unión y su objetivo es regular el tratamiento que se da a los datos de carácter personal, tanto desde el punto de vista de los derechos de las personas físicas, como de las obligaciones de las personas y entidades.

 A partir del 25 de mayo de 2018, comenzó la aplicación obligatoria del Reglamento, y se instauró así un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente en nuestro país está complementado con la entrada en vigor el 7 de diciembre de 2018 de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Todos podemos recordar el ajetreo inicial, te dedicases a esto o no, nuestra bandeja de entrada del correo electrónico estaba atestada de emails pidiendo la aceptación de las políticas de privacidad o nuestro consentimiento para el tratamiento de datos personales. Comenzaba así un trabajo de adaptación que aún no ha terminado, de aplicación de la nueva normativa en materia de protección de datos que cambiaba por completo el enfoque de lo que es la privacidad. Un proceso que no termina nunca, que trata de reevaluar y de incorporar procesos de mejora continua.

El cambio más radical que trajo consigo el Reglamento es la instauración del principio de responsabilidad proactiva, que supone que siempre va a haber que anticiparse a que los datos estén bien tratados sin esperar a que nadie nos lo exija.

Así empezamos a escuchar un término que los profesionales de la materia tenemos ya muy interiorizado: “Accountability”, que nos decía que no se trata solo de hacer lo justo para cumplir. Anteriormente bastaba con aplicar un protocolo de protección de datos, sin embargo hoy en día las obligaciones son más fuertes porque este principio implica que hay que llevar a cabo acciones constantemente y de forma periódica para mantener la protección de los datos en orden y al día.

A raíz de este cambio, las leyes ya no te indican las medidas de seguridad que deben tomar las empresas, sino que los responsables se encuentran obligados a aplicar medidas organizativas y técnicas que sean apropiadas para, no solo garantizar, si no también poder demostrar, que el tratamiento de los datos se realiza conforme a la normativa.

La llegada del Reglamento nos anunciaba una nueva forma de organizar y tratar la protección de datos, un cambio en el enfoque de la privacidad basado en los riesgos particulares de cada empresa y un enfoque que apunta la total transparencia en el uso de datos, lo que hace que las empresas comiencen a ver una oportunidad de mejorar su imagen y reputación frente a terceros, gracias a la percepción de seguridad y privacidad. En este sentido, la aún novedosa certificación ISO 27701, que se configura como el nuevo estándar en materia de seguridad y privacidad, a modo de “sello” de protección de datos, es un paso más y una excelente forma de demostrar a los clientes, proveedores y, en general, todas las partes interesadas internas y externas que se han implantado sistemas de gestión efectivos para lograr el cumplimiento con el RGPD y otras legislaciones sobre privacidad.

La novedosa figura del Delegado de Proteccion de Datos (DPO), que trataremos a fondo en otros artículos, obligatoria para determinadas empresas y voluntaria para todas, ahonda aún más en ese factor diferenciador para ir un paso más allá en el cumplimiento, garantizando un sistema interno de protocolos y supervisión que permite mejorar el cumplimiento, al margen de ser el canal a través del cual poder atender denuncias o reclamaciones.

La aplicación por parte de las empresas ha sido progresiva, aunque sí se ha advertido un aumento importante de la preocupación durante el último año con la llegada de las primeras sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Tras unos meses de adaptación, la Agencia ha endurecido su metodología y ya lleva abiertos más de 700 procesos sancionadores, de los cuales un porcentaje bastante alto concluye con la imposición de una multa (cuya cuantía puede llegar a los 20.000.000 €). Muy sonadas han sido las últimas multas millonarias, basadas en el incumplimiento de preceptos del Reglamento, como los 8 millones de euros a Vodafone, o los 6 millones a CaixaBank, que han aumentado considerablemente en el último año. La Agencia indicaba en su memoria del 2020 que los sectores más sancionados son las entidades financieras/acreedoras y las telecomunicaciones, que aglutinan el 76% del importe global de sanciones.

