Google y Facebook sancionadas por no facilitar la gestión del permiso de instalación de Cookies

La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

Multas anteriores

Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

La situación en España

La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

Hospital sufre ataque de Ransomware – Brecha de Seguridad

Desafortunadamente nos estamos acostumbrando a que los ataques de ransomware, secuestro de datos, sean noticia. En el caso que nos atañe, El Hospital Universitario Central de Asturias ha sufrido un ciberataque que ha comprometido su funcionamiento.

Desde el comienzo de la pandemia de Covid-19, diversos hospitales, no solo en España, han sufrido ataques de ransomware. Los atacantes se hacen con el control de información sensible y necesaria para el funcionamiento normal de la empresa o institución atacada, encriptando dicha información, lo que la hace inaccesible, pudiendo paralizar completamente el funcionamiento de cualquier empresa, incluso, en los casos más graves, suponiendo una severa amenaza para la seguridad nacional.

Todo secuestro suele ir acompañado de su correspondiente petición de rescate, si la victima quiere acceder nuevamente a los datos secuestrados ha de pagar una elevada suma de dinero.

El Sistema de Gestión de PCR se ha visto comprometido

Los hackers han atacado al sistema informático Millennium del Hospital Universitario Central de Asturias, quedando comprometido el sistema de seguimiento de la pandemia de coronavirus, donde se almacenan tanto resultados como peticiones de pruebas PCR. Afortunadamente el ataque ha sido neutralizado y se ha conseguido solucionar a tiempo, sin embargo, como medida de protección, algunos sistemas siguen parados.

Los cibercriminales han intentado hacer el máximo daño posible, sin embargo no se ha pedido rescate, ni ha habido robo de datos según ha indicado el responsable de seguridad.

El ataque ha supuesto que las sesiones de radioterapia de no menos de 200 pacientes hayan tenido que ser suspendidas temporalmente.

¿Por qué hospitales?

Los ataques a hospitales y otros centros de salud que custodian datos sensibles, como son los sanitarios, están dirigidos a conseguir dichos datos, ya sea para que los propios secuestradores cometan todo tipo de ciberdelitos, o de cara a vender dichos datos a otros criminales.

Recordamos que, tal y como marca el artículo 33 de Reglamento General de Protección de Datos, cualquier ataque de este tipo supone una brecha de seguridad que ha de ser comunicada a la Agencia Española de Protección de datos en las siguientes 72 horas, adicionalmente, el responsable del tratamiento de datos deberá llevar a cabo una valoración del nivel de riesgo que supone la brecha de datos personales, estando obligado según el artículo 34 del RGPD, cuando dicho riesgo sea considerado alto, a comunicar la brecha a las personas afectadas.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Protección de Datos para administración de fincas (I)

Desde el 25 de mayo de 2018 se aplica el Reglamento General de Protección de Datos (RGPD), lo que supone la introducción de importantes cambios en la normativa aplicable en España. Parte de estos cambios afectan de manera directa al administrador de fincas, como, por ejemplo, el no ser necesario notificar los ficheros a los registros públicos de protección de datos.

Los administradores de fincas gestionan diversos asuntos en relación a las comunidades de propietarios a las que asesoran, desempeñando habitualmente el papel de encargados del tratamiento de los datos personales de los propietarios. Por otro lado las propias funciones de consultoría y asesoramiento que los administradores prestan a las comunidades de propietarios suelen incluir asuntos relacionados con la propia protección de datos. Teniendo el administrador de fincas un doble papel como gestor de los tratamientos que llevan a cabo en el marco de los servicios prestados a las comunidades y como asesores en materia de la protección de datos.

Legitimación para los tratamientos de datos

Los administradores de fincas al actuar por cuenta de las comunidades de propietarios realizan varios tratamientos de datos, estando legitimados, según la normativa de protección de datos, para tratar los datos de los copropietarios de los que sea preciso disponer para poder llevar a cabo sus funciones, actuando como encargados del tratamiento.

Identificación de Tratamientos de Datos

Los tratamientos de datos más habituales de las comunidades de propietarios son realizados de cara a gestionar las mismas, siendo el tratamiento más usual el que incluye información de datos personales de las personas físicas que componen la comunidad. Dentro de este tratamiento se suelen incluir  nombre de los propietarios, teléfonos de contacto, direcciones postales, números de DNI y direcciones de correo electrónico. A dicho tratamiento se suele referirse como “gestión de la comunidad de propietarios”, sirviéndose la comunidad de el mismo a la hora de llevar su gestión contable, fiscal y administrativa.