Pero también importantes sanciones de menor cuantía a otras empresas, pymes y autónomos, han tenido repercusión. Así, por ejemplo, la multa a un despacho de abogados por enviar un email sin copia oculta (10.000€), la sanción de 25.000 a Glovo por no tener designado Delegado de Protección de Datos (DPO) o a una empresa de seguridad privada por el mismo motivo han llamado mucho la atención entre el sector empresarial y han puesto sobre aviso sobre el posible impacto que una inadecuada adaptación de la normativa puede tener. En la actualidad ya podemos decir que la protección de datos es tendencia y que poco a poco se le está dando la prioridad que debería tener, también debido a la situación actual con la crisis del Covid 19, que ha dado lugar a mucho debate sobre la privacidad debido al teletrabajo, apps que tratan datos de salud, posibilidad o no de dar datos de las personas contagiadas y muchos otros ejemplos que, como estos, han hecho que la población esté mucho más concienciada que hace un año.

María Galera Meléndez, Redacción Equal.

La AEPD publica una guía sobre protección de datos y relaciones laborales

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.

La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.

María Galera Meléndez, Redacción Equal.

Nuevos términos y condiciones de uso de Whatsapp. ¿Me va a afectar?

Este sábado 15 de mayo vence el plazo para que los usuarios de la aplicación de mensajería instantánea WhatsApp acepten sus nuevos términos y condiciones de uso.

A principios de este año, WhatsApp anunciaba la modificación de sus términos y condiciones, lo que supuso una avalancha de críticas contra la compañía debido a que lo más notable de este cambio es que al aceptar los nuevos términos, los usuarios están aceptando que la aplicación comparta sus datos e información como con la empresa a la que pertenece desde 2014, Facebook, para que esta pueda comercializar con ellos.

A raíz de la polémica, WhatsApp decidió retrasar al 15 de mayo, el plazo para su puesta en marcha (inicialmente se programó para el 8 de febrero).

  • ¿Qué conlleva realmente la aprobación de los nuevos términos y condiciones de uso? ¿Me va a afectar?

El mayor temor de los usuarios de la aplicación reside en pensar que al aceptar la actualización estamos dando consentimiento a WhatsApp a que utilice documentos, vídeos, imágenes y mensajes que hayamos enviado y que los trate a su antojo.

En primer lugar, es importante conocer que WhatsApp tiene el llamado cifrado de extremo a extremo (o de punta a punta), esto significa que sólo el emisor y el receptor pueden leer los mensajes, porque estos se encuentran totalmente cifrados, de manera que ni siquiera WhatsApp puede descifrarlos.

El principal cambio que se introduce es que WhatsApp va a empezar a compartir datos de los usuarios con las empresas del grupo Facebook, tales como el número de teléfono, dirección IP, actividad del usuario en la aplicación (interacción, frecuencia…) o la información de los dispositivos y su conexión. Con esta cesión de datos entre sus empresas, lo que busca Facebook es obtener perfiles más completos de todos sus usuarios, unificando la información que dan en los perfiles de todas sus aplicaciones, y así conseguir asignar a cada usuario una publicidad mucho más efectiva.

Además, se instalarán cookies «para operar y proporcionar los servicios, además de proporcionar servicios basados en Internet, mejorar las experiencias, entender cómo se usan los servicios y personalizarlos» como indican en un comunicado oficial.

Aunque estas modificaciones pueden crear alarma en materia de privacidad, tenemos una buena noticia para los usuarios que residimos en un país miembro de la Unión Europea: Aunque debemos aceptarlos si queremos continuar con el uso del servicio, los nuevos términos en materia de cesión de datos personales no se van a materializar en nuestra aplicación, ya que el Reglamento General de Protección de Datos (RGPD) impide que Facebook comparta los datos de WhatsApp con sus otras empresas para interés propio. Esto quiere decir que gracias a esta prohibición por parte de las autoridades europeas de la materia, estos cambios no van a afectar a los usuarios que vivan en España o cualquier país de la Unión Europea

  • ¿Qué pasa si no quiero aceptar esta actualización?

Uno de los puntos que ha creado más controversia sobre la actualización de WhatsApp es su obligatoriedad. Si eres uno de los más de dos mil millones de usuarios de WhatsApp, probablemente ya hayas recibido la comunicación en cuestión dentro de la aplicación. Si no aceptas la actualización de los términos, WhatsApp te seguirá mandando avisos, cada vez más insistentes (en el momento que aceptes dejarán de aparecerte esos mensajes). Tras varias semanas y si el usuario continúa sin aceptar, la aplicación pasará a permitir únicamente un uso restringido de la misma, ya no podrás acceder a tu listado de chats, aunque aún podrás recibir llamadas y videollamadas, al igual que notificaciones de tus mensajes. Si la negativa a aceptar los nuevos términos es persistente, WhatsApp dejará de permitirte acceso alguno a la aplicación y, si un usuario no utiliza la plataforma durante más de 120 días, su cuenta será eliminada permanentemente.

María Galera Meléndez, Redacción Equal.

Nueva multa millonaria por parte de la AEPD

La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados ​​al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

María Galera Meléndez, Redacción Equal.

La AEPD sanciona con 3.000€ a una asesoría que envía por email documentación de un cliente por error

Las denuncias de clientes son la causa de la mayor parte de las sanciones que reciben los autónomos por parte de la Agencia Española de Protección de Datos (AEPD).

En este caso, nos encontramos con un procedimiento sancionador de la AEPD (PS 483/2020), que comienza con la reclamación de uno de los clientes de una asesoría fiscal, laboral y contable de Barcelona, el cual solicitó documentación necesaria para unos trámites ante Hacienda a dicha entidad, y ésta, vía correo electrónico le remitió un documento en el que aparecen datos personales de un tercero, también cliente de la misma asesoría.

Una vez recibida la reclamación, la Subdirección General de Inspección de Datos, requirió una serie de documentos a la asesoría para remitírselos a la Agencia, tales como informes sobre las causas motivadoras de la incidencia y las medidas de seguridad tomadas. Tras no recibir respuesta por parte de la asesoría, la directora de la AEPD admitió a trámite la reclamación e inició el procedimiento sancionador.

El objeto del procedimiento es la divulgación de los datos personales del tercero, vulnerando de esa manera el deber de confidencialidad recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), cuyo objeto es evitar que se difundan datos sin consentimiento de su titular, deber también recogido en el artículo 5.1.f) del Reglamento General De Protección de Datos (RGPD), donde podemos encontrar entre los principios básicos relativos al tratamiento de los datos, el de integridad y confidencialidad, que recoge que los datos personales serán “ tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.”

Ese deber de confidencialidad, declara la Agencia, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La infracción de los principios básicos para el tratamiento de los datos, recogidos en el artículo 5 del RGPD que ha llevado a cabo esta gestoría con su equivocación, está tipificada en la LOPDGDD como infracción muy grave (art. 72) y el RGPD en su artículo 83.5 a) la considera sancionable con multas administrativas de 20.000.000€ como máximo o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como consecuencia, la Agencia impone a esta asesoría catalana una multa de 2.000€.

Por otra parte, la asesoría incurre en otra infracción al vulnerar el artículo 32 del Reglamento, que expone que los responsables del tratamiento deben aplicar “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y pone algunos ejemplos como la seudonimización y el cifrado de datos personales. En este caso la AEPD entiende que ha fallado la seguridad del tratamiento al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas de seguridad.

El incumplimiento de las obligaciones del responsable y del encargado recogidas en el artículo 32 del Reglamento es considerada infracción grave por la LOPDGDD en su artículo 73 y sancionable con multas administrativas de 10.000.000 € como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4. a) del citado RGPD. Por ello, la Agencia le impone a esta entidad una multa de 1.000€.