Otro tratamiento habitual, que tiene lugar cuando la comunidad dispone de cámaras de videovigilancia, es el relacionado con tratamientos de imágenes de personas físicas identificadas o identificables. En este caso, existiría un tratamiento que se puede denominar “videovigilancia” o de “cámaras de seguridad”, siendo la finalidad principal la seguridad y control de accesos y/o vigilancia de las instalaciones y elementos comunes del inmueble.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Día Internacional de la Ciberseguridad. El Binomio con Protección de datos.

Con motivo del día Internacional de la Ciberseguridad, el pasado 30 de noviembre, no viene mal recordar, de nuevo, la importancia que la seguridad de la información tiene.

Como hemos venido repitiendo en diferentes artículos, hoy en día, en un mundo cada vez más digitalizado, protección de datos y ciberseguridad forman parte de un mismo ámbito dentro del cumplimiento normativo de las empresas. La primera no se puede entender sin la segunda, pues podemos contar con todos los protocolos necesarios en cumplimiento del RGPD y la LOPDGDD, pero si no tomamos medidas encaminadas a proteger nuestra información automatizada posiblemente de nada servirán nuestros esfuerzos.

Directiva europea de ciberseguridad

Lo anterior se refuerza si tenemos en cuenta que está en camino la conocida como NIS2, o nueva Directiva Europea de Ciberseguridad, aún en fase de borrador, y que vendrá a sustituir, cuando se apruebe, a la Directiva NIS, adaptada en España mediante el Real Decreto 12/2018, desarrollado por el real Decreto-Ley 43/2021.

La nueva Directiva pretende ampliar los sujetos obligados, reforzar las medidas de control de los servicios de computación en nube,  homogeneizar la normativa en el ámbito de los Estados europeos, e implementar un proceso sancionador más restrictivo y exigente. 

Dentro de esta exigencia se contempla en la NIS2 que la ciberseguridad sea reconocida de forma expresa como una responsabilidad en la empresa al más alto nivel, involucrando a los altos directivos

No es extraño que se pretenda elevar el nivel de exigencia en ciberseguridad. Sabemos los datos que nos ha dejado la pandemia en este campo, duplicando, por ejemplo, los ciberdelitos y triplicando los ataques mediante ramsomware. Sin embargo, no parece que en las empresas esto haya supuesto un incremento de las medidas de seguridad en la misma proporción, lo cual es preocupante, no solo en aras a evitar sanciones, sino para no poner en juego la propia continuidad del negocio.

La cultura de la ciberseguridad en las empresas

Al igual que ocurre con el RGPD y la LOPDGDD, es fundamental, más allá del mero cumplimiento formal o “estético”, introducir en las empresas una verdadera cultura de la ciberseguridad, que permita, no solo adoptar medidas técnicas, sino concienciar al personal que tenga acceso a la información del importante papel que juegan en la prevención de posibles ataques informáticos.

A la espera de la NIS2, y con los medios y conocimiento de los que ya disponemos, uno de los puntos clave a la hora de implementar esta cultura de ciberseguridad que perdure en el tiempo sería el de “formación, formación, formación y después…más formación”. Fundamental en todos los campos, y especialmente importante en el de la seguridad informática. Los trabajadores deben tener conciencia de los riesgos y ser capaces de identificar cuándo se encuentran ante uno de ellos (páginas poco seguras, correos con virus malicioso, etc…), proporcionándoles por parte de la empresa los medios y herramientas adecuadas para obtener una capacitación y conocimientos mínimos en conceptos relacionados con la ciberseguridad.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD apercibe a entidad por no tener adecuadas la política de privacidad y de cookies de su web

En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

“Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

«Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
trasfiere de forma segura (encriptada) (…)”.

Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

«Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

La Agencia Comprueba e inicia Procedimiento Sancionador

Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

  • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

  • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

  • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

La Consejería es Apercibida

Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

  • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
    web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
  • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

El Supremo multa a empresa por no respetar el derecho de oposición de un cliente inscrito en la lista Robinson

El supremo ha ratificado la sanción de 40.000 Euros impuesta por la AEPD a Mutua Madrileña por enviar anuncios a un cliente que había rechazado el uso de sus datos para fines comerciales, cliente que se encontraba incluido en la lista Robinson.

La sala tercera de lo contencioso administrativo estima que una empresa es siempre responsable última de su publicidad, incluso en el supuesto de tener subcontratado el servicio de publicación de campañas publicitarias.

El caso en cuestión tiene su origen en la reclamación de un cliente de la aseguradora que tenía contratadas diversas pólizas, habiéndose inscrito en la lista Robinson de cara a no seguir recibiendo publicidad de la empresa. La inclusión en este servicio le blindaba frente comunicaciones publicitarias, así como frente a la participación en estudios de mercado.

Dicho cliente había ejercido el derecho de oposición al tratamiento de sus datos personales ante la aseguradora, habiendo enviado diversas comunicaciones en las que indicaba que únicamente autorizaba el tratamiento de sus datos personales para aquellos fines imprescindibles para el desarrollo de la relación contractual.

Pese a ello, el reclamante siguió recibiendo comunicaciones publicitarias por parte de la aseguradora, al no haber esta comunicado a la empresa encargada de la gestión publicitaria la oposición por parte del cliente al tratamiento de sus datos personales con fines publicitarios.

Por todo ello, sentando jurisprudencia, el Supremo ratifica la sanción impuesta por la AEPD, ya que el responsable último, pese a existir una subcontratación del servicio publicitario, es la empresa aseguradora, estando obligada a adoptar toda medida que garantice la efectividad del ejercicio del derecho de oposición por parte del cliente.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Seudonimización y anonimización de datos personales

Seudonimización y anonimización son dos conceptos que de manera habitual generan confusión.

La gran diferencia radica en las garantías que protegen los derechos de los interesados, el Reglamento General de Protección de Datos (RGPD) no se aplica para los datos anonimizados, siendo de aplicación tanto en el caso de datos seudonimizados, como en relación a la información adicional vinculada con dichos datos.

El RGPD entiende como información anónima al conjunto de datos que no guarda relación con una persona identificada o identificable ( Considerando 26 del RGPD), sin embargo, la información seudonimizada permite, mediante el uso de información adicional, que dichos datos se puedan atribuir a un interesado. Dicha información adicional ha de figurar por separado, estando sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable

Siempre que se transformen datos personales en información anónima o seudonimizada se estará llevando a cabo un tratamiento sobre dichos datos personales. El tratamiento de seudonimización dará lugar a dos nuevos conjuntos de datos : la propia información seudonimizada y la información adicional que permite que dichos datos puedan ser atribuidos a un interesado en concreto. Con respecto al proceso de anonimización únicamente se genera un nuevo conjunto de datos.

Como indicamos anteriormente, los datos anonimizados no están bajo el ámbito de aplicación del RGPD ( Considerando 26), pudiendo estar bajo el ámbito de aplicación de normas como seguridad nacional, salud pública,etc. En este caso hay que tener en cuenta que :

  • Los datos anonimizados quedan fuera del ámbito de aplicación del RGPD siempre que se puede demostrar la no existencia de capacidad material para asociar dichos datos a una persona física en concreto,  directa o indirectamente, ya sea mediante el uso de otros conjuntos de datos, informaciones o medidas técnicas y materiales que pudieran existir a disposición de terceros.
  • El tratamiento que generan los datos anonimizados sí es un tratamiento de datos personales, que puede considerarse compatible con el fin original del tratamiento de datos personales del que proceden los datos 

ANONIMIZACIÓN, SEUDONIMIZACIÓN Y SUS GARANTÍAS

Serán considerados como anónimos aquellos datos que no permitan la identificación de una persona física, teniendo en cuenta el tiempo requerido para llevar a cabo la reidentificación, los costes, así como los medios tecnológicos actuales o futuros usados para revertir el proceso. Siendo la garantía fundamental la robustez del proceso de anonimización contra una posible reidentificación. La reversión de la anonimización supone la plena aplicación del RGPD a los sujetos obligados que traten los datos personales.

Los datos seudonimizados, el tratamiento inicial que los genera, así como la información adicional vinculada a los propios datos seudonimizados se encuentran bajo el ámbito de aplicación del Reglamento General de Protección de Datos, estando protegidos por cuatro tipos de garantías :

  1. El tratamiento de seudonimización que ha de evitar que se pueda reidentificar sin disponer de información adicional.
  2. Los principios y garantías del RGPD y las limitaciones que establece en relación a las finalidades, periodo de conservación,etc.
  3. Las garantías adicionales que lleve el tratamiento de los datos en función del riesgo para los derechos y libertades de las personas físicas.
  4. Las garantías técnicas y organizativas dispuestas de cara a impedir que se produzcan brechas de datos personales, ya sea sobre los datos seudonimizados o sobre la información adicional asociada.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Club deportivo sancionado por añadir a un cliente a grupo de Whatsapp sin su consentimiento

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4000 Euros a un Club deportivo, al haber este incluido en un grupo de Whatsapp a un antiguo cliente, sin contar con consentimiento previo u autorización por parte de dicho cliente.