En total una multa de 3.000€ que podría haber sido evitada con la debida diligencia. A diario nos encontramos con resoluciones similares por parte de la AEPD que nos indican que no hay que relajarse en el cumplimiento de la normativa de protección de datos (y menos como empresa responsable del tratamiento de los datos personales de los clientes), ya que es una materia que está adquiriendo más importancia cada día y sobre la que la población está cada vez más concienciada.

María Galera Meléndez, Redacción Equal.

Aprobado el proyecto de ley que regulará la protección de datos en causas penales

El proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales ha sido remitido al Senado por parte del Congreso para su tramitación.

La Ley Orgánica de protección de datos en causas penales ha sido aprobada por el Congreso de los Diputados este jueves con un amplio consenso, y ha contado con los informes preceptivos de los ministerios de Justicia, Hacienda, Asuntos Económicos y Transformación Digital, Política Territorial y Función Pública, Defensa, Inclusión, Seguridad Social y Migraciones, Asuntos Sociales y Agenda 2030 y Trabajo y Economía Social, así como los remitidos por el Consejo General del Poder Judicial, el Consejo Fiscal, la Agencia Española de Protección de Datos, la Agencia Vasca de Protección de Datos, la Autoridad Catalana de Protección de Datos, los departamentos de Seguridad Pública del Gobierno Vasco y de Interior de la Generalidad de Cataluña, las direcciones generales de la Policía y de la Guardia Civil, y la Secretaría General de Instituciones Penitenciarias.

Hablamos de la transposición de una Directiva europea (2016/680, de 27 de abril de 2016), cuyo plazo para ello finalizó el 6 de mayo de 2018. Este retraso derivó en la imposición de sanción por parte del Tribunal de Justicia de la Unión Europea, que condenó a España a pagar una suma de 15 millones de euros y una multa coercitiva diaria de 89.548,20 euros, desde el pasado 25 de febrero.

El proyecto se tramitará por procedimiento de urgencia y consta de dos disposiciones adicionales, once disposiciones finales y 61 artículos distribuidos en 8 capítulos:

  1. Disposiciones generales;
  2. Principios, licitud del tratamiento y videovigilancia;
  3. Derechos de las personas,;
  4. Responsable y encargado de tratamiento;
  5. Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales;
  6. Autoridades de Protección de Datos Independientes;
  7. Reclamaciones;
  8. Régimen sancionador.

Como se indica en su artículo primero, el propósito principal del texto  es “establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública».

Define como autoridad competente  para el tratamiento de datos de carácter personal a “toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública; o cualquier otro órgano o entidad a quien en nuestro ordenamiento jurídico haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;” y realiza una enumeración especifica que incluye figuras como Las Fuerzas y Cuerpos de Seguridad, las Administraciones Penitenciarias, La Comisión de Vigilancia de Actividades de Financiación del Terrorismo o el Ministerio Fiscal

En el régimen sancionador del proyecto, se prevén sanciones que oscilarán entre  6.000 y 1.000.000 de euros dependiendo del grado de  la infracción cometida:

a) Las infracciones muy graves, como por ejemplo,  la omisión del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, con multa de 360.001 a 1.000.000 euros.

b) Las infracciones graves, por ejemplo, el incumplimiento de los plazos de conservación y revisión de los datos, con multa de 60.001 a 360.000 euros.

c) Las leves, por ejemplo, el incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible legalmente, con multa de 6.000 a 60.000 euros

Con este proyecto, el Gobierno da un paso más hacia el cumplimiento total del “paquete de protección de datos” impulsado por la Comisión Europea con el objetivo de garantizar el pleno respeto al derecho a la intimidad y la protección de las personas físicas respecto al tratamiento de sus datos personales y su libre circulación

María Galera Meléndez, Redacción Equal.

EL “PASAPORTE VERDE EUROPEO” YA ES UNA REALIDAD

Desde el inicio de la pandemia hemos escuchado hablar de la posible creación de un “pasaporte de vacunación” que daría la posibilidad de viajar a las personas ya vacunadas contra la COVID-19, y finalmente, el Parlamento ha aprobado la propuesta que la Comisión Europea presentó en Marzo:

El Certificado Verde Digital (“Digital Green Pass”).