El afectado reclama ante la AEPD indicando que su número de teléfono, siendo este un dato personal, ha sido incluido en un grupo de Whatsapp sin habérsele solicitado consentimiento previo. Para mayor gravedad, el cliente no es usuario o mantiene relación alguna con el centro deportivo desde hace más de 10 años.

Una vez iniciado el procedimiento la Agencia dio traslado de dicha reclamación al reclamado, de cara a que se procediese al análisis de la misma y se informase a la AEPD de las acciones llevadas a cabo para adecuarse a la normativa de Protección de datos, no recibiendo respuesta  por parte del reclamado.

LA AEPD ACTUA ANTE LA VULNERACIÓN DEL RGPD

Por todo ello, la AEPD inició procedimiento sancionador, por la presunta infracción de los arts. 32, 5.1.e) y 6 del RGPD.

El reclamado vulnera el art, 6 del Reglamento General de Protección de Datos al haber tratado datos personales del reclamante sin su previo consentimiento

Por otro lado, y como indicábamos previamente, contraviniendo el art. 5.1 e) del RGPD, el centro deportivo conserva los datos personales del cliente pese a que el reclamante no es su cliente desde hace más de diez años. El RGPD establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados.

Para finalizar, al haber puesto a disposición de terceros el número de teléfono móvil del reclamante, habiéndole incluido en un grupo de Whatsapp, se vulnera su confidencialidad. Considerando la agencia que las medidas de seguridad del reclamado no se adecuan a la Ley, al contravenir los apartados b y d del art. 32 del Reglamento.

4000 EUROS DE SANCIÓN

Si bien la AEPD considera que no hay intencionalidad en la vulneración del RGPD, si valora dicha vulneración como significativa, al conservar el reclamado los datos personales del reclamante pese a no ser cliente desde hace más de diez años.

Por todo ello la AEPD impone al club deportivo las siguientes cuatro sanciones:

  • Por la infracción del art. 6 del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 5.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 e) del RGPD, una multa de 1.000 euros;
  • Por la infracción del art. 32.1 d) del RGPD, una multa de 1.000 euros.


Fin de la Moratoria de la Ley de trabajo a distancia, «Ley del teletrabajo»


Numerosos medios de comunicación se están haciendo eco del fin de la moratoria contemplada en la Ley 10/2021, de 9 de julio, de trabajo a distancia, la llamada “Ley del teletrabajo” para que las empresas se adapten y evitar sanciones desde este momento.

En efecto, la ley, que entró en vigor el día siguiente al de su publicación en el BOE (esto es, el 10 de julio), y a la que ya hicimos referencia en nuestro artículo del mes de julio (https://equalprotecciondedatos.com/ley-de-trabajo-a-distancia-y-proteccion-de-datos/) daba un plazo de tres meses para llevar a cabo dicha adaptación, que finaliza en octubre. Además, en lo que respecta al régimen sancionador entraba en vigor el día 1 de octubre, tal y como establece la Disposición final decimocuarta.

¿ES LO MISMO TELETRABAJO Y TRABAJO A DISTANCIA?

Antes de hacer referencia a lo que la norma obliga a las empresas, y en especial a las referencias a la normativa de protección de datos, conviene detenerse un momento en las definiciones de “trabajo a distancia”, “teletrabajo” y “trabajo presencial”, ya que a menudo los conceptos se confunden

El artículo 2 de la Ley establece al respecto:

a) «Trabajo a distancia»: forma de organización del trabajo o de realización de la actividad laboral conforme a la cual esta se presta en el domicilio de la persona trabajadora o en el lugar elegido por esta, durante toda su jornada o parte de ella, con carácter regular.

b) «Teletrabajo»: aquel trabajo a distancia que se lleva a cabo mediante el uso exclusivo o prevalente de medios y sistemas informáticos, telemáticos y de telecomunicación.

c) «Trabajo presencial»: aquel trabajo que se presta en el centro de trabajo o en el lugar determinado por la empresa.

Es decir, el llamado “teletrabajo” no es, de acuerdo a la ley, si no una forma de trabajo a distancia en la que se emplean, de forma exclusiva o al menos mayoritaria, medios y herramientas informáticas.

Ahora bien, ¿es “trabajo a distancia” el desempeño puntual de las funciones laborales? La ley nos aclara en su artículo 1º que se entenderá por trabajo a distancia aquel  que se preste, en un periodo de referencia de tres meses, un mínimo del treinta por ciento de la jornada, o el porcentaje proporcional equivalente en función de la duración del contrato de trabajo.

Si no se llega a este porcentaje no se podrá considerar trabajo a distancia, como tampoco se aplica por el momento a empresas cuyas plantillas comenzaron a trabajar a distancia como consecuencia de las medidas de contención sanitaria derivadas de la pandemia, a las que les seguirá siendo de aplicación la normativa laboral ordinaria, teniendo en cuenta que si una vez levantadas las restricciones por la misma pretenden continuar en esta modalidad, sí deberán acogerse y adaptarse a la Ley del teletrabajo.

LEY DEL TELETRABAJO Y PROTECCION DE DATOS

Pues bien, dicho lo anterior a efectos de aclarar dudas que aún hoy son motivo de consulta, interesa poner de relieve que, dentro de las obligaciones que la Ley del teletrabajo impone a las empresas, la más importante, y que más quebraderos de cabeza parece estar dando, es la obligación de que la situación laboral de trabajo a distancia o teletrabajo quede plasmada en un acuerdo por escrito que puede ser anexado al contrato laboral de la persona trabajadora. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

Este acuerdo por escrito, que toda empresa debe tener a disposición en un plazo de tres meses desde que nace la obligación (bien aquellas empresas que ya tenían personal en teletrabajo, siempre que este no fuera a causa de la pandemia), o bien quienes comiencen una nueva relación laboral en esas condiciones (algo cada vez más habitual),tiene un contenido mínimo que recoge el artículo 7 de la Ley. 

Cuestiones como la duración, el lugar de trabajo elegido por el empleado o medios de control empresarial son fundamentales y deben aparecer en dicho acuerdo de manera preceptiva. Y que, además, cuestión importante, debe ser negociado individuamente con cada trabajador y posteriormente ser remitido al SEPE.

En lo que respecta a la NORMATIVA DE PROTECCIÓN DE DATOS hay que destacar dos importantes cuestiones:

1.- Facilitar un procedimiento en materia de protección de datos a las personas que vayan a trabajar a distancia y que sea específicamente aplicable a esta modalidad de trabajo. Cuestión importante es que la ley contempla que, si existe representación legal de los trabajadores, debe contarse con su participación en la elaboración de estas instrucciones. Este procedimiento debe constar en el citado acuerdo escrito entre trabajador y empresa.

2.- Establecer y distribuir una política de desconexión digital, que ya la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establecía, pero que en la ley del Teletrabajo cobra más fuerza e importancia.

A los dos puntos anteriores hay que sumarle que también es preceptivo, y debe incluirse en ese acuerdo escrito entre las partes, unas instrucciones dictadas por la empresa sobre seguridad de la información, específicamente aplicables en el trabajo a distancia. En este caso no se exige contar y negociar con la representación legal de los trabajadores, si existe, pero sí se les debe informar previamente a su aprobación.  

¿QUÉ OCURRE CON EL CONTROL HORARIO?

Por último, la Ley del Teletrabajo habla de la necesidad y obligatoriedad de la flexibilidad horaria. Siendo cierto que se indica como obligatoria esta flexibilidad para el trabajador, también lo es que, como todo derecho, este no es absoluto, ya que la empresa puede fijar tiempos de disponibilidad.

Para ello se recomienda el uso de una aplicación que pueda ser utilizada con este fin, no siendo operativo en estas situaciones de trabajo a distancia la firma en una hoja de control, como en numerosas ocasiones se hace en trabajo presencial.


No es necesario que la empresa informe al trabajador sobre el uso que le da a la videovigilancia

Si el trabajador tiene conocimiento de la existencia de cámaras de videovigilancia, con las que pueda estar siendo grabado en el desempeño de sus funciones en el puesto de trabajo, la empresa no está obligada a informar sobre el uso que se da a dicho sistema de videovigilancia, pudiendo ser las imágenes utilizadas en un procedimiento judicial.

El Tribunal Supremo, en sentencia de 21 de Julio de 2021, indica que el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de 2018, establece que en el supuesto de que se haya captado mediante sistema de videovigilancia la comisión flagrante de un acto ilícito por parte de los trabajadores, se entenderá cumplido el deber de informar siempre que el trabajador sea consciente de la existencia de dicho sistema.