A raíz de las restricciones a la libre circulación transfronteriza, y ante su persistencia en el tiempo por razones de salud pública, la Unión Europea (UE) se encuentra con la necesidad de expedir certificados interoperables, seguros y verificables que permitan la movilidad de los ciudadanos entre los Estados miembro. Así, la Comisión Europea ha puesto en marcha la elaboración de este certificado digital, con el fin de que pueda comenzar a utilizarse este verano de 2021. Un sistema unificado válido para todos los países de la Unión.

La base jurídica de este proyecto se encuentra en el artículo 21 del Tratado de Funcionamiento de la Unión Europea (TFUE): El derecho de todo ciudadano de la Unión a la libre circulación en territorio de los Estados miembro. Esto conlleva gran importancia ya que implica que el único uso que se puede hacer de estos certificados sea la libre circulación transfronteriza y nunca otras finalidades (se admite que los Estados regulen otros usos si se procuran una base jurídica legitimadora diferente para los posibles usos posteriores)

La principal característica de este “pase verde” y la que da solución a una de las grandes preocupaciones de los ciudadanos, consiste en que no es un pasaporte de vacunación. Esta iniciativa consiste en una propuesta de expedición decertificados sobre vacunación, pruebas y recuperación, es decir, hay tres posibilidades: has sido vacunado, tienes una prueba PCR negativa reciente o has pasado la enfermedad y una prueba te ha acreditado que tienes anticuerpos. Esta propuesta minimiza el riesgo de discriminación ya que, como actualmente el número de vacunados en los estados miembro de la Unión Europea es muy limitado, si sólo hubiese sido un certificado de vacunación se generaría una situación de desigualdad para ejercer el derecho de libre circulación entre vacunados y no vacunados.

Podremos solicitar esta certificación en formato digital o papel con un código QR interoperable que permitan verificar su autenticidad. Será gratuito y accesible para todos los ciudadanos de la UE y a sus familiares, nacionales de terceros países que residan en la UE y visitantes que tengan derecho a viajar a otros Estados miembro. Se emitirá en inglés, e incluirá:

  • Certificado de vacunación:

Datos identificativos del titular

Datos del medicamento vacunal administrado

Metadatos del certificado (emisor del mismo o identificador único)

Identificación de si se ha completado o no la vacunación

  • Certificado de pruebas:

Datos identificativos del titular

Identificador de la prueba realizada

Metadatos del certificado (emisor del mismo o identificador único)

  • Certificado de recuperación:

Datos identificativos del titular

Información sobre la infección anterior por COVID-19

Metadatos del certificado (emisor del mismo o identificador único)

Expedición previa solicitud a partir d 11 días después de prueba positiva de infección por COVID-19

Desde el punto de vista de la protección de datos, los datos referentes a la salud son reconocidos como datos sensibles por la normativa de protección de datos vigente en la Unión Europea. Para salvaguardar la privacidad, la Comisión:

  • Ofrece un sistema de certificados digitales descentralizados
  • Plantea como finalidad del tratamiento verificar la información para facilitar el derecho a la libre circulación
  • Propone que el certificado contenga el mínimo esencial de información
  • Delimita como únicas entidades que pueden tratar los datos personales a las Autoridades competentes del Estado miembro de destino y los Operadores transfronterizos de servicios de transporte de viajeros (aerolíneas y navieras)
  • Respecto a la conservación de los datos expone que se limitará al tiempo necesario para cumplir con su finalidad, en todo caso, deberá suspenderse cuando la OMS declare el final de la pandemia

Con la aprobación del Parlamento, el Certificado Verde Digital ya es una realidad, y sólo queda confiar en que esté listo para su puesta en marcha de cara a las próximas vacaciones de verano.

María Galera Meléndez, Redacción Equal.