El ponente, el magistrado García-Perrote Escartín, indica que la sentencia del Tribunal Constitucional 39/2016, 3 de marzo de 2016, así lo reconoce.

De cara a que al trabajador le conste la existencia de un sistema de videovigilancia, y en cumplimiento de la Ley en materia de protección de datos, la empresa deberá colocar un dispositivo informativo indicando la existencia de un sistema de videovigilancia, en lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos.

Adicionalmente, el magistrado, considera que en determinadas circunstancias, tal y como establece la sentencia del Tribunal Europeo de Derechos Humanos (TEDH ), en la sentencia de su Gran Sala de 17 octubre 2019 (López Ribalda II), no es preciso que la empresa indique al trabajador la existencia y localización de determinadas cámaras, sin que ello conlleve la nulidad como prueba de la grabación.

Cuestión distinta es que, para cumplir con la normativa de protección de datos y en concreto con el deber de informar, sí se deberá facilitar a los trabajadores la finalidad o finalidades concretas de las grabaciones de cara a evitar posibles consecuencias en este ámbito.

Whatsapp sancionada por falta de transparencia

La Comisión de Protección de Datos (CPD) de Irlanda, ha sancionado a Whatsapp con una multa de 225 millones de Euros por falta de transparencia.

Una opacidad mostrada tanto a la hora de informar sobre el tratamiento que da a los datos personales de usuarios y no usuarios, como a la hora de especificar que datos se transfieren entre Whatsapp y otras redes sociales del grupo como Facebook e Instagram.

Esta multa es la segunda de mayor cuantía impuesta por el organismo regulador en aplicación del Reglamento General de Protección de Datos (RGPD) , solo habiendo sido superada por la multa impuesta a Amazon por el CNPD, autoridad de protección de datos de Luxemburgo, por valor de 746 millones de Euros.

Whatsapp no solo ha sido multado, si no que se le ha impuesto una orden de cara a que corrija su normativa y procesos adaptándolos al RGPD.

UN LARGO PROCESO

La sanción es resultado de una investigación iniciada por la autoridad irlandesa en 2018, de cara a averiguar si Whatsapp cumplía con el RGPD, habiendo propuesto en un primer momento una sanción de 30-50 millones de Euros.

Dicha propuesta, al afectar la vulneración del Reglamento a toda Europa, fue compartida con las distintas autoridades de control de diversos países europeos, mostrando estos su desacuerdo con la autoridad irlandesa.

La principal disputa versaba sobre la gravedad y alcance del no ajuste al Reglamento por parte de Whatsapp, así como sobre la cuantía de la sanción.

Al no existir acuerdo entre los distintos organismos reguladores se hubo de acudir al Comité Europeo de Protección de Datos, tomando este la decisión de elevar la sanción a 225 millones de Euros.

WHATSAPP SE DEFIENDE

Whatsapp, en un comunicado, ha indicado que la sanción se basa en el nivel de detalle de políticas vigentes hace tres años, habiendo sido su política de privacidad actualizada recientemente.

La compañía asegura que trabaja para garantizar la máxima transparencia en la información que facilita a sus usuarios, manifestando no estar de acuerdo con la sanción, al considerarla desproporcionada.

A lo largo de este año, tanto Facebook como Whatsapp han sido objeto de diversas polémicas en relación a la protección de datos, todo ello a causa del anuncio por parte de la aplicación de mensajería de cambios en su política de privacidad y condiciones de uso.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

Guía para el Cumplimiento del Deber de Informar

El Reglamento General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El RGPD sustituirá, a partir de mayo de 2018, a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD) y al Reglamento RD-1720/2007, que la desarrolla, e introduce una serie de cambios y novedades a los cuales es necesario adaptar los actuales tratamientos, con anterioridad a la fecha de su plena aplicación.

El objeto de esta Guía, de forma específica, es orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asisten. Esta guía cubre únicamente este objetivo específico, y debe ser complementada con otras guías que las Autoridades de Protección de Datos puedan emitir, en relación con la aplicación del RGPD.

Desde Equal siempre recomendamos contar con un asesoramiento integral a la hora de adaptar nuestro negocio y empresa al RGPD, especialmente para aquellos sectores a los que la Ley obliga a contar con un Delegado de Protección de Datos : https://equalprotecciondedatos.com/elements/dpo-dpd-delegado-de-proteccion-de-datos-empresa/

Guía : https://equalprotecciondedatos.com/wp-content/uploads/2021/09/guia-cumplimiento-deber-informar.pdf